一年一度的美國黑帽網(wǎng)絡(luò)安全會(huì)議于本周舉行，基于現(xiàn)場(chǎng)與會(huì)者的發(fā)言和全球各地安全研究人員的虛擬流媒體簡報(bào)，移動(dòng)平臺(tái)和開源軟件正在成為網(wǎng)絡(luò)安全的關(guān)鍵問題。

　　黑帽大會(huì)創(chuàng)始人Jeff Moss在開幕式主題演講中總結(jié)了網(wǎng)絡(luò)安全界的普遍感受，網(wǎng)絡(luò)安全領(lǐng)域近來歷經(jīng)了勒索軟件攻擊爆炸性增長、重大供應(yīng)鏈漏洞，俄羅斯、朝鮮和伊朗等國家發(fā)展成了嚴(yán)重的民族國家黑客行動(dòng)參與者。

　　Moss表示，“我們剛認(rèn)識(shí)到被打臉了，我們正努力想辦法拆招。這兩年真的有壓力。”

　　越來越多的證據(jù)表明，威脅者正在將手里的大量資源轉(zhuǎn)向移動(dòng)平臺(tái)漏洞的利用。據(jù)估計(jì)，全球智能手機(jī)用戶達(dá)60億，是個(gè)不能錯(cuò)過的、非常有吸引力的機(jī)會(huì)。

　　在移動(dòng)設(shè)備受到攻擊的同時(shí)，零日漏洞亦在增加，零日漏洞指安全社區(qū)不知道的因此沒被修補(bǔ)的漏洞。

　　零日漏洞由市場(chǎng)驅(qū)動(dòng)，基于供應(yīng)和需求。零日中介Zerodium去年曾因?yàn)樘峤粩?shù)量過多而宣布暫停購買蘋果iOS漏洞。去年夏天，網(wǎng)絡(luò)犯罪分子利用一個(gè)iPhone零日漏洞入侵6名國際記者的移動(dòng)設(shè)備。

　　Corellium LLC的首席運(yùn)營官、英國國家安全局（GCHQ）前分析師Matt Tait所做的研究表明，這個(gè)問題正在變得非常地嚴(yán)重。

　　Tait向與會(huì)者表示，“針對(duì)手機(jī)設(shè)備的零日滲透正在急劇增加。我們看到的只是世界上實(shí)際可能發(fā)生的事情的一小部分。”

　　問題的一部分原因在于，一些移動(dòng)平臺(tái)的架構(gòu)構(gòu)成了一系列獨(dú)有的問題。谷歌Project Zero的安全研究員Natalie Silvanovich描述了對(duì)移動(dòng)信息出錯(cuò)時(shí)所做的一些分析，她發(fā)現(xiàn)一個(gè)用戶能夠在未經(jīng)同意的情況下打開另一個(gè)用戶的攝像頭或音頻。

　　Silvanovich找到Group FaceTime、Signal、Facebook Messenger、JioChat和Mocha的各種漏洞，所有這些漏洞都曾被報(bào)告過和被修復(fù)過。

　　Silvanovich表示，“在未經(jīng)用戶同意的情況下就可以打開別人的攝像頭并拍幾張照片，能夠這樣做相當(dāng)令人擔(dān)憂。”

　　開源模式就本質(zhì)而言其設(shè)置并非是為了生成完全安全的代碼。開源模式下某個(gè)項(xiàng)目可能數(shù)以百萬計(jì)的貢獻(xiàn)者來自世界各地，用到的重要軟件工具資源可自由使用，而且項(xiàng)目維護(hù)者名冊(cè)不斷變化，這時(shí)，安全問題很容易被忽視。

　　問題是，威脅者也知道這一點(diǎn)，他們正在利用這一點(diǎn)進(jìn)行獲利。2017年的Equifax漏洞泄露了1.47億人的個(gè)人信息，原因是Apache Struts一個(gè)未打補(bǔ)丁的開源版本漏洞被利用。

　　威脅面涉及到開發(fā)人員使用的工具以及他們存儲(chǔ)這些工具的地方。去年12月曾報(bào)道過兩個(gè)惡意軟件包被發(fā)布到NPM網(wǎng)站，NPM網(wǎng)站是JavaScript開發(fā)人員用來分享代碼塊的代碼庫。此外，GitGuardian的一項(xiàng)分析僅在2020年就找到200萬個(gè)“未公開”密碼以及存儲(chǔ)在公共Git存儲(chǔ)庫的識(shí)別憑證。

　　NCC集團(tuán)高級(jí)副總裁兼全球研究主管Jennifer Fernick表示，“事情并沒有變得好一些，再加上應(yīng)用程序的復(fù)雜性也在增加。上報(bào)的開源軟件漏洞數(shù)量每年都在增長。如果不認(rèn)真地進(jìn)行協(xié)調(diào)干預(yù)，我認(rèn)為情況會(huì)越來越糟。”

　　業(yè)界了解到域名系統(tǒng)（英文縮寫為DNS）中的漏洞有一段時(shí)間，但一個(gè)安全研究小組最近進(jìn)行的簡單實(shí)驗(yàn)卻發(fā)現(xiàn)了令人不安的結(jié)果。

　　DNS使得IP網(wǎng)絡(luò)（互聯(lián)網(wǎng)屬IP網(wǎng)絡(luò)的一種）上計(jì)算機(jī)之間可以更簡便地進(jìn)行通信，這是DNS開放互聯(lián)網(wǎng)背后的一項(xiàng)基礎(chǔ)技術(shù)。DNS服務(wù)現(xiàn)在被各種云供應(yīng)商大量使用，有些云供應(yīng)商提供DNSaaS（DNS即服務(wù)）的管理企業(yè)網(wǎng)絡(luò)解決方案。

　　Wiz.io的安全研究人員Shir Tamari和Ami Luttwak發(fā)現(xiàn)了存在的問題，有心者可以注冊(cè)一個(gè)域名，然后用它來劫持DNSaaS供應(yīng)商的域名服務(wù)器，如此一個(gè)用戶就可以竊聽動(dòng)態(tài)DNS流量。二位研究人員成功使用一個(gè)被劫持的服務(wù)器竊聽了15,000個(gè)組織的DNS流量。

　　據(jù)Tamari和Luttwak表示，六個(gè)主要DNSaaS供應(yīng)商其中的兩個(gè)已經(jīng)修復(fù)了這些漏洞。

　　Luttwak表示，“DNS是互聯(lián)網(wǎng)的命脈，是最重要的服務(wù)之一。而我們只是簡單地注冊(cè)一個(gè)域名就可以訪問成千上萬的公司和數(shù)百萬計(jì)設(shè)備的DNS流量。我們深入調(diào)查后發(fā)現(xiàn)，DNS流量來自財(cái)富500強(qiáng)公司和100多個(gè)政府機(jī)構(gòu)。”

　　GPT-3是OpenAI開發(fā)的一個(gè)高級(jí)項(xiàng)目，GPT-3可生成類似人類寫作的內(nèi)容，GPT-3這個(gè)功能非常強(qiáng)大、令人真假難辨，而且據(jù)喬治敦大學(xué)的兩位安全研究人員的說法，可能非常危險(xiǎn)。

　　GPT-3人工智能文本生成器是有史以來最大的神經(jīng)網(wǎng)絡(luò)，只要提供一個(gè)文本提示或一個(gè)句子，GPT-3就可以返回完全通順的文本段落。GPT-3還可以生成有效的計(jì)算機(jī)代碼，GPT-3甚至還寫了一篇關(guān)于自己的、包含了高度信息的博文。哪里可能出岔子呢？

　　喬治敦大學(xué)安全和新興技術(shù)中心的研究分析員Drew Lohn和 Micah Musser成功從OpenAI申請(qǐng)到這個(gè)自動(dòng)語言工具的使用。他們要在六個(gè)月的時(shí)間內(nèi)了解GPT-3能夠造成什么樣的危害。

　　二位研究人員利用不同的對(duì)照組測(cè)試了關(guān)于政治或社會(huì)問題的多個(gè)樣本，目的是看讀者是否能區(qū)分人類和機(jī)器所寫的內(nèi)容的區(qū)別。GPT-3將美聯(lián)社的兩篇正當(dāng)?shù)男侣剤?bào)道改寫成支持唐納德-特朗普或反對(duì)前總統(tǒng)的文章，一個(gè)專家小組無法哪是原稿哪是GTP-3改寫過的文章。

　　二位研究人員指出，GPT-3特別擅長讀取少少的幾條指令生成推文，GPT-3的速度和準(zhǔn)確性令其有可能利用一個(gè)社交媒體賬戶傳播出大量的信息。

　　Lohn表示，“我不確定其影響是否得到足夠的重視以及被深究過。這些技術(shù)可以帶來很多潛在的好處。我們需要對(duì)這類決定進(jìn)行討論。”

　　隨著時(shí)間的推移，網(wǎng)絡(luò)安全界現(xiàn)在開始對(duì)民族國家的黑客使用的方法和操作方式有了更清晰的認(rèn)識(shí)，也對(duì)他們的問題有了更清晰的認(rèn)識(shí)。

　　IBM公司X-Force的安全研究人員一直在分析IBM威脅集團(tuán)18（ITG18）的漏洞，ITG18在網(wǎng)絡(luò)安全領(lǐng)域與名為Charming Kitten的伊朗網(wǎng)絡(luò)戰(zhàn)組織有重疊。ITG18與其他民族國家的黑客行動(dòng)不同的是，其他民族國家的黑客都盡量保持在公眾視線之外，ITG18在方面一直非常寬松，而且似乎并不特別擔(dān)心這個(gè)問題。

　　ITG18組織一直對(duì)制藥公司、記者以及伊朗持不同政見者的網(wǎng)絡(luò)進(jìn)行釣魚攻擊，ITG18發(fā)布過一套培訓(xùn)視頻，IBM研究人員在去年五月發(fā)現(xiàn)了該視頻。該視頻提供了如何測(cè)試訪問以及如何從被攻擊賬戶收集數(shù)據(jù)的教程，視頻暴露了與該組織成員伊朗電話號(hào)碼相關(guān)的網(wǎng)站信息。這批資料顯示，這些黑客在解決驗(yàn)證碼方面遇到了問題，另外，視頻提供的一些證據(jù)表明，他們也和我們中的許多人一樣曾因安全性差而成為勒索軟件攻擊的受害者。

　　IBM Security X-Force的分析師Allison Wickoff表示，“在過去的18個(gè)月里，我們不斷見到這個(gè)團(tuán)體的錯(cuò)誤。我們覺得，調(diào)轉(zhuǎn)一下劇本看到對(duì)手人性化的一面也是很好的事情。”