一、看《諜影重重5》，講解黑客技術(shù)順便撩把妹

周末，和妹子走進電影院，一起看《諜影重重5》，妹子昏昏欲睡，這時作為宅客讀者的你，即使不懂黑客技術(shù)，但由于你提前看了這篇文章，也是可以一邊講解一邊撩妹的，保證妹子被迷得不要不要，看完電影就能牽起小手一起愉快玩耍……

前方高能，不能錯過的裝逼關(guān)鍵劇情提醒——

1.中情局是怎么被黑的？《諜影重重5》中杰森·伯恩的老搭檔尼基·帕森基為了幫他重回正常人的生活，在薩科夫的黑客基地，用一個U盤，就打開了中情局所有主機密文件的后門。這個U盤不是普通的U盤，內(nèi)部裝有惡意軟件USBee （USB蜜蜂），就像是在不同的花朵之間往返采集蜂蜜一樣，裝有USBee的U盤無需任何改裝，就可以變成數(shù)據(jù)傳輸器，在有物理隔離措施的電腦之間任意往返采集數(shù)據(jù)。

2.尼基·帕森基在薩科夫的黑客基地對中情局進行入侵時，屋里的一位女黑客大聲說道：“利用SQL注入攻破他們的數(shù)據(jù)庫?！边@位女黑客提到的SQL注入是攻擊數(shù)據(jù)庫的常用手段之一。所謂SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。

3.當(dāng)尼基·帕森基正在邊拷貝邊讀取中情局各種秘密行動的數(shù)據(jù)時，海瑟·李迅速利用反向追蹤代碼定位到了黑客基地。反向追蹤技術(shù)是指IP反向追蹤技術(shù)(IP traceback)就是指用來確定IP數(shù)據(jù)包的發(fā)送源地址時所利用的有效方法。對于反黑客人員來說，怎么能追蹤到攻擊的發(fā)起方，是識別和阻止攻擊以及追究責(zé)任的重要橋梁。但反追蹤技術(shù)必須在攻擊正在進行時才有效，一旦攻擊停止，反追蹤技術(shù)進程也會中斷。

4.一心想尋找答案的杰森·伯恩找到尼基·帕森基的對接人后，通過電腦讀取U盤數(shù)據(jù)時，海瑟·李利用房間里的一部很舊的手機僅用兩分鐘的時間就接入了正在讀取U盤數(shù)據(jù)的電腦，并迅速刪除了所有文件。這一技術(shù)的研究成果也是來自以色列的同一個團隊。該團隊使用了一個上市9年的摩托羅拉手機來演示這種新型的攻擊方式，這款手機缺乏現(xiàn)代智能手機的一些功能，比如WiFi和移動數(shù)據(jù)連接功能。該團隊研究人員將一個特定的惡意軟件安裝在了目標(biāo)計算機和手機后，一旦這個特定的惡意軟件安裝成功，就可以通過計算機自然發(fā)出的電磁波方式，提取到目標(biāo)計算機中的數(shù)據(jù)。實現(xiàn)以上技術(shù)所需的工具只有三樣：GSM網(wǎng)絡(luò)、一臺普通的低端手機、以及電磁波。（點擊閱讀原文 揭秘：《諜影重重5》中都有哪些黑客技術(shù)）

二、KO迷妹看過來，全球身價最高黑客Jeff Moss更酷

如果說，《微微一笑很傾城》中的黑客KO憑借帥氣的臉、高超的黑客技術(shù)以及讓人舔屏的廚藝俘獲了你的心，那么，Jeff Moss應(yīng)該是你的菜。除了黑客及兩場全球黑客盛會的創(chuàng)辦者身份，Jeff Moss還是美國國土安全咨詢委員會顧問、ICANN（互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu))首席安全官。

• 2009年，Jeff Moss加入國土安全顧問委員會；
  

• 2011年4月28日，Jeff Moss被ICANN任命為首席安全官；

• 2012年7月，國務(wù)卿JanetNapolitano下達(dá)指令，國土安全顧問委員會成立網(wǎng)絡(luò)技術(shù)專案組，以應(yīng)對工業(yè)、學(xué)術(shù)界和政府領(lǐng)域日益增長的對網(wǎng)絡(luò)安全的需求，Jeff Moss為該專案組的聯(lián)名主席；

• 2013年，Jeff Moss宣布在2013年年底前從ICANN卸任；

• 2013年，Jeff Moss被任命為美國智庫大西洋理事會的客座高級研究員；

• 2014年，Jeff Moss加入喬治城大學(xué)法學(xué)院網(wǎng)絡(luò)安全咨詢委員會。

 拉風(fēng)的JeffMoss甚至還拍過電影，他在一部2012年上映的黑客紀(jì)錄片《Code 2600》中扮演了自己。在2013年，Jeff Moss作為執(zhí)行制片人還拍攝了DEF CON的紀(jì)錄片。（點擊閱讀原文 還在舔屏KO？全球身價最高黑客Jeff Moss更酷）

三、百度安全如何“死磕”偽基站

你走在路上，手機突然收到陌生手機的短信：

哥哥你好，我有個妹妹家庭困難，母親生病。她想用她的第一次換取母親的醫(yī)藥費，希望有個好心哥哥能幫到她。

你剛剛走出農(nóng)業(yè)銀行，手機收到一條95599發(fā)來的短信：

我行將于今日從您賬戶扣去1920元，如有疑問請咨詢：400XXXXXXX【中國農(nóng)業(yè)銀行】。

你坐在家里，手機接到來自95588的短信：

尊敬的工行用戶：你的手機銀行已滿足兌換4690元的現(xiàn)金禮包，請及時登錄：Http://9558onz.com 進行領(lǐng)取

這些信息或誘惑，或驚悚。然而他們的作用卻只有一個：通過一串文字讓你心跳加速，然后主動按照短信的提示和對方取得聯(lián)系。

一個“有追求”的“職業(yè)騙手”，需要發(fā)出的短信具備以下兩個特征：

1、可以偽造任何發(fā)信號碼，讓被騙者深信不疑。

2、可以把詐騙短信大規(guī)模地發(fā)出，保證“獵物”的基數(shù)足夠大。

偽基站就是他們絕佳的選擇。這些設(shè)備往往被放置在汽車后備箱中，甚至人的背包里，向周圍的手機上發(fā)送這些“騙局的入口”——詐騙短信。

如何得知一部手機進入了偽基站呢？

這里還需要簡單的科普：

每一個基站都包含四組數(shù)字的“身份信息”，前兩組定義了運營商的網(wǎng)絡(luò)，后兩組定義了基站的位置。而每一個基站的位置信息，是可以根據(jù)這四組數(shù)字查到的。

百度安全實驗室 X-Team 負(fù)責(zé)人黃正說，目前流行的偽基站并沒有這么高的智能水平，僅僅是“傻瓜化”的設(shè)備，它不會精準(zhǔn)地模擬真實基站的ID，后兩位的位置信息往往是隨機的。

如此一來，就有了如下的方法：

如果監(jiān)控手機的基站參數(shù)，上一秒還在北京海淀，而下一秒就跑到了廣州，那么很可能手機已經(jīng)被偽基站“俘獲”。

利用手機上的 GPS、Wi-Fi 等信號對基站的位置進行審核。如果基站的 ID 信息顯示它應(yīng)該在北京，但是手機的定位明明在西安，那么很可能這個基站是非法的“山寨貨”。

（點擊閱讀原文 百度安全如何“死磕”偽基站？） 

四、深度學(xué)習(xí)如何鑒定一杯尿，哦不，檢測出惡意軟件

你有一個看不慣的死敵和你一起住（這種情況在合租大軍中很容易出現(xiàn)），他放了一瓶類似水的不明液體在桌上。

你進來了，有累又熱又渴，你端起來這瓶液體，仔細(xì)分析了這種物質(zhì)、形狀和體積，利用曾經(jīng)的斗爭經(jīng)驗再次判斷，然后信心滿滿地做出了正確選擇，完美地躲避了這場惡作劇——一瓶100%純尿。

如果我把這瓶看似是水的東西放置在傳統(tǒng)的計算機視覺模塊下分析，可以輕易識別出來它的成分。如果我手欠，非得手抓瓶子再來試一次，由于手指光榮出鏡，傳統(tǒng)的計算機視覺模塊突然無法識別了。但是，如果我機智地把系統(tǒng)升級，加入人工智能模塊，即所謂的深度學(xué)習(xí)技術(shù)，那么即使手指出鏡，這瓶液體也可以被識別出來。這就是在微小變化下，深度學(xué)習(xí)的好處——即使只能讀取部分?jǐn)?shù)據(jù)，大部分圖像被遮蓋，也能正確識別。

網(wǎng)絡(luò)安全與圖像識別相似，99%以上的新威脅和惡意軟件實際上來源于此前已經(jīng)存在的威脅和惡意軟件的輕微“突變”。據(jù)說，即便是那1%的完全嶄新的新威脅和惡意軟件，也只是已存危機的大量“突變”而已。但是，盡管如此，即使是那些最前沿的，結(jié)合使用動態(tài)分析及傳統(tǒng)機器學(xué)習(xí)的網(wǎng)絡(luò)安全技術(shù)，也在檢測大量新的惡意軟件上遭遇重重困難，結(jié)果就是各類企業(yè)和組織極易遭受數(shù)據(jù)泄露、數(shù)據(jù)盜竊、惡意軟件的扣押勒索和數(shù)據(jù)損壞。

在基于公開已知的數(shù)據(jù)庫的端點的真正環(huán)境測試中，移動和APT惡意軟件的檢測率也十分顯著。例如，基于深度學(xué)習(xí)的解決方案對大幅和輕微修改的惡意代碼的檢測識別率超過99%。（點擊閱讀原文 如果深度學(xué)習(xí)能識別一杯尿，那它也能用來識別惡意軟件）

五、揭秘頂級間諜模型“索倫之眼"

索倫之眼并不僅僅是一個黑客組織，而是一個擁有精密技術(shù)的頂級間諜模型平臺。

索倫之眼的主要攻擊任務(wù)就是獲取加密的通訊信息。攻擊者使用一種整合了大量不同工具和技術(shù)的高級模塊化的網(wǎng)絡(luò)間諜平臺，并可以讓長期從事間諜活動的黑客隨心所欲的利用上面的工具。平臺上使用的攻擊策略主要有以下特點：

在進攻時針對每個特定的目標(biāo)定制植入程序和基礎(chǔ)設(shè)施；

從不循環(huán)使用攻擊工具；

通常都是對目標(biāo)網(wǎng)絡(luò)進行秘密和長期的間諜行動。

從卡巴斯基實驗室的報告中，可以發(fā)現(xiàn)索倫之眼行動所使用的攻擊工具和技巧如下：

獨特的數(shù)字足跡：核心植入程序具有不同的文件名和體積，并且針對每個目標(biāo)特別定制——這使得其很難被檢測，因為某個目標(biāo)感染痕跡對其他目標(biāo)來說幾乎沒有任何價值。

運行于內(nèi)存中：核心植入程序會利用合法軟件的升級腳本，以后門程序的形式在內(nèi)存中運行，接收攻擊者的指令，下載最新模塊或執(zhí)行命令。

偏好加密通訊：索倫之眼會積極搜索非常罕見的定制網(wǎng)絡(luò)加密軟件的相關(guān)信息。這種服務(wù)器端/客戶端軟件被很多目標(biāo)企業(yè)廣泛用于安全通訊、語言通訊、電子郵件傳輸和文檔交換。攻擊者對于加密軟件組件、密匙和配置文件頗感興趣，此外還會收集在節(jié)點之間中繼加密信息的服務(wù)器的地理位置。

基于腳本的靈活性：索倫之眼部署了一系列由高水準(zhǔn)LUA腳本精心編排的低水準(zhǔn)工具。在惡意軟件中使用LUA組件，這種組件非常罕見，之前僅在Flame和Animal Farm攻擊中出現(xiàn)過。

繞過隔離網(wǎng)閘：索倫之眼使用特別定制的優(yōu)盤繞過隔離網(wǎng)閘。這些優(yōu)盤包含隱藏空間，用戶保存和隱藏竊取到的數(shù)據(jù)。

多種數(shù)據(jù)竊取機制：索倫之眼部署了多個竊取數(shù)據(jù)的途徑，包括合法渠道如電子郵件和DNS，將從受害者竊取到的信息偽裝成日常通訊流量。（點擊閱讀原文 揭秘：和中國過不去的頂級網(wǎng)絡(luò)間諜“索倫之眼”）

宅客『Letshome』

雷鋒網(wǎng)旗下業(yè)界報道公眾號。

專注先鋒科技領(lǐng)域，講述黑客背后的故事。

                       

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。