保密技术防范常识下

保密技术防范常识（下）肖稳田国家863项目电子政务专家组专家四、互联网时代保密与窃密的博弈与较量（二）智能手机的窃密技术与防范“互联网+”时代，移动通信技术日新月异，以手机为核心的移动终端、跨界融合、加速创新，由于智能手机在网络实时接入、多种通信手段融合等方面有着无可比拟的优势，更是由于以手机为代表的移动设备大有取代计算机而成为使用最广泛的互联网接入的终端。“互联网+”时代手机作为通信终端、控制终端和存储终端的功能日益强大，流经手机的信息量爆炸式增长，手机面临的安全威胁和泄密隐患呈现出全维化、复杂化、产业化的演变趋势，渗透攻击影响力和破坏力显著增强，手机安全保密形势更加严峻。.手机通信的发展趋势手机已经超越了通讯工具原始的概念，成为互联网的资源、移动通信网络的资源与环境交互资源的一个枢纽，极大的改变了人们的生活方式，成为人体功能器官功能的延伸和人类社会生活的一种依托。首先它是人体器官功能的一种延伸，同时也是个人社会身份的一个凭证，也是社会生活应用服务的一个承载平台，又是技术融合创新的一个展示的窗口。.手机安全保密面临的新挑战智能手机搜集信息是汇聚战略资源的一个必要途径。随着手机存储、处理、传输私密数据量的增加，这将成为窃密者、不法分子，乃至恐怖组织和敌对国家一个挖金的富矿。智能手机集成多条数据交互通道，背负着移动通信安全、网络安全、操作系统安全等多重的安全责任，传统计算机网络的安全保密风险在手机上可以说全部存在，且风险更多，危害更大。.手机失窃密的途径第一，手机软硬件漏洞给窃密者可乘之机。漏洞影响范围由上层应用发展到操作系统内核，全面覆盖固件、硬件甚至无线协议层面，由应用端漏洞发展到了后台服务端的漏洞，由提权控制漏洞发展到了私密泄露漏洞等，危害极大。2015年，安卓操作系统发现漏洞增长了10倍，苹果手机漏洞超过600个，同比上涨了128%；2016年8月，爆出高通公司的芯片级漏洞，影响到全球9亿用户的手机和平板电脑。第二，手机木马病毒带来泄密风险。以短信拦截木马、锁屏勒索木马、流氓推广、窃密后门为代表的流氓软件和病毒木马技术不断完善，攻击形式日趋固定，传播过程中普遍使用了伪基站、钓鱼网站等多种诱骗手段，渗透流则向APT方向发展。间谍软件和木马可以绕过安全机制，颠覆了传统的越狱破解模式。第三，手机窃密新技术不断涌现。花样翻新，层出不穷。2012年，日本研究者利用屏幕点触输入过程的颜色、显示变化，接收变化中产生的电磁泄露信号，还原了输入的内容。美国NSA可通过预先植入手机的间谍软件，在手机关机状态保留或定期开启监听、定位等功能。2015年，以色列防务系统与斯坦福大学研究成功，利用手机电量消耗获取位置信息的技术。2016年，美国研究者实现利用手机振动马达进行窃听的技术手段。另外物联网的普及也加大了手机泄密的风险。第四，大数据、云计算安全问题加大手机泄密风险。因为手机终端承载着网络服务、实时处理信息过程需要大数据、云计算的支撑，而手机大数据、云计算的应用在认证授权、传输加密、云端数据保护等方面，这个技术还不够成熟，手段不能满足保密的需求。所以数据源的伪造，数据篡改和数据窃取和数据失真，将造成数据安全性、完整性和保密性的降低。窃密者可借助大数据技术将从手机中获取各种信息碎片，拼接成所需要的情报。第五，手机WI-FI让窃密者有机可乘。智能手机识别WI-FI网络只能通过SSID进行辨别，在面对SSID相同的WI-FI网络时，手机会自动尝试连接，如果该WI-FI网络使用了PSK认证方式，则自动使用以前存储的密码进行认证，如果WI-FI网络为开放网络则会直接连入网络。这就为窃密者以可乘之机，其可通过搭建同名免费的WI-FI来劫持目标手机的流量，对未在应用层加密，则可窃取帐号密码、位置信息、通信记录和存储的图像数据等等。第六，手机生态链复杂脆弱性为窃密者打开方便之门。首先是运营商生态链，运营商生态链由通信运营商、手机制造商、手机经销商和应用服务商构成。通信运营商是运营生态链的终端，因此，美国依靠网络攻击渗透各国的通信获取大量的第一手数据情报，通过运营商的生态链来窃取情报，窃取秘密信息。第二是手机技术生态链，由软硬件的研发方、开发环境提供方，固件运用设计方等。美国NSA在固件中预制了木马后门以获取大量的情报效益。手机的通话、上网、定位等功能，是基于基站和GPS卫星系统实现的，基站是一个开放的信号系统，建立“伪基站”进而接收手机发送的文字、语音、图片等数据，是窃密者最常用的一种手段。所以说电信运营商巨量的用户信息泄露，也会造成一个严重的泄密风险。据报告，国内某电信运营商的第三方合作公司技术人员，在电信运营商处技术服务期间，因个人利益驱使，利用工作之便，勾结内部员工，潜入电信运营商办公内网，获取内部核心数据几百万条，出售获利；同样，在今年年初，也出现过多家电信运营商内鬼泄露公民个人信息牟利事件。2014年12月25日，第三方漏洞报告平台乌云爆出：12306网站发生用户数据泄露，包括用户账号、明文密码、身份证、邮箱。有消息称这次泄露的账户超过了13万。所以说电信运营商这个地方保存着大量的个人信息，这个信息的泄露也是存在着很大的风险。在德国有一个人叫马尔特.斯佩思，2007年德国通过了一部法律，人们智能手机的数据和来自网络端口及邮件信息要被存储6个月之久，斯佩思想知道能否取回这些数据，但是电信公司说不行。但是马尔特.斯佩思经过三年的法律交涉，最终使德国通信将他的通讯记录送还给他，而电信公司保存了过去6个月的通话记录、短信、邮件、网络浏览记录高达35830行，滚动鼠标浏览这些数据信息，可以将一个人过去的行为清晰的描绘出来。如果你到过什么地方，它通过这些信息进行梳理，可以知道你过去这半年，这6个月你到过什么地方，你晚上睡在哪里，你什么时候起床，你晚上和谁打过电话，以及通话的具体时间，所以斯佩思的遭遇应当说是整个人类一个时代的遭遇。所以我们现在，就是我们对于手机使用也很方便，但是我们的信息全部在电信运营商的服务器里边，一旦这个信息如果你成为目标，那你可就惨了。英国伦敦政治经济学院教授理查德・桑内特说，他讲的运营商一方面他们是新时代智慧的巅峰，是人类史上普遍服务的开拓者，是全球优秀青年向往就业的一个目的地，另一方面他们是人类历史上最普遍的一个侵犯者，是诉讼台上最频繁的被告，他们是公众爱恨的交点。他们唯一能够赚钱的方式就是披露人们的个性，更多地挖掘人们的个人信息，及时找到与他们相关的邮件或者是短信息。什么意思呢？就是说运营商在保护个人隐私方面应该是富有很重的责任。美国国安局利用苹果产品窃取用户信息，将窃听器或窃听程序植入手机及SIM卡里，名为“遗失吉普”的这么一个程序，情报人员可以远程下载或者上传所需要的文件，并通过手机网络对使用者实施精准定位。这个软件植入你的iPhone以后，能够抓取手机中的文件、短信、通话清单、语言邮件、地理位置、手机发射塔位置，甚至远程激活手机的麦克风和摄像头。整个过程你根本察觉不到：命令、控制和数据外泄都通过短信或GPRS数据，所有与植入软件的通信都被隐藏和加密，而且成功率达到100%。所以，我们经过检测进口手机里面80%以上都设这些后门，即使关机仍可以远程遥控窃听窃盗，美国就爆出虐囚案，它那里边大部分照片都是从智能手机传出去了。.智能手机安全保密的对策和方法第一，战略层面。自主可控是国家网络安全的核心要素，也是手机安全保密的根本措施，必须实现核心技术从通用型向自主可控型转变。与此同时，逐步完善手机产品链、运营链和研发链的法律法规和标准体系，提升智能手机整体防护能力。我们还是要多用国产的手机，用华为的手机。第二，技术层面。密码技术是手机安全保密的核心技术。手机终端流量中大量运用认证、授权等防护手段，其技术基础也是密码科学。美国RSA公司出售给我们中国三大运营商的密码是降低了加密强度后出口的，这就为美国的情报机关渗透大开方便之门。因此，我们要逐步的应当使用我们国家自行研制的国产密码，同时也要大力发展手机安全保密的检测技术，包括：伪基站检测技术、手机终端APP检测技术和WI-FI安全检测技术等等。第三，用户层面。手机用户是安全保密的关键，增强安全保密意识，掌握基本的防护技术，只有做到这两点，手机泄密的安全风险就会大大降低，主要把好以下几个环节：一是手机更换。旧手机存储的信息极易被泄露，必须经过技术处理才能遗弃和处理；二是安装软件。如果这个软件要获取某种权限，一般会弹出询问窗口，一旦点击“允许”软件就会将手机的短信信息，甚至会泄露手机内存存储的信息，所以安装软件一定要慎重；三是加入免费的WI-FI，窃密者会通过免费的WI-FI吸引目标误入黑客布置好的陷阱。所以外出我们必须关闭智能终端“自动连接无密码的WI-FI功能”，如果需要使用的时候你把它打开，用完以后就把它关掉，没有免费的午餐；四是慎重参与网上的测试或体验活动。遇有需要个人姓名、生日、手机号等身份信息的活动，这里边很多都是有炸的；五是要选择性的关闭手机等社交平台中需要获取隐私权限的功能，如通过微信中的“附近的人”的功能就能够获取你的位置信息；六是使用iPhone设备，应按需要开启位置记录功能。IOS7以后的手机系统都加入了“常去地点”的位置记录仪，容易暴露机主的行踪，你的行踪都记录在这个手机里面了，所以为了保密你还是把它关掉；七是慎重分享和上传文字、头像或视频信息。以免泄露单位或者个人的隐私；八是不要用手机传送个人密码、身份证和银行卡等的图像或者文字，现在有的人说你让我给你订个机票或者办个什么事，你把身份证号给我，可是他把这个身份证就拍上照片给你发过去了，从手机上发过去了，所以你手机存储卡里边，这个图片就很容易泄露你的身份信息；所以说英国《新闻周刊》的编辑丹尼尔.格罗斯说：如果说互联网上的一些东西是免费的，真的是免费的吗？免费的意思是不需要任何成本，因为商业的规则就是总是有人要支付这个费用的，是没有免费的午餐，如果你不知道被谁卖了，那就是你被卖了，所以不要贪小便宜，没有免费的午餐，这样的话我们就不容易上当。（三）计算机网络窃密与防范.APT窃密与防范所谓APT窃密它是指高级的、持续的威胁。A就是采用先进的攻击工具和攻击方法，预先设定的明显目标，实施精准打击。持续就是制定周密的攻击方案，庞大的攻击团队，连续不断的检测和侦查手段，长期的潜伏策略，以获取长效的情报收益。威胁就是攻击形式如一场持久战，由组织者统一协调指挥，有足够的资源保障，不达目的誓不罢休。所以APT攻击一般应当是国家级或者是政府级，或者是某一个黑客组织，就是一个庞大的这么一个集团来实施的一种攻击。APT攻击它有针对特定的目标，采用复合型的攻击手段，秘密的进入隐蔽的进行潜伏，具有强大的资源支持，这是APT攻击的特点。APT入侵的方式包括外部入侵和内部入侵。外部入侵主要是基于互联网的这种恶意软件，物理恶意软件的感染，包括外部黑客的威胁来对你的系统进行攻击。内部的入侵就是内部恶意的员工、恶意的承包商、社会工程专家、资金的存放位置、非法入侵、多用途软件安装等等，所以这是内部这种途径入侵的这么一种方式。还有就是信任的链接，入侵的这些人都是有合法的身份，合法的账户来实施的内部作案。APT攻击的流程包括搜索阶段、进入阶段、渗透阶段、获取阶段。像2016年，乌克兰电力系统遭到黑客的攻击，让数百家家庭供电中断就是一起典型的APT攻击，这个攻击来自俄罗斯黑客，使用的工具叫做“暗力量”攻击者利用这套黑客软件建立僵尸网络，只需在C&C服务器下达指令，僵尸网络受害主机便统一执行其指令，然后通过僵尸网络进行DDoS攻击，然后让你整个电力系统瘫痪，这就是一个很明显的案例。对于APT攻击的防范，当然你是要建立一个非常有效的安全防护系统，但是原有的一些防护工具，对APT攻击可能就是失效的，所以这块的话原则性的建议，一个是我们要增强安全保密意识，强化对用户的网络安全保密教育和培训，提高员工的网络风险意识、安全保密意识、网络安全意识。第二，提高网络安全保密的知识积累，提升对非法入侵者的识别能力和控制能力。第三，异常传出流量的检测。传入流量通常被用于防止和拦截攻击者进入网络，监控传出流量是检测异常行为的一个有效途径。第四，掌握APT攻击一些新的动向和新的一些发展趋势，及时采取防范的技术措施，定期对网络进行检测和检查，构建规范有效的安全保密体系。第五，强化终端管理。有效控制风险，控制和锁定终端。.利用系统漏洞窃密与防范漏洞是信息技术、产品、系统在设计、实现、配置和运行过程中产生的一种缺陷。大量的网络泄密窃密案件及其他的信息安全问题均与漏洞的存在相关。这是信息系统自身的一种缺陷，一种生理方面的缺陷，凡是这种系统，凡是这种软件它一般都有漏洞，但是漏洞就会被入侵者、窃密者有机可乘。漏洞窃密的流程可以分为三步：第一步是启动漏洞扫描工具；第二步是启动漏洞攻击工具；第三步就是获得用户的用户名或者口令，登陆目标计算机，然后窃取里边的信息。防止漏洞窃密的措施主要有四点：第一，严禁将涉密计算机接入互联网；第二，及时对操作系统应用程序打补丁；第三，安装防火墙和防病毒的软件；第四，要关闭不必要的端口和服务。.“木马”窃密与防范“木马”窃密就是在正常文件的伪装下，对目标计算机实施远程控制的一个间谍软件。像台湾军情局的特工李芳荣，利用黑客技术控制我党政军和军工单位各个服务器，将木马植入目标电脑，窃取绝密文件15份、机密文件42份，这就是利用木马程序来进行窃密的。木马窃密的流程也分为三步：首先是攻击者启动邮件系统，以合法身份给目标用户发一份邮件；第二，目标机发现并打开了附件，“木马”就在目标机中隐秘激活并回联；第三，攻击者通过监控程序，看到目标电脑的文档目录，成功下载窃密文件。关于木马窃密的防范一个是不要打开不明的邮件和附件，第二是不要浏览色情的或者境外的可疑网站，第三是安装杀毒软件并及时升级。.利用摆渡技术窃密和防范摆渡是利用移动存储设备窃密的一种技术。窃密者搜集目标网址或者邮箱，当目标联网使用移动U盘时，摆渡木马就会悄然植入。一旦目标违规在内网电脑上插入U盘时，摆渡木马立刻就感染内网，把涉密信息下载到U盘上，完成了摆渡，等目标再次把U盘接入到联网电脑，秘密信息则会自动的传到控制端的网络间谍。所以以色列为了把这个病毒植入到伊朗的核设施里面去，那个工业控制系统里面去，他专门在厂区外边的停车场，就是撒那么一些，把这个U盘，里边带有木马病毒的U盘撒到停车场，很多人上车的时候，或者下车的时候看到路边有个U盘，不知道是怎么回事，然后把U盘就拿回去放到电脑上试一下，看看U盘里面有什么东西，结果这么一插坏了，上当了，上钩了，就容易成为摆渡的这么一个介质了。摆渡的防范主要是要严禁在互联网和神秘网络之间混用U盘等移动介质，安装针对摆渡程序的杀毒软件要及时升级，安装介质管理系统，介质入网必须经过认证，非涉密的介质不得进入到涉密网进行使用。.利用嗅探技术窃密与防范嗅探技术它窃密的这么一个程序主要是目标计算机被植入键盘记录程序，然后它记录键盘信息并生成文件，然后在目标机上进行文档编辑，内容即被嗅探程序存储在这个文件里边，攻击者启动远程监控程序，从目标计算机上下载键盘记录文件，成功还原。这实际上就是通过嗅探键盘输入的这个文档内容，然后把它记录下来，把这个数据记录下来，然后再传回去，所以说对嗅探这种窃密手段的防范也是有三点：第一，接入互联网的电脑不得处理涉密信息;定期对上网电脑操作系统进行重装；要安装防木马病毒的软件并及时升级。.利用数据恢复技术窃密与防范磁存储技术就是通过改变磁粒子的极性在磁介质上记录数据。读取数据时，依靠操作系统提供的文件系统功能