麻省理工学院的课程“计算机系统安全”。 第22讲：“信息安全MIT”，第3部分

麻省理工学院。 讲座课程＃6.858。 “计算机系统的安全性。” Nikolai Zeldovich，James Mickens。 2014年

计算机系统安全是一门有关开发和实施安全计算机系统的课程。 讲座涵盖了威胁模型，危害安全性的攻击以及基于最新科学研究的安全技术。 主题包括操作系统（OS）安全性，功能，信息流管理，语言安全性，网络协议，硬件安全性和Web应用程序安全性。

第1课：“简介：威胁模型” 第1 部分 / 第2 部分 / 第3部分
第2课：“控制黑客攻击”， 第1 部分 / 第2 部分 / 第3部分
第3讲：“缓冲区溢出：漏洞利用和保护” 第1 部分 / 第2 部分 / 第3部分
讲座4：“特权分离”， 第1 部分 / 第2 部分 / 第3部分
讲座5：“安全系统从何而来？” 第1 部分 / 第2部分
讲座6：“机会” 第1 部分 / 第2 部分 / 第3部分
讲座7：“本地客户端沙箱” 第1 部分 / 第2 部分 / 第3部分
讲座8：“网络安全模型” 第1 部分 / 第2 部分 / 第3部分
讲座9：“ Web应用程序安全性” 第1 部分 / 第2 部分 / 第3部分
讲座10：“符号执行” 第1 部分 / 第2 部分 / 第3部分
第11课：“ Ur / Web编程语言” 第1 部分 / 第2 部分 / 第3部分
讲座12：网络安全性第1 部分 / 第2 部分 / 第3部分
讲座13：“网络协议” 第1 部分 / 第2 部分 / 第3部分
第14课：“ SSL和HTTPS” 第1 部分 / 第2 部分 / 第3部分
第15课：“医疗软件” 第1 部分 / 第2 部分 / 第3部分
第16课：“侧面通道攻击” 第1 部分 / 第2 部分 / 第3部分
讲座17：“用户身份验证” 第1 部分 / 第2 部分 / 第3部分
第18课：“私人浏览Internet” 第1 部分 / 第2 部分 / 第3部分
讲座19：“匿名网络” 第1 部分 / 第2 部分 / 第3部分
讲座20：“手机安全性” 第1 部分 / 第2 部分 / 第3部分
第21课：“跟踪数据” 第1 部分 / 第2 部分 / 第3部分
第22课：“信息安全MIT” 第1 部分 / 第2 部分 / 第3部分

下面的幻灯片显示了来自Gizmodo的消息，这就是我所说的拖钓。 从攻击者的角度来看，无论有多少，它都显得有些回避。 在这里，他们告诉全世界，在发生网络攻击的第二天，他们如何入侵我们的网络。



但是，一旦我们意识到我们没有入侵MIT或mit.net上的任何内容，但是我们的注册商立即与他联系，更改了记录并阻止了所有内容。 但是，DNS中存在数据一段时间，其中一些数据存在数小时，因此在采取措施之后，我们仍然观察到一些流量。 当我们试图消除攻击的后果时，黑客在Gizmodo上发表了以下评论：“他们使用浏览器漏洞从网络控制中心捕获了一个人。” 真是的 “他们获得了培训登录信息，等等……”等等。 也就是说，攻击媒介就像来自MIT NOC网络控制中心的家伙。

马克发誓那不是他。 实际上，他没有发誓，但解释说他并没有以任何方式妥协。 因此，在事件发生后，我们发布了有关攻击实际组织方式的真相。 如果您想阅读该链接，则www.exploit-db.com/papers/25306仍然有效。 实际上，黑客入侵了我们的EDUCAUSE域的注册商帐户。 事实证明，每个DNS帐户都已遭到破坏。 我们不知道黑客在决定使用它攻击MIT之前拥有该数据已有多长时间。 我们所发生的事情没有错。 后来，在2013年，注册服务商承认他在提供对顶级域名的访问权限方面的错误，并且由于更改了大约7000个mit.edu域名，我们所有人都必须更改密码。

结果，我们阻止了我们域的帐户，使其无法更改，但是您知道，如果您勾选“锁定”，这会阻止人们更新系统，那就不是很好。 无论如何，他们都修复了系统。 因此，这不是我们的错，但是，从某种意义上讲，这种攻击很有趣，它表明了如何将某些主要的Internet协议用于攻击。

因此，当前的威胁状况包括两个部分：社交攻击和基于网络的攻击。 社会攻击的座右铭是：“如果不能使用硅，那就使用碳！” 换句话说，如果您无法穿透受害者的硬件，请通过其键盘来入侵用户。 这是现在经常观察到的情况。

根据我自己20年的经验，可以说远程使用主机的网络攻击很少发生。 至少从外部，计算机系统变得越来越安全。 您知道，在大约十年前的过去，Windows，Solaris和Linux随其所有服务一起出售，我说过它们像圣诞树一样发光。 由于方便和安全这两个标准，所有内容都包括在内。他们选择了方便，他们希望用户立即获得所有可用的东西。



我相信，现在我们已经找到了合理的折衷办法。 当您安装“新”操作系统时，将在其中启动基于主机的防火墙，并且没有公共服务。 我们拥有诸如更新Windows和更新Apple之类的功能，在所有Linux发行版中都有软件包管理器，因此可以访问Internet的“开箱即用”操作系统将很快更新到当前版本。 现在，您没有这些向世界开放的带有古老服务的古老盒子。

因此，我倾向于将黑客排在第8位或第9位。 现在，他们比计算机更关心人。 他们试图利用一个人的弱点或弱点，例如恐惧，贪婪，易受骗，社交能力，以利用合法用户的权利并获得对应用程序的访问或对系统的特权访问。 他们不使用主机，而是使用人员。

最近，在校园里，我们目睹了称为“目标网络钓鱼”的事件。 我不想吓到任何人。 在全国的教育机构中都观察到了这些攻击的表现。 这是一个非常严重的威胁，因此我们不得不着急解决此问题，但是，MIT不必直接应对此类攻击。 有针对性的网络钓鱼针对特定社区并使用可信消息。 在普通的垃圾邮件或网络钓鱼中，攻击者只是简单地通过Internet大规模发送邮件，然后发送垃圾邮件发送者网络以捕获由于某些奇怪原因可能响应这些邮件的人。

但是，通过有针对性的网络钓鱼，攻击者缩小了网络范围，找到了一个相信邮件信誉的社区，例如，美国银行客户社区或MIT学生，员工和教师社区。 在这种情况下，他们能够选择各种机构的社区。 例如，波士顿大学已成为这些社区之一。 攻击者使用指向虚假身份验证站点的虚假电子邮件攻击社区。 一定比例的用户单击了链接并登录，这当然为攻击者提供了凭据。 然后，攻击者进入了一个真实站点，并将这些用户的储蓄重定向到他的帐户。 没有报告损坏程度，但是我认为它很大。

该如何处理？ 在很大程度上，这是用户无知的问题，因此有必要将这种欺诈行为告知社区。 只需告诉人们他们不必信任电子邮件，他们就必须在单击链接之前检查链接。 但是，从人性的经验和知识中可以得出结论，总是会有一定比例的用户忽略此警告并在不应该单击的地方单击，对此我感到非常惊讶。 您可以想象我的邮箱是发给家人的所有网络钓鱼邮件的收件人。 我收到父亲，妹妹的来信，有时难以确定其可靠性，因此您应始终注意信件发件人的地址。

当前，许多电子邮件客户不喜欢向您显示其地址的链接，这很烦人，因此识别信件的发件人变得越来越困难。



在我看来，问题的根源在于密码只是一种无效的技术。 它基于您所知道的-它是密码； 您就是生物识别技术； 而您拥有的是令牌。 中间人攻击只是窃取了您所知道的密码。 但是，如果您可以添加一些内容，这将阻止攻击的进行，并且黑客将无法破坏您的身份。

在不久的将来，我们将启动与IDP Touchstone相关的第二种身份验证因素。 如果您访问duo.mit.edu，我们将使用称为Duo Security的供应商，您可以熟悉此功能的抢先体验。 这是两要素认证云系统，已在许多教育机构中使用。 工作原理是将手机注册为第二要因，并为此使用小型移动应用程序。 如果没有智能手机，则可以使用SMS进行身份验证，即系统将向您发送带有数字的消息。 您还可以创建10个一次性密码的列表。 在不久的将来，我们将向MIT社区提供此系统，目前该系统功能齐全，但尚未宣布。

如果要登录duo.mit.edu，则可以选择手机并启用Touchstone用户ID。 现在，我将向您展示如何进行系统集成的简短演示。 使用标准和联合系统（如SAML和Shibboleth）（这是Touchstone的基础）的好处是，我们可以轻松地设置其他身份验证因素。 我打算简单地继续使用我正在使用的工具，该工具将使用我的证书以可视方式对我的Touchstone进行身份验证。
我目前正在使用atlas.mit.edu。 因此，这是我通常的Touchstone登录名，单击“继续”，我将再次收到邀请。



不幸的是，我好像无法连接到Wi-Fi。 好吧，让我们留待以后的演示，稍后我们将编辑本讲座的视频（观众笑声）。

我没有排练这个演示，所以它发生了。 但请相信我，它有效。 如果您通过Duo，可以注册，并且您与Touchstone的所有交互现在都将是两个因素。 由于采用了这种身份验证方案，您将完全安全。 真的很好用。

在过去的几个月中，我们面临的另一个威胁也针对网络钓鱼，不仅是教育机构，而且是全国人民。 我们称其为“警察ID欺骗”。 这种欺诈行为已经超出了数字世界。 欺诈行为是，麻省理工学院社区的成员好像是从家乡附近的派出所被叫来的。 警察告诉他们一个坏消息。 他们说您很快将被指控犯有税务欺诈罪，或者报告您的亲戚发生了事故，并提出一定程度的解决方案。

当然，实际上没有这些。 该呼叫来自攻击者，该攻击者使用伪造的ANI标识和SIP电话来欺骗呼出电话，并对该SIP电话进行了配置，以使接收该呼叫的人信任位于“发件人”字段中的任何信息，而不管该呼叫实际来自哪个号码。

马克·西利斯（Mark Silis）：攻击者订阅了廉价的SIP服务，在他的领域中设置了列克星敦警察局的电话号码，并向您发送消息。 该服务称为“带替换的SIP电话号码”。 一旦呼叫到达转码网关，然后将其转换回传统电话，程序就会说一切正常，这是正确的号码，我们将向用户显示。



大卫·拉波特（David Laporte）：因此，您最终从一个您认为是警察局的地方接到了一个坏消息。 罪犯再次利用人类的软弱。 在这种情况下，可能是恐惧。

马克·西利斯：或感到内.。

David Laporte：是的，如果您还没有违反法律（笑）。 但是无论如何，所有通话的本质都取决于您必须付费的事实，尽管这似乎是欺诈。 但是，如果他们说我妻子出了车祸，我将无法冷静评估情况，也无法相信他们可以告诉我的任何荒唐信息。

我们校园里有几个人接到了这样的电话。 我不认为他们付了钱，但他们是这次袭击的目标。 我再说一遍，这不仅在我们身上发生。 如果您在Google上查找信息，则会在匹兹堡的报纸和全国各地找到有关此类电话的消息。

但是再说一次，这是针对性的网络钓鱼攻击，对吗？ 他们只需搜索您的名字或查看学生或麻省理工学院工作人员的名单，即可找到您的住所，并找到有关您的一些详细信息。 他们只需要足够可信即可，然后他们会称呼您，恐吓和勒索。

在这种情况下，缓解是困难的，因为涉及电话系统，该电话系统包括多个“桥”，这使得确定呼叫的真实来源极为困难。 老实说，我不是电话专家，对我来说，这个系统由很多我刚放弃的东西组成。 但是执法必须在这里参与。 您应该与您的ISP联系，以便他与执法机构一起跟踪这些骗子。

\

关于通过电子邮件进行的目标网络钓鱼还有另外一件事。 有人将其称为“捕鲸业”-这是对组织最高管理层的有针对性的攻击。
我在其他地方遇到过这种情况，但在这里我们也遭受了类似的攻击。

攻击者使用员工名单向麻省理工学院高管发送有针对性的消息，以获得更可信的信息。 受害人注意不够，对这些信息作出了回应。 例如，一个朋友要求向他汇款，而代写这封信的真实人对他一无所知。 经同意，受害人向该国另一端或世界另一端的某人汇钱。 所以我们也经历了这一点。

简而言之，请注意-SMTP不是可靠的协议。 有了它，您将无法验证任何内容。 所以对一切都不信任。

马克·西利斯（Mark Silis）：您要告诉他们我们的故事吗？

David Laporte：不，让我们变得更好！

马克·西利斯（Mark Silis） ：好吧，这是最近发生的，为了保持匿名，我将不赘述和透露姓名。 因此，麻省理工学院高层领导的一位代表伸出手说：“嘿，我收到了这封信。 是由一位高级领导人向我求助，并要求我转移一定金额的钱。 我回答了他，但他说他不知道我在说什么。 怎么会这样 有人入侵了我的电子邮件帐户吗？”

根据Dave的说法，人们无法想象不破坏邮箱就可以伪造电子邮件，因为这是一种信任的关系。

原来，那是尼日利亚某人的网吧之类的东西。 攻击者只是熟悉MIT的组织结构，找到了一位高级执行董事，在财务副总裁办公室里找到了一个人，并写道：“嘿，我需要您帮助我进行银行转账，这是帐号。” 这样的事情每天都会发生。 显然，我们的员工没有转移任何资金。

David Laporte：这封信完全可信吗？

马克·西利斯：是的。

David Laporte：我已经看到了。

马克·西利斯（Mark Silis）：即使是信件的语气和其他所有内容，也都让人相信。

David Laporte：是的。



马克·西利斯（Mark Silis）：实际上，攻击者以高级经理为公共网站编写的电子邮件为基础，因为它们向社区等发送便笺，这些便笺使用了完全相同的样式，消息的开头和结尾。 甚至他们使用的语言和术语都是相同的。 这就是攻击者转向他的优势的材料。 甚至令我惊讶的是，这则消息看起来多么合理。

大卫·拉波特（David Laporte）：幸运的是，询问此消息的员工将此消息看做是非同寻常的，尽管看上去完全合理，并决定与他认为是发信人的人联系，所以发现了欺诈性计划。 但是，事情不可能如此迅速地发生。

因此，我提到今天，以我的经验来看，网络攻击媒介没有以前那么广泛。 . SSL Heartbleed, SChannel Microsoft POODLE SSL v.3.
SSL , , , SSL. , , . Shellshock , Bash, . « » . . , , , .

? , . , - .

-, . , «» . « », , , , . , , , , , , , , .



– . StealthWatch, , «» NetFlow , . , IP- MIT, , .
, «» IP-. , .

BGP, . , . 5 , , . , Shellshock SSL, , , , , - IP- , , , , . .

, IT-. « », MIT . , BYOD, . BYOD , , .

MIT , , , Dropbox, . Dropbox — , , . , , , , , ? , Dropbo , ? , «» , , Dropbox . , IT -, .

. , . , .
. , . , , , , , . , . , - Amazon, Salesforce.com, Google Apps Dropbox. , . . , ?

, SAML , MIT SAML. Dropbox, Touchstone.



, , , , , , SAML Shibboleth, .

– « », mit.net . , , . . , mit.net . . VRF — , , . , . «».

, . , IP- , , , IP- ? , , , .

, , . , — 802.1 X, , , , , , .

.

: , .

: , ! !

: , , Linux Windows, . mit.net , .

, , . , MIT — -, . . . . .



, , - . -, - . 1-2 . , . , , , . , - -, , .

: MIT?

: StealthWatch, , 80% HTTP.

: HTTP- .

: , , . , , , ( ). , , , . , . , , , MIT . , , - - -.

: , . , Netflix, Netflix, . , , Netflix «».

: , , . , , , . -…

: -?

: ?

: , , !

: , . , ? ( ). «», , . , - . , . , , Netflix Amazon Prime, $4 , . Comcast. IPTV, . , , .

: , , !

: , !

: !


.

感谢您与我们在一起。 你喜欢我们的文章吗？ 想看更多有趣的资料吗？ 通过下订单或将其推荐给您的朋友来支持我们， 为我们为您发明的入门级服务器的独特模拟，为Habr用户提供30％的折扣： 关于VPS（KVM）E5-2650 v4（6核）的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器？ （RAID1和RAID10提供选件，最多24个内核和最大40GB DDR4）。

VPS（KVM）E5-2650 v4（6核）10GB DDR4 240GB SSD 1Gbps，直到春季免费，直到半年付款，您都可以在此处订购。

戴尔R730xd便宜2倍？ 仅在荷兰和美国，我们有2台Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100电视（249美元起） ！ 阅读有关如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程？