当前位置:首页 > 新闻中心 > 新闻详情

让专家夜不能寐的网络安全威胁

2024 / 01 / 05

亚利桑那州立大学(ASU)网络安全和可信基金会中心主任亚当·杜佩(Adam Doupé)的问答采访。

亚当•杜佩的网络安全之旅始于一次恶作剧。在他得知自己可以连接到电子邮件服务器并伪造发件人地址后,高中时代的杜佩从santa@northpole.com 上给朋友们发送恶搞邮件来取乐。

在玩乐之余,他意识到了一个问题:在线系统的设计并不总是安全的——这些安全漏洞让人有机可乘。

如今,杜佩仍在寻找在线系统中的不安全因素,但不是为了恶作剧他的朋友们。他领导着ASU全球安全倡议的网络安全和可信基础中心(CTF),该中心负责寻找漏洞并创造保护人们上网的方法。他还是Ira A. 富尔顿工程学院,计算与增强智能学院的副教授。

在网络安全意识月的问答中,杜佩讨论了网络安全防范意识的重要性,分享了他曾经遭受网络钓鱼攻击的经历,和他最喜欢同时也是最可怕的网络安全“怪物”。

Q:当您刚刚踏足网络安全领域时,您是否遇到过一些您认为非常有挑战性的网络安全威胁,但最终却相对容易地解决了?

A:是的,我刚进入这个领域时,主要的安全问题之一是“偷渡式下载”。也就是,当你访问一个可疑网站时,这些攻击病毒会利用你的浏览器或计算机系统中的漏洞,将恶意软件下载到你的本地设备上。

如果你也遇到过这类情况,你可能还记得在一个并不精通计算机技术的亲戚的电脑上看到过很多弹窗,而且这个亲戚的电脑运行速度很慢,这很可能是因为他的电脑上被装满了恶意软件。

不过,现在几乎已经解决了偷渡式下载的问题。浏览器的安全性已经大大提高,主要浏览器的漏洞已经非常罕见。虽然在黑市上价值数百万的网络威胁依然存在,但攻击者可能不会再花费数百万美元针对普通消费者进行偷渡式下载攻击了。

Q:从大部分已解决的问题来看,未来的网络安全威胁会是怎样的呢?您认为人们应该注意哪些新出现的威胁?

A:我们看到的是最近诈骗网站的转变——这些网站不再试图窃取你的用户名和密码,而是假装出售不存在的东西。他们不是真正的企业,但他们会从你的信用卡上扣款,然后永远不给你发货。这是我们现在看到的一个新出现的大威胁。

Q:ASU的CTF正在采取哪些措施来应对此类威胁?

A:在网络安全和可信基金会中心,我们的工作重点是确保人们上网时的安全,因为计算机是我们生活中如此重要的一部分。我们正试图通过多种不同的方式来实现这一目标。

其中一种方法是通过抢在坏人之前找到那些有影响的漏洞,从而解决超高价值的漏洞市场问题。

我们通过与DARPA和其他政府机构合作开展研究,开发工具和技术,帮助人们和公司分析软件,识别安全漏洞并自动修复它们。

自动完成这些工作最令人兴奋的地方在于,我们试图主动预防这些安全漏洞。通过创建自动化系统,我们可以确保公司每次修改代码时,都能对其进行分析,以确定是否会引入安全漏洞。

我们还非常关注网络犯罪,以及如何在各个不同层面打击网络犯罪。我们做的一件大事就是仔细研究网络安全社区创建的反钓鱼生态系统。

从2018年左右开始,我们发现防御措施并没有想象的那么好。一旦浏览器检测到钓鱼网站,你就会收到一个吓人的大警告:“不要再往前走了”。

但我们注意到,从向谷歌或微软提交钓鱼网站到被阻止之间的延迟时间可能会被网络犯罪分子延长数小时或数天。

因此,我们一直在与这些公司合作,改进他们的系统,以缩短这个时间框架,这样一旦生态系统察觉到了问题,它就会被阻止。

Q:您提到了如何在攻击者发现漏洞之前查找漏洞。这听起来有点像万圣节:你扮演成攻击者的角色,并试图像他们一样思考。

A:这正是网络安全,特别是网络安全教育的关键概念之一。如果你不了解进攻,就无法进行防御。

从根本上说,如果你不知道攻击者的能力和他们使用的伎俩,你就永远无法阻止他们。这其实与体育运动非常相似。分析和了解防守的最佳人选是进攻方,反之亦然。

因此,这也是CTF和我们教育使命的核心所在:我们希望培训ASU学生真正的精通网络防御技术,同时也精通进攻技术,因为它们之间有很多重叠之处,如果不了解进攻,就无法正确地进行防御。

Q:说到万圣节,你小时候最难忘的服装是什么,它是否最终将你引向了网络安全领域?

A:我小时候最难忘的万圣节装扮之一是“谜语人”。很明显,吉姆•凯瑞(Jim Carrey)很搞笑,他是一个很棒的谜语人,所以我也想扮成他。

但回顾那个万圣节,你会发现网络安全和谜语人之间有很多相似之处。当你试图解决网络安全问题时,会遇到很多谜语和问题。

逻辑思维是解决谜题的方法。这也是我们试图教给学习网络安全的学生的。给他们提供技能、技巧和工具,让他们能够解决这些谜题。

Q:能谈谈你最害怕的一次网络安全事件吗?

A:有一次,我差点被网络钓鱼攻击所迷惑。当时我在机场等着登机,我收到了一封看起来像是凯尔•斯凯尔斯(Kyle Squires)院长发来的电子邮件。他们使用了他的姓名和电子邮件页脚,但我在手机上使用的电子邮件客户端隐藏了确切的地址。所以它看起来是合法的。这封电子邮件说:“嘿,我需要和你谈点事情,但不是通过电子邮件。”

现在,有些情况下你不想把事情写进电子邮件,所以我回复说:“哦,我现在正要登机。请打我的电话。这是我的电话号码。” 我等着电话,两分钟后,我收到了一封回信:“我正在开会,但我需要你帮我去买10张iTunes礼品卡,然后把代码发给我就好了。”这时我才意识到自己上当受骗了:我把我的电话号码给了骗子!

首先,我想,“我怎么能这么傻?但我接下来就想,“哦,这就是人们成为受害者的方式。在这种情况下,我有时间压力,科技也帮不上忙,攻击者冒充可以掌控我职业生涯的人。因此,所有这些因素都聚集在一起,我就成为了这次网络钓鱼攻击的完美受害者。

这整个故事就是一个很好的例子,说明为什么网络安全意识月如此重要。归根结底,我们都是人,我们都会犯错。

但是,了解这些事情,了解常见的骗局是什么样子的,了解需要注意什么,将有助于确保您的安全。同样重要的是你在被骗后,要采取什么样的行动。

因为在我上当受骗并识别出网络钓鱼攻击后,我按照我们在ASU参加的网络安全培训进行了操作。我将邮件转发到ReportPhish@asu.edu,让他们知道这封诈骗邮件正在四处传播并泄露信息。

Q:今天的短信或电子邮件感觉很像“不给糖就捣蛋”。这是无辜的还是蓄意的?我们如何知道谁在给我们的收件箱发邮件?

A:当你收到一条随机号码发来的短信时,我们真的不知道他们要干什么。它可能是我们的朋友用一个新号码给我们发的短信,也可能是一个试图让我们点击链接并诈骗我们的罪犯。对这些短信运用一些常识会有很大帮助。

比如说,这些人会怎么联系我?国税局会给我发短信说我欠税了,要对我进行审计吗?不会的,国税局只会给你寄一封证明信。

我认为另一种有用的保护自己安全的方法就是记住这些攻击不仅仅是针对你的。它们是非常广泛的攻击,试图欺骗很多人,因此互联网上会有关于它的讨论。

如果你不确定,请不要点击链接或参与,而是复制一些文本并在互联网上搜索带有“骗局”一词的内容。通常情况下,你会看到与你收到的相同的文本,然后你就会知道不要参与。

Q:就像树林里的孤立小屋或黑暗的地下室一样,网上是否应该有某些设置促使人们格外警惕?

A:在现实世界中,我们已经对什么是安全的,什么是不安全形成了直觉。如果你在一个居民区,走在人行道上,汽车以每小时25英里的速度行驶,你会感到非常安全。但是,如果你在高速公路边,汽车以每小时65到80英里的速度驶过,即使技术上的情况相同,你也会感到不安全。

但当你使用电脑或手机时,真的很难有类似的直觉。关键是要提高警惕。如果你收到电子邮件,内容是关于你意想不到的邮件和消息,那就一定要提高警惕。

使用我们所说的带外信道总是安全的——这是另一种通信方式。举个例子,如果你收到老板发来的一封电子邮件,上面写着“嘿,我需要你检查我们部门每个人的工资报告”,并且那里有一个链接或附件,你的本能反应是点进去看一下。但也许你应该给老板发一条短信或留个言,确认是他们发送了这条信息。

Q:看看我们的网络安全“怪物”——部落、吸血鬼、狼人、网络钓鱼者和抢夺者——你最喜欢战胜谁?

A:我最喜欢的可能是网络钓鱼者,因为这类骗局由来已久。这一直是人类本性的一部分:冒充可信赖的实体来欺骗他人。

例如,有一个故事说,在19世纪末,有一个人冒充一个实体,卖了布鲁克林大桥10或20次,卖给了许多不同的人。

所以我很佩服它,因为这是一个非常古老的骗局,永远不会完全消失。这是一场永无休止的斗争,这让它变得有趣,但也正因为它与人性有关,所以让它变得如此难以消除。

Q:最可怕的呢?对你来说,最可怕的网络安全威胁是哪种形式?

A:“抢夺者”,也就是勒索软件操作员。他们进入你的系统,加密你的所有数据,让你无法访问。你要么交出所有数据,要么付钱给他们。这就是网民的遭遇。

因为他们已经非常成功地将这种类型的攻击货币化,这意味着他们有更大的动力继续下去。金钱的诱惑让他们变得更有组织、更有效率。

因此,他们已经能够从诈骗普通人一到两个比特币,到利用组织获得数百万美元。现在,对我来说,这很可怕,因为它似乎不是一个马上就能解决的问题。

获取资料

关闭