關(guān)于Hacking Team被黑 這些事兒你可能還不知道

Hacking Team是一家專注于開發(fā)網(wǎng)絡(luò)監(jiān)聽軟件的公司，他們開發(fā)的軟件可以監(jiān)聽幾乎所有的桌面計算機和智能手機，包括Windows、Linux、Mac OS、iOS 、Android、Blackberry、Symbian等等，Hacking Team不僅提供監(jiān)聽程序，還提供能夠協(xié)助偷偷安裝監(jiān)聽程序的未公開漏洞(0day)，真是全套服務(wù)。

Hacking Team的客戶不乏各國的執(zhí)法機構(gòu)，甚至包括了聯(lián)合國武器禁運清單上的國家，不愧為新時代的IT軍火供應(yīng)商。搞笑的事情發(fā)生了，在我們的印象 中，軍火商都應(yīng)該是荷槍實彈、戒備森嚴的，可是Hacking Team的老板一覺醒來，卻發(fā)現(xiàn)自己的軍火倉庫和帳房被偷了個底朝天。

那么，Hacking Team被盜了什么?簡單來說，就是軍火庫、帳房和衣櫥都被洗劫了：

1、各種平臺的木馬程序(含源代碼)

2、協(xié)助各種木馬植入的未公開漏洞(0day)

3、大量電子郵件，包括各種商業(yè)合同

4、Hacking Team內(nèi)部部分員工的個人資料和密碼

5、其他資料，包括項目資料和一些監(jiān)聽的錄音

Hacking Team為什么會被黑?

其實Hacking Team并非第一家被黑的"網(wǎng)絡(luò)軍火"公司，去年英國的另外一家監(jiān)控軟件公司Gama也是同樣被黑。而一年之前，另一家科技監(jiān)控公司Finfisher遭遇了同樣方式的黑客入侵，泄露400GB的內(nèi)部文件。"網(wǎng)絡(luò)軍火"業(yè)務(wù)一方面游走在法律的邊緣，雖然能滿足一部分執(zhí)法部門的需求，但也非常容易被濫用，從而容易引發(fā)其他國家和一些組織的敵視。有消息顯示，目前HT被部分政府部門用于監(jiān)聽記者信息系統(tǒng)。此外，作為一家以網(wǎng)絡(luò)監(jiān)聽為主營業(yè)務(wù)的公司，在自身的信息安全防護上如此大意，也是本次事件的重要起因。

首先，Hacking Team的系統(tǒng)管理員疏忽大意導(dǎo)致個人電腦被入侵。

正常情況下，系統(tǒng)管理員用來進行維護的電腦應(yīng)該和辦公電腦隔離，并且不要輕易接入互聯(lián)網(wǎng)，但是Hacking Team的系統(tǒng)管理員顯然是在同一臺機器上既進行公司的IT系統(tǒng)管理，還訪問互聯(lián)網(wǎng)，甚至用來管理個人的視頻和照片，這就給了攻擊者滲透入侵的機會。

其次，系統(tǒng)缺少嚴格的身份認證授權(quán)使得攻擊者順藤摸瓜進入內(nèi)網(wǎng)。

安全防護級別較高的網(wǎng)絡(luò)，并不會簡單地對某個設(shè)備進行信任，而是采用“雙因素認證”來雙重檢查訪問者的身份，而Hacking Team顯然并沒有這么做，這使得攻擊者在控制了管理員的個人電腦后，無需經(jīng)過再次認證(比如動態(tài)令牌)， 就可以訪問Hacking Team的所有資源。

因為沒有嚴格的網(wǎng)絡(luò)審計或者異常流量監(jiān)測，所以400GB數(shù)據(jù)被拖都未能及時發(fā)現(xiàn)。從攻擊者入侵內(nèi)網(wǎng)，到攻擊者將所有的資料全部偷走，需要一個較長的時間 ，在這個時間內(nèi)，任何異常行為或者異常流量的報警都可以提醒Hacking Team的員工，自己公司的網(wǎng)絡(luò)正在被入侵。而實際上，卻是直到攻擊者公布了所有資料，Hacking Team才知道自己被黑。

不使用數(shù)據(jù)加密技術(shù)導(dǎo)致所有敏感數(shù)據(jù)都是明文存放。

為了防止數(shù)據(jù)泄密，有較高安全級別的組織一般都會采用數(shù)據(jù)加密技術(shù)，對敏感程度較高的數(shù)據(jù)進行防護，這些數(shù)據(jù)一旦脫離了公司內(nèi)網(wǎng)，就無法打開，但是本次泄露的數(shù)據(jù)均為明文，說明Hacking Team幾乎沒有采用數(shù)據(jù)加密手段去保護合同、客戶信、設(shè)計文檔、攻擊工具等。

上述的所有疏忽導(dǎo)致了今天的結(jié)局，中國有句俗話：終日打雁，反被雁啄了眼。這句話用來形容Hacking Team再適當(dāng)不過了。

這次失竊會產(chǎn)生哪些影響?

本次Hacking Team泄漏事件的后果十分嚴重，過去無論是漏洞還是病毒木馬，在互聯(lián)網(wǎng)上的傳播都是小范圍的，白帽子黑客固然會嚴守職業(yè)道德，在廠商提供補丁前盡可能不公布漏洞細節(jié)，黑帽子也只是在地下圈子內(nèi)進行漏洞交易，有點像：人人都曾經(jīng)聽說過黑火藥的配方，但要制作出軍用炸藥還遙遙無期。

而此次事件一下就把已經(jīng)工程化的漏洞和后門代碼全部公開了，等于數(shù)萬噸TNT炸藥讓恐怖分子隨意領(lǐng)取。

1、首當(dāng)其沖的是普通用戶，本次泄露包括了Flash player、Windows字體、IE、Chrome、Word、PPT、Excel、Android的未公開漏洞，覆蓋了大部分的桌面電腦和超過一半的智能手機。

這些漏洞很可能會被黑色產(chǎn)業(yè)鏈的人利用來進行病毒蠕蟲傳播或者掛馬盜號。上述的漏洞可以用于惡意網(wǎng)站，用戶一旦使用IE或者Chrome訪問惡意網(wǎng)站，很有可能被植入木馬。而Office Word、PPT、Excel則會被用于郵件釣魚，用戶一旦打開郵件的附件，就有可能被植入木 馬。

2、本次泄露的各平臺的木馬后門程序，會把整個灰色產(chǎn)業(yè)鏈的平均技術(shù)水平提高一個檔次。

例如全平臺的監(jiān)控能力，以及對微信、whatsapp、skype的監(jiān)控功能等等。在此次事件之前，灰色產(chǎn)業(yè)鏈的軟件工程能力并不高，木馬以隱藏為主，但是界面友好程度和易用性都還有很大的差距，但是本次事件后， 任意一個木馬編寫者都可以輕易地掌握這些技術(shù)能力。

3、掀起一波清查惡意軟件后門的行動，相關(guān)的信息安全公司和國家政府職能部門會對PC、智能手機進行清查，同時對Hacking Team的服務(wù)器進行掃描定位，也會進一步排查各種應(yīng)用程序市場，智能手機的安全會引起大家的進一步重視。

普通用戶如何做好防范?

1、跟蹤此次事件的發(fā)展，各廠商發(fā)布補丁后及時升級。在沒有安裝相應(yīng)補丁前，暫停使用相關(guān)的應(yīng)用和插件。(例如，暫時刪除或者禁用Flash Playe)

2、無論是手機還是電腦，暫時不要訪問不可信的網(wǎng)站(因為本次泄露的0day中有針對瀏覽器的攻擊方法)，暫時不要用公開的Wi-Fi，也最好不要暴露在公網(wǎng)上，將手機連接到電腦要慎重(Hacking Team提供了利用企業(yè)證書植入智能手機的木馬程序)，對第三方發(fā)送的郵件附件，要謹慎打開(本次泄露涉及到Office Word、excel、ppt的漏洞利用)。

3、安卓用戶可以去下載西雅圖0xid小組發(fā)布的HT木馬查殺工具：點擊這里

需要隨時掌握事件的進一步發(fā)展的話，可關(guān)注：新浪微博：shotgun_xici ，0xid 的信息跟進。