2019美国RSA信息安全大会：人类将成为未来网络攻击的对象

目前的网络安全威胁有些像一辆装备完善的车在爬坡，已经换了档。

开始的时候，网络攻击也就是一些 “脚本小孩”在他们父母的地下室里用一些简单的计算机黑进网站搞点破坏而已，无伤大雅。但随着各种主要业务开始用互联网进行交易处理，网络成了获取真正有价值物品的目标，这些有价值物品包括专有公司秘密、货币等等。

去年曾有12名俄罗斯军官因为窃取美国民主党全国委员会文件而被起诉，这很好地说明了现在的风险变得更高了。这些黑客被控阴谋影响美国总统大选。

影响大选是对头脑份额的窃取。而据本周齐集在旧金山举行的RSA会议的安全专家的观点，2016年发生的窃取事件和明年大选期间将会发生的事情相比基本就是小事一桩。

安全解决方案公司Comodo首席研究科学家兼北约网络中心大使Kenneth Geers表示，“黑客攻击计算机现在是个热门话题，但很快我们就不会关注这个话题了。黑客攻击人类将成为下一个热门话题。”

僵尸网络对公众舆论的影响

恶意行为者现在可以利用社交媒体网络自身提供的僵尸网络和工具影响公众舆论，这是安全社区关注的核心。美国参议院去年12月发布的报告显示，在2015年至2017年期间，美国有超过3000万人在Facebook上分享过来自俄罗斯间谍机构的内容。报告显示，Facebook上有1.26亿人接触过俄罗斯机构发布的内容，Instagram上则有2000万人接触过俄罗斯机构发布的内容，还有，俄罗斯机构在YouTube上上传过1000多个视频。

安全研究人员在周一的RSA会议上指出，在去年的中期选举中，影响社交媒体活动的规模实际上并没有减少。微软公司对过去一年中针对特定候选人和政治团体的新一波俄罗斯黑客攻击行为有记录文件可查。

ZeroFox首席执行官James Foster与Comodo的Geers一起在RSA会议做了演讲，他表示，“到2020年，这些行动将成为全方位攻击。” Foster描述了一个可以利用数字通信的各种形式攻击的方法。他表示，“攻击选举的目标从现在开始将会是头脑份额。”

虚假粉丝和广告欺诈

有很多迹象表明，恶意行为者手里握有良好的工具进行争夺头脑份额的战斗，近段时间以来，发生过各种通过虚假粉丝操纵公众舆论的活动，利用复杂的僵尸网络进行广告欺诈的活动也在增加。

GoSecure的安全研究人员分析过名为Linux/Moose的“物联网”僵尸网络，Linux/Moose可以感染使用嵌入式Linux系统的设备。GoSecure安全研究人员发现，Linux/Moose可以在社交媒体网站上抢夺HTTP cookie（一种识别代码）及生成欺诈性的“点赞”、非法页面浏览量和虚假粉丝。

能够在社交媒体网站上操纵数量庞大的粉丝和其他形式的“支持”的话，就有可能导致某件事或某个候选人受到广泛程度的虚假印象。今年1月，纽约总检察长曾接手过一件对Devumi的诉讼，Devumi曾向一些博眼球和关注度的政治家和名人出售过数亿虚假粉丝。

Devumi去年宣告破产。GoSecure公司网络安全研究主管Olivier Bilodeau表示，“Instagram是僵尸网络自动化的主要社交网络。要在社交媒体粉丝里掺水分真的很容易和便宜。”

一方面，一些糟糕的演员扮不了好人，而另一方面，人类的自动化系统却擅长扮演人类。这一点在市值达数十亿美元的广告欺诈行业中已经变得越来越明显了。

犯罪“魔力象限”

White Ops Inc.总裁兼联合创始人Michael Tiffany表示，“我们正在与那些针对美国消费者的人进行一场军备竞赛，广告欺诈在网络犯罪'魔力象限'占有一席之地。”

问题的根源在于广告欺诈十分地有利可图。去年有一份报告的记录显示，有犯罪分子在广告流量上投入183,000美元，套现回报达460万美元。

据Tiffany说，White Ops最近与谷歌有限责任公司开展合作，拆了一个大规模僵尸网络运作，该僵尸网络运作每天产生的广告展示达3亿次。该僵尸网络名为Methbot，由大部分来自俄罗斯的犯罪分子操纵。这些犯罪分子与广告商达成发放在线广告的交易，然后模拟互联网用户点击这些广告。

由其产生的流量和用户行为看起来非常真实，这是关键所在。被僵尸网络感染的计算机模拟的行为和人类行为无异，听起来有些令人恐怖。被感染的计算机也可以模拟完全不同的新的人类行为。

White Ops的联合创始人兼首席技术官Tamer Hassan与Tiffany的做了联合演讲，他表示，“现在大家可以购买机器人来收听流媒体平台上的歌曲。这样一来就更加像人类了。”

安全社区如何应对这种复杂的攻击呢？ White Ops的研究人员认为，一种利于善良一方的解决方案就是在码里设置无声警报检测对手，不向他们提供直接反馈回路。

他们还建议要找方法瓦解犯罪分子的收入来源，这样就会削弱他们的攻击动机。在迷惑对手的同时采取OODA（四个英文单词的首字母）策略，即观察、定位、决定和行动。

Tiffany表示，“所有的军备竞赛都是玩资源枯竭的游戏。坏人在确认是否赢了第一轮以前就必须决定是不是接着玩第二轮。这里的诀窍就是打入对手的OODA圈里。“

来自Google的新工具

谷歌也在采取措施减缓网络犯罪，谷歌现在可为企业提供庞大的搜索技术和存储容量，从而更快地识别恶意行为。 Chronicle去年在Alphabet X的梦幻工场毕业，周一推出了其最新产品。

Chronicle推出的Backstory是一种基于云的服务，允许用户随时查看安全数据并可快速确定是否有任何计算机接入恶意网站。 Chronicle高管周一称，如果2016年的民主党全国委员拥有Backstory工具，俄罗斯的攻击就可能不会得逞。

Chronicle的联合创始人兼首席安全官Mike Wiacek周一在RSA会议的新闻发布会上表示，“如果民主党全国委员在他们的网络上装了Backstory，他们就会看到并且可以阻止攻击活动。”

陷入困境的网络安全行业要面临一个不可避免的事实：网络攻击有利可图，而且现在有能力影响世界事件，甚至可能影响总统选举。现在的赌注可是高多了。

White Ops的Tiffany 表示，“每天网络犯罪分子只要获胜就会获得大大的好处。而每天我们获胜后却要继续进行紧张的创业工作。”