关于Hacking Team被黑,这些事你可能还不知道!

近日,被称为“全球最臭名昭著的意大利黑客公司”Hacking Team 曝出被黑,有400G文件流出。针对此次事件,Shotgun从安全专业角度出发,为我们解构Hacking Team 被黑的前因后果。

据悉,恶名昭著的间谍软件公司Hacking Team被黑客攻击,造成内部多达400GB的数据外泄。事件曝出后,Hacking Team建议在世界各地的执法及政府客户停止使用他们的软件并宣布与FBI合作(此前FBI是他们的客户),调查此次攻击事件,将元凶绳之以法。

图片 1

图片 2

Hacking Team是什么?

HT:千呼万唤始出来

Hacking Team是一家专注于开发网络监听软件的公司,他们开发的软件可以监听几乎所有的桌面计算机和智能手机,包括Windows、Linux、Mac OS、iOS 、Android、Blackberry、Symbian等等,Hacking Team不仅提供监听程序,还提供能够协助偷偷安装监听程序的未公开漏洞(0day),真是全套服务。

现在,Hacking Team宣布与警方合作展开调查,并建议客户停用软件以免受损害。同时,他们呼吁:

Hacking Team的客户不乏各国的执法机构,甚至包括了联合国武器禁运清单上的国家,不愧为新时代的IT军火供应商。搞笑的事情发生了,在我们的印象 中,军火商都应该是荷枪实弹、戒备森严的,可是Hacking Team的老板一觉醒来,却发现自己的军火仓库和帐房被偷了个底朝天。

“不要相信你们看到的一切,攻击者所声称的大多数都不是真的......攻击者在散布大量的谎言,而且400G文件中还包含病毒......”

Hacking Team被盗了什么 ?

线人消息,周一HT用了“爆炸邮件”通知所有客户,要求他们关闭所有部署的远程控制系统软件,也就是为人知晓的远程控制类恶意软件“伽利略”(Galileo)。截至周一下午,HT都未能登录自己的电子邮件系统。

简单来说,就是军火库、帐房和衣橱都被洗劫了:

黑客:没错,去年是我黑的FinFisher

1、各种平台的木马程序(含源代码)

一名只知道名为“Phineas Fisher”的黑客2014年攻击了因向专制政府出售监视产品而颇受争议的科技监控公司Finfisher,该公司向世界各地执法机构出售监控软件。详情参见FreeBuf之前报道。在攻击之后,黑客泄露出超过40GB的公司内部数据。

2、协助各种木马植入的未公开漏洞(0day)

同一名黑客声称对此次HT被黑事件负责。记者与其交流记录如下:

3、大量电子邮件,包括各种商业合同

“周日晚上,黑客正在控制HT的Twitter帐号时,我通过推特短消息与他取得了联系。最初,PhineasFisher充满讽刺地回复,‘我当然愿意和你聊聊,因为这对你的上一篇报道是个多么好的宣传啊!’他指的是最近我写了一篇关于HT公司CEO放言能够帮助FBI破解暗网。”

4、Hacking Team内部部分员工的个人资料和密码

然而,这名黑客拒绝进一步回答任何问题。

5、其他资料,包括项目资料和一些监听的录音

HT数据泄露“经验”总结:弱密码、自家产品加后门

Hacking Team为什么会被黑?

1、密码不能随便设

其实Hacking Team并非第一家被黑的"网络军火"公司,去年总部在英国的另外一家监控软件公司Gamma国际也被黑,他们的FinFisher遭遇了同样方式的黑客入侵,泄漏了40GB的内部文件。"网络军火"业务一方面游走在法律的边缘,虽然能满足一部分执法部门的需求,但也非常容易被滥用,从而容易引发其他国家和一些组织的敌视。有消息显示,目前HT被部分政府部门用于监听记者信息系统。此外,作为一家以网络监听为主营业务的公司,在自身的信息安全防护上如此大意,也是本次事件的重要起因。

攻击者通过入侵Hacking Team的两个系统管理员的计算机得以访问公司的内部网络。

首先,Hacking Team的系统管理员疏忽大意导致个人电脑被入侵。

黑客成功获取了其一名在LinkedIn上自称是HT公司安全工程师Pozzi的 FireFox浏览器储存的密码,发现了一系列相当low的登录凭证,注意这里并不是大多数安全专家建议的那种复杂、难破解并且独特的密码。

正常情况下,系统管理员用来进行维护的电脑应该和办公电脑隔离,并且不要轻易接入互联网,但是Hacking Team的系统管理员显然是在同一台机器上既进行公司的IT系统管理,还访问互联网,甚至用来管理个人的视频和照片,这就给了攻击者渗透入侵的机会。

泄露出来的工程师名单及其密码实在令人印象深刻:

其次,系统缺少严格的身份认证授权使得攻击者顺藤摸瓜进入内网。

HTPassw0rd

安全防护级别较高的网络,并不会简单地对某个设备进行信任,而是采用“双因素认证”来双重检查访问者的身份,而Hacking Team显然并没有这么做,这使得攻击者在控制了管理员的个人电脑后,无需经过再次认证(比如动态令牌), 就可以访问Hacking Team的所有资源。

Passw0rd!81

因为没有严格的网络审计或者异常流量监测,所以400GB数据被拖都未能及时发现。从攻击者入侵内网,到攻击者将所有的资料全部偷走,需要一个较长的时间 ,在这个时间内,任何异常行为或者异常流量的报警都可以提醒Hacking Team的员工,自己公司的网络正在被入侵。而实际上,却是直到攻击者公布了所有资料,Hacking Team才知道自己被黑。

Passw0rd

不使用数据加密技术导致所有敏感数据都是明文存放。

Passw0rd!

为了防止数据泄密,有较高安全级别的组织一般都会采用数据加密技术,对敏感程度较高的数据进行防护,这些数据一旦脱离了公司内网,就无法打开,但是本次泄漏的数据均为明文,说明Hacking Team几乎没有采用数据加密手段去保护合同、客户信、设计文档、攻击工具等。

Pas$w0rd

上述的所有疏忽导致了今天的结局,中国有句俗话:终日打雁,反被雁啄了眼。这句话用来形容Hacking Team再适当不过了。

Rite1.!!

这次失窃会产生哪些影响?

有人发现HT的MySQL密码竟然是Ht2015!

本次Hacking Team泄漏事件的后果十分严重,过去无论是漏洞还是病毒木马,在互联网上的传播都是小范围的,白帽子黑客固然会严守职业道德,在厂商提供补丁前尽可能不公布漏洞细节,黑帽子也只是在地下圈子内进行漏洞交易,有点像:人人都曾经听说过黑火药的配方,但要制作出军用炸药还遥遥无期。

图片 3

而此次事件一下就把已经工程化的漏洞和后门代码全部公开了,等于数万吨TNT炸药让恐怖分子随意领取。

一位安全专家表示,Hacking Team被黑并不令人意外,“因为他们没把安全当回事”,只是“没想到后果会如此严重,你可以从泄露出的文件中看出,他们的麻烦大了。”

1、首当其冲的是普通用户,本次泄漏包括了Flash player、Windows字体、IE、Chrome、Word、PPT、Excel、Android的未公开漏洞,覆盖了大部分的桌面电脑和超过一半的智能手机。

2、后门不能随便开

这些漏洞很可能会被黑色产业链的人利用来进行病毒蠕虫传播或者挂马盗号。上述的漏洞可以用于恶意网站,用户一旦使用IE或者Chrome访问恶意网站,很有可能被植入木马。而Office Word、PPT、Excel则会被用于邮件钓鱼,用户一旦打开邮件的附件,就有可能被植入木马。

图片 4

2、本次泄漏的各平台的木马后门程序,会把整个灰色产业链的平均技术水平提高一个档次。

细心推友发现,HT在自家产品中安置后门,方便自己执行任意SQL注入。要知道,HT的客户都是那些“不能说的秘密”,虽然现在已经曝光光了,但是后门这种事也实在是不好吧。

例如全平台的监控能力,以及对微信、whatsapp、skype的监控功能等等。在此次事件之前,灰色产业链的软件工程能力并不高,木马以隐藏为主,但是界面友好程度和易用性都还有很大的差距,但是本次事件后, 任意一个木马编写者都可以轻易地掌握这些技术能力。

3、生意不能随便做

3、掀起一波清查恶意软件后门的行动,相关的信息安全公司和国家政府职能部门会对PC、智能手机进行清查,同时对Hacking Team的服务器进行扫描定位,也会进一步排查各种应用程序市场,智能手机的安全会引起大家的进一步重视。

泄密事件爆发后,大家的注意力似乎都没有放在美国FBI、毒品管制局(DEA)这样的大客户上。而是聚焦于HT与一些实施了暴力压制的政府交易,其中包括埃及、黎巴嫩、埃塞俄比亚和苏丹。其中苏丹最为惹眼,因为联合国对苏丹是由武器禁运的,这个禁运令涵盖了欧盟和英国法律。HT之前一直否认与苏丹有业务关系,如果此事证明属实,Hacking Team的麻烦就大了。

普通用户如何做好防范?

也有网友从邮件中找出HT回应联合国的说辞:我们的产品并不是武器,因此不受禁令的制约。

本文由上海快三发布于搞笑,转载请注明出处:关于Hacking Team被黑,这些事你可能还不知道!

TAG标签:
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。