近日，被稱為“全球最臭名昭著的意大利黑客公司”Hacking Team 曝出被黑，有400G文件流出。針對(duì)此次事件，Shotgun從安全專業(yè)角度出發(fā)，為我們解構(gòu)Hacking Team 被黑的前因后果。

[[139861]]

Hacking Team是什么?

Hacking Team是一家專注于開(kāi)發(fā)網(wǎng)絡(luò)監(jiān)聽(tīng)軟件的公司，他們開(kāi)發(fā)的軟件可以監(jiān)聽(tīng)?zhēng)缀跛械淖烂嬗?jì)算機(jī)和智能手機(jī)，包括Windows、Linux、Mac OS、iOS 、Android、Blackberry、Symbian等等，Hacking Team不僅提供監(jiān)聽(tīng)程序，還提供能夠協(xié)助偷偷安裝監(jiān)聽(tīng)程序的未公開(kāi)漏洞(0day)，真是全套服務(wù)。

Hacking Team的客戶不乏各國(guó)的執(zhí)法機(jī)構(gòu)，甚至包括了聯(lián)合國(guó)武器禁運(yùn)清單上的國(guó)家，不愧為新時(shí)代的IT軍火供應(yīng)商。搞笑的事情發(fā)生了，在我們的印象 中，軍火商都應(yīng)該是荷槍實(shí)彈、戒備森嚴(yán)的，可是Hacking Team的老板一覺(jué)醒來(lái)，卻發(fā)現(xiàn)自己的軍火倉(cāng)庫(kù)和帳房被偷了個(gè)底朝天。

Hacking Team被盜了什么 ?

簡(jiǎn)單來(lái)說(shuō)，就是軍火庫(kù)、帳房和衣櫥都被洗劫了：

1、各種平臺(tái)的木馬程序(含源代碼)

2、協(xié)助各種木馬植入的未公開(kāi)漏洞(0day)

3、大量電子郵件，包括各種商業(yè)合同

4、Hacking Team內(nèi)部部分員工的個(gè)人資料和密碼

5、其他資料，包括項(xiàng)目資料和一些監(jiān)聽(tīng)的錄音

Hacking Team為什么會(huì)被黑?

其實(shí)Hacking Team并非第一家被黑的"網(wǎng)絡(luò)軍火"公司，去年總部在英國(guó)的另外一家監(jiān)控軟件公司Gamma國(guó)際也被黑，他們的FinFisher遭遇了同樣方式的黑客入侵，泄漏了40GB的內(nèi)部文件。"網(wǎng)絡(luò)軍火"業(yè)務(wù)一方面游走在法律的邊緣，雖然能滿足一部分執(zhí)法部門(mén)的需求，但也非常容易被濫用，從而容易引發(fā)其他國(guó)家和一些組織的敵視。有消息顯示，目前HT被部分政府部門(mén)用于監(jiān)聽(tīng)記者信息系統(tǒng)。此外，作為一家以網(wǎng)絡(luò)監(jiān)聽(tīng)為主營(yíng)業(yè)務(wù)的公司，在自身的信息安全防護(hù)上如此大意，也是本次事件的重要起因。

首先，Hacking Team的系統(tǒng)管理員疏忽大意導(dǎo)致個(gè)人電腦被入侵。

正常情況下，系統(tǒng)管理員用來(lái)進(jìn)行維護(hù)的電腦應(yīng)該和辦公電腦隔離，并且不要輕易接入互聯(lián)網(wǎng)，但是Hacking Team的系統(tǒng)管理員顯然是在同一臺(tái)機(jī)器上既進(jìn)行公司的IT系統(tǒng)管理，還訪問(wèn)互聯(lián)網(wǎng)，甚至用來(lái)管理個(gè)人的視頻和照片，這就給了攻擊者滲透入侵的機(jī)會(huì)。

其次，系統(tǒng)缺少嚴(yán)格的身份認(rèn)證授權(quán)使得攻擊者順藤摸瓜進(jìn)入內(nèi)網(wǎng)。

安全防護(hù)級(jí)別較高的網(wǎng)絡(luò)，并不會(huì)簡(jiǎn)單地對(duì)某個(gè)設(shè)備進(jìn)行信任，而是采用“雙因素認(rèn)證”來(lái)雙重檢查訪問(wèn)者的身份，而Hacking Team顯然并沒(méi)有這么做，這使得攻擊者在控制了管理員的個(gè)人電腦后，無(wú)需經(jīng)過(guò)再次認(rèn)證(比如動(dòng)態(tài)令牌)， 就可以訪問(wèn)Hacking Team的所有資源。

因?yàn)闆](méi)有嚴(yán)格的網(wǎng)絡(luò)審計(jì)或者異常流量監(jiān)測(cè)，所以400GB數(shù)據(jù)被拖都未能及時(shí)發(fā)現(xiàn)。從攻擊者入侵內(nèi)網(wǎng)，到攻擊者將所有的資料全部偷走，需要一個(gè)較長(zhǎng)的時(shí)間 ，在這個(gè)時(shí)間內(nèi)，任何異常行為或者異常流量的報(bào)警都可以提醒Hacking Team的員工，自己公司的網(wǎng)絡(luò)正在被入侵。而實(shí)際上，卻是直到攻擊者公布了所有資料，Hacking Team才知道自己被黑。

不使用數(shù)據(jù)加密技術(shù)導(dǎo)致所有敏感數(shù)據(jù)都是明文存放。

為了防止數(shù)據(jù)泄密，有較高安全級(jí)別的組織一般都會(huì)采用數(shù)據(jù)加密技術(shù)，對(duì)敏感程度較高的數(shù)據(jù)進(jìn)行防護(hù)，這些數(shù)據(jù)一旦脫離了公司內(nèi)網(wǎng)，就無(wú)法打開(kāi)，但是本次泄漏的數(shù)據(jù)均為明文，說(shuō)明Hacking Team幾乎沒(méi)有采用數(shù)據(jù)加密手段去保護(hù)合同、客戶信、設(shè)計(jì)文檔、攻擊工具等。

上述的所有疏忽導(dǎo)致了今天的結(jié)局，中國(guó)有句俗話：終日打雁，反被雁啄了眼。這句話用來(lái)形容Hacking Team再適當(dāng)不過(guò)了。

這次失竊會(huì)產(chǎn)生哪些影響?

本次Hacking Team泄漏事件的后果十分嚴(yán)重，過(guò)去無(wú)論是漏洞還是病毒木馬，在互聯(lián)網(wǎng)上的傳播都是小范圍的，白帽子黑客固然會(huì)嚴(yán)守職業(yè)道德，在廠商提供補(bǔ)丁前盡可能不公布漏洞細(xì)節(jié)，黑帽子也只是在地下圈子內(nèi)進(jìn)行漏洞交易，有點(diǎn)像：人人都曾經(jīng)聽(tīng)說(shuō)過(guò)黑火藥的配方，但要制作出軍用炸藥還遙遙無(wú)期。

而此次事件一下就把已經(jīng)工程化的漏洞和后門(mén)代碼全部公開(kāi)了，等于數(shù)萬(wàn)噸TNT炸藥讓恐怖分子隨意領(lǐng)取。

1、首當(dāng)其沖的是普通用戶，本次泄漏包括了Flash player、Windows字體、IE、Chrome、Word、PPT、Excel、Android的未公開(kāi)漏洞，覆蓋了大部分的桌面電腦和超過(guò)一半的智能手機(jī)。

這些漏洞很可能會(huì)被黑色產(chǎn)業(yè)鏈的人利用來(lái)進(jìn)行病毒蠕蟲(chóng)傳播或者掛馬盜號(hào)。上述的漏洞可以用于惡意網(wǎng)站，用戶一旦使用IE或者Chrome訪問(wèn)惡意網(wǎng)站，很有可能被植入木馬。而Office Word、PPT、Excel則會(huì)被用于郵件釣魚(yú)，用戶一旦打開(kāi)郵件的附件，就有可能被植入木馬。

2、本次泄漏的各平臺(tái)的木馬后門(mén)程序，會(huì)把整個(gè)灰色產(chǎn)業(yè)鏈的平均技術(shù)水平提高一個(gè)檔次。

例如全平臺(tái)的監(jiān)控能力，以及對(duì)微信、whatsapp、skype的監(jiān)控功能等等。在此次事件之前，灰色產(chǎn)業(yè)鏈的軟件工程能力并不高，木馬以隱藏為主，但是界面友好程度和易用性都還有很大的差距，但是本次事件后， 任意一個(gè)木馬編寫(xiě)者都可以輕易地掌握這些技術(shù)能力。

3、掀起一波清查惡意軟件后門(mén)的行動(dòng)，相關(guān)的信息安全公司和國(guó)家政府職能部門(mén)會(huì)對(duì)PC、智能手機(jī)進(jìn)行清查，同時(shí)對(duì)Hacking Team的服務(wù)器進(jìn)行掃描定位，也會(huì)進(jìn)一步排查各種應(yīng)用程序市場(chǎng)，智能手機(jī)的安全會(huì)引起大家的進(jìn)一步重視。

普通用戶如何做好防范?

1、跟蹤此次事件的發(fā)展，各廠商發(fā)布補(bǔ)丁后及時(shí)升級(jí)。在沒(méi)有安裝相應(yīng)補(bǔ)丁前，暫停使用相關(guān)的應(yīng)用和插件。(例如，時(shí)刪除或者禁用Flash Player)

2、無(wú)論是手機(jī)還是電腦，暫時(shí)不要訪問(wèn)不可信的網(wǎng)站(因?yàn)楸敬涡孤兜?day中泄漏對(duì)瀏覽器的攻擊方法)，暫時(shí)不要用公開(kāi)的Wi-Fi，也最好不要暴露在公網(wǎng)上，將手機(jī)連接到電腦要慎重(Hacking Team提供了利用企業(yè)證書(shū)植入智能手機(jī)的木馬程序)，對(duì)第三方發(fā)送的郵件附件，要謹(jǐn)慎打開(kāi)(本次泄漏涉及到Office Word、excel、ppt的漏洞利用)。

3、安卓用戶可以去下載西雅圖0xid小組發(fā)布的HT木馬查殺工具 https://cnappscan.0xid.com/htrm/HTRemovalTool.apk 。