這些可怕的黑客圖片還隱藏著其他秘密…
Deep Secure 首席技術官 Dr Simon Wiseman 寫道,曾經(jīng)屬于民族國家軍隊和有組織網(wǎng)絡犯罪團伙的網(wǎng)絡攻擊方式總會隨著供應鏈落入現(xiàn)代犯罪分子的手中。在精明的網(wǎng)絡犯罪分子之間流行著一種破壞性技術——隱寫術,這種技術將信息隱藏在圖像的像素中 (例如,在顏色和透明度中) 來隱藏信息。
通過隱藏攻擊代碼和執(zhí)行攻擊代碼所需的命令和控制信道,到提供一種工具在網(wǎng)絡中可以秘密地傳輸有價值的信息,通過隱寫術能夠以幾乎無法被察覺的方式入侵網(wǎng)絡并竊取數(shù)據(jù);肉眼無法分辨出一張被篡改的圖片。
例如,我們將《計算機商業(yè)評論》最近的一篇文章—— “超過 50% 的企業(yè)擁有 1000 多個暴露文件,幽靈用戶,過期密碼” 嵌入到上面的圖片中,你會發(fā)現(xiàn)這張照片看起來并沒有什么異樣。
這就是隱寫攻擊如此有效和理想的原因:使用腳本工具可以輕松地操縱圖像,在其中隱藏大量信息,而不會影響它們的外觀。
通過隱寫術,攻擊者可以根據(jù)圖像的大小存儲更多或更少的信息。隨著圖片尺寸的增加,更有可能隱藏更多的信息。你可能會驚訝地發(fā)現(xiàn),我們能在上面那張圖片中加密所有 272 頁著名莎士比亞戲劇《麥克白》——都在這張 733KB 的照片中,而圖像沒有變形。
把莎士比亞的整部作品都放到照片里似乎沒什么大不了的,那么如果是信用卡信息呢?
這正是我們對上面那張照片所做的事情(實際上,這是 30 張?zhí)摌嫷男庞每ㄐ畔ⅲ?mdash;—但是我們之前已經(jīng)展示了如何在 50 張圖片中融入多達 30 萬張信用卡信息。
要做到這一點,黑客只需利用合適的隱寫工具(Web上免費提供),或者使用腳本工具或 office 宏編寫自己的腳本就可以了。
添加一張無關緊要的圖片,和他們想要隱藏的數(shù)據(jù)和傳輸后能夠提取數(shù)據(jù)的密碼。然后這些數(shù)據(jù)可以通過任何方式運轉(zhuǎn)出來,從包含圖片的一條推特,到網(wǎng)絡郵件消息,甚至電子郵件簽名中的一個 logo,而這些都不會引起注意。
然而隱寫術不僅被外部攻擊者所使用。對于惡意內(nèi)部人士來說,隱寫術是一個完美的工具,因為他們可以很容易地將信息從網(wǎng)絡中傳出,而不用擔心數(shù)據(jù)丟失防護軟件。
在過去的幾年里,已經(jīng)發(fā)生了一些內(nèi)部員工利用隱寫術來竊取公司信息的事件。去年,一位中國工程師將通用電氣 (General Electric) 渦輪技術相關的敏感信息嵌入到日落圖像中,分 5 到 10 次竊取了這些信息。直到通用電氣的安全官員開始懷疑他并開始監(jiān)控他辦公室的電腦,他才被發(fā)現(xiàn)。
為了讓你知道這有多簡單,我們把核電站的工作原理示意圖嵌入到了上面的圖片中。
這些工具的使用非常廣泛。我們最近對 “忠誠的代價” 的研究揭示了來自內(nèi)部的風險情況,8% 的英國辦公室職員表示,他們曾使用網(wǎng)絡工具(如隱寫術或加密)竊取公司信息。盡管 13% 的受訪者來自 IT 和電信行業(yè),這些行業(yè)可能需要更多的技術技能,但人力資源和金融業(yè)的網(wǎng)絡工具使用率也相當高(分別為 15% 和 12%)。
企業(yè)及其安全團隊應該對隱寫術的來勢洶洶感到擔憂——無論是攻擊來自外部人士還是內(nèi)部人士。但這場戰(zhàn)斗我們不一定會失敗。
雖然無法檢測到,但有一種全新的方法可以防止使用隱寫術隱藏在圖像中的威脅進入或離開你的網(wǎng)絡。內(nèi)容威脅消除通過轉(zhuǎn)化來解決問題,使你可以信任通過你的網(wǎng)絡的所有數(shù)字內(nèi)容。所有文件,無論是 OfficeX 文檔、jpeg 文件,甚至是圖像緩存,都會在邊界處被攔截,無法繼續(xù)進行處理。這些內(nèi)容會被轉(zhuǎn)化,有用的信息會被提取而原始文件會被刪除。然后在企業(yè)邊界處會生成一個新文件,它是原始文件的可視副本。
以這種方式對圖像進行轉(zhuǎn)化可以消除隱藏在圖像中的任何威脅,但不會破壞圖像的最終用戶體驗,生成的圖像與人眼看到的原始圖像是相同的。如果無法檢測圖像是否被加密,你需要能相信它沒有被加密。
上面的圖片可能看起來和其他圖片一樣,但請相信,這是我們希望收到的那種圖片,也是本文中唯一一張純數(shù)字圖片。在信任所有通過你的網(wǎng)絡的圖片之前,請相信本文中的話……
