纯技术上来说,《看门狗》里的各种骇客技术有可能实现吗?
先直接回答问题:有可能,而且有一些已经实现了。
今天我就挑五个游戏中的情节来给大家详细讲一讲,它们分别是:渗透进入城市的中央控制系统、入侵ATM、使用黑客技术谋杀、让城市大范围停电、通过摄像头监视公民。
(真能实现???)
1.渗透进入城市中央系统
游戏里的城市被一个中央控制系统所掌控,所有人的信息都能在了这个系统当中查询到。 狗哥需要入侵这个系统来获取他想要的信息。
在现实生活中,我们可以把它类比成我们每一个公司都有的内网系统。员工的信息、部门信息、公司内部资料等都可以在内网中访问获得。
而渗透进入内网系统,是很多公司都遭遇过的安全问题。
一般来说整个攻击的思路如下:
- 前期踩点,获得目标系统的域名或IP信息;或者获得内部人员的邮箱地址;
- 对目标域名和IP进行扫描;向内部人员发送恶意钓鱼邮件;
- 扫描得到端口后就可以开始攻击网络服务,以此来获取访问权限;
- 接下里要做的就是提升自己的权限,最终以获得控制权限;
- 然后就可以“为所欲为”了,安装后门、安装跳板,必要时还会进行清除和伪造痕迹等等操作。
当然,在现实生活真正的渗透过程会更加繁琐,许多操作需要考虑系统的真实情况来进行。
而现在渗透测试早已成为网络安全保护的一种重要方式。许多公司都会请安全公司(比如我们!)对他们进行合法授权后的渗透测试检测,这种模拟真正攻击者的检测方法能有效的帮助企业找到他们业务的漏洞和弱点,以此来帮助他们改进自身的安全防御。
2.入侵ATM
早在2010年的黑帽子大会上,传奇黑客巴纳比·杰克就曾经让ATM机疯狂吐钱。
当时他用了两种方法令ATM机吐钞票。
- 做出一台任何人可以解锁的ATM机,插入特制的U盘,然后控制网络并命令机器吐钱;
- 通过查询信用卡使用者的历史记录和PIN号码,然后把他们送发给黑客。
杰克也在演讲中分享了破解的技术原理:因为许多ATM采用Windows CE操作系统与ARM处理器,且有局域网连线或拨接数据机联结,这些都透过一个串列接口联结来控制对保险箱的存取。杰克用标准的除错技巧中断正常的开机程序,并改为启动Internet Explorer浏览器,这让他能存取档案系统,并拷贝相关档案以便进行分析。
其中一台机器虽然没有明显的远程存取安全漏洞,但是吐钞的PC主机板只靠一把标准钥匙(而非独一无二的钥匙)保护,杰克花了10美元在网上购买了一把便能轻易打开面板,通过USB口安装恶意软件。
而另一台ATM机存在远端存取的安全漏洞,杰克通过电话数据机便能识别出ATM的号码,通过授权自己对该机器进行软件更新后安装恶意软件。杰克同时称,他也能轻易地通过银行磁条获取人们的信用卡密码,同样是远程操控完成,这是百分百匿名的,并且绕开全部认证。
3.使用黑客技术谋杀
这里我依然拿巴纳比·杰克的研究举例子。
这位天才黑客曾经发现过胰岛素泵的安全漏洞,并演示如何在90米远的地方,把胰岛素推升到致命的水平。在研究发现之后他便与美国食品药物管理局以及医疗设备制造商合作修复了他所发现的安全漏洞。
除此之外他还曾准备发布他的另一项研究:
在9米之外入侵植入式心脏起搏器等无线医疗装置,然后向其发出一系列830V高压电击,从而“遥控杀人”。
杰克当时声称,他已经发现了多家厂商生产的心脏起搏器的安全漏洞。这使得可以远程重写心脏起搏器的运行软件,发送高电压冲击,造成线圈短路。他说大概花了六个月左右来做准备:“依靠逆向工程,发现设备的缺陷,然后开发可以利用这些漏洞的软件。”
然而就在他准备于2013年黑帽大会上发布这场名为《植入式医疗器械:人体黑客》演讲的前6天,意外的离开了人世。
4.让城市大范围停电
今年三月委内瑞拉的这场大停电,可以说是非常真实的例子。
停电事件后,有国外专家分析了本次事故中网络攻击手段的三种类型(未实锤):
1.利用电力系统的漏洞植入恶意软件;
2.发动网络攻击干扰控制系统引起停电;
3.干扰事故后的维修工作。
在大停电发生后,我们也从网络空间测绘的视角对委内瑞拉的网络建设情况和停电事件进行一定的分析判断。
虽然我们不能从网络空间测绘的角度证明停电是由于网络攻击所造成,但是通过对这次停电的研究我们得出如下结论:
如果说停电事件背后存在网络攻击,委内瑞拉暴露在公网上的众多 ZTE 路由器、Movilnet公司的相关主机都可能会成为下一步的被攻击目标。
网络安全建设并非一蹴而就。国家基础设施等同于国家的命脉,因此网络安全务必落实到位。
5.通过摄像头监视公民
事实上就是,这一点在现实生活中也非常常见。
摄像头这类物联网设备与手机、电脑等不同的是,它们的存在感很小,往往是当设备出故障无法工作才会被发现。
所以换句话说,你可能一直被监视着只是你不知道罢了…这才是最可怕的。并且对于日常频繁爆出的漏洞,即使是厂商发布了固件更新补丁,由于大多数设备缺少自动升级机制,漏洞往往不能及时修复。攻击者只要获得了摄像头的最高权限,这些都会变成任由他把玩的工具。
最后
虽然游戏中的情节会有适当的夸张,(比如狗哥用小小的手机就能进行很多操作)但是在理论上,游戏里的很多攻击场景还是可以实现的。
再加上5G和物联网技术的快速发展,说不清以后某一天游戏中的攻击场景都将全部被还原。
为此我们将更加注意和谨慎——当物联网设施变得非常密集且已经渗透到我们生活的方方面面时,如果被恶意的攻击者控制,后果将不堪设想。
之后我将继续围绕物联网安全的问题,与大家分享更多有趣的相关文章,所以请记得关注我呀!
如果你想亲自体验以上我讲到的黑客技术,不妨我们在游戏里相见?
最后感谢您的阅读。
、
欢迎关注我和专栏,我将定期搬运技术文章~
也欢迎访问我们:知道创宇云安全 :https://www.yunaq.com/?from=CSDN91924
或拨打热线电话:400-833-1123
如果你想与我成为朋友,欢迎加微信kcsc818~