MIT 6.858 计算机系统安全讲义 2014 秋季（四）（2）-阿里云开发者社区

MIT 6.858 计算机系统安全讲义 2014 秋季（四）（1）https://developer.aliyun.com/article/1484162

僵尸网络通常用于发送垃圾邮件。

典型架构

许多运行僵尸网络软件的被入侵终端用户机器。
用于向僵尸发送命令的命令和控制（C&C）服务器/基础设施。
机器人定期从 C&C 基础设施获取新任务。

单个僵尸机器具有各种有用资源：

物理：IP 地址（用于发送垃圾邮件），网络带宽，CPU 周期。
数据：电子邮件联系人（用于发送垃圾邮件），信用卡号码，…

防止僵尸机器发送垃圾邮件很困难–可能有数百万个僵尸 IP！

将您的恶意软件安装在终端主机上需要多少费用？

每个主机的价格：美国主机约为，亚洲主机约为0.10，亚洲主机约为0.10，亚洲主机约为0.01。
似乎难以防止；许多用户将乐意运行任意可执行文件。

命令和控制架构是什么样的？

集中式 C&C 基础设施：对手需要“防弹”主机（即，拒绝来自银行、法律机构的关闭请求）。

防弹主机收取风险溢价。

如果托管服务被关闭怎么办？

对手可以使用 DNS 进行重定向。此外，使用“快速流动”技术，攻击者可以快速更改与主机名关联的 IP 地址。

攻击者创建一个服务器 IP 地址列表（可能有数百或数千个 IP）；攻击者将每个 IP 绑定到主机名上，持续时间很短（例如，300 秒）。

摧毁僵尸网络的 DNS 域名有多难？

可以关闭域名的注册，也可以关闭域名的 DNS 服务器。
对手可以使用域名流动，跨越许多独立的注册商。

更难摧毁：需要注册商之间的协调！
Conficker 发生了：它足够重要/重要…

分散的 C&C 基础设施：点对点网络。

允许僵尸网络主控操作更少或不需要服务器；难以摧毁。

被入侵的 Webmail 帐户也可以用于发送垃圾邮件。

非常有效的交付机制：每个人都接受来自 Yahoo、Gmail 等的电子邮件。
Webmail 提供商有动机防止帐户被盗。

如果供应商不阻止垃圾邮件，那么所有来自该供应商的邮件可能会被标记为垃圾邮件！
供应商通过广告赚取服务费，因此供应商需要真实用户点击广告。

供应商如何检测垃圾邮件？

监视每个帐户发送的消息，检测可疑模式。
对于可疑消息和初始注册/最初几条消息，使用验证码：向用户呈现图像/声音，要求用户转录–这对人类来说应该很容易，但对计算机来说很难。

获取被入侵的 Webmail 帐户有多难？

每个帐户的价格：在 Yahoo、Gmail、Hotmail 等上大约为$0.01-0.05。

为什么 Webmail 帐户如此便宜？验证码发生了什么？

对手构建服务来解决验证码；这只是一个金钱问题。

结果相当便宜：每个验证码约为$0.001，延迟低。
令人惊讶的是，这主要是由人类完成的：攻击者可以将工作外包给任何廉价劳动力的国家。[也可以使用亚马逊的 Mechanical Turk：这是一个众包网络服务，允许人类处理计算机难以执行的任务。]

攻击者可以重复使用验证码在另一个站点上，要求正常访客解决它，而不是雇佣某人来解决攻击者。
供应商可以对垃圾邮件发送者实施更频繁的检查，但如果检查太频繁，普通用户可能会感到恼火。

示例: Gmail 允许您启用双因素身份验证。在这种方案中，当您从之前未知的计算机上打开 Gmail 时，Google 会通过短信向您发送验证代码。

点击支持：用户联系 DNS 将主机名转换为 IP 地址

然后，用户联系相关的网络服务器。因此，垃圾邮件发送者需要：

注册一个域名。
运行一个 DNS 服务器。
运行一个网络服务器。

Q: 为什么垃圾邮件发送者要费心使用域名？为什么不直接使用原始 IP 地址来提供内容？

A1: 用户可能不太可能点击包含原始 IP 地址的链接？
A2:更强的原因是，使用一层间接性使得保持内容服务器活跃变得更容易。

如果执法机构注销域名或禁用 DNS 服务器，但服务器仍然活跃，垃圾邮件发送者可以注册一个新的域名并创建一个新的 DNS 服务器。

重定向站点：

垃圾邮件 URL 通常指向重定向站点。

免费的重定向服务如 bit.ly 或其他 URL 缩短服务。
受损站点也可以执行重定向到垃圾邮件服务器。

重定向站点很有用，因为垃圾邮件过滤系统可能会将 URL 列入黑名单。

一个受欢迎的站点作为重定向平台非常有用：要阻止垃圾邮件，过滤软件必须将受欢迎的网站列入黑名单！

垃圾邮件发送者有时会将僵尸网络用作网络服务器或代理。

这隐藏了真实网络服务器的 IP 地址；再次间接！

在某些情况下，单个联盟提供商将运行一些或所有这些服务。

Q: 执法机构不能只是关闭联盟计划吗？

A: 理论上是的，但要关闭整个组织可能会很困难。此外，还有相当数量的联盟计划。

Q: 关闭单个域名或网络服务器有多困难？

A:取决于注册商或托管提供商[请参见论文中的图 3、4、5]。

只有少数几个注册商为许多联盟提供域名托管；同样，只有少数几个 AS 为许多联盟提供网络服务器托管。
只有少数几个联盟商将他们的域名、域名服务器和网络服务器分布在许多注册商和 AS 之间。
防弹主机提供商更昂贵，但数量众多；即使它们被关闭，相对容易替换。

实现阶段发生了什么？

用户支付商品费用。
用户通过邮件收到商品（或下载软件）。

付款协议：几乎总是信用卡。信用卡信息沿着这个流程传输：

Customer
      |---->Merchant
             |----> Payment processor (helps the
                     |  merchant deal with the
                     |  payment protocol)
                     |
                     |-->Acquiring bank (merchant's)
                            |-->Association network
                                  | (e.g., Visa)
                                  |
                                  |---> Issuing bank
                                        (customer's)

发卡银行决定交易是否看起来合法，如果是，就会发送批准回来。
PharmaLeaks 论文：一些计划每年收入超过 1000 万美元！

对于实物商品，供应商通常会直接将商品运送给购买者（这被称为*“drop shipping”*）。

Drop shipping 意味着联盟计划不需要自己储存实物产品。
作者推测供应商很多，因此没有供应端瓶颈。

Q: 为什么垃圾邮件发送者正确分类他们的信用卡交易？

A: 协会网络（例如 Visa 或 Mastercard）对错误编码的交易收取高额罚款！可以推测，协会网络不希望因掩盖金融交易的真实目的而惹上麻烦。

Q: 为什么垃圾邮件发送者实际上会发货？

A:信用卡公司跟踪"退单"请求的数量（即客户要求信用卡公司退还涉及破损交易的资金的次数）。

如果退单交易数量过高（>1%），信用卡公司会对此进行处罚。
因此，对于垃圾邮件发送者频繁向客户收费但不发货是不可持续的，特别是如果. . .
只有少数几家银行愿意与垃圾邮件发送者互动！（论文中的表格 V，图 5）

CCS’12 论文：在 2 年内只见过 30 家收单银行！
因此，一个有效的垃圾邮件预防技术是专注于那些少数几家银行。为什么呢？

切换银行的成本很高。
切换的财务风险。

但我们实际上能做些什么呢？

说服发卡银行将这些收单银行列入黑名单？
试图说服这些银行停止与垃圾邮件发送者打交道？这可能有些棘手：“由于知识产权保护存在不一致性，甚至在这些银行所在的国家，像药品这样的商品的销售是否违法都不清楚。”（第四部分.D）

垃圾邮件是令人反感的，但并非总是犯罪。
例如，一些联盟客户可能不是来自垃圾邮件，而是来自合法的谷歌搜索！

自这篇论文发表以来，信用卡网络已经采取了一些行动。

论文发表后，一些药房和软件供应商对 Visa 提出了投诉（作者使用 Visa 卡进行垃圾邮件购买）。
作为回应，Visa 进行了一些政策变更：

所有药品销售现在被标记为高风险；如果一家银行作为高风险商户的收单行，那么该银行将受到更严格的监管（例如，银行需要参与风险管理计划）。
Visa 的运营指南现在明确列举并禁止非法销售药品和侵权商品。

新语言使得 Visa 可以积极对收单银行进行罚款。
一些联盟计划的回应是要求客户提交身份证明（目的是过滤掉安全研究人员的测试购买）。然而，这会损害销售，因为客户不愿提供他们的身份信息。

伦理

这篇论文是否引起了道德关注？作者是否通过购买他们的商品支持了垃圾邮件发送者？

一些公司发起了“反击”活动，以报复知识产权盗窃，或阻止涉及其机器的僵尸网络。

示例: 2013 年，微软、美国运通、PayPal 和其他一些公司关闭了一个大型僵尸网络。微软随后告知受影响用户应该修补他们的机器。
微软的法律推理：僵尸网络正在侵犯微软商标。越来越多的公司正在使用新颖的法律论点采取行动对抗僵尸网络… 这是一个好主意吗？

参考文献

一些问题可能已经在这里

2011 年测验 2

Q8: 一个“占领北桥”抗议者建立了一个 Twitter 账户以假名广播消息。为了保持匿名，他决定使用 Tor 登录该账户。他从可信来源安装了 Tor 并启用了它，启动 Firefox，输入 www.twitter.com 到浏览器中，然后继续登录。由于他使用 Tor，现在可能有哪些对手能够以某种方式危害抗议者？忽略 Tor 客户端本身的安全漏洞。

A8: 抗议者容易受到恶意出口节点拦截他的非 HTTPS 保护连接的影响。（由于 Tor 明确涉及通过出口节点代理，这比拦截公共互联网上的 HTTP 更容易。）

Q9: 抗议者现在使用相同的 Firefox 浏览器连接到另一个托管讨论论坛的网站，也通过 Tor 连接（但只在建立新的 Tor 电路后）。他的目标是确保 Twitter 和论坛不能勾结以确定同一人访问了 Twitter 和论坛。为了避免第三方跟踪，他在访问不同网站之间从浏览器中删除所有 cookie、HTML5 客户端存储、历史记录等。在没有软件漏洞和大量其他流量的情况下，对手如何能够相关他最初访问 Twitter 和他访问论坛，假设没有软件漏洞，以及大量其他流量到两个网站？

A9: 对手可以通过用户代理字符串、浏览器上安装的插件、窗口尺寸等对抗议者的浏览器进行指纹识别，这可能足以强烈相关这两次访问。

2012 年测验 2

Q2：Alyssa 想要了解在 Tor 上运行的隐藏服务的身份。她计划设置一个恶意的 Tor OR，设置一个在该恶意 Tor OR 上的会合点，并将这个会合点的地址发送给隐藏服务的介绍点。然后，当隐藏服务连接到恶意的会合点时，恶意的 Tor OR 将记录连接来自何处。

Alyssa 的计划会奏效吗？为什么会或者为什么不会？

A2：不会奏效。一个新的 Tor 电路被构建在

6.858 测验 2 复习

医疗设备安全

FDA 标准：如 Semmelweis 所说 => 应该洗手

除颤器：

2003 年：植入式除颤器使用 WiFi。可能出现什么问题？
内部：电池，无线电，密封

为什么无线？

旧方法：在手臂上插入针来扭转拨号，感染风险 😦

Q: 无线安全风险是什么？

不安全的做法 - 实施错误。
制造商和用户设备体验（MAUDE）数据库

死因：输液泵缓冲区溢出。
检测到错误，但进入安全模式，关闭泵。
患者因脑压增加而死亡，因为没有泵，因为缓冲区溢出。

人为因素和软件

为什么独特？

500 多人死亡

例如，用于向患者提供剂量的用户界面未正确指示它是期望小时还是分钟作为输入（hh:mm:ss）。导致数量级错误：20 分钟与预期的 20 小时相比。

管理问题

医疗设备也需要进行软件更新。

例如，McAffee 将 DLL 分类为恶意，隔离，搞乱了医院服务。

例如，使用 Windows XP 的医院：- Microsoft 不再为 XP 提供安全更新，但仍然有新的医疗产品使用 Windows XP。

FDA 网络安全指南

制造商预期看到什么？他们如何考虑安全问题/风险/缓解策略/残余风险？

对手的东西

除颤器和植入物

这节笔记部分涉及 Kevin Fu 讲座中对植入式除颤器攻击的讨论。在他给出的一个例子中，植入式设备通过另一个称为“魔杖”的设备进行无线编程，该设备使用专有（非公开，非标准化）协议。此外，魔杖在特许的电磁频谱上传输（设备侦听），而不是 WiFI 或蓝牙。接下来的两行描述了除颤器如何植入患者的手术过程。

设备通过魔杖编程，使用专有协议在特许频谱上进行通信。（就安全性而言是个好主意吗？）
患者清醒但麻木和镇静
六个人通过血管穿过电极…
患者被给予一个基站，看起来像 AP，与植入物进行专有 RF 通信，数据通过互联网发送到医疗公司
设备和程序员之间的通信：没有加密/认证，数据以明文发送
设备存储：患者姓名，出生日期，制造和型号，序列号，更多…
??? 使用软件无线电（USRP/GNU Radio Software）

Q: 你能通过无线方式诱发致命的心律吗？

A: 是的。设备在 1 毫秒内发出 500V 的电击。例如，被马踢在胸部。

设备通过软件更新修复？

医疗保健提供者

“被困在 Windows XP 的医院”截图：医院中有 600 台 Service Pack 0 Windows XP 设备！

医疗设备感染的平均时间：- 无保护 12 天 - 有防病毒软件 1 年

供应商是感染的常见来源

USB 驱动器是感染的常见途径。

下载上的医疗设备签名。

“点击这里下载软件更新”

网站似乎包含恶意软件。
Chrome：安全的网络浏览服务检测到"呼吸机"恶意软件。

"药物混合器"示例：

运行 Windows XP 嵌入式。
FDA 期望制造商保持软件更新。
制造商声称无法更新是因为 FDA

double you tea f?

有意的恶意软件故障有多重要？

例如 1：芝加哥 1982 年：有人在泰诺中投入氰化物例如 2：有人在癫痫支持小组网站上发布了闪烁图像。

为什么要相信传感器？

例如智能手机。无电池传感器演示。在 MSP430 上运行。微控制器认为来自 ADC 到微控制器的任何东西都是真实的。可能与导线的谐振频率有关的事情？

将干扰注入基带。

在模拟中很难过滤。
=> 有干扰的高质量音频比麦克风更好。

发送与导线的谐振频率匹配的信号。

将电路视为无意的解调器。

可以使用高频信号欺骗微控制器以为。
由于知道微控制器的中断频率和相关属性，存在低频信号。

心脏设备容易受到基带电磁干扰的影响。

在基带中插入有意的电磁干扰。

发送脉冲正弦波以欺骗除颤器以为心脏正常跳动。

??? 在体外有效。
在体内或盐水溶液中难以复制。

有任何防御措施吗？

在一个心跳之后发送额外的起搏脉冲。

一个真实的心脏不应该发送响应。

在电源插座上检测恶意软件。

嵌入式系统 <--> WattsUpDoc <--> 电源插座。

比安全性更大的问题？

Q: 真或假：黑客入侵医疗设备是目前最大的风险。

A: 错误。患者护理和医疗传感器的广泛不可用性更为重要。

安全性不能被简单添加。

例如在 Windows 95 上进行 MRI。
例如运行在 OS/2 上的起搏器程序员。

在医疗设备等上检查 gmail。

在医疗设备上运行 pandora。

保持临床工作流程可预测。

Tor

资源

概述

目标
机制

流 / 电路
会合点 & 隐藏服务

目录服务器
攻击 & 防御
练习问题

目标

匿名通信
响应者匿名性

如果我运行像 “mylittleponey.com” 这样的服务，我不希望任何人将我与该服务关联起来

部署性 / 可用性

为什么是安全目标?

因为它增加了使用 Tor 的人数，即 匿名集
…从而增加安全性

(对手有更多人可以区分你)

TCP 层 (为什么? 请参见上面的讲座笔记中的解释)
不是 P2P (因为更容易受攻击?)

电路创建

TODO: 定义电路

Alice 将许多 TCP 流多路复用到几个电路上。为什么? 低延迟系统，制作新电路昂贵。

TODO: 定义洋葱路由器 (OR)

目录服务器: 网络状态, OR 公钥, OR IPs

ORs:

所有通过 TLS 连接在一起
参见博客文章 1: 权威机构对共识目录文档进行投票

例子:

[ Draw example of Alice building a new circuit ]
[ and connecting to Twitter.                   ]

会合点 & 隐藏服务

例子:

[ Add an example of Alice connecting to Bob's  ]
[ hidden service on Tor                        ]

Bob 运行隐藏服务 (HS):

决定长期 PK/SK 对
发布介绍点，广告在查找服务上
构建到 介绍点 的电路，等待消息

Alice 想要连接到 Bob 的 HS:

构建到新的会合点 (RP)的电路 (任何 OR)

给 RP cookie

构建到 Bob 的一个介绍点的电路并发送消息

with {RP, Cookie, g^x}_PK(Bob)

Bob 构建到 RP 的电路，发送 { cookie, g^y, H(K)}
RP 连接 Alice 和 Bob

MIT 6.858 计算机系统安全讲义 2014 秋季（四）（2）