时隔四年,谍影重重系列再次显影,虽然帕金森氏的手持摄影让影迷们在紧凑的剧情中觉得略为晕眩,但去过火星、种过土豆、会格斗、会飙车的马特·达蒙叔叔依然把妹子们迷的不要不要的。新角色艾丽·西亚维坎德的干练与高超的特工技术也收获了一批迷弟。那《谍影重重5》中的特工技术(也是黑客技术)在现实生活中真的可以实现吗?雷锋网(公众号:雷锋网)来帮你盘一盘。
开盘前先简单介绍下文中会提到的人物关系,杰森·伯恩在一次执行任务中出现了意外,并被当成了中情局的叛逆者,为了保护自己,杰森·伯恩过上了隐姓埋名的日子。而尼基·帕森基曾与杰森·伯恩共同执行任务时产生了感情,她想通过自己的方式,帮助杰森·伯恩。海瑟·李是中情局的一名新任高管。
一个U盘就能远程开了中情局的后门?
影片一开始,中情局就被黑了,一名特工告诉中情局的高官,这次可能比斯诺登事件还要严重。不了解斯诺登事件的同学,我们再来一起回顾一下。
2013年6月,前中情局职员爱德华·斯诺登向媒体爆料,NSA和FBI于2007年启动了一个代号为“棱镜”的秘密监控项目。通过进入微软、谷歌、苹果、雅虎等九大互联网巨头的服务器,对全国的电子邮件、聊天记录、视频及照片等个人隐私进行监控。影片中的深梦公司就是其中一家互联网公司的代表。事后,斯诺登得到了俄罗斯的庇护,网络安全也进入了“后斯诺登时代”。
中情局是怎么被黑的?杰森·伯恩的老搭档尼基·帕森基为了帮他重回正常人的生活,在萨科夫的黑客基地,用一个U盘,就打开了中情局所有主机密文件的后门。这个U盘不是普通的U盘,内部装有恶意软件USBee (USB蜜蜂),就像是在不同的花朵之间往返采集蜂蜜一样,装有USBee的U盘无需任何改装,就可以变成数据传输器,在有物理隔离措施的电脑之间任意往返采集数据。
USBee的兼容性十分强,几乎可以在任何U盘上使用,数据传输速率也非常高,仅用10秒的时间就可以把4096比特的密钥“偷”到手。其研发者是以色列Ben-Gurion大学网络安全研究中心的首席研发负责人Mordechai Guri,Guri同时也是Morphisec端点安全解决方案公司(Morphisec Endpoint Security Solutions)的CEO。据Guri介绍,
USBee的工作原理是通过向USB设备发送一系列“0”,来使USB发出频率在240兆赫兹到480兆赫兹的电磁信号。通过精准地控制这些频率,电磁辐射可以被调制成信号传输器,并由附近的接收器读取并解调。
这名以色列安全专家所属的团队,之前还发布了一系列通过设备噪音或声波来窃取数据的工具。如:
可以利用热交换传输数据的BitWhisper;
把电脑的显卡变成一个FM信号发射器的AirHopper;
以及通过电脑风扇噪音就能传输数据的Fansmitter。
然而,影片中的技术是经过渲染夸大的。现实操作中,USBee 的运行是有距离限制的。常见的微型U盘上,USB 蜜蜂的传输距离约为2.7米,如果是带有电线的USB设备,其电线可以被用作接收信号的天线,距离便可扩大到8米左右。亦或是,有内部工作人员将已感染病毒的U盘插入了公用网络内,才可以为所欲为。
SQL注入攻破数据库是怎么实现的?
尼基·帕森基在萨科夫的黑客基地对中情局进行入侵时,屋里的一位女黑客大声说道:“利用SQL注入攻破他们的数据库。”这位女黑客提到的SQL注入是攻击数据库的常用手段之一。
所谓SQL注入,就是通过把SQL命令插入到Web表单提 交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说:
它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。之前很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。
反追踪技术是你想追就能追到吗?
当尼基·帕森基正在边拷贝边读取中情局各种秘密行动的数据时,海瑟·李迅速利用反向追踪代码定位到了黑客基地。
反向追踪技术是指IP反向追踪技术(IP traceback)就是指用来确定IP数据包的发送源地址时所利用的有效方法。对于反黑客人员来说,怎么能追踪到攻击的发起方,是识别和阻止攻击以及追究责任的重要桥梁。但反追踪技术必须在攻击正在进行时才有效,一旦攻击停止,反追踪技术进程也会中断。
虽然尼基·帕森基在黑客基地探测到外部追踪后立刻用酒浇电缆,引燃主机,但海瑟·李已在的U盘中植入了追踪代码。剧情也由此走向了高潮。
尼基·帕森基和杰森·伯恩会面后,中情局为了将两个人抓获,将希腊当地所有的摄像头上传,并启动实时监控系统。随后还黑入冰岛电网与德国CCTV系统。虽然美国政府再厉害也不敢公开表现的如此无所不能,但是通过最近的希拉里邮箱泄露事件与NSA被黑事件,可以从侧面说明,这些黑客技术确实在现实生活中可以实现,只是没有电影中表现的那么简单。
通过非智能手机就能黑了对方的电脑?
一心想寻找答案的杰森·伯恩找到尼基·帕森基的对接人后,通过电脑读取U盘数据时,海瑟·李利用房间里的一部很旧的手机仅用两分钟的时间就接入了正在读取U盘数据的电脑,并迅速删除了所有文件。这一技术的研究成果也是来自以色列的同一个团队。该团队使用了一个上市9年的摩托罗拉手机来演示这种新型的攻击方式,这款手机缺乏现代智能手机的一些功能,比如WiFi和移动数据连接功能。
该团队研究人员将一个特定的恶意软件安装在了目标计算机和手机后,一旦这个特定的恶意软件安装成功,就可以通过计算机自然发出的电磁波方式,提取到目标计算机中的数据。