网站性能检测评分
注:本网站页面html检测工具扫描网站中存在的基本问题,仅供参考。
提取策略
腾讯安全反病毒实验室:CIA大规模数据泄露揭秘 企业视频课程
事件概述美国时间3月7日,维基解密(WikiLeaks)网站公布了大量据称是美国中央情报局(CIA)的内部文件,其中包括了CIA内部的组织资料,对电脑、手机等设备进行攻击的方法技术,以及进行网络攻击时使用的代码和真实样本。利用这些技术,不仅可以在电脑、手机平台上的Windows、iOS、Android等各类操作系统下发起入侵攻击,还可以操作智能电视等终端设备,甚至可以遥控智能汽车发起暗杀行动。维基解密将这些数据命名为“7号军火库”(Vault7),一共有8761份文件,包括7818份网页以及943个附件。在公布时,维基解密对文件内容进行了一些删节处理,包括个人真实信息(姓名、邮件地址等),数以万计的IP地址,以及真实的二进制文件。维基解密表示在对文件进行进一步的分析之后,会逐步公开这些被删节的信息。同时,维基解密称此次公布的数据只是一系列CIA机密材料的第一部分,被称为“元年”(YearZero),后续还会有更多资料陆续公布。
泄漏内容 此次公布的数据都是从CIA的内网保存下来的,时间跨度为2013到2016年。这批文档的组织方式类似于知识库,使用Atlassian公司的团队工作共享系统Confluence创建。数据之间有明显的组织索引关系,可以使用模板对多个资料进行管理。很多资料有历史改动的存档,7818份资料中除去存档共有1136个最新数据。943个附件基本上都可以在资料中找到对应的链接,属于其内容的一部分。具体而言,这些资料可以分为如下几类:1.CIA部门资料,包括部门的介绍,部门相关的黑客项目,以及部门内部的信息分享。2.黑客项目资料,包括一些不属于特定部门的黑客工具、辅助项目等,其中有项目的介绍,使用说明以及一些技术细节。3.操作系统资料,包括iOS、MacOS、Android、Linux、虚拟机等系统的信息和知识。4.工具和开发资料,包括CIA内部用到的Git等开发工具。5.员工资料,包括员工的个人信息,以及员工自己创建的一些内容。6.知识库,这里面分门别类地存放了大量技术知识以及攻击手段。其中比较重要的是关于Windows操作系统的技术细节和各种漏洞,以及对于常见的个人安全产品(PersonalSecurityProducts)的绕过手段,包括诺顿、卡巴斯基、赛门铁克、微软杀毒以及瑞星等安全产品。总的来看,这些数据虽然有组织关系,但是作为工作平台而言,并没有形成严格的规范,很多文件都是随意放置的,甚至还包括asdf这样的测试文件,更像是一个内部的知识共享平台。
典型兵器 在这次公布的数据中,一些比较值得注意的兵器项目如下:WeepingAngel
WeepingAngel(哭泣的天使)是一款由CIAEmbeddedDevicesBranch(嵌入式设备组)和英国MI5共同开发的针对三星智能电视的窃听软件。三星智能电视使用的是Android操作系统,该窃听软件感染智能电视后,会劫持电视的关机操作,保持程序的后台运行,让用户误以为已经关机了。它会启动麦克风,开启录音功能,然后将录音内容回传到CIA的后台服务器中。考虑到三星智能电视使用的是Android操作系统,推测该恶意软件具备感染Android手机的能力。韩国和美国是三星智能电视的最主要消费国家。HIVEHIVE(蜂巢)是CIA开发的远程控制后台项目,该项目负责多个平台的后台控制工作。从泄漏的文件来看,HIVE系统在2010年10月26日发布了第一版,直到2014年1月13日一共更新到2.6.2版本。作为间谍软件最重要的部分,Command&ControlServer就由该项目负责。整体上,植入目标机器中的间谍软件,通过HTTPS协议同后台C&C服务器进行交互,整个通信过程使用了,数据加密,身份鉴权等诸多信息安全高级技术。同时在异常处理和服务器隐藏等关键模块的设计上,也体现出国家队的技术水平。从架构设计上分析,HIVE分为两层,第一层直接与间谍软件连接,部署在商用的VPS(VritualPrivateServer)上。第一层将所有流量通过VPN加密转发到第二层。转发策略是如果流量经过身份鉴权,确认是目标机器,就会向代号为”Honeycomb”的服务器集群转发,这里会对收集到的信息进行存贮和分析,如果鉴权失败,就会向一个无害的网站转发,达到重要服务器不被暴露的目的。UMBRAGEUMBRAGE(朦胧的外表)取自英语古语,有朦胧虚无的意思。该项目主要目的是隐藏攻击手段,对抗调查取证。现实世界中,每一个案件,背后无论多么扑溯迷离,在现场一定会留下线索,如果是惯犯,凶手会有一定的作案模式。在网络世界中也是一样的,每一次发动的网络攻击,都会和之前的攻击有着千丝万缕的联系,都能提取出一定的攻击模式。CIA的RemoteDevicesBranch(远程设备组),收集维护了一个网络攻击模式库,该模式库总结了之前使用过的攻击方式和技术,例如包含HackingTeam泄漏出的代码和俄罗斯使用的技术。拥有了庞大数量的模式库之后,对于新发起的网络攻击,可以采取模仿,混淆等多种战术,达到迷惑敌人,隐藏自己的目的。UMBRAGE项目包含了恶意软件大部分功能模块,例如:键盘记录器,密码收集器,摄像头控制,数据销毁,提权,反杀毒软件等等。FineDining和Improvise(JQJIMPROVISE)"FineDining"(美食大餐)提供了标准化的调查问卷,CIA的OSB(OperationalSupportBranch)部门会使用该调查问卷,用于将办案人员的请求转换为针对特定操作的黑客攻击的技术要求。问卷可以帮助OSB在现有的攻击工具集中选择合适的攻击工具,并将选好的攻击工具清单传递给CIA的负责配置攻击工具的运营人员。OSB在这里充当了CIA运营运营人员和相关技术支持人员的接口人的角色。调查问卷会让填写者填写诸如目标计算机使用的操作系统、网络连接情况、安装的杀毒软件等信息,随后会由"Improvise"(即兴演出)处理。"Improvise"是一个用于配置、后处理、payload设置和executionvector选择的工具集,可支持所有主流操作系统。"Improvise"的配置工具如Margarita允许NOC(NetworkOperationCenter)根据"FineDining"问卷的要求来定制工具。"FineDnining"用于收集攻击需求,而"Improvise"用于将攻击需求转化为攻击工具,这两个工具相互配合使用,可以准备、快速的对任何特定目标实施攻击。可见,CIA已经实现了对指定目标的攻击实现了高度的定制和高效的配置。
后续 此次公开的数据庞大,并且还有部分数据未公布。腾讯电脑管家反病毒实验室会持续关注该事件,跟进最新进展;同时继续深入分析现有内容,挖掘其中涉及的安全漏洞、入侵手法和攻击工具,第一时间披露更加具体的细节信息。同时也在这里提醒广大用户,此次公布的数据中包含大量漏洞信息和攻击工具,可能被不怀好意的人利用,成为他们手中新的武器。希望广大用户最近提高警惕,留心关注最新的安全新闻,注意及时更新电脑、手机上的安全防范措施,避免遭受此次事件的负面影响。 相关新闻 2017-03-15 2017-05-16 2017-05-31 2017-06-06 2017-08-10
WeepingAngel(哭泣的天使)是一款由CIAEmbeddedDevicesBranch(嵌入式设备组)和英国MI5共同开发的针对三星智能电视的窃听软件。三星智能电视使用的是Android操作系统,该窃听软件感染智能电视后,会劫持电视的关机操作,保持程序的后台运行,让用户误以为已经关机了。它会启动麦克风,开启录音功能,然后将录音内容回传到CIA的后台服务器中。考虑到三星智能电视使用的是Android操作系统,推测该恶意软件具备感染Android手机的能力。韩国和美国是三星智能电视的最主要消费国家。HIVEHIVE(蜂巢)是CIA开发的远程控制后台项目,该项目负责多个平台的后台控制工作。从泄漏的文件来看,HIVE系统在2010年10月26日发布了第一版,直到2014年1月13日一共更新到2.6.2版本。作为间谍软件最重要的部分,Command&ControlServer就由该项目负责。整体上,植入目标机器中的间谍软件,通过HTTPS协议同后台C&C服务器进行交互,整个通信过程使用了,数据加密,身份鉴权等诸多信息安全高级技术。同时在异常处理和服务器隐藏等关键模块的设计上,也体现出国家队的技术水平。从架构设计上分析,HIVE分为两层,第一层直接与间谍软件连接,部署在商用的VPS(VritualPrivateServer)上。第一层将所有流量通过VPN加密转发到第二层。转发策略是如果流量经过身份鉴权,确认是目标机器,就会向代号为”Honeycomb”的服务器集群转发,这里会对收集到的信息进行存贮和分析,如果鉴权失败,就会向一个无害的网站转发,达到重要服务器不被暴露的目的。UMBRAGEUMBRAGE(朦胧的外表)取自英语古语,有朦胧虚无的意思。该项目主要目的是隐藏攻击手段,对抗调查取证。现实世界中,每一个案件,背后无论多么扑溯迷离,在现场一定会留下线索,如果是惯犯,凶手会有一定的作案模式。在网络世界中也是一样的,每一次发动的网络攻击,都会和之前的攻击有着千丝万缕的联系,都能提取出一定的攻击模式。CIA的RemoteDevicesBranch(远程设备组),收集维护了一个网络攻击模式库,该模式库总结了之前使用过的攻击方式和技术,例如包含HackingTeam泄漏出的代码和俄罗斯使用的技术。拥有了庞大数量的模式库之后,对于新发起的网络攻击,可以采取模仿,混淆等多种战术,达到迷惑敌人,隐藏自己的目的。UMBRAGE项目包含了恶意软件大部分功能模块,例如:键盘记录器,密码收集器,摄像头控制,数据销毁,提权,反杀毒软件等等。FineDining和Improvise(JQJIMPROVISE)"FineDining"(美食大餐)提供了标准化的调查问卷,CIA的OSB(OperationalSupportBranch)部门会使用该调查问卷,用于将办案人员的请求转换为针对特定操作的黑客攻击的技术要求。问卷可以帮助OSB在现有的攻击工具集中选择合适的攻击工具,并将选好的攻击工具清单传递给CIA的负责配置攻击工具的运营人员。OSB在这里充当了CIA运营运营人员和相关技术支持人员的接口人的角色。调查问卷会让填写者填写诸如目标计算机使用的操作系统、网络连接情况、安装的杀毒软件等信息,随后会由"Improvise"(即兴演出)处理。"Improvise"是一个用于配置、后处理、payload设置和executionvector选择的工具集,可支持所有主流操作系统。"Improvise"的配置工具如Margarita允许NOC(NetworkOperationCenter)根据"FineDining"问卷的要求来定制工具。"FineDnining"用于收集攻击需求,而"Improvise"用于将攻击需求转化为攻击工具,这两个工具相互配合使用,可以准备、快速的对任何特定目标实施攻击。可见,CIA已经实现了对指定目标的攻击实现了高度的定制和高效的配置。
接连被诉,小米该如何应对来自NPE的“围剿”? 流量视频课程
“98/485,约20%”。 这是BlueSpike声称持有的美国专利数量与小米已获得授权的中国专利数量之比。单纯从数据来看,两者之间的差距似乎很大,而小米持有的专利规模要远大于BlueSpike。不过,BlueSpike却将小米起诉至美国法院,指责小米涉嫌侵犯其专利权。 11月19日,一家名为BlueSpike的NPE将小米东德州联邦地区法院马歇尔分院,诉至美国东德州联邦地区法院马歇尔分院,指责小米通过Tomtop销售的智能通信设备涉嫌侵犯其在美国拥有的专利权。 按照过往经验,伴随小米布局美国市场的步伐不断提速,自然会有越来越多NPE把小米当作攻击的“靶心”,那么,怀揣“美梦”的小米,到底该如何应对来自NPE的专利侵权诉讼“围剿”? 缘起:NPE诉讼策略坚持“冒头就打”? 众所周知,包括专利在内的各类知识产权保护具有较强的地域或国别属性。简单说,只有产品进入一国市场,才可能发生侵犯该国特定权利人知识产权的可能。 所谓NPE,是英文Non-Practicing Entity的缩写,中文名称为“非专利实施实体”或“非生产专利实体”。简单说,NPE是指代那些拥有专利但不从事专利产品生产的机构。 最常见的NPE应该算是科研机构,当然,还有一些NPE主要以专利授权许可为其主要盈利模式,同时以发起专利诉讼作为主要促成合作手段。 而作为一家NPE,BlueSpike对外宣称拥有98项专利,主要集中在“数据安全、深度检测、软件签名”等诸多领域。 美国专利商标局网站的统计数据显示,截止12月1日,BlueSpike的专利检索量为47件,小米手机的专利检索量为5件。 显然,仅从专利持有数量来看,BlueSpike并不算一家大型的NPE机构。但是,与小米相比,其专利规模优势还是比较领先的。 更重要的是,作为一家NPE机构,其以专利许可为核心业务,并不直接从事商品生产,势必增加了小米与其谈判合作的难度。 而从发起的专利诉讼来看,BlueSpike确实一家久经沙场的老手。比如,在2012年至2013年间,不到两年时间,BlueSpike曾以其持有的四项与信号提取(signal abstracting)相关的专利,前后在德州联邦地院提起超过70起的专利侵权诉讼,被告中不乏大众所熟知的Google、Yahoo、Adobe等公司。 根据一份哈佛大学的研究显示,从2001年到2011的十年之内,在美国内被NPE发起诉讼的企业从11家激增到336家。 而PatentFreedom2014年所作的统计显示,被NPE起诉的对象高达50%以上都是高科技产业。 事实上,大多数NPE机构多采取“冒头就打”的策略,通常会把知名公司列为靶心,有的会先发送侵权警告函,促使双方谈判,如果对方不予理会则会发起专利侵权诉讼。有的则跳过通知,直接发起专利诉讼。 教训:黑莓手机曾赔偿NPE6亿多美金 谈及NPE与实业公司之间的专利侵权纠纷,最著名的案例应该是发生在2000年-2006年间的黑莓手机被诉无线接收邮件专利侵权案。 当时,生产黑莓手机RIM公司的(全称“ResearchinMotion”)被一家名为NTP公司的NPE机构诉至美国弗吉尼亚东区联邦地区法院。 事实上,NTP公司也是一家小型NPE机构,其持有的专利仅有25件。但是,这家公司最终让黑莓支付了高达6.12亿美金的和解费用。 那么,这家小公司是如何让当时鼎鼎大名的黑莓手机付出了堪称天价的和解费用呢?究其原因有二,其一,该公司持有的专利含金量高;其二,黑莓历经6年还是无法赢得诉讼。 在该案中,NTP公司诉黑莓手机侵权的专利为“整合既存电子邮件系统(网络线系统,wireline systems)与广播频率(RF)无线通信网络”的系统科技,通过该技术可让手机用户通过无线网络接收电子邮件。 值得一提的是,NTP公司当时没有任何员工,而且诉争专利也非NTP公司直接发明。只不过,与电子邮件系统相关的五件美国专利后来都转至NTP公司名下。 2000年,NTP公司向RIM公司发出警告信函,索取授权金,RIM公司没有响应,随后,2001年11月13日, NTP公司将RIM公司诉至法院,声称黑莓手机侵犯了其五项专利中的40个系统请求项和方法请求项。 案件审理过程中,针对14件请求是否构成侵权,曾进入陪审团审理环节。陪审团于2002年11月21日作出裁决,认定RIM公司构成侵权,应赔偿约2300万美金。但RIM公司不服,要求法院直接判决,法院于2003年8月5日作出判决,认定RIM公司侵权,需支付约5300万赔偿金。 对此,RIM公司不服提起上诉,联邦巡回上诉法院作出判决,部分维持地区法院判决。此后,RIM公司试图上诉到联邦最高法院,但最高法院拒绝受理其案件。 专利诉讼期间,RIM公司也在通过申请专利无效试图“釜底抽薪”。但在联邦巡回上诉法院作出判决后,专利商标局才作出认定,认为该案系争专利全部无效。而NTP公司明确表示不服,将对专利无效认定向联邦巡回上诉法院提起诉讼。 至此,黑莓手机已基本穷尽了所有法律救济手段。迫不得已,RIM公司与NTP公司开始和解谈判,并于2006年达成和解,最终的和解费用高达6.12亿美金。包括:支付侵权的损害赔偿费用和未来永久使用的许可费用。 应对:针对不同NPE应采取差别策略 在美国,包括苹果、三星、HTC等在内的诸多知名企业,常常成为NPE机构发起的专利诉讼被告。 2015年2月25日,在Apple Watch以及新Macbook发布会前夕,苹果被美国联邦法院判决侵犯了Smartflash所拥有的三项专利,必须支付其5亿多美元的赔偿金。与此同时,这家名为Smartflash的NPE机构也将三星、谷歌、HTC起诉至法院。 显然,小米手机进军美国市场,面临的最大诉讼压力未必是来自同业竞争对手,而更多是NPE机构。那么,磨刀霍霍欲抢滩美国的小米,该如何应对来自NPE的“围剿”? 一般来说,根据NPE的运作模式或诉求不同,可以分为三类:1)研究型NPE机构,主要以科研机构为主,一般不以盈利为目的,侧重于科技创新,比如一些高校或科研院所;2)营利性NPE机构,主要通过许可授权或诉讼获得收入,由于自己不从事商品生产,不担心被诉也无专利交叉许可需求,比如高智公司,以及前文提到的BlueSpike、NTP、Smartflash等;3)联盟型NPE机构,此类NPE相当于特定领域或行业的联盟机构,通过汇集成员专利或购买专利,方便成员使用,比如美国专利公司RPX(Rational PatentExchange)。 由于不同NPE机构的诉求不同,面对来自NPE机构发起的专利诉讼,需要采取不同的策略。 首先,对于研究型NPE机构,应该加强合作。通过项目资助等方式,提早获得一些前瞻性技术专利的许可授权; 其次,对于联盟型NPE机构,可选择性加入。则需要根据自身的专利积累情况,结合所处行业的特点,选择加入一些NPE机构,通过支付少量的费用,获得大量的专利授权许可使用。 最后,对于营利性NPE机构,则需多加小心。从市场竞争的角度,可以在适当的时候,通过投资或入股的方式,掌握一定的NPE机构资源,藉此可以遏制竞争对手。而一旦被此类机构起诉,则需要综合考虑通过投资、谈判、诉讼以及无效认定等手段,有效化解一些风险。 对于小米来说,如果想好了要抢滩美国市场,也必须有全面的应对NPE机构策略,否则,稍有不慎,就可能为名所累,成为各路NPE机构争相起诉的对象,而一旦陷入诉讼泥潭中,漫长的诉讼周期以及高额的赔偿费用,都有可能把自己拖垮。 作者:李俊慧|来源:iDoNews专栏
