黑客遊戲帶你接近真實的黑客世界

一、黑客遊戲

小白：東哥，最近發現一款特別好玩的遊戲，沉迷其中無法自拔呀。

大東：好好學習，少玩點遊戲。

小白：這可不是一般的遊戲，這個遊戲實現了我當黑客的夢想呢。

大東：喲，這麼有意思。

小白：遊戲中，玩家扮演一個黑客，用自己的高科技手段去對抗城市中的黑惡勢力和腐敗力量。

大東：黑客題材，遊戲中很少見。

小白：是的，玩家作為一個黑客能力可謂十分強大，在大街上就可以隨意竊取周圍行人的通話內容以及銀行賬戶。所有攝像頭都可以被玩家調用，被追擊後玩家有無數種方法逃脫，紅綠燈、下水道井蓋、路障和升降大橋等都可以被玩家控制用來擺脫追擊的敵人。

大東：玩家跟魔法師一樣，可以做到這麼多平常人眼中不可思議的事情。

小白：遊戲的內容情節也是十分豐富的，玩家可以滲透進入城市的中央控制系統、入侵ATM、使用黑客技術謀殺、讓城市大範圍停電、通過攝像頭監視公民。

大東：非常精彩的黑客情節。

小白：是吧，不過玩這個遊戲的同時，我也產生了一個疑問。

大東：什麼疑問？

小白：日後隨著5G和物聯網的發展，遊戲中的黑客攻擊情景是否有可能發生？

大東：有可能，而且有一些已經發生了。

二、從遊戲情節到現實生活

小白：遊戲里的城市被一個中央控制系統所掌控，所有人的信息都能在這個系統當中查詢到，玩家需要入侵這個系統來獲取他想要的信息。

大東：在現實生活中，我們可以把它類比成我們每一個公司都有的內網系統。員工的信息、部門信息、公司內部資料等都可以在內網中訪問獲得。而滲透進入內網系統，是很多公司都遭遇過的安全問題。

小白：怎麼攻擊的呢？

大東：一般來說整個攻擊的思路如下：1. 前期踩點，獲得目標系統的域名或IP信息，或者獲得內部人員的郵箱地址；2. 對目標域名和IP進行掃描，向內部人員發送惡意釣魚郵件 ；3.掃描得到埠後就可以開始攻擊網路服務，以此來獲取訪問許可權；4.接下來要做的就是提升自己的許可權，最終獲得控制許可權 ；5.然後就可以「為所欲為」了，安裝後門、安裝跳板，必要時還會進行清除和偽造痕迹等操作。

小白：思路清晰，我也要去試試。

大東：在現實生活中真正的滲透過程會更加繁瑣，許多操作需要考慮系統的真實情況來進行。而且現在滲透測試早已成為網路安全保護的一種重要方式。

小白：嘿嘿，開個玩笑，我一個守法的好公民，怎麼會做違法的事呢。

大東：遊戲中的入侵ATM，早在2010年的黑帽子大會上，傳奇黑客巴納比?傑克就曾經讓ATM機瘋狂吐錢。當時他用了兩種方法令ATM機吐鈔票。做出一台任何人可以解鎖的ATM機，插入特製的U盤，然後控制網路並命令機器吐錢；通過查詢信用卡使用者的歷史記錄和PIN號碼，然後把他們送發給黑客。

小白：黑客技術謀殺呢？這個也可以？

大東：當然。巴納比?傑克這位天才黑客曾經發現過胰島素泵的安全漏洞，並演示如何在90米遠的地方，把胰島素推升到致命的水平。在研究發現之後他便與美國食品藥物管理局以及醫療設備製造商合作修復了他所發現的安全漏洞。

小白：這個安全漏洞已經上升到威脅生命。

大東：漏洞雖小，危害可大，千萬不能小看這些安全漏洞。

小白：真的。

大東：讓城市大範圍停電情節在現實生活中也有發生，2019年3月，委內瑞拉大規模停電事件。停電事件後，有國外專家分析了本次事故中網路攻擊手段的三種類型(未實錘)：1.利用電力系統的漏洞植入惡意軟體；2.發動網路攻擊干擾控制系統引起停電；3.干擾事故後的維修工作。

小白：這次事件肯定會讓委內瑞拉處於崩潰的邊緣，互聯網、通信、水和公共交通豈不全部受到影響。

大東：是的。網路安全建設並非一蹴而就，國家基礎設施等同於國家的命脈，因此網路安全務必落實到位。

小白：那通過攝像頭監視公民呢？

大東：關於攝像頭安全的相關問題在現實生活中也非常常見。用現成的掃描軟體能輕易獲取到大量弱口令的攝像頭IP地址，入侵攝像頭的技術門檻低的離譜，被偷窺的攝像頭遍布全球。

小白：這麼不安全。

大東：在Seebug漏洞平台收錄了一篇基於GoAhead系列攝像頭的多個漏洞。該漏洞為Pierre Kim在博客上發表的一篇文章，披露了存在於1250多個攝像頭型號的多個通用型漏洞。事後證明，該漏洞是由於廠商二次開發GoAhead伺服器產生的。利用該漏洞可以成功獲取攝像頭的最高許可權 。

小白：如果這些漏洞被黑客利用，這些攝像頭就是任由他們把玩的工具。

大東：而造成這個漏洞的原因是組件重用。因為嵌入式設備固件開發過程中可能會使用第三方的開源工具或通用軟體，這些通用軟體又通常由某一特定廠商研發，這就導致很多設備固件存在同源性，不同品牌的設備可能運行相同或者類似的固件以及包含相同的第三方庫。

小白：這一個漏洞就可能同時影響到多家廠商。

三、物聯網安全

大東：雖然遊戲中的情節會有適當的誇張，但是在理論上，遊戲里的很多攻擊場景還是可以實現的。

小白：現在5G和物聯網技術快速發展，說不清以後某一天遊戲中的攻擊場景都將全部被還原。

大東：沒錯。多年來，連接到互聯網的設備數量呈指數增長。2015年，在超過150億台設備中，超過230億台設備連接在一起。據估計，到2020年這一數字將超過300億大關，預計到2025年將有超過750億台設備連接到互聯網。物聯網安全將面臨著更大的挑戰。

小白：什麼是物聯網安全？

大東：物聯網議程將物聯網安全定義為「關注物聯網（IoT）中保護連接設備和網路的技術領域。」簡單地說，物聯網安全是指為加強物聯網設備的安全性和降低其易感性而採取的預防措施。

小白：那我們要如何提高物聯網設備的安全性呢？

大東：這裡我給你介紹五種方法。1. 使用物聯網安全分析，通過實施安全分析，可以大大減少與物聯網相關的漏洞和安全問題。2. 使用公鑰基礎結構，公共密鑰基礎設施是「一套政策，軟體/硬體和程序，這是需要創建，管理和發布數字證書。」這道安全程序已被證明多年來是一個有效的解決方案，以物聯網安全問題。

小白：使用數字證書來驗證物聯網中連接在一起的所有設備的身份，這是個不錯的辦法。

大東：3.確保通信保護，物聯網概念適用於連接設備之間的通信。但是，當通信受到損害時，會出現通信故障，導致設備無法使用。4.保護網路，為了維持平穩運行，需要保護物聯網網路。通過使用一些端點安全功能，如反惡意軟體，防病毒，入侵防禦和防火牆，可以有效地保護網路並保護網路免受攻擊。5.確保設備認證，如果為設備執行全面的設備身份驗證，還可以減少IoT設備的攻擊漏洞。

小白：有了這5個安全建議，相信我的物聯網設備可以很好地抵禦外部安全漏洞。

來源：中國科學院計算技術研究所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！