網(wǎng)絡安全世界里的雙刃劍

今天我們將講講加密后門。密碼學的世界里，有設置密碼的密碼鎖，但沒有所謂的鎖匠，能破壞原本保持加密狀態(tài)的加密內(nèi)容(除非你是所有者)。但有一個例外，就是加密后門。

加密后門是一個比較簡單的概念?？梢园阉鼈兿胂癯赡悴卦谀硞€角落的備用鑰匙。它們可以由惡意軟件惡意創(chuàng)建，也可以被所有者故意放置在硬件或軟件中。關于加密后門的討論有很多，大家對它的看法角度各不相同，一方面，如果在緊急情況需要，它可以為人們辦事提供非常有用的信息和有用的幫助。另一方面，它們很可能容易被攻擊者發(fā)現(xiàn)。

那么加密后門是如何工作的?在什么情況下可以使用它們?支持和反對部署它們的理由是什么?

[[442232]]

我們逐一來分析吧。

什么是加密后門?

加密后門是允許用戶(無論是否經(jīng)過授權)繞過加密并訪問系統(tǒng)的任何一種方法。加密后門在理論上類似于漏洞，尤其是在功能方面。兩者都為用戶提供了一種非標準的方式，供他們隨意輸入系統(tǒng)。不同之處在于它們背后的人文思維。軟件開發(fā)人員或攻擊者會故意設置加密后門。不過，漏洞本質(zhì)上是偶然的。

在網(wǎng)絡威脅的世界中，后門是最謹慎的一種。它們與勒索軟件截然相反，勒索軟件在網(wǎng)絡上等同于吸引用戶并將其反復打臉。加密后門隱藏得很好，在后臺潛伏著，只有一小部分人知道。只有需要后門提供的功能的開發(fā)人員和少數(shù)精選用戶才會知道其存在。

后門的強大功能和多功能性使其在網(wǎng)絡犯罪分子中非常受歡迎。實際上，Malwarebytes(美國網(wǎng)絡安全科技公司)在2019年進行的一項研究《2019 State of Malware》發(fā)現(xiàn)，包括加密后門在內(nèi)的后門通常在消費者和企業(yè)面臨的最常見威脅中排名第四。該報告還發(fā)現(xiàn)，后門的使用正在上升，與去年相比，對消費者的檢測數(shù)量增加了34%，對企業(yè)的檢測數(shù)量則高達173%?？紤]到加密后門是后門的主要類型之一，毫無疑問，后門的使用率在增加。

如何使用加密后門?

一些后門旨在幫助用戶，另一些旨在傷害用戶。我們將基于后門程序旨在實現(xiàn)的結果將其分為兩種主要類型：惡意軟件后門程序和內(nèi)置后門程序。

惡意軟件后門

我們先從壞家伙開始。黑客通過惡意手段創(chuàng)建后門惡意軟件，通過訪問你的個人設備、財務記錄等，竊取個人數(shù)據(jù)，將其他類型的惡意軟件加載到系統(tǒng)上或完全接管到你的設備上。

后門惡意軟件被認為是特洛伊木馬的一種，這意味著它旨在將自己偽裝成與真實形式完全不同的某種東西。你可能會認為你正在從文件共享站點下載常規(guī)的舊Word文檔或受信任的軟件，但實際上你會得到一些東西，這將打開系統(tǒng)上的后門，攻擊者可在任何時候使用該后門進行訪問。

諸如Trojans之類的后門惡意軟件也可以復制自身，并將副本跨網(wǎng)絡分發(fā)到其他系統(tǒng)。他們可以自動完成所有操作，而無需黑客的任何輸入。

然后，可以將這些后門用作進一步攻擊的手段，例如：

• 間諜軟件
• 鍵盤記錄
• 勒索軟件
• 加密劫持
• 在DDOS攻擊中使用PC

例如，也許你下載了免費的文件轉(zhuǎn)換器。你去使用它，它似乎無法正常工作(擾流板警報–從來沒有打算這樣做)，因此你可以從系統(tǒng)中卸載它。雖然你不知道，但該轉(zhuǎn)換器實際上是后門惡意軟件，現(xiàn)在你的系統(tǒng)上有一個敞開的后門。

攻擊者可以更進一步，并使用功能強大的軟件來創(chuàng)建后門。也許你下載了顯示定期更新的股票價格的小部件。你只要安裝它就可以了，似乎沒有什么不對。但是你并不知道，它已經(jīng)在你的計算機上打開了后門。

對于網(wǎng)絡犯罪分子來說，這通常只是第一步-站穩(wěn)腳跟。這時，黑客通常使用的方法是部署rootkit。Rootkit是惡意軟件的集合，該惡意軟件可使其自身不可見，并在你和你的PC中隱藏網(wǎng)絡活動。可以將rootkit看作是一個門擋，它可以使攻擊者保持訪問點的打開狀態(tài)。

一般而言，Rootkit和后門惡意軟件可能很難檢測到，因此在瀏覽時要小心，避免來自未知或不受信任來源的文件，保持應用程序和OS的更新，并利用防病毒和防惡意軟件程序。

內(nèi)置后門

但是，就加密后門而言，這并不全是壞事。正如我們所談到的，它們也可以用于道德目的的。也許用戶被鎖定在關鍵信息或服務之外，并且沒有其他進入方式。加密后門可以恢復訪問。當對軟件問題進行故障排除時，它們也可能會有所幫助，甚至可以用來訪問有助于解決犯罪或?qū)ふ沂й櫲藛T和物體的信息。

內(nèi)置后門是由硬件和軟件開發(fā)人員有目的性部署的，通常在創(chuàng)建時并沒有考慮到惡意的手段。通常，它們只是開發(fā)過程的一部分，因此開發(fā)人員可以在編寫，測試和修復錯誤時更輕松地瀏覽應用程序。沒有后門，他們將不得不經(jīng)歷許多的麻煩，例如創(chuàng)建“真實”帳戶，輸入常規(guī)用戶通常需要的個人信息，確認其電子郵件地址等。

這樣的后門并不是要成為最終產(chǎn)品的一部分，但有時它們會偶然不可避免的成為其中一部分，最后與漏洞一樣，攻擊者有可能會發(fā)現(xiàn)并利用它。

內(nèi)置后門的另一個主要類別是國家政府和情報機構特定要求的。五眼(FVEY)情報聯(lián)盟的澳大利亞，加拿大，新西蘭，英國和美國，一再要求技術和軟件公司在其產(chǎn)品中安裝后門。他們的理由是，這些后門程序可以幫助找到用于刑事調(diào)查的關鍵證據(jù)。但蘋果，F(xiàn)acebook和Google都拒絕了這些要求。

為什么呢?如果這些公司同意安裝后門，則有可能會發(fā)生 “供應鏈后門”危害。供應鏈攻擊通常發(fā)生在制造和/或開發(fā)過程中，此時產(chǎn)品的組件仍在供應鏈中的某個位置浮動。例如，可以將后門裝載到芯片制造商工廠的微處理器上，然后將其發(fā)送給各個OEM以便用于消費產(chǎn)品。也可以在將成品發(fā)送給消費者時加載它，例如，政府機構可以攔截針對最終用戶的設備運輸，并通過固件更新加載后門。加密后門可以在制造商知道的情況下安裝，也可以秘密進行。

我們剛說過供應鏈后門也可能在軟件開發(fā)過程中發(fā)生。開源代碼對開發(fā)人員而言具有許多優(yōu)勢，可以節(jié)省時間和資源，而無需浪費時間。功能強大且久經(jīng)考驗的庫，應用程序和開發(fā)工具的創(chuàng)建和維護是為了更大的利益，所有人免費使用。它被證明是一個有效而強大的系統(tǒng)。

當然，除了有意在某個地方種植后門時。對開放源代碼的貢獻要經(jīng)過審查，但是有時惡意的后門會越過漏洞，將其傳播給開發(fā)人員和最終用戶。而GitHub(一個面向開源及私有軟件項目的托管平臺)在2020年的一份報告中發(fā)現(xiàn)，故意惡意創(chuàng)建惡意軟件漏洞的比例接近五分之一。

現(xiàn)實中的加密后門事件

讓我們看一下一些最重要的，眾所周知的加密后門實例，以及與之相關的后果：

• 1993年 Clipper Chip(加密芯片)率先獲得了主流的關注。該芯片是美國國家安全局(NSA)努力創(chuàng)建的安全系統(tǒng)，該系統(tǒng)雖然足夠安全，但在必要的情況下，調(diào)查人員也可以隨意破解。它的工作方式是在制造芯片時將80位密鑰燒入芯片中。該密鑰的副本保存在托管中心，并且必須具有足夠權限的政府特工才可以訪問它。這個概念在行業(yè)內(nèi)遭到了沉重的抵.制，從未真正起步，并在幾年之內(nèi)消失了。

• 2005年– Sony BMG(索尼音樂)–十年前，當大家在收聽50 Cent或Mariah Carey(美國歌手)時，Sony發(fā)行了數(shù)百萬個包含rootkit(木馬病毒)的CD。作為一種版權保護措施，這些病毒將在你插入CD時自動安裝在你的PC上。它不僅試圖防止你刻錄CD，而且還監(jiān)視了你的收聽習慣并在計算機上打開了后門。結果，索尼面臨一波訴訟，召回了有問題的CD，并賠償了數(shù)百萬美元。

• 2013年–愛德華·斯諾登(Edward Snowden)事件，政府在多種情況下截獲了通往最終用戶的網(wǎng)絡設備，并在其設備上加載了受損的固件。當然，該固件包含一個后門，NSA(美國國家安全局)可以(或經(jīng)常)使用后門來訪問用戶的網(wǎng)絡。

• 2014年– Emotet惡意軟件，尤其是銀行木馬，Emotet本質(zhì)上是一個信息竊取者。它最初旨在收集敏感的財務數(shù)據(jù)，但現(xiàn)在主要用作后門。截至2019年，它仍然是網(wǎng)絡空間中最普遍的威脅之一，通常被用作發(fā)起勒索軟件攻擊的起點。

• 2015年–美國蘋果公司一直拒絕美國政府要求的在蘋果產(chǎn)品中放置后門。最著名的事件發(fā)生在2015年圣貝納迪諾恐怖襲擊之后。聯(lián)邦調(diào)查局(FBI)發(fā)現(xiàn)了一個肇事者擁有的iPhone，并要求蘋果幫助解鎖。蘋果公司表示拒絕，甚至齊心協(xié)力使他們的設備更難破解。FBI(美國聯(lián)邦調(diào)查局)最終只能使用第三方來訪問iphone。

• 2017年WordPress插件事件– 2017年的SEO騙局最終影響了超過300,000個WordPress網(wǎng)站(一種使用PHP語言開發(fā)的博客平臺)，圍繞著一個WordPress插件“ Simply WordPress”(一個博客免費程序)，很不幸，這是一個CAPCHA插件，其功能不只是廣告，它還帶有一個“功能”，該功能可以打開后門，從而為管理員提供對其安裝站點的訪問權限。

關于加密后門的爭論

關于加密后門，尤其是內(nèi)置后門存在的爭論已經(jīng)持續(xù)了數(shù)十年。由于預期用途和實際用途具有“灰色陰影”的性質(zhì)，因此辯論沒有跡象表明很快就會放慢速度。特別是考慮到加密后門的主要支持者，即各國政府，也是唯一可以合法地將其取締的政黨。那么，爭論的兩個方面是什么?

加密后門的優(yōu)點

五眼聯(lián)盟的成員認為，內(nèi)置加密后門是維護國家和全球安全的必要條件。當時的聯(lián)邦調(diào)查局局長克里斯托弗·雷(Christopher Wray)試圖總結美國政府在2018年的立場，他這樣解釋：

“我們不是在尋找'后門'，我理解這意味著某種秘密，不安全的訪問方式。我們要求的是一旦獲得獨立法官的逮捕令后便能夠使用該設備，我們是有目的性有原因地使用。”

政府官員經(jīng)常指出，他們真正想要的更像是一個“前門”，只有在滿足特定條件的情況下，才可以授予訪問權限和解密權限。從理論上講，只有“好人”才能使用。

那些支持后門程序的人認為，當局與網(wǎng)絡犯罪分子之間的技術差距正在擴大，并且執(zhí)法機構的法律和技術權力目前還不足以跟上。因此，需要捷徑，秘密途徑。

在其他情況下，主管部門僅需要獲取有關案件的證據(jù)和信息。由于無法訪問鎖定的手機設備，許多刑事調(diào)查被擱置了。畢竟，手機中的信息不是警察能夠有權使用搜查令就能進行訪問信息的。

關鍵托管后門

內(nèi)置后門支持者提出的常見解決方案是使用所謂的“密鑰托管”系統(tǒng)。其概念是，受信任的第三方將充當密鑰的安全存儲庫，并在執(zhí)法部門獲得法律許可的情況下允許解密。

公司通常在內(nèi)部使用密鑰托管，以防丟失對自己數(shù)據(jù)的訪問。但是，當涉及到公共使用時，這是一個具有挑戰(zhàn)性且實施成本很高的系統(tǒng)，還存在很大的安全風險，因為攻擊者解密某個東西所需要做的最大量工作就是訪問密鑰存儲位置。

加密后門的缺點

從理論上講，給好人一個“前門”聽起來很棒。從功能上講，問題在于這個“加密前門”與加密后門之間沒有太大區(qū)別。不管你想稱呼它為什么，黑客都可以找到存在的方法。因此，大多數(shù)大型科技公司都不希望其產(chǎn)品中使用加密后門。因為那樣，他們將把自己的品牌名稱貼在帶有即裝即用漏洞的不安全產(chǎn)品上。

即使制造商和/或政府是最初知道后門的唯一人，攻擊者最終還是會不可避免地發(fā)現(xiàn)它。大規(guī)模后門的泛濫肯定會導致網(wǎng)絡犯罪的增加，并造成巨大的漏洞利用黑市。對廣大公眾可能會產(chǎn)生嚴重而深遠的影響。例如，公用事業(yè)基礎設施和關鍵系統(tǒng)可能隨時對來自國內(nèi)外的威脅發(fā)起攻擊。

當涉及加密后門時，也存在隱私問題。如果后門無處不在，那么政府可以隨時竊聽公民，并根據(jù)需要查看其個人數(shù)據(jù)。即使一開始沒有，但可能性仍然存在，而且這是一個濕滑的斜坡，隨著時間的推移會變得越來越滑。例如，一個敵對和不道德的政府可以利用后門找到反對該政權的異.議人士，并使他們保持沉默。

總體而言，當涉及到加密時，要使其生效，絕對需要一些基本知識：

• 沒有解密密鑰就無法解密數(shù)據(jù)
• 解密密鑰只能由所有者訪問

后門損害了第二點(在某些情況下是第一點)，從這個意義上說，它們首先破壞了加密數(shù)據(jù)的整個目的。

加密后門的未來

迄今為止，巨型科技公司拒絕授予加密后門，特別是蘋果公司在2015年采取的行動，至今都未能為后門樹立任何法律先例。如果它們中的任何一個被默認，那么無疑會創(chuàng)建出更多的加密后門。盡管在某些情況下加密后門可能會帶來積極的結果，但它們也使我們的設備遭受更大的攻擊風險為代價。

由于物聯(lián)網(wǎng)和智能設備在我們整個家庭和工作場所中被廣泛應用，這些風險已經(jīng)在逐漸增加，在沒有后門的情況下，攻擊者都可能會破壞物聯(lián)網(wǎng)設備，并在與你自己的PC的連接鏈中繼續(xù)前進，而如果有了后門之后則會使攻擊變得更加容易。

在安全專家和隱私權擁護者的立場上，我們會主張維護盡可能強大的加密措施和實踐。而站在對立面的立場上，像一些政府則會希望通過后門來幫助解決犯罪和維護公共安全。顯然這些討論并沒有休止跡象，并且很可能隨著技術的不斷發(fā)展和傳播而更加熱烈。

無論哪種方式，你我都必須繼續(xù)盡最大努力保護我們自己的數(shù)據(jù)。我們不一定可以通過我們不知道存在的內(nèi)置后門來阻止攻擊，但是我們可以采用安全軟件和最佳實踐的智能組合來幫助減輕惡意軟件后門的風險。確保使用你信任的加密算法對數(shù)據(jù)進行加密，并完全控制加密密鑰。如果其他人可能有你的數(shù)據(jù)密鑰，那么它就會是不安全的。

【責任編輯：趙寧寧 TEL：（010）68476606】