为什么没有人发现NSA的大规模监控?
| 2015-02-20 08:45 评论: 6 分享: 9
thinkst的分析师们觉得随着Snowden越来越多的曝光NSA所干的丑事,虽然我们已经越来越清晰的看到了NSA在面对复杂系统时仍然出色的系统性工程能力,但我们还是会问一些问题,但其中最该问的一个问题是:”如果NSA的大规模监控已经到了这种程度,他们是怎么做到让人们察觉不到他们的存在?“。
Spiegel在2015年1月17日公布的可能包含了一些潜在的答案,thinkst的分析师认为可能存在几点原因:
1,良好的保密工作,很多著名的安全研究人员肯定是了解NSA的部分工作,但他们可能没有看到整个全景,比如Dave Aitel专注于Fuzzing和漏洞利用框架,Jamie Bulter则是Rootkits方面的专家,Charlie Miller专注于Fuzzing和漏洞利用,诸如此类的技能点数有机的组合在一起可能就会“涌现”出Snowden曝光的复杂系统。
2,有可能某些入侵是其他人干的,"4th party collection"里描述了NSA会主动或者被动的去偷别的情报机构的资源来完成自己的任务,DEFIANTWARRIOR里也谈到了劫持通用的僵尸网络可能有FBI的配合。
3,防御者关注到了错误的方面,一个常见对顶级安全会议的批评是议题都关注在了极度复杂的攻击上,但很多网络被攻陷仅仅是因为没有打补丁和弱密码,这份文档里也谈到了NSA有专门负责通过底层编程实现的针对硬件的攻击,对于大多数的安全团队而言,“底层”通常指的是在kernel层面的攻击,但NSA在kernel以外还瞄准了更底层的方面包括固件,BIOS,总线和驱动层攻击,包括提到了他们能干的事情比如远程让网卡变砖,创建ARM平台的SSD的rootkit,针对最新SEAGATE硬盘驱动的rootkit,针对OSX的pre-boot持久化,BERSERKR是植入到BIOS运行于SMM(系统管理模式)的持久性后门。
4,一些美妙的错误引导,制造假象干扰分析师的工作。
5,NSA在玩国际象棋而你在玩国际跳棋,即使是企业的威胁建模中不考虑NSA是完全错误的,一份文档显示即使在2005年ROC的215名网络战士会在一天中“战斗”上百次。
6,你的“专家”可悲的让你失望了,Snowden曝光的内容无疑已经成为了这个时代性的全球背景,所以很多“安全专家”为了上新闻头条很乐意show出他们本来就是错误的观点,另外风投们也很浮躁,因为每天都能看到很多声称拥有"银弹"能解决一切安全问题的“专家”。
thinkst分析师认为威胁建模是重要的环节,简单的讲,就是你得知道你到底在防御谁?谁会一直惦记着想攻击你?你能正确评估数字资产的价值吗?你会花远超数字资产价值的钱去请拥有“银弹”的“专家”吗?这些都是值得我们思考的问题。