在移動互聯網時代,我們在使用與、數字資產相關的服務時,常常使用移動客戶端。比如通過一個交易所App,或者錢包App進行數字資產的交易、轉賬,當然,期間必然要經過網絡,而正是這個過程中存在這不可忽視的安全問題。
連接WIFI竟然會“丟幣”?
那麼,當你要做聯網操作的時候,你的第一個動作是什麼?或許不少人的選擇是找一個WIFI連上,除了家裡和公司,就是在機場、咖啡館、餐館等公共場合,相關WIFI接入已經非常方便,你需要做的只是通過手機做個驗證碼的確認。
而對於一家公司來說,WIFI更是標配,但是,如果你是一家提供數字資產服務的公司,你可曾留意公司WIFI佈置上的門道?如果一個客戶前來拜訪等待的時候,向前臺詢問連接WIFI,是不是也會配合幫助客戶連上?
事實上,在上述場景中,都可能將用戶、公司的數字資產安全置於一種危險的境地,特別基於當前很多區塊鏈行業App本身的安全缺陷更放大了這種危險。北京鏈安的安全工程師們在日常App安全滲透測試和安全審計過程中發現經常會有交易所和錢包App在網絡傳輸與服務器交互時存在安全隱患,包括使用不安全的 HTTP 協議傳輸數據和使用 HTTPS 協議時客戶端未校驗證書的正確性導致黑客可通過中間人攻擊監聽客戶端 App 的傳輸數據並對其進行解密,從而造成敏感信息洩露的隱患,如果這些信息包括密碼、密鑰,後果將非常嚴重。
這是怎麼回事呢?為何連接一下WIFI還可能“丟幣”,接下來,就請北京鏈安的移動安全專家Zer0Man為大家介紹這裡面的門道。
什麼是“中間人攻擊”?
據Zer0Man介紹,造成這種威脅的攻擊手段即中間人攻擊,中間人攻擊(Man-in-the-middle Attack 縮寫:MITM)在密碼學和計算機安全領域中是指攻擊者與通訊的兩端分別創建獨立的聯繫,並交換其所收到的數據,使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話,但事實上整個會話都被攻擊者完全控制。
在中間人攻擊中,攻擊者可以攔截通訊雙方的通話並插入新的內容,也就是說你以為正通過正常的網絡與諸如交易所App的服務器進行通訊,結果其實中間已經有人放了個“漁網”,中途會攔截你傳輸的報文,他可能只是看看裡面的內容讓其正常通訊,甚至可能直接干涉這個過程。
為了成為中間人,攻擊者不但要能同時和服務器與客戶端通信,還要介入到服務器和客戶端的通信鏈路之中,將服務器的數據轉發給客戶端,將客戶端的數據轉發給服務器。實現這樣目的的手段有很多種,比較常見的有 DNS 劫持和局域網 ARP 欺騙。
上面我們提及的WIFI連接場景就可能被黑客通過局域網 ARP 欺騙造成中間人攻擊。
所謂APR欺騙即攻擊者首先連上WIFI,將自己置於與受害者設備同樣的局域網絡中,然後通過一些黑客工具使得其它設備將攻擊者當做網關從而前來連接,這樣受害者設備的任何網絡通訊流量都將經過攻擊者,被其截獲。
以上圖片就是我們的測試,一款交易所App遭到中間人攻擊,其報文信息被攻擊者截獲,其中甚至包括用戶的密碼信息。 “中間人攻擊”的危害有哪些?
在以上過程中,如果這些App本身做了一定的安全防護,比如數據的高強度加密,那麼還能提高攻擊者進一步作惡的成本。但是,正如我們此前介紹的,區塊鏈領域的App在這方面的安全工作做的還很不夠,弱加密,甚至就不加密明文傳輸的情況時有發生,而在涉及敏感信息的操作上,依然有一些區塊鏈App沒有采用安全度更高的HTTPS協議。
那麼,作為一家涉及數字貨幣服務的公司,中間人攻擊又可能造成怎樣的危害呢?如上所述,如果你的局域網沒有進行相應的安全配置,沒有將辦公網絡與訪客網絡進行隔離,那麼黑客就可能通過你的WIFI入侵,進行中間人攻擊,獲取你內網環境下涉及業務的一系列敏感信息,進而不斷提升攻擊者在內網的權限,甚至可能直接接觸你存儲的數字資產並將其竊取。
是的,以上過程其實就是所謂的APT攻擊,APT攻擊的一大特點就是目標針對性很強,攻擊者往往會做一些前期準備工作,擬定了攻擊目標,並通過技術,甚至社會工程學手段侵入內部系統。而侵入內部系統的手段也不一定需要“內鬼”裡應外合,向客服發一封誤導其點開附件運行木馬代碼的郵件就是常用套路,而通過辦公環境網絡漏洞進入被攻擊目標內網也是一個重要的切入點。
總結一下,中間人攻擊就是一種攻擊者欺騙網絡使用者將其當作網絡連接通道,進而截獲受害者通訊信息的操作,而一旦獲得了這些信息,攻擊者可以進一步解析和破解,進而可能獲得用戶的密碼、密鑰,甚至干涉後續過程,試想一下如果攻擊者將一個客戶端向服務器發起的比特幣轉賬申請截獲,進而修改接收地址,將會給受害者帶來多麼直接的經濟損失?
“中間人攻擊”怎麼防?
那麼,對於中間人攻擊,該如何防範呢?在這裡,Zer0Man對三類角色提出了防範建議。
1. 區塊鏈App的用戶:執行一些敏感操作的時候,請謹慎連接公共WIFI網絡。
2. 區塊鏈App的開發者:請在客戶端應使用HTTPS協議傳輸網絡數據,並在客戶端中校驗SSL證書的正確性,防止信任偽造證書。
3. 區塊鏈業務涉及的公司機構:做好內網安全防禦,為訪客設立 Guest 賬號和權限,或進行訪客網絡隔離來避免APT攻擊。對於辦公環境的WIFI設置強類型密碼,同時禁用 WIFI WPS 功能。
以上例子中,我們主要提及的是數字資產這樣的經濟價值更容易直接衡量的場景,事實上,隨著區塊鏈技術應用到更多行業,更多敏感數據上鍊並在一些業務中與App通訊,而在諸如企業的私有鏈、聯盟鏈場景中,更是會大量涉及基於內網環境的敏感信息傳輸,在這樣的情況下,中間人攻擊將是破壞區塊鏈價值的重大隱患,需要我們在進行相關係統的開發和部署中重點防範。
