腾讯安全玄武实验室揭秘网络攻击新形势

 　　激光作为20世纪以来，继原子能、计算机、半导体之后，人类的又一重大发明，被称为“最快的刀”。但把激光作为攻击手段，一直都存在于科幻电影和小说中。而近日，由腾讯安全联合实验室和腾讯视频联合出品的安全系列推理剧第6集《烧脑24小时之激光里的孙悟空》，就向公众展示了安全研究人员利用条码阅读器漏洞，以激光为“武器”，从而控制某科技公司电脑，并成功入侵核心数据库的真实场景。视频上线数日，点击量迅速接近200万，引发了网友和行业对这种新型入侵方式的讨论。不少行业专家表示，“智能设备的漏洞一旦被不法分子利用，后果不仅仅是其本身被攻击，与其相关联的终端也不能幸免”。

　　激光攻破企业数据库 迂回攻击已成网络安全新威胁

　　剧中，由腾讯安全联合实验室旗下的玄武实验室扮演的“蓝军”与某科技公司组成的“红军”，展开了一场网络安全的攻防演习。最终，腾讯安全玄武实验室研究员趁人事部员工离开办公室吃午饭的间隙，从对面的办公楼发射出一束编码了特殊攻击数据的激光，通过办公桌上的条码阅读器向“红军”人事部电脑植入木马，成功获取人事数据库的访问权并取得演习的胜利。

　　“原来这些安全部门平日里在做这样的事，幕后英雄值得尊敬。”视频的评论区有网友给实验室的研究员点赞。同时也有不少网友感叹这种技术的可怕 ，“天啦，这就是黑科技的神秘之处，一束激光便可以入侵电脑，这样的系统漏洞真让人害怕”。事实上，此次腾讯安全玄武实验室所运用的技术正是他们之前发现的条码阅读器“BadBarcode”漏洞。利用该漏洞，只要将编码了特殊信息的激光束照射在条码阅读器附近，就能入侵连接该条码阅读器的电脑。据悉，该项研究揭示了影响整个条码阅读器行业存在了近二十年的重大安全隐患，腾讯安全玄武实验室也因此荣获 WitAwards“年度最佳研究成果”奖。

　　正如视频中展现的那样，随着万物互联时代的到来，黑客的攻击手段已不再是单纯地只针对目标进行“两点一线”的直线型攻击，通过物联网设备的迂回式攻击，正成为一种新的作案手段。去年年底，美国DNS服务商Dyn遭遇了大规模DDoS攻击，致使大半个国家网络瘫痪。此次事件是因为黑客操控数百万网络摄像头及相关DVR录像机作为“肉鸡”，进而利用 Mirai僵尸网络以DDoS劫持攻击方式致使大半个美国网络瘫痪。如何防御这种新形式的攻击，将成为企业和安全厂商的新挑战。

　　产业联动 持续完善智能设备安全

　　2016世界物联网博览会信息安全高峰论坛上，中国工程院院士倪光南指出，如今物联网已经成为网络攻击的新领地，也成了信息窃取的新战场，大数据、云计算、移动互联等新技术新应用不断融合，海量设备不断接入互联网，这些可能成为黑客攻击的目标，预计物联网将是风险隐患的高发地、网络安全治理的重点区。

　　腾讯安全玄武实验室负责人于旸也曾在2016年CSS安全领袖峰会中指出，我们今天面对的信息安全，已经不再是某一行代码的问题，或者说某几处代码之间的问题，而是一个协议和一个协议之间的问题，或者是某些协议共同作用发生的问题，甚至是一个设备和一堆设备之间的问题、一个系统和一个系统之间的问题。这种形态的安全问题用传统的方法是难以进行发现、分析和防御的。

　　而最大限度的控制安全隐患的关键是智能产品厂家一定要建立一套完善的加密保护体系和漏洞修复机制，从源头上堵住安全威胁。但仅仅依靠智能产品厂家自身的漏洞修复很难做到尽善尽美，据安全数据库网站CVE Details的报告显示，在2016年的漏洞排行榜上，Adobe旗下软件的漏洞最多，高达1383个;微软以1325个紧随其后;谷歌以695个漏洞位居第三。像微软、谷歌、Adobe这样拥有专业安全团队的国际知名厂商，每年有大量的漏洞被安全厂商揭漏，中小企业在缺乏专业安全团队支撑的情况下，其智能产品的安全性更加难以保障。

　　一直以来，以腾讯安全为代表的国内安全厂商积极致力于助力厂商修复其产品的安全性。视频中的腾讯安全玄武实验室，专注于针对各类型漏洞的挖掘、利用、检测、防御，以及涉及硬件、无线等方面的复合安全风险。与科恩实验室、湛泸实验室、云鼎实验室、反病毒实验室、反诈骗实验室、移动安全实验室六大实验室协同合作组建而成的腾讯安全联合实验室，在成为腾讯安全技术保障和升级利器的同时，也不遗余力向产业链能力输出安全技术能力。

　　据了解，腾讯安全玄武实验室在发现条码阅读器存在这个漏洞之后，已经及时反馈并帮助一些厂商修复了这个问题。目前，腾讯安全玄武实验室已先后帮助 Google、Microsoft、Apple 、HP、Lenovo等企业修复了 223个严重安全问题。腾讯安全负责人指出，通过主动、及时地漏洞挖掘，并将漏洞报告给厂商，有助于这些企业改进其产品的安全，保障广大用户的网络安全。而针对安全力量薄弱的中小型企业，腾讯安全联合实验室也主动开放技术、数据和能力，联动产业链各方共筑网络安全生态。

　　然而网络安全环境的建立仅仅依靠产业链的维护很难做到面面俱到，加强用户和企业的安全意识，提升其安全防范能力，也是其中不可或缺的一环。事实上，《烧脑24小时》正是承担着普及安全知识的重要职责。围绕网络安全团队与诈骗、黑客等犯罪分子之间的科技战、技术战的剧情，以电影艺术的形式巧妙地展现常见的作案手段和高端的反黑技术，对用户和企业来说无疑是一种更易理解和接受的方式。