WHO AM I : NO SYSTEM IS SAFE
影片情节分析
《WHO AM I : NO SYSTEM IS SAFE》是一部德国的电影,男主本杰明是一个计算机天才,但是在现实世界中,他是一个失败者,并且常常为找不到存在感而忧伤。他沉迷在虚拟的时间中,信奉着一个代号为"MRX"的黑客首脑的三原则,没有一个系统是安全的、敢做就能赢、不要把你的欢乐局限在虚拟空间。本杰明在为自己喜欢的女孩偷试卷时被保安捉住,被罚社区劳动,遇见了马克思,他注意到了本杰明在网络方面神一般的操控能力,与伙伴组建了黑客组织CLAY,这意味小丑的嘲笑,并且为了炫耀而入侵大量公共系统甚至是情报局、保密局。他们凭借高超的黑客技术引起了德国特种警察组织、欧洲特种刑警组织的重视。"MRX"将他们视作威胁,公开嘲讽刺激他们,而最终头目俄罗斯网络黑帮甚至想要杀掉他们。本杰明因此感觉到自己正在面临生死攸关的考验,最终本杰明利用社会工程手段”社工“了德国安全局的调查员,通过帮助调查员溯源抓捕MRX来获取她的信任,最后利用调查员的同情心理销毁了自己以及同伴的身份档案,成功的逃脱了黑帮组织的追杀和政府情报局的监控。
影片把网络比作一个列车,将局域网比做列车中的一节车厢,将所有在互联网中的人比作比作带上了一个面具的乘客,代指在网络上用户的匿名身份。本片最出彩的地方,就是剧情中的两次反转。本杰明与他的团队在特定的情境下设计好的棋局,一石二鸟,俘获真正的凶手"MRX",同时迷惑自以为是的女警官,这是本杰明他们利用心理学知识模拟了“精分者”的行为。根据现实社会里存在的“多重人格”的病例,他们玩了一场模仿秀,最后获得满堂彩。男主用变魔术的四颗糖,很好的告诉了女警他只让她看了她想看到的那一面,藏起来的三颗糖三个人都是存在的,而在你面前讲了个故事的我,就是你看到的那颗糖。虽然女警官最后明白了真相,但她选择只看到她愿意看到的,假作真时真亦假,无为有处有还无。
没有一个系统是安全的,而人心才是最大的安全漏洞。
影片出现的网络攻防技术
侵入学校中央服务器时
男主角通过“零天攻击”,侵入了学校的中央服务器,偷走了考试试卷,只是最后被学校保安抓获,被处罚社区劳动。
“零天攻击”,就是在软件的安全弱点被公布出来的同一天,利用其安全漏洞。通常情况下,当一个软件被黑客检测到一个潜在的安全漏洞时,这个个人或公司将通知软发行商有时甚至是将其潜在漏洞公布于众,来使软件打上补丁,以防攻击。而一些黑客恰好利用软件公司修正软件并发布补丁的空档期,利用该漏洞进行网络攻击。
DDoS攻击,分布式拒绝服务攻击,是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。
僵尸病毒,通过连接IRC服务器进行通信从而控制被攻陷的计算机。僵尸网络(英文名称叫BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。
侵入电力系统时
主人公与伙伴第一次见面时,通过网络攻防侵入了电力系统,控制了派对的电力,得到了伙伴的信任。使用了nmap进行漏洞扫描,而后运行已经编写好的脚本,得到了当地电路的控制权。
nmap是Linux下的网络扫描和嗅探工具包。其基本功能有三个:扫描主机端口,嗅探所提供的网络服务、探测一组主机是否在线、推断主机所用的操作系统,到达主机经过的路由,系统已开放端口的软件版本。在影片中,使用了nmap -p 扫描特定的进程,--script 功能是运行特定的脚本进行操作。根据搜索,并没有查到该脚本的代码。但是根据脚本名得知,是 电力系统后门脚本。
后门(backdoor)是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。“后门”可以对被感染的系统进行远程控制。
侵入竞选会议时
将竞选会议上的电脑连上由他们控制的WIFI,然后使用计算机程序控制了电脑(猜测为暴力破解程序)。
图为使用计算机程序控制电脑,个人猜测为暴力破解程序,没有搜到。
取得女警官信任时
为了取得女警官的信任,应用社会工程学对女警官进行社工,报出她的社保号,医疗数据,银行数据,甚至是女警官大学时期流产的信息,让她相信了自己的攻防技术。后来的情节中,又利用女警官的性格特点,销毁了自己以及同伴的身份档案,成功的逃脱了黑帮组织的追杀和政府情报局的监控。
第二次活动时
第二次活动,小队侵入了金融系统的数据库。通过对脚本名的辨认,应该是使用了 缓冲区溢出(buffer overflow)技术和 反编译(decompile)技术。都属于逆向工程(Reverse)的内容。
缓冲区溢出,是指在存在缓存溢出安全漏洞的计算机中,攻击者可以用超出常规长度的字符数来填满一个域,通常是内存区地址。在某些情况下,这些过量的字符能够作为“可执行”代码来运行,从而使得攻击者可以不受安全措施的约束来控制被攻击的计算机。
反编译,是指通过对他人软件的目标程序(比如可执行程序)进行“逆向分析、研究”工作,以推导出他人的软件产品所使用的思路、原理、结构、算法、处理过程、运行方法等设计要素,某些特定情况下可能推导出源代码。在网络攻防中,常常需要反编译找到程序漏洞,进行攻击。
拦截电台通信时
通过设备,拦截特定目标电讯通信,切断所有其他线路,只留下一条线路与电台通信,获得大奖。
侵入BND的系统时
首先,他们通过垃圾收集得到了某个员工的邮箱,熟悉的人以及喜欢的动物,然后发送一封钓鱼邮件进行欺骗,将她引入一个植入了病毒的网站,一旦访问网站,就被控制了电脑权限。
钓鱼邮件,指利用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。当然,也包括植入了木马的网站。
然后他们控制了打印机,修改了通信协议,破解了高安全级别防火墙,并且窃取了资料档案。这里利用了物联网的漏洞进行攻击,也提示我们现在要更加注意物联网安全。
在影片中还有这样一段,使用了一个exploit的python脚本,对漏洞进行攻击,进行了提权,提权后将隐藏分区的内容拷贝下来,偷走了数据。
exploit,一个利用程序(An exploit)就是一段通过触发一个漏洞(或者几个漏洞)进而控制目标系统的代码。攻击代码通常会释放攻击载荷(payload),里面包含了攻击者想要执行的代码。exploits利用代码可以在本地也可在远程进行。一个远程攻击利用允许攻击者远程操纵计算机,理想状态下能够执行任意代码。远程攻击对攻击者非常重要,因为攻击者可以远程控制主机,不需要通过其它手段,而本地攻击一般都是用来提升权限。
有时候我们太在乎别人怎么看待我们,最后连自己都不认识自己,每个人只愿意看见他想看见的。
与MRX对质时
MRX与本杰明进行对质的时候,MRX发给本杰明一个私人频道,两者用IRC协议进行通信。而本杰明为了隐藏自己的身份,只使用公共网络接口,并且用了隐藏IP,多层代理,企图隐藏自己的位置。
因特网中继聊天(Internet Relay Chat),一般称为互联网中继聊天,简称IRC。IRC上的信息交流采用请求与应答的模式. 请求是由服务器或客户端发出的,其目的是请求(另)一个服务器执行某个操作或提供某些信息; 应答是服务器对一个请求的回应信息. 请求通常被称为命令; 由于对每种应答都规定了一个三位数字做标识,应答也称为数字应答。
介绍自己追查MRX计划时
MRX交给本杰明的任务是在欧洲刑警组织的服务器内放置特洛伊病毒,而本杰明在一个特洛伊病毒中再嵌套了一个特洛伊病毒,那么当MRX在使用入口时,隐藏的特洛伊病毒就能控制他的电脑了。
特洛伊木马(简称木马)是隐藏在系统中的用以完成未授权功能的非法程序,是黑客常用的一种攻击工具,它伪装成合法程序,植入系统,对计算机网络安全构成严重威胁。区别于其他恶意代码,木马不以感染其它程序为目的,一般也不使用网络进行主动复制传播。特洛伊木马是基于C/S(客户/服务器)结构的远程控制程序,是一类隐藏在合法程序中的恶意代码,这些代码或者执行恶意行为,或者为非授权访问系统的特权功能而提供后门。通常,使用木马的过程大致分两步首先,把木马的服务器端程序通过网络远程植入受控机器,然后通过安装程序或者启动机制使术马程序在受控的机器内运行。一旦木马成功植入,就形成了基于C/S结构的控制架构体系,服务端程序位于受控机器端,客户端程序位于控制机器端。
解释如何侵入欧洲刑警组织时
本杰明捡到一张欧洲刑警总部的访客证,应用社会工程学潜入欧洲刑警总部,架设了一个带有相同身份认证平台的平行网络,当有人用了该无线网进行身份认证时,就会被植入病毒,被本杰明控制电脑,而本杰明也就可以以此登录服务器。我认为这里同样使用的钓鱼网站的攻击方式。
被MRX欺骗时
MRX给了本杰明一个暗网的入口,而该密码是一个IP追踪器,当本杰明使用它进行登录时,则被MRX找到了IP地址,确定了位置,并且控制了摄像头权限。