FreeBuf - HW在即，那些被遺忘的物理安全還好嗎？－鑽石舞台

近段時間，一個網絡攻擊的段子在互聯網上火了起來。

「某公司被黑客勒索，每20分鐘斷一次網，給公司帶來了極其嚴重的影響，但通過技術手段怎麼也找不到問題。最後公司發現是黑客買通了保安，每20分鐘拔一次網線。」

看完後，網友不禁感嘆，「最有效的攻擊往往只需要使用最樸素的方式。」

誠然這個段子有點誇大的成分，卻也點出了物理安全（這裡指「物理設備安全」）對於企業網絡安全體系的重要性：在絕大部分時間它都很不起眼，經常被大家遺忘在角落裡，以至於出現問題後竟一時無法發現，更別提進行應急響應。

其原因在於，企業在建設安全體系時會更側重於防範網絡性攻擊風險。而且安全投入的資源和人力有限，自然無法面面俱到，自然也就會遺忘一些不起眼的角落。但在這些角落裡，同樣隱藏着致命的風險。

隨着物聯網技術的快速發展並廣泛應用於生活之中，物理安全的重要性進一步凸顯。此時，企業也需要開始重視物理安全。畢竟安全是一個整體，只要有一個地方出現了漏洞，攻擊者就有可能順着這個漏洞進行入侵。

隨着一年一度的HW即將開始，那些被遺忘在角落裡的物理安全還好嗎？

物理安全是網絡安全的基礎

所謂物理安全，是指拒絕未經授權訪問設施，設備和資源並保護人員和財產免受損害或傷害(如間諜活動，盜竊或恐怖襲擊)的安全措施。物理安全涉及使用多層互相依賴的系統，其中包括閉路電視監控、安全警衛、防護屏障、鎖、訪問控制協議以及許多其他技術。

物理安全主要涉及機房環境要求、設備安全和傳輸介質安全三個方面，每個方面都有不同的要求。其中，設備安全主要包括設備的防盜、防毀壞、防設備故障、防電磁信息輻射泄漏、防止線路截獲、抵抗電磁干擾及電源保護等方面的內容。其目標是防止組織遇到資產損壞、資產流失、敏感信息泄露或商業活動中斷的風險。

針對物理安全，此前頒布的等保2.0也有類似的明確要求。

例如，在機房的物理位置選擇上，等保2.0就明確規定：1、機房和辦公場地應選擇在具有防震、防風和防雨等能力的建築內；2、機房場地應避免設在建築物的高層或地下室，以及用水設備的下層或隔壁。

畢竟數據機房關乎企業的生命線，倘若出現斷電、漏水等問題，導致數據機房無法工作，那麼將會給企業業務連續性造成毀滅性打擊，甚至導致企業無法運轉。

而在物理訪問控制上，等保2.0也指出：

1、機房出入口應安排專人值守，控制、鑑別和記錄進入的人員；

2、需進入機房的來訪人員應經過申請和審批流程，並限制和監控其活動範圍；

3、應對機房劃分區域進行管理，區域和區域之間設置物理隔離裝置，在重要區域前設置交付或安裝等過渡區域；

4、重要區域應配置電子門禁系統，控制、鑑別和記錄進入的人員等。

事實上，物理安全就在我們身邊。例如我們常見的門禁系統就是一道物理安全措施，可以避免外部人員進出公司，但要注意其他進出渠道，如樓梯間；類似還有嚴格區分訪客網絡和內部員工網絡，避免攻擊者可直接訪問員工網絡，並以此發起網絡攻擊等。

此外，還有一些敏感重要的地方應設置權限規則，盡可量減少非必要人員的靠近，包括數據機房、財務系統等，防止攻擊者混入其中。

千萬別以為沒有人會去破壞數據機房或中心，這樣的思維定勢對於安全工作來說極為不利。2021年，美國德克薩斯州一名男子就曾策劃，對亞馬遜部署在弗吉尼亞州的網絡服務(AWS)數據中心發動炸彈襲擊，目標是「毀壞約70%的互聯網」。

所幸FBI的臥底給了該男子一枚啞彈，使得這一瘋狂的舉動並未成功。事後亞馬遜表示，公司非常重視員工和客戶數據的安全保障，並不斷審查各種載體，以應對任何潛在威脅，未來將繼續保持對員工和客戶的這種警惕性。

目前，企業與機構對於數據安全愈加重視，各種安全產品、安全策略安排得井井有條。但是與此同時，對於機房、數據中心等重要場地的物理安全也不容忽視。

美國FBI逮捕了一名德克薩斯州的男子，原因是據稱該男子計劃對弗吉尼亞州的一個亞馬遜網絡服務(AWS)數據中心發動炸彈襲擊，並且他的目標是「毀壞約70%的互聯網」。

當下，企業所面臨的物理威脅形勢越來越嚴峻。根據Ontic 保護情報中心發布的《2021 年年中展望保護情報報告》，大多數受訪者表示企業應對物理威脅保持一定的警惕；半數以上受訪者認為物理攻擊活動正在逐漸增加；一半以上的受訪者認為，自己的企業在物理安全方面準備不足。

那些「神奇」的物理攻擊

隨着網絡攻擊的趨利性日漸明顯，攻擊者更傾向於使用較低的成本，獲取更高的收益。某些時候，物理攻擊往往成本更加低廉，以一種出人意料的方式來完成攻擊行為，但效果有時卻更直接、有效，讓人不禁感嘆「這樣也可以」。

這裡簡單列舉幾個代表性案例。

1、故意丟失的U盤

21世紀初，U盤攻擊是一種十分常見的攻擊手法，2007年，「U盤寄生蟲」病毒更是登上了病毒排行榜榜首，成為互聯網面臨重大威脅之一。攻擊者一般會將已經加載好木馬的U盤故意丟在目標用戶的必經之路，一旦對方撿起U盤並插入電腦之中，其木馬病毒將會繞過電腦的防護系統，黑客可以輕而易舉地入侵目標用戶的系統。

除了U盤之外，MP3、MP4、移動硬盤、數碼相機等移動儲存設備無一例外地成為此類病毒的傳播載體。2018年，台積電生產線感染了臭名昭著的WannaCry勒索病毒，導致多個廠區被迫停產，損失達到驚人的近10億人民幣。而這一切的根源，很有可能是台積電員工使用了加載了勒索病毒的U盤。

2、利用電源竊取數據

以色列內蓋夫本·古里安大學曾發布了一項研究報告揭露了一種「會說話」的惡意軟件。它通過啟動和停止CPU工作負載，影響電源的開關頻率，從而讓電源中的變壓器和電容器發出聲音信號。

簡單來說，惡意軟件利用變化電流所對應的變化電磁場，將其轉化為音頻，以便竊取數據。而這種特殊的「噪音」，一旦被聲波接收設備捕獲，稍加提取處理，就能復原成原始信息，也就是目標電腦設備上的高敏感數據。

這樣的攻擊方式聽起來是不是和傳統的網絡攻擊大相徑庭，既不需要WiFi，也不需要藍牙，黑客竟然可以輕鬆獲取目標的機密數據。另外，由於這樣的攻擊並不是以傳統入侵的方式進行，因此極難被發現。

3、災備不完善導致損失慘重

2020年，微盟就因程序員刪庫一事損失慘重。根據公開報告，程序員因個人原因深夜刪除微盟數據庫，導致微盟自2020年2月23日19時起癱瘓，300餘萬用戶無法正常使用該公司SaaS產品，故障持續時間長達8天14個小時。微盟一夜之間市值蒸發超10億，300萬商鋪慘遭癱瘓，微盟支付恢復數據服務費、商戶賠付費及員工加班報酬等經濟損失共計人民幣2260餘萬元。

雖然刪庫不是一項真正意義上的物理攻擊，但是從刪庫一事造成的嚴重影響來看，很明顯微盟沒有做好容災備份，最起碼每天的增量備份工作沒有完成，還有可能沒有對非機構化數據進行備份。而缺乏對物理安全的重視，最終讓微盟付出了無比慘痛的代價。

類似的案例歷史上已經出現過許多次，其中不乏無法恢復備份的情況，但是總有企業心存僥倖，以至於事故出現時無能為力。

4、直接潛入公司獲取登錄憑證

很多人因為不願意記賬號和密碼，就直接將其貼在了桌子上。在某次HW演練中，攻擊方成員了解到這一情況後，就偽裝成該公司的保潔人員，光明正大進入公司辦公區域，並以打掃衛生，清理垃圾為由，悄悄查看員工的登錄憑證，最終憑藉這些信息成功入侵企業內網。而目標公司對此則一臉懵逼，看着沒有被攻擊的安全體系，始終弄不明白為什麼這麼容易就被打破了內網。

5、利用激光和LED突破物理隔離

眾所周知，LED常用語打印機等設備內，用以顯示設備狀態，而這種LED是可以接受光信號。利用這一特性，攻擊者將激光定向發送到事先安裝好的LED，並記錄LED燈的響應情況，建立了一個可以雙向使用的長達25米的隱蔽通信通道。

根據測試情況，這個隱蔽通信通道的數據輸入速率可以達到每秒18KB以上，數據輸出速率可以達到每秒100KB，已經足夠支持一般文字文件的實時傳輸。這就意味着，利用激光和LED，攻擊者不僅可以讀取物理隔離系統中的數據，還可以寫入數據；並在不添加額外硬件的情況下，在被攻擊的設備中檢索數據。

類似的物理攻擊案例還有很多。而面對這些物理攻擊，企業的安全體系往往顯的捉襟見肘，傳統應對網絡的各種方法無法奏效，甚至短時間內都無法找到問題出現的原因。

物理攻擊廣泛存在於商業犯罪之中

除了利用物理攻擊突破企業安全體系外，物理攻擊還廣泛被用於商業犯罪和間諜竊聽中，其過程更加隱蔽且具有高威脅性。

例如在上世紀四十年代，蘇聯曾經利用一種名為「金唇」的竊聽器竊聽了美國駐蘇聯大使館長達七年的時間。期間歷任數屆大使，大使館還進行了翻新和裝修，但是這個竊聽器就一直安安穩穩放在了大使館的牆上。

該竊聽器藏在一枚蘇聯贈送的木製美國國徽之中，拿到該禮物後，大使館技術人員對此進行了細緻的檢查，由於沒有發現電池，因此斷定絕不可能是竊聽器。

但實際上，「金唇」竊聽器所使用的是射頻識別技術。這是一種無線電通信技術，最大的特點就是自身無需電源即可工作。「金唇」內部有一個線圈組件，收到外部發射過來的無線電信號後，通過電磁感應就會自動產生電流，實現無需電池就可以驅動設備工作。而沒有外部的無線電信號時，這個設備就不會工作，也不會發送任何無線電信號，非常隱蔽，不容易被發現。

此外，在商業環境中還有另外一種神奇的竊聽技術——激光竊聽。

其原理是用激光發生器產生一束極細的激光，發射到被竊聽房間的玻璃上。當房間裡有人談話的時候，玻璃因受室內聲音變化的影響而發生輕微的振動，從玻璃上反射回的激光包含了室內聲波的振動信息。人們在室外一定的位置上，用專門的激光接收器接收，就能解調出聲音信號，從而監聽室內人的談話。

由於激光竊聽設備並不需要放置到被監聽者的房間內，所以很難被排查發現。較早的激光竊聽器需要極大的穩定性，往往會在一個較為固定的地方實施。據稱海灣戰爭期間，美國情報人員在伊拉克使用激光竊聽技術，從行駛的汽車反光鏡上捕捉到了車內伊拉克高級將領說話的聲音，通過技術處理掌握了車內談話的全部信息。

除竊聽外，其他被用於商業犯罪的攻擊手段還有很多，包括利用針孔攝像頭攝像，在車上或身上安裝定位設備，在鍵盤上安裝記錄器，安放無線干擾器干擾對手投標答辯等等。隨着經濟的不斷發展，當下商業犯罪手段出現的頻率越來越高，值得引起企業的重視。

結語

隨着網絡安全產業的發展和融合，網絡攻擊的複雜性正在快速上升，一次成功的網絡攻擊往往包含多個步驟。在這個過程中，物理攻擊往往以網絡攻擊的跳板或後門出現，並且同樣呈現出快速上升的趨勢。

究其原因，網絡安全體系的整體能力正在逐步提升，拉高了單次網絡攻擊的成本，迫使攻擊者選擇成本更低的攻擊路徑，而此時不怎麼顯眼的物理安全就成為了新的突破點。尤其是當下很多企業的物理安全和網絡安全存在割裂感，給了攻擊者可趁之機。

當下，全國HW行動即將啟動，相信針對物理安全部分的攻擊也將逐漸增加。畢竟網絡安全是一個整體性的工程，短板效應十分明顯。

此時，企業也應適當回過頭，看看那些被遺忘在角落裡的物理安全。