2019年,黑客将便携式网络设备塞进背包,并在Facebook公司园区游荡,诱骗人们加入一个虚假的客户Wi-Fi网络。同一年,他们在真实的Facebook生产服务器上安装了3万多名密码挖掘者,试图在所有噪音中隐藏更险恶的黑客行为。如果肇事人员不是Facebook的员工本人,即所谓的“红队”成员,负责在坏人发现漏洞之前发现漏洞,那么所有这一切都将令人震惊。
大多数大型科技公司都有一个“红队”,这是一个内部组织,像真正的黑客一样策划和计划,帮助防范潜在的攻击。但当世界开始远程工作,越来越依赖Facebook等平台进行所有互动时,威胁的性质开始改变。Facebook红队经理Nat Hirsch和同事Vlad Ionescu看到了机会和需求,他们的任务是发展和扩展。因此,他们成立了一个新的红色团队,专注于评估Facebook依赖但不自行开发的硬件和软件。他们称之为红队X。
一个典型的红队专注于探测他们自己组织的系统和产品的漏洞,而像谷歌的Project Zero这样的精英漏洞搜寻小组可以专注于评估他们认为重要的任何东西,不管它是谁做的。红队X于2020年春成立,由Ionescu领导,代表着一种混合方式,独立于Facebook最初的红队,开发第三方产品,这些产品的弱点可能会影响社交巨头自身的安全。
Ionescu说:“新冠肺炎对我们来说确实是一个机会,让我们退一步,评估我们所有人的工作方式、事情的进展情况,以及红队下一步可能会做什么。”随着疫情的持续,越来越多的人要求该集团研究其传统范围之外的产品。通过红队X, Facebook已经投入了专门的资源来处理这些询问。Ionescu说:“现在工程师来找我们,要求我们看看他们正在使用的东西。”“它可以是任何种类的技术硬件、软件、低级固件、云服务、消费设备、网络工具,甚至工业控制。”
“我们的范围是研究几乎所有可能对Facebook公司产生重大影响的东西的安全。”
弗拉德约内斯库,Facebook
该组织现在有六名拥有广泛专业知识的硬件和软件黑客,专门负责审查。对他们来说,花上几个月的时间深入探索产品的各个方面是很容易的。因此,红队X设计了一个招募流程,促使Facebook员工明确提出他们的具体问题:“这个设备上存储的数据是强加密的吗?”,或者“这个云容器是否严格管理访问控制?”任何关于哪些漏洞会给Facebook带来最大麻烦的指示。
Ionescu说:“我是这方面的书呆子,和我一起工作的人也有同样的倾向,所以如果我们没有具体的问题,我们会花6个月的时间去探索,而这实际上并没有多大用处。”
1月13日,红队X首次公开披露了一个漏洞,这是思科AnyConnect VPN的一个问题,该问题已被修补。今天又发布了两个。第一个是涉及AWS服务的PowerShell模块的Amazon Web服务云bug。PowerShell是一个可以运行命令的Windows管理工具;该团队发现,该模块可以接受用户的PowerShell脚本,而这些用户本不应该进行这样的输入。这个漏洞很难被利用,因为未经授权的脚本实际上只会在系统重新启动后运行——用户可能没有能力触发这种情况。但研究人员指出,任何用户都有可能通过提交支持单来请求重启。AWS修复了该缺陷。
另一项新披露的信息包括工业控制制造商Eltek生产的一款名为Smartpack R controller的电力系统控制器的两个漏洞。该设备监测不同的电流,本质上是操作的大脑。如果它连接到电网、发电机和电池备份的线路电压,它可能会检测到电力不足或停电,并将系统电源切换到电池。或者在某一天,当电网正常运行时,它可能会注意到电池电量不足,并开始充电。
Ionescu将该设备描述为“奇特的物联网电源插板”,虽然它实际上并没有连接到互联网,但它仍然可以通过一个组织的内部网络进行通信,并且可以在一个组织的内部网通过浏览器访问。红队X发现的这些漏洞都与简单的网络保护缺失有关,这可能会让黑客在与设备相同的网络上运行恶意Javascript有效负载,并可能操纵或破坏控制器。
Eltek弥补了这两个缺陷,但这一发现突显了红队X项目的多样性。一个联网的电力系统控制器可能看起来像专业的工业基础设施,不会直接与Facebook这样的网络公司相关,但这类设备在世界各地的办公室甚至住宅建筑中越来越常见。
红队X的出现似乎特别合时宜,因为去年12月有爆料称,有俄罗斯政府支持的可疑参与者渗透了IT管理公司SolarWinds。他们利用这个位置,通过对公司Orion网络监控工具的恶意更新,攻击了美国和国外的数百个其他目标。这种针对科技行业相互关联的生态系统的“供应链攻击”很难完全防御,也是安全行业最棘手的挑战之一。
Ionescu表示:“红队X的任务直接指向了确保Facebook供应链的安全。“我们的范围是研究几乎所有可能对Facebook公司产生重大影响的东西的安全。”
红队X的突出之处不仅在于它调查的潜在漏洞的广度,还在于它本身的存在。Cedric Owens,一个长期的公司红队领导,他在星期三的安全会议GrimmCon上发表了关于建立一个公司红队的基础的讲话,强调安全团队很难得到他们需要的人数。
欧文斯说:“大多数内部红色团队没有时间、资源或技能来定期寻找零日漏洞。“所以,当普通的红队想要模仿具有零日漏洞利用能力的更高级别对手时,拥有一个像红队X这样的姐妹团队将是一个很好的好处。但通常只有最顶尖的1%的公司有这种能力。”
虽然红队X模型不会很快变得无处不在,但对于1%的企业来说,资助这些机制仍然很重要。由于有28亿用户依赖Facebook来保护他们的数据和通信,该公司必须尽一切努力确保自己和供应商的产品尽可能安全。当Facebook出现安全问题时,对每个人来说都是坏事。当红队X帮助修复技术范围内的漏洞时,这可能也会使许多其他服务和平台更加安全。
