事件概述

美國時間3月7日，維基解密（WikiLeaks）網(wǎng)站公布了大量據(jù)稱是美國中央情報局（CIA）的內部文件，其中包括了CIA內部的組織資料，對電腦、手機等設備進行攻擊的方法技術，以及進行網(wǎng)絡攻擊時使用的代碼和真實樣本。利用這些技術，不僅可以在電腦、手機平臺上的Windows、iOS、Android等各類操作系統(tǒng)下發(fā)起入侵攻擊，還可以操作智能電視等終端設備，甚至可以遙控智能汽車發(fā)起暗殺行動。

維基解密將這些數(shù)據(jù)命名為“7號軍火庫”（Vault7），一共有8761份文件，包括7818份網(wǎng)頁以及943個附件。在公布時，維基解密對文件內容進行了一些刪節(jié)處理，包括個人真實信息（姓名、郵件地址等），數(shù)以萬計的IP地址，以及真實的二進制文件。維基解密表示在對文件進行進一步的分析之后，會逐步公開這些被刪節(jié)的信息。同時，維基解密稱此次公布的數(shù)據(jù)只是一系列CIA機密材料的第一部分，被稱為“元年”（YearZero），后續(xù)還會有更多資料陸續(xù)公布。

泄漏內容

此次公布的數(shù)據(jù)都是從CIA的內網(wǎng)保存下來的，時間跨度為2013到2016年。這批文檔的組織方式類似于知識庫，使用Atlassian公司的團隊工作共享系統(tǒng)Confluence創(chuàng)建。數(shù)據(jù)之間有明顯的組織索引關系，可以使用模板對多個資料進行管理。很多資料有歷史改動的存檔，7818份資料中除去存檔共有1136個最新數(shù)據(jù)。943個附件基本上都可以在資料中找到對應的鏈接，屬于其內容的一部分。具體而言，這些資料可以分為如下幾類：

1.CIA部門資料，包括部門的介紹，部門相關的黑客項目，以及部門內部的信息分享。

2.黑客項目資料，包括一些不屬于特定部門的黑客工具、輔助項目等，其中有項目的介紹，使用說明以及一些技術細節(jié)。

3.操作系統(tǒng)資料，包括iOS、MacOS、Android、Linux、虛擬機等系統(tǒng)的信息和知識。

4.工具和開發(fā)資料，包括CIA內部用到的Git等開發(fā)工具。

5.員工資料，包括員工的個人信息，以及員工自己創(chuàng)建的一些內容。

6.知識庫，這里面分門別類地存放了大量技術知識以及攻擊手段。其中比較重要的是關于Windows操作系統(tǒng)的技術細節(jié)和各種漏洞，以及對于常見的個人安全產(chǎn)品（PersonalSecurityProducts）的繞過手段，包括諾頓、卡巴斯基、賽門鐵克、微軟殺毒以及瑞星等安全產(chǎn)品。

總的來看，這些數(shù)據(jù)雖然有組織關系，但是作為工作平臺而言，并沒有形成嚴格的規(guī)范，很多文件都是隨意放置的，甚至還包括asdf這樣的測試文件，更像是一個內部的知識共享平臺。

典型兵器

在這次公布的數(shù)據(jù)中，一些比較值得注意的兵器項目如下：

WeepingAngel

WeepingAngel(哭泣的天使)是一款由CIAEmbeddedDevicesBranch(嵌入式設備組)和英國MI5共同開發(fā)的針對三星智能電視的竊聽軟件。三星智能電視使用的是Android操作系統(tǒng)，該竊聽軟件感染智能電視后，會劫持電視的關機操作，保持程序的后臺運行，讓用戶誤以為已經(jīng)關機了。它會啟動麥克風，開啟錄音功能，然后將錄音內容回傳到CIA的后臺服務器中?？紤]到三星智能電視使用的是Android操作系統(tǒng)，推測該惡意軟件具備感染Android手機的能力。韓國和美國是三星智能電視的最主要消費國家。

HIVE

HIVE(蜂巢)是CIA開發(fā)的遠程控制后臺項目，該項目負責多個平臺的后臺控制工作。從泄漏的文件來看，HIVE系統(tǒng)在2010年10月26日發(fā)布了第一版，直到2014年1月13日一共更新到2.6.2版本。作為間諜軟件最重要的部分，Command&ControlServer就由該項目負責。整體上，植入目標機器中的間諜軟件，通過HTTPS協(xié)議同后臺C&C服務器進行交互，整個通信過程使用了，數(shù)據(jù)加密，身份鑒權等諸多信息安全高級技術。同時在異常處理和服務器隱藏等關鍵模塊的設計上，也體現(xiàn)出國家隊的技術水平。

從架構設計上分析，HIVE分為兩層，第一層直接與間諜軟件連接，部署在商用的VPS(VritualPrivateServer)上。第一層將所有流量通過VPN加密轉發(fā)到第二層。轉發(fā)策略是如果流量經(jīng)過身份鑒權，確認是目標機器，就會向代號為”Honeycomb”的服務器集群轉發(fā)，這里會對收集到的信息進行存貯和分析，如果鑒權失敗，就會向一個無害的網(wǎng)站轉發(fā)，達到重要服務器不被暴露的目的。

UMBRAGE

UMBRAGE(朦朧的外表)取自英語古語，有朦朧虛無的意思。該項目主要目的是隱藏攻擊手段，對抗調查取證。現(xiàn)實世界中，每一個案件，背后無論多么撲溯迷離，在現(xiàn)場一定會留下線索，如果是慣犯，兇手會有一定的作案模式。在網(wǎng)絡世界中也是一樣的，每一次發(fā)動的網(wǎng)絡攻擊，都會和之前的攻擊有著千絲萬縷的聯(lián)系，都能提取出一定的攻擊模式。

CIA的RemoteDevicesBranch(遠程設備組)，收集維護了一個網(wǎng)絡攻擊模式庫，該模式庫總結了之前使用過的攻擊方式和技術，例如包含HackingTeam泄漏出的代碼和俄羅斯使用的技術。擁有了龐大數(shù)量的模式庫之后，對于新發(fā)起的網(wǎng)絡攻擊，可以采取模仿，混淆等多種戰(zhàn)術，達到迷惑敵人，隱藏自己的目的。UMBRAGE項目包含了惡意軟件大部分功能模塊，例如：鍵盤記錄器，密碼收集器，攝像頭控制，數(shù)據(jù)銷毀，提權，反殺毒軟件等等。

FineDining和Improvise(JQJIMPROVISE)

"FineDining"（美食大餐）提供了標準化的調查問卷，CIA的OSB(OperationalSupportBranch)部門會使用該調查問卷，用于將辦案人員的請求轉換為針對特定操作的黑客攻擊的技術要求。問卷可以幫助OSB在現(xiàn)有的攻擊工具集中選擇合適的攻擊工具，并將選好的攻擊工具清單傳遞給CIA的負責配置攻擊工具的運營人員。OSB在這里充當了CIA運營運營人員和相關技術支持人員的接口人的角色。

調查問卷會讓填寫者填寫諸如目標計算機使用的操作系統(tǒng)、網(wǎng)絡連接情況、安裝的殺毒軟件等信息，隨后會由"Improvise"（即興演出）處理。"Improvise"是一個用于配置、后處理、payload設置和executionvector選擇的工具集，可支持所有主流操作系統(tǒng)。"Improvise"的配置工具如Margarita允許NOC（NetworkOperationCenter）根據(jù)"FineDining"問卷的要求來定制工具。

"FineDnining"用于收集攻擊需求，而"Improvise"用于將攻擊需求轉化為攻擊工具，這兩個工具相互配合使用，可以準備、快速的對任何特定目標實施攻擊?？梢姡珻IA已經(jīng)實現(xiàn)了對指定目標的攻擊實現(xiàn)了高度的定制和高效的配置。

后續(xù)

此次公開的數(shù)據(jù)龐大，并且還有部分數(shù)據(jù)未公布。騰訊電腦管家反病毒實驗室會持續(xù)關注該事件，跟進最新進展；同時繼續(xù)深入分析現(xiàn)有內容，挖掘其中涉及的安全漏洞、入侵手法和攻擊工具，第一時間披露更加具體的細節(jié)信息。

同時也在這里提醒廣大用戶，此次公布的數(shù)據(jù)中包含大量漏洞信息和攻擊工具，可能被不懷好意的人利用，成為他們手中新的武器。希望廣大用戶最近提高警惕，留心關注最新的安全新聞，注意及時更新電腦、手機上的安全防范措施，避免遭受此次事件的負面影響。

相關新聞

2017-03-15

2017-05-16

2017-05-31

2017-06-06

2017-08-10

DoNews游戲1月23日特稿（記者孫永立）提及游戲數(shù)據(jù)分析，往往會想到那些大公司，只有它們有實力組建BI部門。隨著大數(shù)據(jù)時代的來臨，令數(shù)據(jù)分析的門檻不斷降低，中小團隊采用數(shù)據(jù)驅動的手游運營方式也成為了可能，前提則是解決安全的顧慮和培養(yǎng)數(shù)據(jù)驅動運營的意識。

去年12月，深圳慧動創(chuàng)想推出了線上數(shù)據(jù)分析平臺DataEye。該開發(fā)團隊成員于去年9月從騰訊離職創(chuàng)業(yè)，并獲得千萬融資。近日，慧動創(chuàng)想CEO汪祥斌接受了記者專訪，介紹了數(shù)據(jù)分析行業(yè)以及數(shù)據(jù)驅動手游運營的新變化。

據(jù)汪祥斌介紹，數(shù)據(jù)分析與大數(shù)據(jù)息息相關，國外這方面起步早，積累多，資本更關注。隨著大數(shù)據(jù)時代帶來的技術變革，海量數(shù)據(jù)的計算和存儲問題得到解決，比如Google開源了一部分技術，數(shù)據(jù)分析的技術門檻被降低。

在國外，數(shù)據(jù)分析已經(jīng)初步形成產(chǎn)業(yè)鏈——從數(shù)據(jù)清洗、數(shù)據(jù)存儲到實時性三個環(huán)節(jié)的產(chǎn)業(yè)分工。與海外相比，國內的數(shù)據(jù)分析行業(yè)仍在起步階段。目前，國內僅有三家數(shù)據(jù)分析公司，北京的友盟、TalkingData和深圳的慧動創(chuàng)想，專注于手游數(shù)據(jù)分析的僅有慧動創(chuàng)想。

從功能上來看，游戲數(shù)據(jù)分析可分為市場、開發(fā)、運營三大類：市場層面影響、指導企業(yè)決策，開發(fā)和運營層面對應游戲設計和運營。開發(fā)數(shù)據(jù)分析的代表是Zynga，從立項、評審、策劃都需要數(shù)據(jù)支撐?；蛟S是過于追求數(shù)據(jù)，最后導致了Zynga的產(chǎn)品缺少創(chuàng)意而沒落。

運營數(shù)據(jù)分析則可從核心數(shù)據(jù)和專項分析兩方面為游戲運營提供幫助。所謂專項分析，游戲題材、玩法不同，需要深入、針對性地分析。“RPG游戲可能關注玩家成長，就需要知道升級時間、等級停留時間等；棋牌游戲更關注用戶打了多少局，會有一些差異。這是我們正在做的，將來還會提供工具追蹤特定群組等?！蓖粝楸笳f。

對于網(wǎng)游大廠商來說，數(shù)據(jù)分析并不陌生。不過，手游的爆發(fā)催生了數(shù)據(jù)分析市場需求，同時，挑戰(zhàn)依然存在。目前，DataEye平臺上線不足一個月，已接入約30款手游，覆蓋移動終端2000萬以上。困擾汪祥斌的是開發(fā)者的意識，手游市場中小團隊偏多，拍腦袋決策的情況也多。他希望通過免費服務中小開發(fā)者，提升數(shù)據(jù)驅動運營的意識。

“初級的數(shù)據(jù)分析很多人都在做，深入挖掘數(shù)據(jù)的價值才是重點。數(shù)據(jù)分析不僅是提供一個工具，而是一個服務行業(yè)，還要解讀報告、發(fā)現(xiàn)問題、給出意見。當數(shù)據(jù)足夠多的時候，數(shù)據(jù)分析就會涉及游戲產(chǎn)業(yè)的各個環(huán)節(jié)，包括立項、設計等。小團隊在這方面的意識還是相對隨性。”

此外，開發(fā)者對安全的顧慮一直未消除，安全也是大數(shù)據(jù)時代最核心的問題。一方面，開發(fā)者擔心核心數(shù)據(jù)泄露，另一方面，玩家的隱私需得到保障。汪祥斌坦承，截至目前國內外都沒有很好的解決方案，仍在探索。目前，慧動創(chuàng)想的做法是簽訂協(xié)議，除了避免攻擊的技術常規(guī)手段以外，會告知對方使用哪類數(shù)據(jù)，不主動搜集數(shù)據(jù)，而是由CP決定分析哪類數(shù)據(jù)。

不過，隨著手游競爭日趨激烈，對于游戲運營的要求逐步提升。據(jù)汪祥斌預計，游戲數(shù)據(jù)分析在未來1~2年內進入快速發(fā)展期。（完）