事件概述

美國(guó)時(shí)間3月7日，維基解密（WikiLeaks）網(wǎng)站公布了大量據(jù)稱是美國(guó)中央情報(bào)局（CIA）的內(nèi)部文件，其中包括了CIA內(nèi)部的組織資料，對(duì)電腦、手機(jī)等設(shè)備進(jìn)行攻擊的方法技術(shù)，以及進(jìn)行網(wǎng)絡(luò)攻擊時(shí)使用的代碼和真實(shí)樣本。利用這些技術(shù)，不僅可以在電腦、手機(jī)平臺(tái)上的Windows、iOS、Android等各類操作系統(tǒng)下發(fā)起入侵攻擊，還可以操作智能電視等終端設(shè)備，甚至可以遙控智能汽車發(fā)起暗殺行動(dòng)。

維基解密將這些數(shù)據(jù)命名為“7號(hào)軍火庫(kù)”（Vault7），一共有8761份文件，包括7818份網(wǎng)頁以及943個(gè)附件。在公布時(shí)，維基解密對(duì)文件內(nèi)容進(jìn)行了一些刪節(jié)處理，包括個(gè)人真實(shí)信息（姓名、郵件地址等），數(shù)以萬計(jì)的IP地址，以及真實(shí)的二進(jìn)制文件。維基解密表示在對(duì)文件進(jìn)行進(jìn)一步的分析之后，會(huì)逐步公開這些被刪節(jié)的信息。同時(shí)，維基解密稱此次公布的數(shù)據(jù)只是一系列CIA機(jī)密材料的第一部分，被稱為“元年”（YearZero），后續(xù)還會(huì)有更多資料陸續(xù)公布。

泄漏內(nèi)容

此次公布的數(shù)據(jù)都是從CIA的內(nèi)網(wǎng)保存下來的，時(shí)間跨度為2013到2016年。這批文檔的組織方式類似于知識(shí)庫(kù)，使用Atlassian公司的團(tuán)隊(duì)工作共享系統(tǒng)Confluence創(chuàng)建。數(shù)據(jù)之間有明顯的組織索引關(guān)系，可以使用模板對(duì)多個(gè)資料進(jìn)行管理。很多資料有歷史改動(dòng)的存檔，7818份資料中除去存檔共有1136個(gè)最新數(shù)據(jù)。943個(gè)附件基本上都可以在資料中找到對(duì)應(yīng)的鏈接，屬于其內(nèi)容的一部分。具體而言，這些資料可以分為如下幾類：

1.CIA部門資料，包括部門的介紹，部門相關(guān)的黑客項(xiàng)目，以及部門內(nèi)部的信息分享。

2.黑客項(xiàng)目資料，包括一些不屬于特定部門的黑客工具、輔助項(xiàng)目等，其中有項(xiàng)目的介紹，使用說明以及一些技術(shù)細(xì)節(jié)。

3.操作系統(tǒng)資料，包括iOS、MacOS、Android、Linux、虛擬機(jī)等系統(tǒng)的信息和知識(shí)。

4.工具和開發(fā)資料，包括CIA內(nèi)部用到的Git等開發(fā)工具。

5.員工資料，包括員工的個(gè)人信息，以及員工自己創(chuàng)建的一些內(nèi)容。

6.知識(shí)庫(kù)，這里面分門別類地存放了大量技術(shù)知識(shí)以及攻擊手段。其中比較重要的是關(guān)于Windows操作系統(tǒng)的技術(shù)細(xì)節(jié)和各種漏洞，以及對(duì)于常見的個(gè)人安全產(chǎn)品（PersonalSecurityProducts）的繞過手段，包括諾頓、卡巴斯基、賽門鐵克、微軟殺毒以及瑞星等安全產(chǎn)品。

總的來看，這些數(shù)據(jù)雖然有組織關(guān)系，但是作為工作平臺(tái)而言，并沒有形成嚴(yán)格的規(guī)范，很多文件都是隨意放置的，甚至還包括asdf這樣的測(cè)試文件，更像是一個(gè)內(nèi)部的知識(shí)共享平臺(tái)。

典型兵器

在這次公布的數(shù)據(jù)中，一些比較值得注意的兵器項(xiàng)目如下：

WeepingAngel

WeepingAngel(哭泣的天使)是一款由CIAEmbeddedDevicesBranch(嵌入式設(shè)備組)和英國(guó)MI5共同開發(fā)的針對(duì)三星智能電視的竊聽軟件。三星智能電視使用的是Android操作系統(tǒng)，該竊聽軟件感染智能電視后，會(huì)劫持電視的關(guān)機(jī)操作，保持程序的后臺(tái)運(yùn)行，讓用戶誤以為已經(jīng)關(guān)機(jī)了。它會(huì)啟動(dòng)麥克風(fēng)，開啟錄音功能，然后將錄音內(nèi)容回傳到CIA的后臺(tái)服務(wù)器中?？紤]到三星智能電視使用的是Android操作系統(tǒng)，推測(cè)該惡意軟件具備感染Android手機(jī)的能力。韓國(guó)和美國(guó)是三星智能電視的最主要消費(fèi)國(guó)家。

HIVE

HIVE(蜂巢)是CIA開發(fā)的遠(yuǎn)程控制后臺(tái)項(xiàng)目，該項(xiàng)目負(fù)責(zé)多個(gè)平臺(tái)的后臺(tái)控制工作。從泄漏的文件來看，HIVE系統(tǒng)在2010年10月26日發(fā)布了第一版，直到2014年1月13日一共更新到2.6.2版本。作為間諜軟件最重要的部分，Command&ControlServer就由該項(xiàng)目負(fù)責(zé)。整體上，植入目標(biāo)機(jī)器中的間諜軟件，通過HTTPS協(xié)議同后臺(tái)C&C服務(wù)器進(jìn)行交互，整個(gè)通信過程使用了，數(shù)據(jù)加密，身份鑒權(quán)等諸多信息安全高級(jí)技術(shù)。同時(shí)在異常處理和服務(wù)器隱藏等關(guān)鍵模塊的設(shè)計(jì)上，也體現(xiàn)出國(guó)家隊(duì)的技術(shù)水平。

從架構(gòu)設(shè)計(jì)上分析，HIVE分為兩層，第一層直接與間諜軟件連接，部署在商用的VPS(VritualPrivateServer)上。第一層將所有流量通過VPN加密轉(zhuǎn)發(fā)到第二層。轉(zhuǎn)發(fā)策略是如果流量經(jīng)過身份鑒權(quán)，確認(rèn)是目標(biāo)機(jī)器，就會(huì)向代號(hào)為”Honeycomb”的服務(wù)器集群轉(zhuǎn)發(fā)，這里會(huì)對(duì)收集到的信息進(jìn)行存貯和分析，如果鑒權(quán)失敗，就會(huì)向一個(gè)無害的網(wǎng)站轉(zhuǎn)發(fā)，達(dá)到重要服務(wù)器不被暴露的目的。

UMBRAGE

UMBRAGE(朦朧的外表)取自英語古語，有朦朧虛無的意思。該項(xiàng)目主要目的是隱藏攻擊手段，對(duì)抗調(diào)查取證。現(xiàn)實(shí)世界中，每一個(gè)案件，背后無論多么撲溯迷離，在現(xiàn)場(chǎng)一定會(huì)留下線索，如果是慣犯，兇手會(huì)有一定的作案模式。在網(wǎng)絡(luò)世界中也是一樣的，每一次發(fā)動(dòng)的網(wǎng)絡(luò)攻擊，都會(huì)和之前的攻擊有著千絲萬縷的聯(lián)系，都能提取出一定的攻擊模式。

CIA的RemoteDevicesBranch(遠(yuǎn)程設(shè)備組)，收集維護(hù)了一個(gè)網(wǎng)絡(luò)攻擊模式庫(kù)，該模式庫(kù)總結(jié)了之前使用過的攻擊方式和技術(shù)，例如包含HackingTeam泄漏出的代碼和俄羅斯使用的技術(shù)。擁有了龐大數(shù)量的模式庫(kù)之后，對(duì)于新發(fā)起的網(wǎng)絡(luò)攻擊，可以采取模仿，混淆等多種戰(zhàn)術(shù)，達(dá)到迷惑敵人，隱藏自己的目的。UMBRAGE項(xiàng)目包含了惡意軟件大部分功能模塊，例如：鍵盤記錄器，密碼收集器，攝像頭控制，數(shù)據(jù)銷毀，提權(quán)，反殺毒軟件等等。

FineDining和Improvise(JQJIMPROVISE)

"FineDining"（美食大餐）提供了標(biāo)準(zhǔn)化的調(diào)查問卷，CIA的OSB(OperationalSupportBranch)部門會(huì)使用該調(diào)查問卷，用于將辦案人員的請(qǐng)求轉(zhuǎn)換為針對(duì)特定操作的黑客攻擊的技術(shù)要求。問卷可以幫助OSB在現(xiàn)有的攻擊工具集中選擇合適的攻擊工具，并將選好的攻擊工具清單傳遞給CIA的負(fù)責(zé)配置攻擊工具的運(yùn)營(yíng)人員。OSB在這里充當(dāng)了CIA運(yùn)營(yíng)運(yùn)營(yíng)人員和相關(guān)技術(shù)支持人員的接口人的角色。

調(diào)查問卷會(huì)讓填寫者填寫諸如目標(biāo)計(jì)算機(jī)使用的操作系統(tǒng)、網(wǎng)絡(luò)連接情況、安裝的殺毒軟件等信息，隨后會(huì)由"Improvise"（即興演出）處理。"Improvise"是一個(gè)用于配置、后處理、payload設(shè)置和executionvector選擇的工具集，可支持所有主流操作系統(tǒng)。"Improvise"的配置工具如Margarita允許NOC（NetworkOperationCenter）根據(jù)"FineDining"問卷的要求來定制工具。

"FineDnining"用于收集攻擊需求，而"Improvise"用于將攻擊需求轉(zhuǎn)化為攻擊工具，這兩個(gè)工具相互配合使用，可以準(zhǔn)備、快速的對(duì)任何特定目標(biāo)實(shí)施攻擊。可見，CIA已經(jīng)實(shí)現(xiàn)了對(duì)指定目標(biāo)的攻擊實(shí)現(xiàn)了高度的定制和高效的配置。

后續(xù)

此次公開的數(shù)據(jù)龐大，并且還有部分?jǐn)?shù)據(jù)未公布。騰訊電腦管家反病毒實(shí)驗(yàn)室會(huì)持續(xù)關(guān)注該事件，跟進(jìn)最新進(jìn)展；同時(shí)繼續(xù)深入分析現(xiàn)有內(nèi)容，挖掘其中涉及的安全漏洞、入侵手法和攻擊工具，第一時(shí)間披露更加具體的細(xì)節(jié)信息。

同時(shí)也在這里提醒廣大用戶，此次公布的數(shù)據(jù)中包含大量漏洞信息和攻擊工具，可能被不懷好意的人利用，成為他們手中新的武器。希望廣大用戶最近提高警惕，留心關(guān)注最新的安全新聞，注意及時(shí)更新電腦、手機(jī)上的安全防范措施，避免遭受此次事件的負(fù)面影響。

相關(guān)新聞

2017-03-15

2017-05-16

2017-05-31

2017-06-06

2017-08-10

經(jīng)過一年多的產(chǎn)品迭代與內(nèi)部架構(gòu)優(yōu)化，UCloud內(nèi)容分發(fā)網(wǎng)絡(luò)CDN產(chǎn)品（以下簡(jiǎn)稱“UCDN”）于近日完成全面升級(jí)，已支持http2.0，并且在國(guó)內(nèi)外專線建設(shè)以及海外CDN節(jié)點(diǎn)大規(guī)模擴(kuò)容的條件下，搭建起一套全球動(dòng)態(tài)路由網(wǎng)絡(luò)，用于承載動(dòng)態(tài)數(shù)據(jù)加速、海外直播等業(yè)務(wù)。同時(shí)，為支持各類視頻平臺(tái)的發(fā)展需求，UCDN將視頻處理能力提升到一個(gè)全新量級(jí)。

全面支持http2.0

在互聯(lián)網(wǎng)安全已經(jīng)成了業(yè)界關(guān)注焦點(diǎn)的當(dāng)下，由于傳統(tǒng)http明文傳輸存在諸多安全隱患，蘋果、谷歌等巨頭都在不遺余力的推進(jìn)https普及。而http2.0主要跑在https之上，對(duì)優(yōu)化網(wǎng)站性能起到重要作用。全新升級(jí)的UCDN已經(jīng)在全網(wǎng)范圍內(nèi)支持http2.0協(xié)議。

目前，主流瀏覽器的較新版本都已經(jīng)支持http2.0，包括Chrome、Safari、Firefox等。多路復(fù)用、并發(fā)請(qǐng)求、二進(jìn)制傳輸、頭部壓縮等是http2.0引入的新特性，這些特性減少了客戶端與服務(wù)器之間的交互次數(shù)，降低了請(qǐng)求時(shí)頭部的數(shù)據(jù)傳輸量。采用支持http2.0的UCDN，網(wǎng)站平均訪問速度可以提升30%-50%，尤其是對(duì)頁面元素分散的網(wǎng)站或者App，加速性能更好，能較大幅度提升用戶體驗(yàn)。

加速布局海外CDN節(jié)點(diǎn)

在當(dāng)前國(guó)內(nèi)企業(yè)爭(zhēng)相“出海”的大背景下，UCDN除了在國(guó)內(nèi)提升覆蓋質(zhì)量，也加快了海外CDN節(jié)點(diǎn)部署的步伐。

現(xiàn)在，UCND海外自建和合作的節(jié)點(diǎn)數(shù)量已超過150個(gè)，尤其是在華人較多的東南亞地區(qū)，UCDN基本能保證每個(gè)國(guó)家和地區(qū)都有節(jié)點(diǎn)覆蓋到，包括柬埔寨、緬甸、老撾等人口基數(shù)較少或者網(wǎng)絡(luò)欠發(fā)達(dá)的國(guó)家。

打造全球動(dòng)態(tài)傳輸網(wǎng)絡(luò)

國(guó)內(nèi)與海外各個(gè)節(jié)點(diǎn)之間存在一定的互通問題，再加上跨國(guó)線路延時(shí)高、穩(wěn)定性差，這些都是CDN全球加速需要迫切解決的問題。

UCloud除了建設(shè)中美、中日、美歐等專線外，還引入了一套動(dòng)態(tài)智能路由系統(tǒng)。該系統(tǒng)將所有節(jié)點(diǎn)組成一個(gè)邏輯上的網(wǎng)狀結(jié)構(gòu)，并且以十秒為周期，探測(cè)節(jié)點(diǎn)兩兩之間的延時(shí)以及丟包率，通過最短路徑算法，將所有節(jié)點(diǎn)連接成一張優(yōu)勢(shì)路由網(wǎng)絡(luò)。

該網(wǎng)絡(luò)的路由會(huì)根據(jù)實(shí)時(shí)探測(cè)和歷史網(wǎng)絡(luò)情況，每分鐘對(duì)路由做重新計(jì)算和調(diào)整，通過不斷選取優(yōu)勢(shì)網(wǎng)絡(luò)，很好地解決了跨網(wǎng)跨地區(qū)網(wǎng)絡(luò)質(zhì)量不穩(wěn)定問題。目前，直播、動(dòng)態(tài)加速等對(duì)網(wǎng)絡(luò)質(zhì)量要求高的業(yè)務(wù)，也均可以運(yùn)行在這張動(dòng)態(tài)路由網(wǎng)絡(luò)上。

（圖：動(dòng)態(tài)路由選擇最優(yōu)路徑示例）

視頻處理能力數(shù)量級(jí)提升

視頻是網(wǎng)絡(luò)流量的第一大戶。對(duì)于CDN來說，一方面需要給視頻客戶節(jié)省流量成本，另一方面還需要保障視頻在各種網(wǎng)絡(luò)環(huán)境下的流暢播放。視頻壓縮以及其它視頻處理能力是各CDN平臺(tái)必不可少的功能，因?yàn)橐曨l處理比較耗費(fèi)計(jì)算資源，對(duì)于UGC產(chǎn)生的海量視頻，一般面臨著視頻串行處理延時(shí)過高，用戶上傳的視頻無法及時(shí)推送到平臺(tái)的問題。

基于UCloud強(qiáng)大的云計(jì)算基礎(chǔ)設(shè)施平臺(tái)，UCloud媒體工廠產(chǎn)品UMedia通過容器部署的方式，具備了同時(shí)調(diào)度20000個(gè)以上計(jì)算節(jié)點(diǎn)的能力，可并發(fā)處理40000-60000數(shù)量級(jí)別的視頻，并融合了視頻AI的功能，提供視頻審核服務(wù)，很好地滿足了如糖豆廣場(chǎng)舞、唱吧等客戶的需求。

（圖：UCDN視頻處理與分發(fā)流程）

在產(chǎn)品功能和質(zhì)量提升的同時(shí)，UCDN產(chǎn)品還將秉承UCloud整個(gè)云計(jì)算服務(wù)平臺(tái)快速響應(yīng)的服務(wù)標(biāo)準(zhǔn)，切實(shí)做到“客戶為先”。