新的一学期开始了,这门课是必修课,所以不得不选,但是这门课略坑,只有6个周一课程,没有周二的实验课,而且还是在一个不通风的阶梯教室里,非常的闷热。
首先老师简单介绍了自己,然后简单介绍了一下cybersecurity 和cybercrime的一个情况,他认为这是一门比较新的学科,大概也就十几年,二十几年的历史。在早些时期,是没有任何关于该学科的书籍,介绍等等,到了90年底后期才陆陆续续开始。
此外呢,这门学科是实时变化的,有一些行为在过去时允许的,现在则不允许;或者在这里是允许的,在其他地方则允许。另外学科基本上是始终处于追赶的位置,一直在更新,去赶上最新的犯罪行为,犯罪手法等等。
接下来老师讲了一下这节课的一个规划,每周一节课,每节课2小时左右,每周聚焦的一个主题不同,另外作业部分是写两篇assignments。第一篇下周发布选题以及样本,第二篇后面在发布。
第一节课讲了很多概念性的东西,上来就是计算机系统的定义
对于网络犯罪,就目前为止,尚未有统一的定义,因为涉及到的东西太多了。但是普遍认为网络犯罪的特征有以下,比如没有物理上或者地理上的限制,可以在短期内快速启动大量的犯罪,现有的法律框架可能无法适用。
下面的网站给与了很多的新闻和定义。
https://www.unodc.org/e4j/en/secondary/cybercrime.html
网络犯罪不仅仅是包含数据等的泄露,盗窃之类的,一些网络霸凌,虚拟霸凌等等,这些七七八八的情况都很复杂。
这里引入一个概念,MO
MO(Modus Operandi)是指犯罪者或攻击者的行为方式或手段。在网络安全领域,MO可以指攻击者使用的技术、工具、目标或动机。了解攻击者的MO可以帮助防御者识别、预防和应对网络攻击。
不同类型的网络攻击可能有不同的MO。例如,勒索软件攻击的MO是通过加密受害者的数据并要求支付赎金来获取解密密钥,而钓鱼攻击的MO是通过伪造合法的电子邮件或网站来诱骗受害者提供敏感信息或下载恶意软件。
一些常见的网络攻击MO包括:
- 利用系统或应用程序的漏洞来执行恶意代码或获取访问权限
- 利用社会工程学技巧来欺骗或操纵受害者
- 利用网络中的弱点或错误配置来进行横向移动或升级权限
- 利用合法的系统或工具来隐藏或传播恶意活动
- 利用受害者的身份或凭证来访问受保护的资源或信息
- 利用供应链或内部威胁来破坏或窃取数据
- 利用物联网设备或无线网络来发起或放大攻击
网络犯罪还分为运用到网络的犯罪(利用钓鱼邮件的网络诈骗)和纯独立的网络犯罪(比如单纯的盗窃QQ密码)
这要取决于ICT设备到底是目标还是实现目标的一个MO。
网络犯罪非常复杂,有不同的犯罪者,有不同的角度,比如犯罪分子,防御者,受害人。网络犯罪还涉及到社会工程学,计算机科学,法律等等各种方面。
这里引入概念TTP,
黑客说的 TTPs 是指 Tactics, Techniques and Procedures,即战术、技术和程序。这是一个网络安全术语,用来描述威胁行为者的行为、过程、动作和策略,以及他们如何开发威胁和发动网络攻击。
TTPs 可以帮助网络安全专业人员分析和防御攻击,通过了解攻击者的操作方式,可以发现、评估和应对安全威胁。
TTPs 的三个要素分别是:
- 战术(Tactics):指攻击者为实现某个特定目标而采用的高层次的行为和策略。例如,获取敏感数据的未授权访问、在网络中进行横向移动或破坏网站等。
- 技术(Techniques):指攻击者用来实现战术行动的一般性的方法和中间手段。例如,如果目标是破坏网站,技术可能是 SQL 注入。每个战术可以包含多种技术。
- 程序(Procedures):指攻击者使用某种技术执行某种战术时的具体的步骤序列。例如,SQL 注入的程序可能包括扫描目标网站的漏洞、编写包含恶意代码的 SQL 查询,并将其提交到网站上的一个不安全的表单,以获取服务器的控制权。
目前新西兰的一个状况,已经有一些政府机构和组织来做一些网络安全的工作,但是目前这些机构发布的的一些报告都有一些问题。链接中的报告可以抽空看看。
https://www.ncsc.govt.nz/resources/ncsc-annual-cyber-threat-reports/2023-web/
这里有一个简单的流程图,可以简单看一下,但是实际上可能有部分步骤会颠倒一下。
reconnaissance 侦查
weaponization 武装起来
delivery 送点木马病毒进去
exploitation 把漏洞泄露出来
installation 通过漏洞安装勒索软件等等
command & control 执行命令,取得控制权
actions on objectives 索要赎金之类的
PPT后面还有几页,但是这个老师没讲,总之目前第一节课看来内容比较枯燥,不知道后续如何。
万万没想到,这个老师就这么个风格,居然第二周补上第一周没讲完的内容,
还是回到新西兰的一个情况,反正网络犯罪是持续发展
然后呢就是疫情的影响,很多公司都遭到了网络犯罪的侵袭,比较常见的有电信诈骗之类的,还有盗窃信用卡信息买东西等等。特别是远程办公带来了新的挑战
最后就是总结部分,意思不大。
课后的阅读材料有几个,第一个是CERTNZ写的2023Q3的安全报告,主要讲了一些诈骗案例的上升,有包括诈骗投资案例以及诈骗工作案例。
第二个是一个简单的图表,也是来自CERTNZ,可以看到虽然案例少了,但是财产的损失增大了,然后类型也不断变化,恶意软件少了,而诈骗,未授权的访问以及钓鱼获取登录信息等增加了很多。
下面这个材料是来自PWC的2022报告,是全球范围内的经济诈骗。其中值得注意是根据公司年度财政报表或者纳税多少来区分公司的规模,除了100亿美金以上的公司中网络诈骗排第二,其余经济规模的全部都是网络诈骗排第一。而假如按照行业来区分的话,网络诈骗在各个行业都位列前三。
在经济下行周期,诈骗的案例数量会增加,而类型会发生变化,比较有特点,特别是这次全球疫情后期远程办公的增加,网络诈骗增长速度有目共睹。这种来自外部的经济诈骗很难被控制和影响,在疫情几年迅速增长。
从趋势上来看,犯罪的手段在逐渐聚合,犯罪团伙也逐渐聚合,甚至出现了大量前法律人员的加入,这很可能也是经济影响造成的。从外部经济犯罪分子的比例也可以得到黑客从第二变成了目前的第一位。
这一篇是讲了一些关于网络犯罪的公约之类的,比较枯燥和繁琐,其中上课内容里几个概念都来自于此,这一篇基本都是定义了一些概念。
最后一个文件是讲疫情期间第四次的调查,关于新西兰犯罪的,里面有一些关于网络诈骗,网络犯罪的内容,但是零零散散分布在里面。
