信息化觀察網(wǎng)

寫作模式、在線活動(dòng)和其他無意標(biāo)痕跡在網(wǎng)絡(luò)攻擊和防御中是如何起作用的。

當(dāng)我們?cè)跀?shù)字世界暢游時(shí)，我們不知不覺中留下了痕跡——寫作風(fēng)格、文化背景、行為特征——通過這些數(shù)據(jù)，可以塑造出我們?cè)诰€上的個(gè)人角色。

這些特征和物理特征（如指紋、人臉、筆跡、DNA 和聲音）不同，通過這些物理特征執(zhí)法人員可以追蹤犯罪分子，并啟用生物認(rèn)證工具。但是，在數(shù)字領(lǐng)域?qū)Ψ缸锓肿舆M(jìn)行追蹤時(shí)，通常物理特征能起到的作用有限，而非物理特征卻被證明能發(fā)揮作用。

普華永道 (PwC) 英國(guó)網(wǎng)絡(luò)安全業(yè)務(wù)技術(shù)研究負(fù)責(zé)人 Matt Wixey 將這些行為特征稱為 “human side-channels”，并表示它們往往源自人的行為。他解釋說，這些行為特征根植于人格心理學(xué)，源于每個(gè)人獨(dú)特的經(jīng)歷、訓(xùn)練和反饋。我們常常意識(shí)不到我們展現(xiàn)的行為。

通過這些無意識(shí)的行為，可以對(duì)你進(jìn)行識(shí)別或跟蹤，這些特征主要是無意間展現(xiàn)的。

雖然有很多行為痕跡可供探索，但 Wixey 選擇了法律語言學(xué)來解釋 human side-channels 如何在網(wǎng)絡(luò)安全領(lǐng)域被用來進(jìn)行攻擊和防御。語言學(xué)絕不是一門新興學(xué)科，但作為一名前執(zhí)法官員轉(zhuǎn)網(wǎng)絡(luò)安全研究員的他發(fā)現(xiàn)，這項(xiàng)研究對(duì)調(diào)查實(shí)體和虛擬犯罪都很有用。

Wixey 認(rèn)為，這像是應(yīng)用語言學(xué)的副產(chǎn)物，原理是每個(gè)人都有自己獨(dú)特的寫作風(fēng)格，不一定是他們的筆跡，而是人們?nèi)绾卧炀浜蜆?gòu)建段落，以及他們使用標(biāo)點(diǎn)和運(yùn)用語法的方式。從防御的角度來看，如果網(wǎng)絡(luò)犯罪分子在攻擊過程中留下了任何文字，比如釣魚郵件、贖金通知或短信，這可能會(huì)有助于破案。

當(dāng)然，一段文字是否有用取決于研究者能獲得多少樣本。Wixey表示，你可以對(duì)文本本身做一些事情。當(dāng)你手頭有一段文本時(shí)，更容易避免進(jìn)行全面的取證分析，這么做也更劃算。安全專家可以通過多種方式通過法律語言學(xué)獲得幫助，而這取決于他們擁有的資源以及他們準(zhǔn)備對(duì)這項(xiàng)技術(shù)投入多少。

例如，假設(shè)一個(gè)組織機(jī)構(gòu)受到了魚叉式釣魚攻擊。在這封惡意電子郵件中，分析人員可以找出不尋常的句子結(jié)構(gòu)或突出的短語，然后把它們粘貼到搜索引擎中，看看它們是否出現(xiàn)在互聯(lián)網(wǎng)上的其他地方。Wixey 表示，這種策略已經(jīng)運(yùn)用到了現(xiàn)實(shí)世界的犯罪中，可以從此著手進(jìn)行進(jìn)一步調(diào)查。

如果在最近的論壇帖子中出現(xiàn)了一個(gè)不尋常的短語，那么仔細(xì)閱讀論壇上有關(guān)攻擊的信息或其他線索，會(huì)有助于你進(jìn)一步了解所發(fā)生的事情。該論壇作為可疑對(duì)象可以上報(bào)給執(zhí)法部門。

法律語言學(xué)也可以用來比較社交媒體賬戶。他補(bǔ)充道，如果同一個(gè)人擁有多個(gè) Twitter 賬戶，你或許可以將這幾個(gè)賬戶都合并到一起。這在調(diào)查虛假宣傳活動(dòng)或敲詐、欺詐時(shí)可能會(huì)很有用。

Wixey 繼續(xù)說道如果有更多的時(shí)間和資源，一個(gè)全職的攻擊調(diào)查員或威脅情報(bào)分析員可以建立一個(gè)語料庫(kù)，或者收集來自不同人員和來源的文本。在他們建立一個(gè)包含贖金消息、推文和論壇帖子的庫(kù)時(shí)，可以將未來攻擊中出現(xiàn)的文本與庫(kù)中的文本進(jìn)行比較，查看是有匹配項(xiàng)。

這種方法并沒有受到多少關(guān)注，因?yàn)榇蠖鄶?shù)安全從業(yè)人員的意識(shí)不夠，只是這不是大多數(shù)人會(huì)選擇的標(biāo)準(zhǔn)調(diào)查流程。

偽裝寫作風(fēng)格

盡管這些無意識(shí)特質(zhì)已經(jīng)深深根植于個(gè)人的寫作風(fēng)格中，Wixey 表示，人們還是有辦法掩蓋它們的。為了應(yīng)對(duì)法律語言學(xué)，他們可能會(huì)把一篇文章通過谷歌翻譯十幾遍，然后不斷地調(diào)整文本，保證所要傳遞的信息沒有發(fā)生變化，但執(zhí)筆者的寫作風(fēng)格和結(jié)構(gòu)卻被隱藏了。他說這是一個(gè) “相當(dāng)原始” 的策略，但也容易自動(dòng)化。另一種策略是與他人合寫一篇文章，這樣兩種風(fēng)格會(huì)混雜在一起。

在美國(guó)黑帽會(huì)議上， Wixey 將在他的報(bào)告——《我是獨(dú)一無二的，就像你一樣：基于人的旁路攻擊及其對(duì)安全和隱私的影響》中研究了多個(gè) human side-channels，這些痕跡在網(wǎng)絡(luò)攻擊和防御上如何起作用，對(duì)隱私的影響，以及如何應(yīng)對(duì)它們。