下载掌阅APP,畅读海量书库
立即打开
示之以动,利其静而有主,益动而巽。
此计的全称为“明修栈道,暗度陈仓”,比喻明里做的和暗里做的不是一回事。明里做的“明修栈道”是假的,意在吸引对方注意力,迷惑对手;暗里做的“暗度陈仓”才是真的,才是最终想要达到的目的。此计的特点在于,将最终的真实意图隐藏在合情合理的虚假行动背后,通过迂回进攻来出奇制胜。简要来说,此计通过正面活动来迷惑对手,而暗地里却展开其他活动,以便出其不意。
此计出自秦朝末年的一个真实故事。话说公元前206年夏天,韩信和刘邦率大军悄悄离开南郑开始东征。韩信首先命令樊哙带一万人马前去重修早已被毁的300余里栈道,限他在三个月内完工,以便东征大军随后通行。可沿途地势险恶,高低不平,有的地方必须架桥,有的地方还得开山。十几天下来,新修的栈道只有区区一小截。期限短,口粮少,压力大,士兵们怨声载道,甚至连樊哙也公开吐槽说:这么庞大的工程,就算是动用十倍的人马修一年,也没法完工呀!士兵们一听,怨气就更大了,干活也就更没劲了。
又过了几天,上级派来一批工头和民夫前来增援,同时责怪樊哙监工不力,口出怨言,勒令他立即返回南郑,等待“处分”。新工头果然更加凶狠,天天督促大家运木料,送粮草,吵吵嚷嚷,闹得鸡飞狗跳。结果,栈道工程刚开始,本该严格保密的行动就变得天下皆知了,刘邦要兴兵东征的消息更是传到了关中。
驻守关中的秦军猛将章邯,赶紧一面派探子打听栈道修建进展,一面调兵遣将准备拦截刘邦的东征部队。很快,章邯就如释重负。原来,各方探子均回报说,汉军的大将是曾经钻过别人裤裆的韩信,将士们对这位韩信都不服气,不听他指挥。特别是修栈道的逃兵越来越多,别说是三个月,就是一年半载也难以完工,就算是汉军长了翅膀也难以飞入关中。刘邦叫嚷的“东征”,很可能只是虚张声势而已。不过,谨小慎微的章邯仍派重兵死死守住栈道东口,以防万一,而且还每天派人专门打听汉军动静。尽管如此,章邯依然中计了。一天,章邯突然收到急报说:“汉军已越过栈道,夺取了陈仓,目前正飞速袭来!”原来,韩信的主力根本没经过新修的栈道,而是在砍柴老乡的指点下,绕小道直接突袭了陈仓。
此处的暗度陈仓与第六计声东击西既有相似之处,也有区别。相似之处在于,两者都是虚张声势,制造假象来迷惑敌人以便采取真实行动。主要区别在于,暗度陈仓是同时采取真伪两个行动。其中,表面上的那个行动看起来无大害,暗地里的那个行动才是重点。声东击西则是只采取一个打击行动,却有真伪两个目标,意在分散敌方兵力。如果混淆了这两个计谋的作用和操作方法,就会招致灾祸。比如,当年姜维就错将暗度陈仓弄成了声东击西,而他的声东击西又被邓艾识破,结果邓艾带头裹上牛皮,冒死滚下摩天悬崖,抢先攻入成都,灭了蜀国。
在网络安全领域,“明修栈道,暗度陈仓”的案例数不胜数。有些是以民用的“明修栈道”来实施军用的“暗度陈仓”,比如,民用的“星链”卫星网络就在俄乌冲突中发挥了重要的军事作用。有些是以善意的“明修栈道”来实施恶意的“暗度陈仓”,比如,某些高级的复印机或传真机中就藏有间谍设备,它们在正常工作时,会将所处理的文件内容扫描后悄悄发送给预先指定的特殊机构或个人,实现其窃密目的。有些是以有意的“明修栈道”来实施无意的“暗度陈仓”,实际上,几乎所有的信息系统都能在一定程度上,在特殊的情况下被黑客用于“暗度陈仓”。毕竟,所有信息系统都是多功能的,甚至还有若干尚未被发现的新功能,它们都能被用于“暗度陈仓”。此外,同样的功能也可以被用作多种目的,比如,许多网络设备都必须具有远程检测功能,否则其维护成本将大幅增加,而该功能显然也可用于作恶,用于黑客的远程攻击等。
网络中第一种比较直观的暗度陈仓技术,可能当数所谓的“后门”技术。它是网络系统中的一种特殊隐蔽方法,用于绕过既定的安全防范措施,达到黑客的攻击目的。比如,通过“后门”技术来躲过计算机、芯片和产品等设备中的既有身份验证或加密过程,获得计算机的远程访问权、加密系统的明文阅读权、数据库文件删改权或网络信息传输权等。后门可以再细分为软件后门、硬件后门和固件后门等,其中最为常见的是软件后门,它能绕过软件的安全性控制,从隐秘的通道取得对程序或系统的相关权限。软件后门的形式也是多种多样,既可能是程序的隐藏部分,也可能是一个单独的程序,还可能是某个固件中的代码,又可能是操作系统的一部分等。
由于各种后门不可避免,暗度陈仓便成了网络攻防的一种基本手段。比如,在软硬件开发过程中,有时为了方便修改和测试系统的缺陷,通常会有意设置某些后门。一旦这些后门被黑客恶意利用,就可能带来隐患。在软硬件产品发布前,有时也会封闭这些后门以免威胁信息系统的安全,但有时也会刻意保留某些后门以利今后的软硬件升级等。此外,所有人造系统都难免出现失误,其中某些失误可能就会形成系统漏洞。一旦这些漏洞被黑客发现,它们就可能成为发动攻击的后门。比如,著名的“密码破解后门”就是黑客常用的最早的后门之一,它不仅能获得对UNIX的访问权,还可以通过它来破解相关密码,特别是破解用户的弱口令,让黑客顺利进入用户系统,执行非法操作。即使管理员查封了黑客的当前账号,他也可以卷土重来。实际上,黑客只需再次找到另一个口令薄弱的未使用账号,然后重置口令,就可以以新的“合法”身份发起新的攻击。
网络中第二种比较直观的暗度陈仓技术,名叫旁路攻击。这里的“旁路”意指被传统攻击所忽略了的很隐蔽的攻击途径。比如,在密码破译过程中,设法绕过对加密算法的烦琐分析,利用密码芯片的运算过程中泄露的信息(如执行时间、功耗、电磁辐射等),再结合统计理论来实现密码的快速破解。
目前最常用的旁路攻击主要有如下四种:
一是缓存攻击,通过掌控缓存的访问权而获取一些敏感信息,例如,通过掌控云端主机或物理主机的访问权而获取存储器的访问权。
二是计时攻击,通过设备运算的时长来推断所使用的运算操作或存储设备等。
三是功耗监控攻击,通过监控硬件单元的功耗情况来推断数据输出的位置。
四是电磁攻击,通过分析设备运算时的电磁辐射来解析其中的信息等。
与后门情形类似,所有物理器件的旁路信息泄露也是不可避免的,所以任何物理设备都有可能遭到旁路攻击的暗度陈仓。实际上,旁路攻击的重点打击对象主要包括电子器件、密码算法和信息产品等。
网络中第三种比较直观的暗度陈仓技术,叫中间人攻击。这种攻击的一个形象类比是:假设买卖双方想在桌下悄悄摸手讨价还价,这时一个黑客潜入桌下,他用左手与买方讨价,同时又用右手与卖方还价。只要黑客的手势未露破绽,他就能操纵买卖双方的谈判,既不被发现又从中谋利。这种攻击的更规范描述是:假设甲乙双方正在通信,这时黑客切断了甲乙间的通信线路,然后开始搭线窃听。当甲向乙发出信息A后,黑客就假冒乙来接收信息A;然后,黑客将信息A替换为自己想发给乙的信息B,接着又假冒甲把信息B发给乙,于是乙就误以为信息B来自甲。反过来,当乙向甲回复信息C时,黑客又假冒甲来接收信息C;然后黑客将信息C替换为自己想发给甲的信息D,接着又假冒乙把信息D发给甲,于是甲就误以为信息D来自乙。总之,经过一个回合后,甲与乙都以为他们在正常通信,实际上他们是在倾听黑客的自言自语,同时黑客还截获了他们的正常信息。
可见,黑客作为中间人,他所发动的上述攻击,其实是对甲乙间会话的劫持,或者说他操纵了甲乙间的对话。只要黑客的应对不露破绽,甲乙双方就很难发现自己早已被暗度陈仓。只要黑客的引导足够巧妙,他就能从甲和乙那里获得所需信息,比如甲乙双方的账号和口令等;黑客还能向甲乙双方发送错误信息或共享恶意链接,甚至导致甲乙双方的系统崩溃,或为其他网络攻击埋下伏笔。
在中间人攻击中,相关各方既可以是人,也可以是设备。比如,黑客经常会在公共场所创建假冒Wi-Fi热点来充当中间人,让该Wi-Fi以免费方式吸引周边网民随意接入。一旦某人接入了这个Wi-Fi,黑客就可以轻松骗取其账户和口令,接着就能访问他的相关系统,甚至盗取其银行存款等。
中间人攻击的后果主要体现在如下三个方面:
一是将受害者引导到虚假网站。在中间人攻击中,当黑客更改IP地址中的数据包头时,他就能实施IP地址欺骗;当黑客侵入域名服务器并更改网站的域名记录时,他就能实施域名欺骗。无论在哪种情况下,黑客都能将受害者引入事先设置的虚假网站,然后在那里关门打“狗”,尽情捕获猎物信息,而且还让受害者全无感觉,直到最终造成重大损失。
二是变更他人数据的传输路径。在中间人攻击中,当黑客将其媒体存取控制地址连接到合法用户的IP地址时,他就能重新路由通信目的地,从而接收合法用户IP地址的任何数据。如果此时的数据刚好未被加密,信息泄露便不可避免。
三是劫持安全套接层。在中间人攻击中,黑客可以伪造验证身份所需的密钥,然后建立一个看似合法且安全的会话,进而控制这个对话。黑客也可以针对安全套接层中的某些漏洞,在受害设备中植入恶意软件,让它拦截相关敏感数据。黑客还可以将安全的超文本传输协议链接转换为不安全链接,进而从会话中删除加密操作,获取会话期间所有通信的明文信息。
中间人攻击的防范策略,主要有如下五个:
一是注意连接点的安全。特别是在公共场所,不要轻易连接那些来路不明的Wi-Fi热点。即使迫不得已需要连接,也不要在此登录自己的系统,更不要输入账号和口令等敏感信息,除非你使用了加密功能。
二是随时警惕网络钓鱼。钓鱼网站是中间人攻击的另一个常见入口,必须对它有足够的警惕。特别是在不够安全的场景中,最好要老老实实输入需要访问的网址,而不是只图省事,直接点击看似无害的链接。毕竟黑客的钓鱼网址经常也是看似无害的,实则早已嵌入了恶意代码。
三是始终通过安全的超文本传输协议来验证站点的合法性和安全性,以此确保所访问的网站具有足够的安全性,同时确保所共享的敏感信息不会被泄露。一旦完成任务后,就应尽早退出安全会话,以减少黑客闯入的风险。
四是按正常步骤登录,既不省略任何必要的操作,也不增加任何可疑的动作。若有任何异常现象,应该首先想到是否是黑客攻击。比如,某个账号若突然在半夜三更异常活跃,就该立即关注,一旦确认为黑客攻击,就要及时制止。
五是尽可能使用多因素身份验证,有效防止中间人攻击。实际上,即使黑客获得了用户名和口令的组合,面对多因素身份验证,黑客也会因为缺乏足够的一次性验证信息而无法登录。