写作模式、在线活动和其他无意标痕迹在网络攻击和防御中是如何起作用的。

当我们在数字世界畅游时,我们不知不觉中留下了痕迹——写作风格、文化背景、行为特征——通过这些数据,可以塑造出我们在线上的个人角色。

这些特征和物理特征(如指纹、人脸、笔迹、DNA 和声音)不同,通过这些物理特征执法人员可以追踪犯罪分子,并启用生物认证工具。但是,在数字领域对犯罪分子进行追踪时,通常物理特征能起到的作用有限,而非物理特征却被证明能发挥作用。

普华永道 (PwC) 英国网络安全业务技术研究负责人 Matt Wixey 将这些行为特征称为 “human side-channels”,并表示它们往往源自人的行为。他解释说,这些行为特征根植于人格心理学,源于每个人独特的经历、训练和反馈。我们常常意识不到我们展现的行为。

通过这些无意识的行为,可以对你进行识别或跟踪,这些特征主要是无意间展现的。

虽然有很多行为痕迹可供探索,但 Wixey 选择了法律语言学来解释 human side-channels 如何在网络安全领域被用来进行攻击和防御。语言学绝不是一门新兴学科,但作为一名前执法官员转网络安全研究员的他发现,这项研究对调查实体和虚拟犯罪都很有用。

Wixey 认为,这像是应用语言学的副产物,原理是每个人都有自己独特的写作风格,不一定是他们的笔迹,而是人们如何造句和构建段落,以及他们使用标点和运用语法的方式。从防御的角度来看,如果网络犯罪分子在攻击过程中留下了任何文字,比如钓鱼邮件、赎金通知或短信,这可能会有助于破案。

当然,一段文字是否有用取决于研究者能获得多少样本。Wixey表示,你可以对文本本身做一些事情。当你手头有一段文本时,更容易避免进行全面的取证分析,这么做也更划算。安全专家可以通过多种方式通过法律语言学获得帮助,而这取决于他们拥有的资源以及他们准备对这项技术投入多少。

例如,假设一个组织机构受到了鱼叉式钓鱼攻击。在这封恶意电子邮件中,分析人员可以找出不寻常的句子结构或突出的短语,然后把它们粘贴到搜索引擎中,看看它们是否出现在互联网上的其他地方。Wixey 表示,这种策略已经运用到了现实世界的犯罪中,可以从此着手进行进一步调查。

如果在最近的论坛帖子中出现了一个不寻常的短语,那么仔细阅读论坛上有关攻击的信息或其他线索,会有助于你进一步了解所发生的事情。该论坛作为可疑对象可以上报给执法部门。

法律语言学也可以用来比较社交媒体账户。他补充道,如果同一个人拥有多个 Twitter 账户,你或许可以将这几个账户都合并到一起。这在调查虚假宣传活动或敲诈、欺诈时可能会很有用。

Wixey 继续说道如果有更多的时间和资源,一个全职的攻击调查员或威胁情报分析员可以建立一个语料库,或者收集来自不同人员和来源的文本。在他们建立一个包含赎金消息、推文和论坛帖子的库时,可以将未来攻击中出现的文本与库中的文本进行比较,查看是有匹配项。

这种方法并没有受到多少关注,因为大多数安全从业人员的意识不够,只是这不是大多数人会选择的标准调查流程。

伪装写作风格

尽管这些无意识特质已经深深根植于个人的写作风格中,Wixey 表示,人们还是有办法掩盖它们的。为了应对法律语言学,他们可能会把一篇文章通过谷歌翻译十几遍,然后不断地调整文本,保证所要传递的信息没有发生变化,但执笔者的写作风格和结构却被隐藏了。他说这是一个 “相当原始” 的策略,但也容易自动化。另一种策略是与他人合写一篇文章,这样两种风格会混杂在一起。

在美国黑帽会议上, Wixey 将在他的报告——《我是独一无二的,就像你一样:基于人的旁路攻击及其对安全和隐私的影响》中研究了多个 human side-channels,这些痕迹在网络攻击和防御上如何起作用,对隐私的影响,以及如何应对它们。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。