如何摆脱Google的影响,实现一个完全无Google因素的网络环境

lucywang Web安全 2019年4月19日发布
Favorite收藏

导语:我花了相当长的时间研究和学习如何破解G Suite并将它们武器化,以下我会详细介绍我使用过的许多不同攻击方法。

前言

本文我得先从我最近参与的一个安全检测项目开始谈起,本次的客户是一家企业,不得不说,本次我们的客户的安全防护做得非常好。他们的安全运营中心(SOC)配备了很多先进的内部异常检测工具以及顽强的事件响应团队。这里我要说一句,他们是Google的客户,并利用G Suite来处理他们基于云的业务应用程序。

2019年4月,Google为 G Suite带来了一系列更新,本轮更新重点增强了公司数据的保护,既包括控制用户的访问权限,还可以通过提供新的工具来防止网络钓鱼和恶意软件攻击。本次Google还发布了高级网络钓鱼和恶意软件保护Beta版本,旨在帮助管理员保护用户免受恶意附件和电子邮件欺骗等因素的影响。

于是,我花了相当长的时间研究和学习如何破解G Suite并将它们武器化,以下我会详细介绍我使用过的许多不同攻击方法。

对G Suite进行渗透测试时,被Google反制裁。在我和我的团队使用CredSniper(一个使用Python微框架Flask和Jinja2模板编写的网络钓鱼框架)成功地破坏了凭证并绕过了双因素验证之后,我们立即开始横向地在Google应用程序中寻找典型的公司数据。不过,我们碰到了G Suite的异常检测系统,因为它们利用Google Groups向技术团队发送电子邮件,其中就包含有趣的安全警报和crontab命令行日志。不久之后,客户在Google的帮助下发现我们的身份验证活动是可疑的,并触发了一系列内部安全流程。经过努力,我们最终侵入了其他一些账户,此时即使企业有强大的事件响应团队,他们也无法进入我们的OODA循环。后来我们发现,Google的管理API实际上并不是实时的,而且日志延迟了15分钟,这让我们有了足够的攻击信心。为了验证G Suite的强大防御能力,他们联系了Google的SOC寻求帮助。

果然在24小时内,就有安全研究人员一直在跟踪、记录和破坏我们的攻击过程。

在此,我想说的是,客户和Google之间的及时沟通非常重要。然而,有时事情可能会事与愿违,这点我会在下面讲到。

企业和Google之间的联合预防策略的实现

在这24小时内,GoogleSOC能够跟踪和关联我的所有有关此次渗透测试的帐户、电话和API令牌,然后暂停所有帐户。更糟的是,他们还将攻击的指标与我的所有相关账户进行了关联匹配,暂停了我的工作账户。虽然我们的系统管理员第二天重新启用了它,但又被暂停了,同时还暂停了系统管理员重新启用它的权限。由此可见,Google跟踪和关联账户的能力非常非常好。在接下来的几天里,我甚至无法收到Google已经恢复的客户的邮件,且无法访问任何与Google身份验证帐户相关的资源。除此之外,我的工作日程也无法访问。

如果冲突发生在企业账户级别,那么这意味着企业的整个业务可能会戛然而止。在接下来的几周里,我和妻子不断遇到身份验证问题,所有设备(笔记本电脑、电视、恒温器、平板电脑等等)上的Google帐户会话都会随机要求重新身份验证。至此我十分怀疑,我们的家庭IP地址是否在Google系统中被标记为恶意?

如果我的怀疑属实,则意味着一家科技巨头可以主宰我工作和生活的方方面面,想想都可怕,这已经超越了安全行业的范畴。后来,我的客户告诉我,GoogleSOC给他们提供了初始访问向量的链接。

另外,Google是否有关于我的所有关联账户的信息呢? 虽然我的这次渗透测试是违反了Google对渗透测试的要求的规定,但却不违反其云服务条款。显然,每个测试人员在渗透测试时,都需要注意的相关的规定,这是所有测试人员在测试任何基于云的服务时都需要注意的问题。在云服务渗透测试方面,我们还处于空白领域。所以,许多供应商都误认为,即我们永远不会测试他们的核心服务。

解除Google对渗透测试人员的追踪

需要说明的是,我所拥有的每一部智能手机都运行Android系统,我家里几乎所有的智能设备或者都运行Android系统,或者归Google所拥有的,而我本身也是一个G Suite用户。因为我所有的文件都备份到Google云端硬盘,我的Google帐户是我的上网主要帐户,我的所有TOTP 2FA都依赖Google身份验证器,我的电话号码甚至是谷歌语音。毋庸置疑,解除Google对我的追踪是多么迫切。

更换Google移动操作系统

为此我考虑了以下的系统:

1.FireOS(似乎已经停用了);

2.PureOS( ,一款全新的免费Linux发行版);

3.Firefox OS(已经停用了);

4.KaiOS(一个基于Linux的移动操作系统);

5.Ubuntu Touch(不错的选择);

6.LightPhone 2(还没有发布);

7.Windows 10手机版(今年年底发布)

8.Blackberry/SilentPhone/Cryptophone(现在都运行Android)

9.iOS

在对所有可用的选择都测试之后,我最终买了一部iPhone,它与Macbook Pro笔记本电脑结合在一起,彻底改变了我的整个网络生活。

更换2FA验证方案

虽然选择一个TOTP 2FA解决方案相当简单,但是我想再深入一些,并为基于SMS的2FA创建一个完全独立的验证方案。虽然有些人可能认为它与prepper-level status属于同一类别,但它确实为攻击者在攻击备份SMS 2FA实现时创建了额外的保护步骤。有许多TOTP选项,以及使用应用程序集成其他电话号码的VOIP提供商。我没有看到大多数选项之间的太大差异,以下是一些我考虑过的采用TOTP多因子身份验证的应用程序:

Authy ;Authy是一款跨平台的、支持多个设备同时使用的两步验证管理工具,是“Google 身份验证器”的有力替代者。Authy 的优点在于,它可以同时管理多个平台的两步验证,同时支持多设备同时使用,也可以快速在设备之间迁移、抹除,还支持 Touch ID 验证。Authy 可以管理所有使用“Google 身份验证器”的账号系统,包括 Gmail、Evernote、Facebook、Dropbox、LastPass等。Authy 改进了 Google Authenticator 的功能:

Duo Mobile :Duo Mobile 是一款手机系统软件,下载并安装了这款软件后,能够得到Duo网络安全的双因素认证服务,使登录更加安全。

LastPass Authenticator :LastPass新出的验证码应用,支持所以基于时间的一次性密码标准(TOTP)算法的服务。它将双因素验证因子存储在LastPass账号中,可以在不同设备之间云同步。

更换VOIP提供商

Cloud Sim:Cloud SIM技术,其本质上就是聚合全球流量资源,提供跨境场景下的通信服务;

Telos

OpenPhone

Sideline

Line2

更换电子邮件服务商

更换新的邮件提供商时,我遇到了一个很大的问题。我刚开始是希望服务商完全支持别名注册,因为我想为不同的别名创建唯一的电子邮件地址。这听起来可能很疯狂,但使用别名可以方便地整合电子邮件,降低交叉污染的风险。因为我不喜欢我的个人数据被出售,所以我选择了付费电子邮件。现时有多个邮件服务供应商可供选择:

ProtonMail;ProtonMail是知名的安全电子邮件提供商,总部在瑞士,2013年由欧洲核子物理研究所(CERN)、麻省理工(MIT)、以及哈佛(Harvard)的研究人员联合创建,致力于为注重隐私和安全性的用户提供加密电子邮件服务。支持免费和付费两类帐户,所有账户均使用端到端加密功能,默认启用PGP加密。

FastMail;

Office 365;

Zoho;

iCloud;

我使用的电子邮件提供商是FastMail,他们有多个注册方案,你甚至可以自带域名。它内置支持同步联系人和日历,同时支持类似于Google云端硬盘的文件支持。我确实担心我的邮件客户端会在每个电子邮件标题中泄露我的源IP地址,这通常发生在你不使用Webmail客户端时。据悉,FastMail有一个未公开的SMTP端口565,它会从所有出站电子邮件中删除源IP地址。另外,他们也有一个不错的移动应用程序。

脱离Google环境,完全迁移的过程

以下有一些需要注意的事项:

账户方面:

· 使用新的电子邮件地址更新所有网站配置;

· 更新Slack和其他社交应用程序;

· 使用电子邮件作为备份更新其他配置文件;

电话方面:

· 迁移手机文件和图像;

· 在新手机上重新安装应用程序;

数据方面:

· 备份G Suite数据;

· 备份Google云端硬盘文件;

· 导入联系人;

· 导入日历事件;

安全方面:

· 重新同步TOTP 或推送2FA令牌会话;

· 使用SMS 2FA更新配置文件;

帐户迁移

我使用了一些技巧来加速这个过程:首先使用我的密码管理器来跟踪我用新电子邮件地址更新的帐户。这很方便,因为它能帮助我确保覆盖了所有帐户,同时还可以直接更新密码管理器。不过要注意的是,有时密码管理器不会自动更新电子邮件地址。很少有网站不允许我更新我的电子邮件地址。另外,你可能还想考虑重新生成你更新电子邮件地址的帐户所依赖的API令牌。另外,在我更新了我的个人资料电子邮件之后,我使用的API令牌不再有效。

电话迁移

这可能是最简单的迁移了,我把Android手机上的应用程序列了一个简单的清单,并确保在我的新手机上重新安装它们。可惜的是目前还没有一款应用能自动做到这一点。

数据迁移

通过访问https://google.com/takeout,你可以很容易地下载所有帐户数据,但我强烈建议单独同步Google云端硬盘。如果你是一个重度用户,大文件会花费很长的时间。使用Google Takeout的好处是你的所有Gmail都将被下载,唯一的问题是导出我的Google图书时出了问题。由于某种原因,他们不再提供下载或导出功能。

对于存储数据的迁移,我选择用Synology DS218play NAS和Seagate SATA驱动器替换我的家用NAS,然后将所有内容存储在本地而不是云端。我最终购买了两倍的空间并运行了SHR raid配置。这与raid 1配置类似,不同之处在于它是一种自定义Synology raid类型,允许混合和匹配磁盘大小,同时在磁盘发生故障时维护典型的镜像冗余。选择Synology有很多原因,但这个基于Linux的操作系统有一个简化的用户界面,其中包含一些非常酷的内置应用程序,从协作工具到我的Google照片和Google云端硬盘需求的替代品(Moments和Drive应用程序),你甚至可以直接备份Google云端硬盘! 

如果你还想在云中获取更多数据,可以使用以下解决方案:

· AWS S3

· Azure Storage

· Digital Ocean Spaces

· Box.com

· DropBox

注意:不要忘记将你的联系人和日历导入新的提供商。

安全迁移

最后,我们不要忘记GoogleAuthenticator中所有那些讨厌的TOTP令牌会话,以及为所有配置文件更改你的电话号码,这些配置文件仅通过提供SMS来实现2FA解决方案,效果很差。

我非常反对使用基于sms的2FA作为主要的甚至是备份的2FA。如果你的配置文件只启用了SMS 2FA,请确保使用你的新电话号码更新配置文件。

摆脱Google的限制后,重新进入网络环境

现在是删除Google帐户的时候了,因为所有的设置、迁移和正常工作都已经完成。但我没有立即行动,因为我担心我可能遗漏什么内容。结果证明我的选择是正确的,因为在一些情况下,我需要访问我的电子邮件,它被配置为其他配置文件的备份。重新进入网络环境前,要做的事情:

· 删除Google账户

· 出厂重置

对于某些人来说,避免使用Google服务是不可能的。例如,我必须在工作中使用它,那么我如何防止将数据泄露给Google呢?我的做法在一个隔离的环境中,如我的工作笔记本上使用Google。对于互联网搜索,我已经完全使用了DuckDuckGo,DuckDuckGo强调在传统搜寻引擎的基础上引入各大Web 2.0站点的内容,其办站哲学主张维护使用者的隐私权。

本文翻译自:https://www.blackhillsinfosec.com/how-to-purge-google-and-start-over-part-1/ 与 https://www.blackhillsinfosec.com/how-to-purge-google-and-start-over-part-2/如若转载,请注明原文地址: https://www.4hou.com/web/17510.html
点赞 5
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论