如今,漏洞已經成為IT領域的嚴重威脅,時不時曝出的安全漏洞再加上某些媒體的推波助瀾,讓用戶無所適從甚至產生恐慌。實際上,任何IT系統都有存在漏洞的可能。那么我們應該如何看待、如何應對這些漏洞呢?漏洞的可怕之處在哪里,我們應該如何防范?
幾個月前,OpenSSL的“心臟出血”漏洞鬧得沸沸揚揚。這個漏洞就好像是我們忽然發現大家使用的鎖存在安全問題,可以被攻擊者輕易攻破。如果世界上所有的鎖都形同虛設,不知道會引起多大的恐慌。
北京時間8月7日凌晨,著名的“2014黑帽大會”在美國拉斯維加斯召開。會上又有很多的安全漏洞被曝光出來:比如USB存在漏洞可以讓攻擊者修改USB主控固件,將各種USB設備(不僅是U盤,而是各種帶有USB接口的設備)改裝為攻擊工具;高通驍龍處理器存在漏洞可能導致幾乎所有采用該處理器的手機存在信息泄露的風險;某些飛機通信設備的固件存在漏洞,可能導致攻擊者利用飛機上的Wi-Fi網絡或機載娛樂信息系統入侵飛機航空電子設備,中斷或修改衛星通信,干擾飛機的導航和安全系統……
這些漏洞的出現更加駭人聽聞。面對這些層出不窮的漏洞,我們不禁要問,我們應該如何看待這些安全漏洞?為了安全,是不是拋棄所有的電子設備和系統回到“原始社會”才是最好的選擇?
事實上,漏洞是任何IT系統都有可能存在的。人類并不完美,人類所造就的IT系統同樣并不完美,但顯然我們早已離不開這些“不完美”的系統,這些“不完美”的系統推動了人類社會大步前進。我們不應該談漏洞色變,但是我們應該冷靜地觀察,認識安全漏洞的成因找到關于漏洞的解決方法,才能做到處變不驚。
平衡被打破
安全漏洞有些看似離我們很遠,實則離我們很近。可能很多人不知道,在我們每天使用的桌面操作系統上,就時刻上演著針對系統漏洞的攻防戰。
4個月之前,微軟Windows XP停止服務事件在國內信息安全領域掀起一場軒然大波。說到底,Windows XP停止服務事件就是一個典型的關于漏洞防護的事件。眾所周知,微軟會定期發布補丁(Patch)對其軟件,特別是操作系統上存在的安全漏洞和功能上的不足進行持續性的修補。而Windows XP停止服務,就是微軟宣布終止對已經服役了十余年的操作系統Windows XP進行修補,不再發布關于Windows XP的補丁。
奇虎360資深安全研究員張聰告訴《中國計算機報》記者,由于微軟Windows操作系統在PC端的廣泛應用,世界各地都存在一些黑色的利益鏈條,他們不斷地挖掘Windows系統上的安全漏洞,然后利用這些安全漏洞攻擊用戶并獲得非法利益;另一方面,很多安全廠商和白帽子也在挖掘Windows系統上的安全漏洞,發現后立刻報告給微軟讓微軟進行修補,這也正是微軟安全補丁的由來。
“一直以來,黑色利益鏈條對Windows XP安全漏洞的挖掘和利用與微軟對安全漏洞的修補保持著動態的平衡。然而,微軟停止對Windows XP提供服務事件打破了Windows XP系統上安全漏洞挖掘與修補的平衡。也就是說,由于仍然有眾多的用戶使用Windows XP,黑色利益鏈條對Windows XP安全漏洞的挖掘和利用不會停止,而另一方,微軟卻停止了對Windows XP的安全漏洞的修補,這就讓Windows XP用戶所面臨的威脅放大,防范Windows XP的安全威脅顯得更加重要。”張聰說。
以快制勝
事實上,“零日攻擊”也是近年來在信息安全領域可以經常聽到的詞之一。很多安全廠商都認為,對零日攻擊的防范是如今網絡攻擊防范的重點和難點。所謂零日攻擊,就是攻擊者利用零日漏洞所發起的攻擊。而零日漏洞并非特指某一個安全漏洞,而是指攻擊者在發現了某個安全漏洞后隨即利用這個漏洞實施攻擊,搶在用戶系統中的漏洞修復之前,甚至廠商發布漏洞的補丁之前,攻擊即已得手。
可見,對于漏洞的防范,響應時間非常重要。利用零日漏洞形成的零日攻擊,正是攻擊者利用時間差,進行快速攻擊的結果。
北信源安全專家李鵬告訴記者,后XP時代的用戶面臨一系列安全問題。第一是黑客可能囤積的零日漏洞。Windows XP停止服務以后,Windows XP將永遠遭受零日漏洞的困擾。微軟官方數據顯示,Windows XP系統用戶遭受黑客入侵的風險是Windows 8系統用戶的6倍。第二是系統漏洞對個人的隱私和企業機密帶來安全威脅。第三是APT攻擊。第四是如何保障XP上重要的信息系統穩定運行,如何保證操作系統的穩定和快速的運行。最后一點是如何保證大量信息系統和應用軟件的安全運行。
“北信源很早就意識到了Windows XP停止服務事件對我國用戶的操作系統安全將產生巨大影響,采取行動進行應對的速度也是相當快的。”李鵬告訴記者,北信源早在去年12月就率先發布了專門為Windows XP提供安全防護的產品“金甲防線”,在Windows XP系統上布置了若干道防線。第一道防線是系統安全基線加固,基于微軟系統安全基線,全面收集系統脆弱性信息和安全問題,對各種安全隱患點進行統一排查,形成完善的檢測與管理方案,幫助管理人員預知安全風險,洞察安全隱患,并實現安全策略的統一配置管理。第二道防線是系統堡壘,通過進程黑白名單管理及簽名過濾、惡意程序識別和軟件行為管控,實現操作系統進程的安全加載及執行。第三道防線是數據安全防護,它采用數據全生命周期安全模型,結合用戶行為深度分析、安全容器等技術,解決數據生成、存儲、分發、閱讀等一系列環節的安全問題。此外,“金甲防線”還有數據防火墻、主動防御等防御、數據備份與恢復、敏感信息檢查手段,并具備強大的補丁支撐體系。
“北信源基于近20年的行業經驗和千萬終端用戶應用經驗,形成了完善的補丁支撐體系和漏洞防御體系,能夠快速識別并主動防御操作系統潛在漏洞,全網即時下發補丁,降低由于系統漏洞給用戶帶來的遭受惡意攻擊和數據泄露的風險。”李鵬介紹,“金甲防線”提供了補丁驗證、分發、安裝、回收、回滾等功能,還有一些針對系統安全方面的防護功能,比如,系統的健康體檢和優化、痕跡粉碎、數據保險箱、文件授權的外發、對移動介質的安全管理等。
“即使在系統不打補丁的情況下,‘金甲防線’大約也能抵御90%以上的惡意攻擊,在企業終端系統管理方面,它還可以降低企業的管理成本和系統管理員的工作量,特別適合幫助各個行業企業渡過Windows XP這一操作系統過渡期。”李鵬說。
防御新思路
不可否認的是,攻擊者利用漏洞進行攻擊,相較于病毒、木馬時代,對安全防護提出了更大的挑戰。張聰告訴記者:“過去,特別是安全軟件和安全防護技術并不普及的時代,攻擊者通過編寫病毒、木馬程序實施攻擊,就能達到效果,使其罪惡的目的得逞。然而,隨著互聯網安全軟件的普及,攻擊者很難再通過病毒、木馬作惡,這才迫使他們將目光聚焦在技術門檻更高的安全漏洞身上。”
確實,雖然漏洞一直存在,但是更多的攻擊來自對安全漏洞的利用,也是近幾年呈現出來的趨勢。雖然利用漏洞進行攻擊提高了攻擊者的技術門檻,也讓安全防護軟件的防護更加困難。
“以前對于病毒、木馬進行防護的技術,都是基于特征庫來進行識別和處置的。然而在漏洞時代,防護已經無法基于特征庫來進行了。”張聰告訴記者,利用病毒、木馬進行攻擊與利用漏洞進行攻擊的一個顯著區別在于,利用病毒、木馬攻擊均需要一個實體,防護軟件要識別病毒、木馬的實體并處置,是相對容易的,而利用漏洞攻擊往往只是一段腳本,安全防護軟件很難發現系統的異常狀況,也很難進行攻擊的識別和樣本的捕捉。
“漏洞是無限的,但是漏洞的利用方法是有限的。”李鵬認為。面對利用漏洞這種新的攻擊方式,就要具備新的防護思路。
張聰告訴記者,面對Windows XP停止服務所引發的安全風險,在沒有官方補丁的情況下,必須采用不同與以往的解決方案。據了解,奇虎360發布的安全防護工具“XP盾甲”采用了熱補丁、加固、隔離三個核心的安全策略,對Windows XP實施保護。“應對利用漏洞所帶來的安全威脅,最直接有效的方法就是打補丁。然而,如果一個漏洞出現,對于Windows XP這種微軟官方已經不提供補丁的系統或者是Windows 7、Windows 8這種官方補丁尚未發布的情形,用戶很難在第一時間就得到相應的保護。360則為用戶提供了熱補丁(Hotfix)作為替代性的解決方案,迄今為止,360已經為微軟操作系統的零日漏洞提供了22個熱補丁,覆蓋最近六年爆發的所有高危漏洞。”張聰告訴記者,熱補丁可以做到即時發現、即時解決,360的補天引擎作為快速響應機制,能夠在不修改操作系統文件的前提下,在系統運行之后針對漏洞進行快速修復、快速部署和應用防護。
事實上,Windows XP由于誕生時間較早,受限于當時的軟硬件水平,與現在的操作系統相比,缺乏許多關鍵的安全防護技術,比如DEP數據執行保護、ASLR地址隨機化、SEHOP等。據介紹,360的“XP盾甲”采用了這些技術,從而實現了對用戶操作系統的加固。“要做到提前防范,不能僅僅針對特定的漏洞,更要從加固操作系統內核,強化內核安全性,防范系統內核漏洞的方向著手。”張聰表示,“XP盾甲”針對Windows XP缺少對于代碼執行權限的限制、缺少內核級的內存隨機化、缺少對于0頁內存的保護、缺少對于結構化異常處理鏈條的保護等弱點進行了主動加固。此外,“XP盾甲”也對Windows XP內核提供了額外的保護,比如禁用危險的內核調用、在進入內核前進行額外檢查等。
“即使某個利用漏洞進行的攻擊足夠高明,繞過了360的熱補丁和加固技術,它仍然可能無法得逞,因為我們還有隔離沙箱技術。”張聰告訴記者,當敏感程序運行時,就會被隔離在沙箱中,“XP盾甲”的沙箱會對程序進行諸多限制,諸如限制對操作系統上的敏感數據的訪問等,從而實現對系統的保護。在iOS、Google Chrome等軟件中都引入了沙箱,這樣攻擊者就算通過網頁或者文檔利用漏洞執行了一些危險操作,這些操作也是被困在沙箱中的,無法對系統造成進一步損害。
“不過,在Windows XP上實現完整的沙箱防護并不容易,這是因為沙箱技術需要很多系統底層的支持,但Windows平臺的很多安全機制都是在Vista版本之后加入的,Windows XP能夠支持的安全機制有限。”張聰表示,“要在Windows XP上實現完整的沙箱防護需要先在操作系統上補全‘地基’,這比在Windows 7、Windows 8上實現沙箱防護要困難得多,也同樣考驗著一個安全廠商的技術實力。”
從熱補丁到加固再到沙箱,奇虎360的Windows平臺漏洞防護的思路非常清晰,從針對漏洞的補丁防護,到對操作系統的整體加固,再到利用沙箱進行隔離,這樣的防護思路已經和過去主動檢測、主動識別和阻斷的防護思路完全不同。這套Windows平臺漏洞的防護思路其實也同樣可以為其他軟件系統的漏洞防護所借鑒。
漏洞要公開透明
隨著漏洞成為越來越主流的攻擊方式,漏洞挖掘與修復的爭奪戰也遠遠不會停止。其實,在漏洞攻擊和防護上,比拼的就是攻防雙方誰能率先挖掘出漏洞,是攻擊方率先挖出漏洞并實施攻擊,還是防御方率先挖出漏洞并將漏洞修復。
要做好Windows平臺特別是Windows XP的漏洞防護工作,勢必要時刻監測漏洞的產生并進行快速響應。張聰告訴記者,奇虎360作為微軟MAPP(Microsoft Active Protections Program)計劃的合作伙伴,同微軟密切交換漏洞攻擊與防護信息,從而及時為用戶提供防護。同時,奇虎360也會通過一些公開途徑獲知新發現的漏洞,并且自己挖掘一些漏洞,或者將微軟公布Windows 7、Windows 8漏洞進行研究,并測試其在Windows XP系統上是否存在。
正是由于漏洞攻防戰中,漏洞的挖掘和發現非常重要,所以漏洞平臺的作用也逐漸突顯出來,因為它可以在漏洞發現者(通常是白帽子)與漏洞廠商之間形成良性的信息傳遞,同時為公眾提供警示。伴隨利用漏洞進行攻擊的增長,第三方漏洞平臺也逐漸成長起來,成為抵御漏洞威脅中不可忽視的力量,比如近年來成長起來的烏云漏洞平臺(WooYun.org)。
烏云漏洞平臺成立于2010年,是目前中國規模較大的安全漏洞預警平臺和網絡安全社區,活躍著近萬名白帽子,并能夠將漏洞信息第一時間傳遞給所有行業客戶(政府、金融、運營商、國有企業)以及主流的互聯網及科技公司。烏云漏洞平臺市場總監鄔迪告訴記者,到目前為止,烏云漏洞平臺后臺收到的漏洞提交記錄已經近10萬個,每天平均收到100個以上。在平臺上注冊的白帽子超過1,000個,注冊的企業超過500個,各個行業用戶的漏洞信息通過與國家互聯網應急中心合作進行傳遞。
鄔迪告訴記者,烏云制定了一套合理的漏洞審批機制,充分調動了白帽子和企業的積極性。這套機制不僅能夠讓白帽子主動向企業提交漏洞的詳情,幫助企業評估漏洞問題的嚴重性,還能夠讓企業在第一時間解決漏洞問題、避免用戶遭受損失。
“第三方漏洞平臺的意義還在于提升了我國整體的信息安全意識和水平。”鄔迪告訴記者,“早期,一些企業對這個平臺有所抵觸,認為平臺公開漏洞的做法是在給企業抹黑。然而,他們在對平臺了解后、就開始積極面對并解決安全問題。到現在,很多沒有被披露過漏洞的企業主動來烏云注冊,希望能有白帽子披露他們的漏洞,幫助他們提高。”
“在烏云這樣的漏洞平臺上,白帽子能夠不斷學習和成長;企業能夠及時發現自己的問題和風險,并從平臺上的其他漏洞中汲取經驗;普通大眾則可以掃清對互聯網安全的誤解,提高個人安全意識,同時對個人隱私、數據及財產的安全更有把握。”鄔迪認為。
其實,烏云漏洞平臺搭建了企業與白帽子之間的橋梁,從而可以開展各種定向的增值服務。“我們認為漏洞就應該是公開透明的,公開才能給企業形成壓力,促進企業及時修復漏洞。同時,公開才能提升公眾的安全意識,并提升白帽子與企業互動過程中白帽子的地位。”鄔迪向記者表示,“當然,烏云具有嚴格、合理的漏洞公開機制,并非發現漏洞后就盲目公開,不會讓這些漏洞被攻擊者惡意利用并造成社會的恐慌。”
鄔迪認為,和其他的漏洞平臺相比,烏云漏洞預警平臺由于能確保漏洞的真實性和公開性,并擁有著遠超其他平臺的人氣和數據,使得烏云平臺的漏洞預警更精準、更能反映中國互聯網安全的真實情況。
正視漏洞別作“鴕鳥”
有人說,鴕鳥遇到危險時會把自己的頭埋入草堆里,以為自己的眼睛看不見危險就安全了。心理學家也將人們面對威脅時的消極心態稱為“鴕鳥心態”。
漏洞可能會有很長的潛伏期,也就是說即使某個漏洞被攻擊者利用并完成了攻擊,很長時間內如果用戶并未發現該漏洞并進行修補,這扇“門”就一直在用戶的系統上,向其他攻擊者敞開著,用戶可能渾然不知。然而,漏洞“看不見、摸不著”,具有很強的隱蔽性,也恰恰讓一些企業形成了鴕鳥心態。
“在漏洞攻擊的防護上,廠商的作用其實是最關鍵的。如果廠商總是抱有僥幸心態,或者像鴕鳥一樣不愿正視危險,不對漏洞進行積極響應和處置,就有可能造成大范圍的安全危機,這種做法同時也對自己的用戶不負責任。”張聰說。
然而對于普通用戶而言,除了及時升級軟件、打補丁修復漏洞以外,似乎對利用漏洞進行的攻擊束手無策。張聰則告訴記者,即使是漏洞攻擊,同樣需要載體,同樣需要用戶具有良好的安全意識并保持高度警惕性,比如不要隨意點擊陌生的鏈接或者郵件等。
“最近車聯網、互聯網金融、智能家居、可穿戴設備等應用的興起,讓漏洞變得越來越廣泛。由于這些新興技術和應用剛剛起步,企業對其安全性的了解還在早期階段,但是烏云已經注意到這些趨勢,并引導白帽子關注這些方面的漏洞,并有針對性地提供有價值的安全預警,讓相關企業關注這些領域的安全問題。”鄔迪說,任何系統都有存在漏洞的可能。雖然當前企業的安全意識已經出現了顯著的提升,但是當這些新興技術和應用漸成氣候,相關企業的安全意識和對待漏洞的態度也非常值得我們關注。
鏈接 烏云漏洞平臺公布的2014年10大安全漏洞
1. 互聯網泄密事件/撞庫攻擊
以大量的用戶數據為基礎,利用用戶相同的注冊習慣(相同的用戶名和密碼),嘗試登錄其它的網站。自2011年開始,互聯網泄密事件引爆了整個信息安全界,導致傳統的用戶名+密碼認證的方式已無法滿足現有安全需求。案例:CSDN數據庫泄露,大量用戶真實賬號密碼外泄。
2. 引用不安全的第三方應用
過去幾年中,安全領域在如何處理漏洞的評估方面取得了長足的進步,幾乎每一個業務系統都越來越多地使用了第三方應用,從而導致系統被入侵的威脅也隨之增加。由于第三方應用平行部署在業務系統之上,如果一個易受攻擊的第三方應用被利用,這種攻擊將導致嚴重的數據失竊或系統淪陷。這些第三方應用包括開源應用、組件、庫、框架和其他軟件模塊等。案例:淘寶主站運維不當導致可以登錄隨機用戶并且獲取服務器敏感信息。
3. 系統錯誤/邏輯缺陷帶來的暴力猜解
由于應用系統自身的業務特性會開放許多接口用于處理數據,如果接口或功能未進行嚴謹的安全控制或判斷,將會促使攻擊者加快攻擊應用程序的過程,大大降低攻擊者發現威脅的成本。隨著模塊化、自動化攻擊工具包的趨于完善,這將給應用帶來極大威脅。案例:大公司詬病系列#1 重置京東任意用戶密碼。
4. 敏感信息/配置信息泄露
由于沒有一個通用標準的防御規則保護好中間件配置信息、DNS信息、業務數據信息、用戶信息、源碼備份文件、版本管理工具信息、系統錯誤信息和敏感地址信息(后臺或測試地址)等,攻擊者可能會通過收集這些保護不足的數據,利用這些信息對系統實施進一步的攻擊。案例:攜程安全支付日志可遍歷下載,導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)。
5. 應用錯誤配置/默認配置
應用程序、中間件、服務端程序在部署前,未針對安全基線進行嚴格的安全配置定義和部署,將為攻擊者實施進一步攻擊帶來便利。常見的風險有:Flash默認配置、Access數據庫默認地址、WebDav配置錯誤、Rsync錯誤配置、應用服務器、Web服務器、數據庫服務器自帶管理功能的默認后臺和管理口令。案例:敏感信息泄露系列#6 服務端默認配置導致海量用戶信息泄露。
6. SQL注入漏洞
注入缺陷不僅僅局限于SQL,還包括命令、代碼、變量、HTTP響應頭、XML等注入。程序員在編寫代碼時沒有對用戶輸入數據的合法性進行判斷,當不可信的數據作為命令或查詢的一部分被發送到解釋器時,注入就會發生。攻擊者的惡意數據欺騙解釋器,讓它執行意想不到的命令或者訪問沒有準確授權的數據。案例:蝦米網的SQL注入漏洞,其1400萬用戶數據以及各種交易數據、主站數據均可拖庫。
7. XSS跨站腳本攻擊/CSRF
它屬于代碼注入的一種。XSS發生在當應用程序獲得不可信的數據并發送到瀏覽器或支持用戶端腳本語言容器時,沒有做適當的校驗或轉義。XSS能讓攻擊者在受害者的瀏覽器上執行腳本行,從而實現劫持用戶會話、破壞網站Dom結構或者將受害者重定向到惡意網站。案例:一個可大規模悄無聲息竊取淘寶/支付寶賬號與密碼的漏洞 (埋雷式攻擊)。
8. 未授權訪問/權限繞過
多數業務系統應用程序僅僅只在用戶客戶端校驗授權信息,或者干脆不做訪問控制規則限制,如果服務端對來自客戶端的請求未做完整性檢查,攻擊者將能夠偽造請求,訪問未被授權使用的功能。案例:搜狗某重要后臺未授權訪問(涉及重要功能及統計信息)。
9. 賬戶體系控制不嚴/越權操作
與認證和會話管理相關的應用程序功能常常會被攻擊者利用,攻擊者通過組建的社會工程數據庫檢索用戶密碼,或者通過信息泄露獲得的密鑰、會話token、GSID和利用其它信息來繞過授權控制訪問不屬于自己的數據。如果服務端未對來自客戶端的請求進行身份屬性校驗,攻擊者可通過偽造請求越權竊取所有業務系統的數據。案例:樂視網2200萬用戶存在越權風險。
10. 內部重要資料/文檔外泄
無論是企業還是個人,越來越依賴于對電子設備的存儲、處理和傳輸信息的能力。企業重要的數據信息,都以文件的形式存儲在電子設備或數據中心上,企業雇員或程序員為了辦公便利,常常將涉密數據拷貝至移動存儲介質或上傳至網絡,一旦信息外泄,將加大企業安全隱患發生的概率。案例:淘寶敏感信息泄露可進入某重要后臺(使用大量敏感功能和控制內部服務器)。
京公網安備 11010502049343號