從瞻博到Fortinet再到思科,眾多企業(yè)的在售解決方案都包含著硬編碼通行碼,而這或?qū)⒔o企業(yè)客戶帶來嚴(yán)重的安全風(fēng)險(xiǎn)。
這項(xiàng)常見的開發(fā)者漏洞不僅廣泛存在,而且在短時(shí)間內(nèi)似乎也不太可能被徹底解決,Immunity公司威脅情報(bào)負(fù)責(zé)人Alex McGeorge指出。
遺憾的是,硬編碼密碼屬于一項(xiàng)難以解決的內(nèi)在問題,McGeorge指出。“目前還沒有一種理想的解決辦法。人們因此而長(zhǎng)期受到安全困擾,但其直到當(dāng)下仍是一項(xiàng)安全難題。”
各大網(wǎng)絡(luò)設(shè)備制造商已經(jīng)成為主要目標(biāo),各企業(yè)開發(fā)團(tuán)隊(duì)也在以謹(jǐn)慎的態(tài)度保護(hù)自己的源代碼——具體來講,這些代碼已經(jīng)成為其立足的根基。“我們發(fā)現(xiàn)思科公司起訴華為竊取其源代碼,并在自有品牌的產(chǎn)品當(dāng)中加以使用,”McGeorge表示。
這些實(shí)例切實(shí)證明,各供應(yīng)商害怕自己親手編寫的源代碼成果被反過來用于同自身競(jìng)爭(zhēng)。“各供應(yīng)商不愿讓任何外部人士訪問其源代碼,但由此帶來的結(jié)果就是軟件方案面臨嚴(yán)重安全風(fēng)險(xiǎn),”McGeorge解釋稱。
客戶與供應(yīng)商之間存在著固有的信任關(guān)系,而且他們相信供應(yīng)商不會(huì)在產(chǎn)品當(dāng)中添加后門——不過部分安全從業(yè)者已經(jīng)將此視為一種潛在可能性。“瞻博公司就面臨著這樣的問題。他們無法忽略這種問題的出現(xiàn)機(jī)率,”McGeorge指出。
有些人會(huì)悄悄利用硬編碼密碼建立一道后門,從而保證其順利登錄并修改部分加密變量。這種作法非常危險(xiǎn),McGeorge表示,“特別是考慮到大家能夠在瞻博的防火墻與其它基礎(chǔ)設(shè)施之間發(fā)動(dòng)中間人攻擊,從而對(duì)流量進(jìn)行解密。”
這是一類尚不具備切實(shí)解決方案的問題。大多數(shù)用戶選擇信任瞻博,并假定這類行為源自他人之手。當(dāng)然,他們花了幾年時(shí)間才最終確定這項(xiàng)結(jié)論。
“作為客戶,我們能做的其實(shí)非常有限。大家無法審計(jì)源代碼,因?yàn)槠湓诜蓪用嫔喜⒉恍枰_。我們只能要求瞻博方面承擔(dān)這項(xiàng)審計(jì)成本,或者要求他們將源代碼交由第三方進(jìn)行審計(jì)并公布相關(guān)結(jié)果,”McGeorge表示。
專門負(fù)責(zé)軟件評(píng)估與代碼審計(jì)的白帽安全企業(yè)Casaba Security公司聯(lián)合創(chuàng)始人Chris Weber指出,已發(fā)布產(chǎn)品中的密碼能夠被輕易找到,因?yàn)樗鼈儠?huì)隨產(chǎn)品一同放出。“某些能夠訪問該產(chǎn)品的人完全可以對(duì)固件或者軟件進(jìn)行分解,從而輕松找出密碼內(nèi)容。這種內(nèi)置密碼藏得不深,剖析起來也很容易,”Weber指出。
解碼
通過提出以下五個(gè)與硬編碼密碼相關(guān)的問題向供應(yīng)商施加壓力,從而實(shí)現(xiàn)安全性提升。
1. 該供應(yīng)商是否聘請(qǐng)了第三方進(jìn)行源代碼審計(jì)?
2. 審計(jì)結(jié)果是否可供查閱?
3. 該供應(yīng)商的開發(fā)項(xiàng)目安全性如何?
4. 該供應(yīng)商是否在產(chǎn)品中采用了滲透測(cè)試?
5. 該供應(yīng)商是否有能力在密碼丟失的情況下實(shí)現(xiàn)設(shè)備恢復(fù)?
企業(yè)面臨的具體安全風(fēng)險(xiǎn)取決于密碼的使用方式,但如何在發(fā)售的軟件中內(nèi)置密碼,那么其很有可能被惡意人士所發(fā)現(xiàn)。
這并非安全領(lǐng)域的新興難題,但出于種種原因其直到今天還在困擾著我們。“在開發(fā)流程當(dāng)中,人們通常以團(tuán)隊(duì)形式工作并需要訪問不同系統(tǒng)并共享系統(tǒng)訪問及憑證,”Weber解釋稱。
開發(fā)人員需要共享憑證訪問能力,并利用私有密鑰進(jìn)行加密與解密,隨后還需要安全地保存并共享這些密碼。另外,該軟件還需要接入其它系統(tǒng)并進(jìn)行登錄。“當(dāng)大家將數(shù)據(jù)發(fā)送至數(shù)據(jù)庫(kù)并與之交互,其自然要求使得者進(jìn)行登錄,”Weber指出。由此帶來的結(jié)果是,開發(fā)人員往往需要在軟件當(dāng)中使用硬編碼密碼。
有時(shí)候在軟件當(dāng)中保留密碼還能夠有效韶華軟件開發(fā)流程,但事后將其剔除卻難度很高。“這些開發(fā)人員可能立足于單一場(chǎng)景,但很快發(fā)現(xiàn)另一項(xiàng)需要完成的任務(wù)并為其保存密碼,”Weber解釋道。“他們可能認(rèn)為’也許確實(shí)應(yīng)該采用安全的密碼管理方式,不過我們太忙了,以后再說吧,’”他補(bǔ)充稱。
一般來講,滲透測(cè)試能夠發(fā)現(xiàn)被寫入至源代碼當(dāng)中的密碼內(nèi)容,而Weber指出,“無論這些密碼是有意還是無意被發(fā)布出來,這都是種很差的習(xí)慣。歸根結(jié)底,我們需要立足于安全考慮問題:而安全就是便捷性的對(duì)立面。安全就像一道路障,總會(huì)橫亙?cè)诮輳角懊妗?rdquo;
Palo Alto Networks公司42部門威脅情報(bào)主管Ryan Olson指出,設(shè)備在企業(yè)環(huán)境下扮演的角色將決定密碼給安全性造成的風(fēng)險(xiǎn)水平。“最糟糕的場(chǎng)景就是,該設(shè)備能夠?qū)W(wǎng)絡(luò)內(nèi)某重要部分進(jìn)行控制,而該密碼又允許訪問者順利接入設(shè)備的全部功能,”Olson表示。
有時(shí)候,硬編碼密碼的作用只供初始設(shè)置使用。“如果該密碼被用于默認(rèn)賬戶,那么其基本上就是供第一位安裝該設(shè)備的用戶使用,在此之后這位用戶應(yīng)當(dāng)將該賬戶移除,”Olson表示。
不過這些默認(rèn)賬戶往往沒有被正確移除,而Olson建議稱對(duì)設(shè)備進(jìn)行審計(jì)能夠幫助大家了解這些默認(rèn)賬戶的存在。“這種作法不一定每次都能起效,因?yàn)槟承┯簿幋a密碼存在于代碼本體當(dāng)中,”Olson表示。
企業(yè)能夠采取一定措施以對(duì)供應(yīng)商施加壓力,確保其不會(huì)將密碼直接放置在設(shè)備當(dāng)中,并借此保護(hù)自身及網(wǎng)絡(luò)安全。向供應(yīng)商詢問其是否有能力在丟失密碼的情況下實(shí)現(xiàn)設(shè)備恢復(fù)非常重要,這能夠幫助我們快速弄清其是否在產(chǎn)品中使用了硬編碼密碼。
Olson指出,“我們最好搞清楚設(shè)備中是否存在硬編碼,并確認(rèn)供應(yīng)商自身是否清楚這一點(diǎn)。”
由于硬編碼密碼允許我們無需用戶名或者驗(yàn)證實(shí)現(xiàn)設(shè)備登錄,因此其往往會(huì)帶來多種潛在使用途徑。一部分敏感信息亦可能因此遭到泄露,BeyondTrust公司技術(shù)副總裁Morey Haber解釋稱。
“多數(shù)情況下,我們意識(shí)不到產(chǎn)品當(dāng)中存在硬編碼密碼——直到出現(xiàn)實(shí)際問題。企業(yè)需要通過劃分與隔離手段保護(hù)這些密碼,從而保證敏感數(shù)據(jù)不會(huì)因此被意外訪問。具體來講,大家可以選擇使用控制平臺(tái)與內(nèi)部密碼安全技術(shù),”Haber建議稱。
除此之外,設(shè)備的IP子網(wǎng)亦不應(yīng)被任何形式的代理管理機(jī)制所訪問,Haber提醒道。“舉例來說,作為一家銀行,大家的敏感數(shù)據(jù)可能與其它信息一道處于同一子網(wǎng)當(dāng)中,這時(shí)我們需要某種形式的代理機(jī)制實(shí)現(xiàn)安全訪問或者流量過濾。大家可以將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi),因?yàn)楦魑恍枰谠L問這些硬編碼密碼之前進(jìn)行認(rèn)證,”Haber解釋稱。
如果供應(yīng)商將軟件或者固件以外包形式開發(fā),那么其通常不會(huì)變更用戶名與密碼內(nèi)容。Habaer強(qiáng)調(diào)稱,在這種情況下,任何企業(yè)客戶都應(yīng)當(dāng)對(duì)此類技術(shù)方案進(jìn)行評(píng)估,了解該工具是否允許使用者變更其管理員用戶名或者密碼。如果答案是否定的,那么其應(yīng)被視為一種高危狀況。
“這時(shí)應(yīng)當(dāng)果斷考慮其它技術(shù)方案,”Haber表示,“而且如果這是目前惟一可用的技術(shù)產(chǎn)品,那么確保其中包含RFP或者與供應(yīng)商進(jìn)行接洽。大家需要了解自己的設(shè)備在管理角度是否具備良好保障。”
京公網(wǎng)安備 11010502049343號(hào)