隨著網(wǎng)絡(luò)安全內(nèi)涵不斷擴(kuò)展,信息安全對(duì)抗已經(jīng)進(jìn)入新的階段,既有國(guó)家層面的網(wǎng)絡(luò)安全空間對(duì)抗,也有組織間的APT(高級(jí)持續(xù)威脅)攻擊與反APT攻擊之間的對(duì)抗。而作為攻防對(duì)抗的主體,“黑帽子”與“白帽子”之間的較量從沒有停止。
平凡的白帽子和數(shù)據(jù)中心的夜
深夜,還是在數(shù)據(jù)中心機(jī)房,唐楠熟練地運(yùn)用WVS、NetSparker等各種漏洞檢測(cè)工具掃描著每臺(tái)服務(wù)器主機(jī)。6個(gè)小時(shí)過去了,最終他發(fā)現(xiàn)了238個(gè)安全漏洞。其中,高危漏洞100個(gè),中危漏洞23個(gè),低危漏洞73個(gè),而其他的敏感信息還有42條。那么,拿到這些漏洞之后,唐楠準(zhǔn)備干什么?
“如果黑帽子拿到這些漏洞就麻煩了,它們會(huì)立即利用網(wǎng)絡(luò)、主機(jī)、應(yīng)用系統(tǒng)中的漏洞缺陷展開攻擊,篡改網(wǎng)頁、注入木馬、盜取信息,或是長(zhǎng)期潛伏下來,展開‘橫向移動(dòng)(APT攻擊中的重要階段)’,最終盜取用戶的核心機(jī)密。” 唐楠對(duì)發(fā)現(xiàn)的數(shù)百個(gè)漏洞并沒有任何喜悅之情,卻是十分擔(dān)心。
曾作為核心技術(shù)成員,唐楠參與了中美黑客大戰(zhàn)、中日黑客大戰(zhàn)這些有影響力的黑客大戰(zhàn)。他還是國(guó)內(nèi)第一批通過CCSP(思科認(rèn)證網(wǎng)絡(luò)安全專家認(rèn)證),擁有VPN專家證書、IDS入侵檢測(cè)專家證書、防火墻專家證書、信息安全專家證書、IOS專家證書的信息安全專家。隨著國(guó)內(nèi)信息安全產(chǎn)業(yè)的快速崛起, 唐楠帶著這頂“白帽子”,選擇加入了浪潮。
而我們之前看到的漏洞掃描,正是浪潮“151計(jì)劃”的一部分。浪潮的“151計(jì)劃”涵蓋工程師培訓(xùn)、主機(jī)安全知識(shí)普及和客戶免費(fèi)體驗(yàn)幾個(gè)方面,將面向100個(gè)重點(diǎn)城市培訓(xùn)并認(rèn)證培訓(xùn)500名 ISCE(浪潮主機(jī)安全)認(rèn)證工程師,并為1000名用戶的數(shù)據(jù)中心提供免費(fèi)漏掃及測(cè)試,出具專業(yè)報(bào)告,協(xié)助用戶落實(shí)信息安全等級(jí)保護(hù)工作。唐楠掃描到這些漏洞信息會(huì)被整理為用戶“看得懂”的檢測(cè)報(bào)告,并幫助用戶最終化解潛在危險(xiǎn)。
浪潮151,一次有組織的白帽行動(dòng)?
在黑客的世界中,黑帽子和白帽子的稱呼分別代表兩種對(duì)立的角色——以網(wǎng)絡(luò)信息牟利的惡棍和保護(hù)網(wǎng)絡(luò)安全的英雄。他們看不見對(duì)方,只能在一次次過招時(shí)才能感受到對(duì)方的存在。那么,浪潮主推的151計(jì)劃,是一次有組織的白帽行動(dòng)嗎?
“從形式上看,在漏洞掃描這一部分很相似,漏洞是雙方攻防的焦點(diǎn)。但從整體流程和最終實(shí)現(xiàn)的效果上看,浪潮‘151計(jì)劃’不限于提交漏洞信息這樣簡(jiǎn)單。告知用戶漏洞的存在只是第一步,最終目的是從實(shí)質(zhì)上解決信安問題。” 唐楠指出了“151計(jì)劃”和“白帽行動(dòng)”的不同之處,還介紹了用戶看到“238個(gè)安全漏洞”之后的故事。
238個(gè)安全漏洞,黑客真的進(jìn)得來嗎?
浪潮“151”計(jì)劃覆蓋的1000名重點(diǎn)客戶中,很多都是政府行業(yè)的用戶。而這次用戶所涉及的系統(tǒng)有社保系統(tǒng)、戶籍查詢系統(tǒng)等,涉及了百姓民生。如果這些漏洞被“黑帽子”利用,極有可能發(fā)生個(gè)人身份證信息、社保參保信息、房屋產(chǎn)權(quán)信息、個(gè)人聯(lián)系方式泄露的情況。而這些信息將淪為地下黑市明碼標(biāo)價(jià)的商品。
第二天,唐楠和信息安全事業(yè)部的工程師提前40分鐘趕到了用戶的大會(huì)議室,但是里面已經(jīng)坐滿了人,不僅有技術(shù)人員、主管領(lǐng)導(dǎo),連“一把手”也來了。由此可以看出用戶對(duì)漏洞細(xì)節(jié)的重視程度,但如果設(shè)身處地的分析用戶所處的行業(yè)背景,以及曾經(jīng)遭遇黑客攻擊的情況,就不難理解客戶‘為何上心’了。“當(dāng)我在大屏幕上展開這份漏洞掃描報(bào)告時(shí),238這個(gè)數(shù)字確實(shí)讓用戶大吃一驚。臺(tái)下開始有人開始竊竊私語,嘈雜聲隨著領(lǐng)導(dǎo)的一聲咳嗽停止了。但由于不太可能將所有漏洞都展開說,我重點(diǎn)對(duì)風(fēng)險(xiǎn)級(jí)別達(dá)到3級(jí),黑客可以直接獲取主機(jī)控制權(quán)的高危漏洞進(jìn)行了說明。”唐楠詳細(xì)介紹了第二天的情況。
接下來,為了讓用戶可以感受到這些漏洞的危害,同時(shí)也是“一把手”的要求,“我利用高危漏洞中的Cross site scripting(跨站腳本漏洞),全面展示了黑客可以收集數(shù)據(jù)的情況。這個(gè)漏洞可以將JavaScript、VBScript、ActiveX、HTML或Flash脆弱的應(yīng)用程序來欺騙用戶,攻擊者可以竊取Cookie會(huì)話接管賬戶、模擬用戶的細(xì)節(jié)。最后,我在用戶的Web服務(wù)器主頁上修改了個(gè)‘逗號(hào)’!”
這個(gè)操作很嚇人,不過被修改的“逗號(hào)”卻展現(xiàn)了一名白帽子基本技能,驗(yàn)證黑客“進(jìn)得來”可能性。但這些都不是關(guān)鍵。
“防得住”才是浪潮“151計(jì)劃”的最終目的
唐楠前面介紹過,浪潮151計(jì)劃與普通白帽子行為的區(qū)別在“防得住”。“在現(xiàn)場(chǎng),我和同事一起給客戶提出了差異性的安全解決方案,包括:Web服務(wù)器的安全部署、虛擬化應(yīng)用分層部署、數(shù)據(jù)庫主機(jī)訪問權(quán)限控制和漏洞修補(bǔ)、應(yīng)用程序進(jìn)行監(jiān)控保護(hù),以及利用浪潮SSR訪問控制的“三權(quán)分立”技術(shù)對(duì)關(guān)鍵文件及數(shù)據(jù)進(jìn)行分權(quán)管理。”
漏洞掃描、模擬入侵、現(xiàn)場(chǎng)解決,這三部曲下來,用戶充分肯定了浪潮151計(jì)劃的意義,并對(duì)唐楠 高深莫測(cè)的網(wǎng)絡(luò)安全技術(shù)高度認(rèn)可。在后期,用戶不僅試用了相關(guān)安全產(chǎn)品,同時(shí)還在唐楠的帶領(lǐng)下,針對(duì)WVS、NetSparker等各種漏洞檢測(cè)工具和主機(jī)安全管理流程進(jìn)行了培訓(xùn)和考核。
“處于防御姿態(tài)的白帽子黑客在與黑帽子黑客的較量中,贏一次不能算贏,輸一次就永遠(yuǎn)輸了。但是,由于151計(jì)劃中的任務(wù)還很多,我們不可能長(zhǎng)期駐守在一個(gè)用戶的機(jī)房里,因此,把這些‘防得住’的意識(shí)、方法、手段、經(jīng)驗(yàn)、工具留給他們,最終起到效果。而這就是我的工作。” 這是唐楠在采訪最后談到的,而他正是參加過黑客大戰(zhàn)、在浪潮扎根的一名最普通的白帽子。