發布者:|TIME : 2017-08-18
摘要: 知名機構為(wèi)何屢次出現重大(dà)安全事件?難道(dào)是安全投入還(hái)不夠嗎?
圖片來(lái)源:視(shì)覺中國
圖片來(lái)源:視(shì)覺中國
在钛媒體(tǐ)在線課“钛坦白”第50期,我們邀請(qǐng)了三位钛客講講企業要如何應對信息安全問題。本期钛客之一、漏洞銀行(xíng)聯合創始人(rén)、CTO張雪松,擁有(yǒu)10年網絡安全研究經驗,擅長網絡協議分析技(jì)術(shù)。曾負責研發Web宙斯盾、玄武域等Web應用防護産品。首創的ITS入侵追蹤設備曾獲得(de)全國創新創業大(dà)賽銀獎。張雪松曾為(wèi)衆多(duō)大(dà)型企業設計(jì)安全方案,現負責漏洞銀行(xíng)平台生(shēng)态建設與企業安全産品研發。
本文節選自張雪松在钛坦白的分享。如果您還(hái)不是钛媒體(tǐ)Pro用戶,希望查看钛坦白所有(yǒu)幹貨,進入钛坦白九個(gè)專業群交流,并查看更豐富的專業數(shù)據和(hé)信息,可(kě)點擊:http://www.tmtpost.com/pro 注冊。
以下根據張雪松在钛坦白的分享實錄整理(lǐ):
大(dà)家(jiā)好,很(hěn)高(gāo)興受邀來(lái)钛媒體(tǐ)做(zuò)這次主題分享。首先先簡單的介紹一下我的情況吧(ba)。我從事網絡安全技(jì)術(shù)已經有(yǒu)十多(duō)年了,目前是漏洞銀行(xíng)的技(jì)術(shù)總監。我曾經做(zuò)過程序開(kāi)發人(rén)員,也做(zuò)過網絡黑(hēi)客,在信息安全方面我既做(zuò)過防守方,也做(zuò)過攻擊方,所以今天我想給大(dà)家(jiā)帶來(lái)更加全面的視(shì)角,來(lái)審視(shì)網絡安全問題。
我平時(shí)經常會(huì)被企業高(gāo)管問道(dào):“有(yǒu)沒有(yǒu)辦法能夠徹底解決黑(hēi)客入侵的問題?”其實這個(gè)問題并不能簡單的講有(yǒu)或沒有(yǒu),而是我們如何來(lái)看清楚網絡安全的本質問題?如何來(lái)探究企業及網絡安全中的攻防之道(dào)?我将在本次分享之中帶領大(dà)家(jiā)進行(xíng)一次網絡安全的探究之旅。
回顧我們身邊的安全大(dà)事
首先帶領大(dà)家(jiā)來(lái)回顧一下我們身邊的安全大(dà)事。從最早的2011年開(kāi)始,我們來(lái)把這些(xiē)安全大(dà)事件回顧一下,這樣能有(yǒu)一個(gè)清晰的認識。這些(xiē)信息來(lái)自于互聯網和(hé)媒體(tǐ)報道(dào)。
2011年。這一年實際上(shàng)非常不平凡。我們國內(nèi)最大(dà)的技(jì)術(shù)網站(zhàn)CSDN遭遇了最嚴重的安全事故,超過一億的用戶名和(hé)密碼遭到了洩露,同年黑(hēi)客爆出了其他各大(dà)知名網站(zhàn)的數(shù)據庫。這些(xiē)數(shù)據庫主要包含用戶名、密碼等信息。同年在國際上(shàng),國際貨币基金組織、花(huā)旗銀行(xíng)、索尼影(yǐng)業,Facebook也同樣遭遇了黑(hēi)客入侵,用戶的保密信息都遭到了竊取和(hé)洩露。
2012年。同樣也是不平凡的一年,京東商城出現了重大(dà)的支付漏洞,損失達兩億,當然官方稱已經修複并且報警了。同年全球百所大(dà)學,還(hái)有(yǒu)linkin、雅虎等知名網站(zhàn)的用戶名和(hé)密碼也均遭到了洩露,最嚴重的是Symantec和(hé)VMware的源代碼遭受到了黑(hēi)客的盜取。
2013年。爆發了嚴重的Struts2漏洞。這個(gè)漏洞引發了全國各大(dà)機構和(hé)知名網站(zhàn)的緊急修複工作(zuò),同時(shí)也讓一些(xiē)知名網站(zhàn)的數(shù)據遭到了洩露。當然國內(nèi)同年還(hái)發生(shēng)了一個(gè)比較重大(dà)的事件,那(nà)就是開(kāi)房(fáng)數(shù)據被黑(hēi)客洩露,黑(hēi)客入侵到了酒店(diàn)的管理(lǐ)系統裏,酒店(diàn)的開(kāi)房(fáng)信息包括身份證、姓名、手機号等開(kāi)房(fáng)信息遭到盜取和(hé)洩露,這個(gè)也是影(yǐng)響非常大(dà)的。同年國外的美國銀行(xíng)、彭博社、蘋果、Facebook、Twitter這些(xiē)知名的網站(zhàn)其實也相繼遭受到了黑(hēi)客的入侵,用戶的數(shù)據也遭到了洩露和(hé)曝光。這一年還(hái)爆出了棱鏡門(mén)事件,引發了大(dà)衆對于網絡安全和(hé)隐私安全的思考。
2014年。爆出了攜程網的一個(gè)重大(dà)支付漏洞,攜程網洩露了部分用戶的信用卡信息,導緻某些(xiē)用戶的信用卡遭到了盜刷。同年還(hái)有(yǒu)OpenSSL“心髒出血”的漏洞,漏洞影(yǐng)響非常的大(dà),黑(hēi)客可(kě)通(tōng)過這個(gè)漏洞獲取到登陸網站(zhàn)的用戶名和(hé)其他相關的信息。據當時(shí)的不完全統計(jì),國內(nèi)大(dà)部分的知名網購、網銀、社交門(mén)戶等網站(zhàn),都遭遇到了此漏洞的影(yǐng)響,這次事件至少(shǎo)影(yǐng)響了兩億中國網民。同年特斯拉電(diàn)動汽車(chē)也被首次攻破,黑(hēi)客可(kě)以遠程的控制(zhì)這輛(liàng)汽車(chē),開(kāi)鎖、鳴笛等操作(zuò)。
2015年。機鋒網、大(dà)麥網、網易、申通(tōng)快遞、中國人(rén)壽等知名網站(zhàn)都遭受了用戶信息洩露事件,影(yǐng)響上(shàng)億用戶的隐私。同年也有(yǒu)一些(xiē)重要單位遭遇黑(hēi)客入侵,有(yǒu)接近超過五千萬條社保個(gè)人(rén)信息遭到洩露,其中包括個(gè)人(rén)的身份證、社保參保的信息,财務、薪酬、房(fáng)屋等一些(xiē)敏感的信息。同年美國人(rén)事管理(lǐ)辦實事也被黑(hēi)客入侵,超過有(yǒu)2700萬條的信息洩露,洩露事件引起了美國和(hé)西方世界的恐慌,因為(wèi)這樣的個(gè)人(rén)信息洩露,實際上(shàng)是與民衆生(shēng)活息息相關。
2016年。雅虎超過15億的用戶信息遭到黑(hēi)客洩露,俄羅斯的黑(hēi)客成功盜取了2.7億郵箱信息,包括4000萬的雅虎郵箱,3300萬的微軟郵箱還(hái)有(yǒu)2400萬的谷歌(gē)郵箱,同年OpenSSL又爆出了重大(dà)漏洞“水(shuǐ)牢漏洞”,這次水(shuǐ)牢漏洞也同樣波及到全球400萬的網站(zhàn)。同年還(hái)有(yǒu)MySpace的數(shù)據洩露,超過3.6億的用戶信息被黑(hēi)客竊取。這一年還(hái)有(yǒu)個(gè)更大(dà)的事件,那(nà)就是美國大(dà)選,美國大(dà)選也受到了信息安全相關的影(yǐng)響,就是希拉裏的郵件門(mén)事件,也就是說美國的民主黨全國委員會(huì)、籌款委員會(huì)、競選團隊等的郵件均被黑(hēi)客組織截取,接近兩萬封郵件被維基解密披露,所以大(dà)選的結果也被直接影(yǐng)響。
2017年。今年實際上(shàng)還(hái)沒有(yǒu)過完,但(dàn)是也已經發生(shēng)了很(hěn)多(duō)大(dà)事件。3月份Struts2再次爆發遠程高(gāo)危漏洞,全國各大(dà)機構連夜修複,該漏洞可(kě)直接遠程控制(zhì)相關服務器(qì)。4月份12306官方網站(zhàn)也出現過安全漏洞,可(kě)以獲取到不同用戶的個(gè)人(rén)信息。同月上(shàng)億的優酷數(shù)據庫在暗網售賣。今年還(hái)出現了最大(dà)勒索病毒事件, 5月份新型的蠕蟲型勒索病毒WannaCry爆發感染,相關的政府單位、企業單位第一時(shí)間(jiān)對于這個(gè)勒索病毒進行(xíng)相關漏洞的修複。據不完全統計(jì),現在全球大(dà)約有(yǒu)兩千多(duō)萬台的主機遭受到了感染,病毒影(yǐng)響範圍非常廣,後續還(hái)出現了變種病毒,依然感染了衆多(duō)主機。今天國外,土耳其的黑(hēi)客組織宣稱掌握了三億蘋果帳戶,鄧白氏52GB的數(shù)據庫也遭到了洩露,還(hái)有(yǒu)加拿(ná)大(dà)的貝爾公司有(yǒu)190萬的客戶信息遭到黑(hēi)客的洩露。
今年也有(yǒu)一則利好的事件,就是《中華人(rén)民共和(hé)國網絡安全法》在6月1日正式執行(xíng),這對中國的網絡安全是個(gè)裏程碑式的事件,将深遠的影(yǐng)響未來(lái)網絡安全的發展。
我們回顧這7年的安全大(dà)事件,絕大(dà)多(duō)數(shù)都是影(yǐng)響範圍很(hěn)廣的,80%是知名網站(zhàn)數(shù)據遭遇入侵,核心數(shù)據洩露,20%是緻命漏洞引發的大(dà)範圍安全事故。這些(xiē)事件動辄就是上(shàng)千萬的用戶遭受影(yǐng)響,而且都是比較知名的網站(zhàn)和(hé)機構,那(nà)問題就來(lái)了,既然都是知名機構為(wèi)何還(hái)是屢次出現這類重大(dà)的安全事件呢?難道(dào)是安全投入不夠嗎?這其實是值得(de)大(dà)家(jiā)思考的問題。
可(kě)能大(dà)家(jiā)會(huì)從很(hěn)多(duō)角度,很(hěn)多(duō)方面找出很(hěn)多(duō)原因來(lái)闡釋這些(xiē)安全事件,比如安全投入不夠、安全架構不好、數(shù)據保護措施不足等等,但(dàn)是今天我想從另一個(gè)角度來(lái)講這個(gè)問題。那(nà)就是信息安全我們應該更多(duō)的關注什麽?本質是什麽?
信息安全有(yǒu)很(hěn)多(duō)要素:完整性、保密性、可(kě)用性、不可(kě)否認性和(hé)可(kě)控性,這是學術(shù)上(shàng)的定義,但(dàn)是這往往不利于我們看清信息安全的本質。看清本質其實隻需要去探究一個(gè)問題即可(kě),那(nà)就是信息安全的敵人(rén)是誰,是誰在産生(shēng)着危害。我想大(dà)家(jiā)都很(hěn)清楚,幕後真兇其實就是黑(hēi)客。
黑(hēi)客這個(gè)神秘的人(rén)群
如果說信息安全隻有(yǒu)一個(gè)要素要解決的話(huà),那(nà)就是要解決黑(hēi)客的問題,因為(wèi)隻要有(yǒu)黑(hēi)客的存在,那(nà)就會(huì)有(yǒu)人(rén)對我們的企業、用戶以及我們信息化系統的安全造成危害。那(nà)我們想要了解信息安全、想要分析信息安全的本質,就必須要了解黑(hēi)客這個(gè)人(rén)群,正所謂知己知彼百戰百勝,所以我們接下來(lái)就去了解一下黑(hēi)客這個(gè)人(rén)群是怎樣的。那(nà)接下來(lái)我們就說說故事,講一講黑(hēi)客這個(gè)神秘的人(rén)群。
【钛坦白】漏洞銀行(xíng)CTO張雪松:企業遭遇黑(hēi)客入侵的原罪——漏洞
黑(hēi)客的特點
生(shēng)活簡單。黑(hēi)客的核心理(lǐ)念就是“No one is safe”。對于他們來(lái)說,沒有(yǒu)什麽是安全的,這就是他們的一個(gè)信念。我身邊其實有(yǒu)很(hěn)多(duō)擁有(yǒu)黑(hēi)客技(jì)術(shù)的人(rén),這群人(rén)還(hái)是很(hěn)奇特的,他們的生(shēng)活也非常的簡單。其中一個(gè)朋友(yǒu),他的簽名就是Eat、Hack、sleep。什麽意思呢?就是吃(chī)飯、研究黑(hēi)客技(jì)術(shù)、睡覺,就這麽簡單,他們其實非常專注于技(jì)術(shù),他們熱衷于研究技(jì)術(shù)的原理(lǐ),并且會(huì)研究的非常透徹,基本上(shàng)生(shēng)活中大(dà)部分的時(shí)間(jiān)都會(huì)坐(zuò)在電(diàn)腦(nǎo)前把所有(yǒu)的他們喜歡的技(jì)術(shù)徹頭徹尾的給學會(huì),并在裏面去尋找這些(xiē)技(jì)術(shù)的利用方法。
成就心強。這個(gè)人(rén)群的成就心也很(hěn)強,他們喜歡享受那(nà)種“通(tōng)過一人(rén)之力即可(kě)撬動一個(gè)機構”的成就感,想一想他們擁有(yǒu)的這些(xiē)黑(hēi)客技(jì)術(shù),實際上(shàng)就可(kě)以實現這一點。可(kě)能花(huā)一些(xiē)時(shí)間(jiān),一個(gè)人(rén)就可(kě)以入侵一些(xiē)非常知名的機構,特别是一些(xiē)跨國界的黑(hēi)客,這些(xiē)黑(hēi)客專門(mén)選一些(xiē)國外的重點大(dà)型軍事機構,選擇最難的目标進行(xíng)攻擊,然後他們以能夠入侵進去為(wèi)榮,所以這群人(rén)的成就心也是非常強的。
之前回顧2011年到2017年的安全事件,其實這些(xiē)安全事件都發生(shēng)在知名的網站(zhàn)和(hé)機構,實際上(shàng)這些(xiē)都是他們非常樂于入侵的目标。像知名網站(zhàn)洩露的核心數(shù)據基本上(shàng)國內(nèi)的黑(hēi)客人(rén)手一份,而且他們為(wèi)了去拿(ná)到這樣的一些(xiē)數(shù)據,通(tōng)宵達旦的入侵。
所以說在國內(nèi),隻要你(nǐ)在有(yǒu)過洩露的網站(zhàn)上(shàng)注冊過用戶名和(hé)密碼,那(nà)麽其實所有(yǒu)黑(hēi)客都會(huì)有(yǒu)你(nǐ)一份的用戶名和(hé)密碼,隻是說他想不想去盜你(nǐ)的帳号而已,所以在出現洩露事件的時(shí)候建議大(dà)家(jiā)趕快去修改自己的密碼,同時(shí)也建議大(dà)家(jiā)不要用一套用戶名和(hé)密碼在多(duō)個(gè)地方注冊,這也是大(dà)家(jiā)經常犯的一個(gè)錯誤,因為(wèi)黑(hēi)客會(huì)利用人(rén)們的這一點,用你(nǐ)相同的用戶名密碼,登陸不同的網站(zhàn)和(hé)系統,包括QQ、微信、郵箱等,他都會(huì)去嘗試,這樣你(nǐ)很(hěn)多(duō)賬号都會(huì)被盜。
行(xíng)蹤隐蔽。我們再說說這個(gè)人(rén)群他們的行(xíng)蹤習慣,實際上(shàng)他們非常的不喜歡暴露自己的信息,甚至連拍照他們都經常避免,基本上(shàng)他們也不發朋友(yǒu)圈,而且肯定不會(huì)在微博、朋友(yǒu)圈這些(xiē)社交媒體(tǐ)上(shàng)去暴露自己的生(shēng)活照片和(hé)相關信息,他們做(zuò)事非常謹慎,甚至在外面注冊一個(gè)App都要用小(xiǎo)号來(lái)注冊,這樣以保證自己相關信息的安全性和(hé)保密性。同時(shí)他們上(shàng)網的時(shí)候,也不會(huì)用自己的真實IP,會(huì)挂一個(gè)代理(lǐ)去上(shàng)網。
思維奇特。這一點非常的重要,黑(hēi)客人(rén)群的思維模式非常的奇特,他們非常的聰明(míng),而且從來(lái)不按常理(lǐ)出牌。也就是說我們思維中即成了很(hěn)多(duō)固定規則的做(zuò)事方式,而在黑(hēi)客的思維裏面,他們完全不是這樣的,他們完全不會(huì)按照既定的規則來(lái),而且他們思維模式非常的不尋常。他們經常會(huì)發現事物中另外的途徑,會(huì)發現另外的方法來(lái)達到自己的目的,也就是說你(nǐ)要跟一個(gè)黑(hēi)客玩遊戲的話(huà),他第一時(shí)間(jiān)想到的并不是我如何在遊戲中對抗你(nǐ),而是會(huì)去想怎麽樣能夠跳(tiào)出這個(gè)規則,然後通(tōng)過其他的方法來(lái)取得(de)這場(chǎng)遊戲的勝利。
為(wèi)何會(huì)存在這樣的人(rén)群?
實際上(shàng)黑(hēi)客這個(gè)人(rén)群最早的時(shí)候,都是一群技(jì)術(shù)愛(ài)好者。這群技(jì)術(shù)愛(ài)好者有(yǒu)非常多(duō)的好奇思路,然後他們會(huì)進行(xíng)非常多(duō)的嘗試性實驗,在這個(gè)基礎之上(shàng)就誕生(shēng)出了新穎的攻擊方式,誕生(shēng)出了新穎的漏洞利用方法,從而這群人(rén)就開(kāi)始了對黑(hēi)客技(jì)術(shù)的探索。
最早的這群技(jì)術(shù)愛(ài)好者他們在互聯網上(shàng)并沒有(yǒu)惡意,隻是熱衷于研究信息技(jì)術(shù),但(dàn)是後來(lái)慢慢的就劃分出了兩類人(rén)群。這兩類人(rén)群分别就是嘗試型黑(hēi)客和(hé)目的型黑(hēi)客。嘗試型黑(hēi)客主要以學習和(hé)驗證技(jì)術(shù)為(wèi)主,這群黑(hēi)客會(huì)經常的入侵但(dàn)是不會(huì)産生(shēng)破壞,然後會(huì)不斷的去研究分析入侵的技(jì)術(shù)。目的型黑(hēi)客演化出了非常多(duō)的目的性,比如說他要炫耀,或者破壞,竊取,盜号,反盜号等等,他們在學習和(hé)研究黑(hēi)客技(jì)術(shù)的過程中,摻入了大(dà)量的個(gè)人(rén)目的,慢慢的就演化出了一些(xiē)非常惡意性的黑(hēi)客。
【钛坦白】漏洞銀行(xíng)CTO張雪松:企業遭遇黑(hēi)客入侵的原罪——漏洞
嘗試型黑(hēi)客和(hé)目的型黑(hēi)客這兩類人(rén)群又随着互聯網信息化的發展,慢慢的職業化,相關的領域目的也會(huì)更加的明(míng)晰,漸漸也就演變成了現在的幾個(gè)分支:安全專家(jiā)、白帽群體(tǐ)和(hé)黑(hēi)産黑(hēi)客。安全專家(jiā),專門(mén)從事安全研究。白帽群體(tǐ)包括一些(xiē)紅客和(hé)組織他們依然是喜歡和(hé)熱愛(ài)安全事業的,隻是并未從事安全行(xíng)業。而最後一群人(rén),則演變成了大(dà)家(jiā)比較深惡痛絕的黑(hēi)産黑(hēi)客,他們被黑(hēi)産利益所引誘,從事了違法犯罪的行(xíng)為(wèi)。
黑(hēi)産
如果去分析為(wèi)什麽會(huì)出現這樣一群專門(mén)為(wèi)了破壞信息安全而誕生(shēng)的人(rén)群的話(huà),我覺得(de)這一個(gè)原罪應該歸于黑(hēi)産。黑(hēi)産真的是讓很(hěn)多(duō)有(yǒu)技(jì)術(shù)的人(rén)去做(zuò)了違法犯罪的事情,從而演變成了黑(hēi)産上(shàng)的黑(hēi)客。那(nà)黑(hēi)産又是什麽,為(wèi)何黑(hēi)客進行(xíng)了攻擊會(huì)有(yǒu)利益呢?接下來(lái)我就讓大(dà)家(jiā)了解一下黑(hēi)産是什麽。
黑(hēi)産包含四部分——黑(hēi)客技(jì)術(shù)實施、黑(hēi)市、黑(hēi)産犯罪團夥、黑(hēi)産周邊團夥。
黑(hēi)客技(jì)術(shù)實施:黑(hēi)客在黑(hēi)産的環節之中發揮的作(zuò)用是非常重大(dà)的,但(dàn)是他們實際上(shàng)不參與直接的利益轉化,而是僅提供技(jì)術(shù),也就是黑(hēi)客技(jì)術(shù)的實施。像黑(hēi)客編寫木馬病毒,入侵别人(rén)的網站(zhàn),制(zhì)造釣魚網站(zhàn)等等,他們其實沒有(yǒu)太多(duō)的利益可(kě)以直接獲取,但(dàn)是他們有(yǒu)一個(gè)目的:他們提供技(jì)術(shù)盜取用戶的信息,或掌握和(hé)控制(zhì)用戶主機。實際上(shàng)在很(hěn)多(duō)黑(hēi)客電(diàn)影(yǐng)裏面,大(dà)家(jiā)都會(huì)看到,黑(hēi)客就是提供技(jì)術(shù)環節的人(rén),并不是從頭到尾都使壞的那(nà)個(gè)人(rén),他們是電(diàn)影(yǐng)裏的技(jì)術(shù)專家(jiā),隻負責去竊取數(shù)據,然後通(tōng)過光盤等把數(shù)據交給其他人(rén)使用。
黑(hēi)市:黑(hēi)客沒有(yǒu)直接參與黑(hēi)産利益轉化,但(dàn)是他卻提供了技(jì)術(shù)支持和(hé)數(shù)據支持,然後将這些(xiē)技(jì)術(shù)和(hé)數(shù)據通(tōng)過黑(hēi)市或相關接頭人(rén)進行(xíng)售賣,賣給真正能夠産生(shēng)利益價值的犯罪團夥。售賣的技(jì)術(shù)工具有(yǒu)木馬、病毒和(hé)一些(xiē)網絡武器(qì)程序,這類程序可(kě)直接進行(xíng)DDos攻擊或操控僵屍網絡。其他都是售賣數(shù)據,大(dà)量的數(shù)據按條目進行(xíng)售賣,然後被各種分銷。
黑(hēi)産犯罪團夥:黑(hēi)産的犯罪團夥是利用黑(hēi)客提供的技(jì)術(shù)和(hé)數(shù)據進行(xíng)一系列的利益轉化,而最直接的可(kě)能就是拿(ná)個(gè)人(rén)信息進行(xíng)詐騙或廣告,大(dà)家(jiā)手機短(duǎn)信會(huì)經常收到一些(xiē)莫名的廣告,或者會(huì)收到一些(xiē)陌生(shēng)人(rén)推銷電(diàn)話(huà),這些(xiē)就是因為(wèi)你(nǐ)的相關信息被賣了出去,所以才會(huì)這樣,還(hái)有(yǒu)一些(xiē)詐騙的案例,他們都是在黑(hēi)産上(shàng)面獲取到的這些(xiē)個(gè)人(rén)信息。
黑(hēi)産周邊團夥:其實這些(xiē)團夥更加的厲害,他們有(yǒu)非常多(duō)的手段可(kě)以将利益最大(dà)化。舉個(gè)例子,支付平台被入侵後,他們會(huì)将錢(qián)款分批次轉賬出去,這個(gè)過程中如果沒有(yǒu)專門(mén)的洗錢(qián)團夥和(hé)專門(mén)的取錢(qián)、取卡團夥的話(huà),是很(hěn)容易抓住罪犯并追回贓款的,但(dàn)是通(tōng)過專業的洗錢(qián)團夥,他們就可(kě)以讓資金通(tōng)過多(duō)層關系進行(xíng)洗白,讓這些(xiē)錢(qián)款無法追查,這樣利益就被有(yǒu)效的轉化了。
我們了解黑(hēi)産後,大(dà)家(jiā)就應該明(míng)白了,我們的企業、用戶,為(wèi)什麽會(huì)遭到黑(hēi)客攻擊?實際上(shàng)是因為(wèi)黑(hēi)客攻擊之後,是有(yǒu)利益可(kě)取的。這些(xiē)利益有(yǒu)些(xiē)是非常巨大(dà)的,比如像個(gè)人(rén)信息,都是按條目售賣的,如果獲取了上(shàng)百萬、上(shàng)千萬的個(gè)人(rén)信息,按條目去售賣的話(huà),這個(gè)價值就非常大(dà)。如果是一手數(shù)據,那(nà)麽黑(hēi)客獲益會(huì)非常多(duō)。
而我們這些(xiē)信息經過多(duō)次的轉手之後又到了其他人(rén)手裏,價值會(huì)不斷減少(shǎo),黑(hēi)客又會(huì)怎麽辦呢?他們會(huì)利用撞庫進行(xíng)攻擊,也就是用用戶名和(hé)密碼去嘗試登陸其他的系統,從而獲取到不同平台的數(shù)據。
了解到這裏之後,其實我們就大(dà)概明(míng)白了黑(hēi)客為(wèi)什麽會(huì)來(lái)攻擊我們了。那(nà)我們了解之後,接下來(lái)還(hái)有(yǒu)一個(gè)問題,黑(hēi)客是萬能的嗎?黑(hēi)客他一定能夠入侵成功嗎?那(nà)我們接下來(lái)要了解一下,黑(hēi)客的這個(gè)技(jì)術(shù)以及黑(hēi)客的相關攻擊是怎麽去實現的。
探究原罪——漏洞
其實黑(hēi)客在很(hěn)多(duō)人(rén)的眼中都是很(hěn)神秘的,因為(wèi)他并不是一個(gè)很(hěn)明(míng)确的技(jì)術(shù),我在小(xiǎo)的時(shí)候就有(yǒu)一個(gè)疑問,既然大(dà)家(jiā)都覺得(de)黑(hēi)客技(jì)術(shù)是非常高(gāo)深的技(jì)術(shù),那(nà)為(wèi)什麽這個(gè)技(jì)術(shù)大(dà)家(jiā)不去學呢?不能像書(shū)本知識一樣學習呢?而後來(lái)才知道(dào),黑(hēi)客這個(gè)技(jì)術(shù)一項複雜的技(jì)術(shù),更多(duō)的是一種思維模式和(hé)技(jì)術(shù)手段的結合,也就是黑(hēi)客在進行(xíng)一次入侵和(hé)攻擊時(shí),實際上(shàng)在做(zuò)非常多(duō)的事情,當然這些(xiē)事情是有(yǒu)些(xiē)最本質的核心點的。
黑(hēi)客攻擊的核心——漏洞
大(dà)家(jiā)可(kě)以看一下黑(hēi)客攻擊的這張圖,在中間(jiān)的區(qū)域就是黑(hēi)客所要經曆的所有(yǒu)過程。當然這裏還(hái)沒有(yǒu)列舉全,但(dàn)是我們可(kě)以發現,這樣一個(gè)過程的核心環節是什麽?那(nà)就是去尋找漏洞。因為(wèi)黑(hēi)客的技(jì)術(shù)就是嫁接在漏洞之上(shàng),如果說你(nǐ)沒有(yǒu)漏洞,那(nà)黑(hēi)客就很(hěn)難去發揮。黑(hēi)客所有(yǒu)的思維模式都是去找漏洞,利用這些(xiē)漏洞來(lái)實現更多(duō)的權限,實現更多(duō)的黑(hēi)客手段。
黑(hēi)客如何攻擊/入侵系統?
黑(hēi)客如何攻擊/入侵系統?
過去在協助偵破黑(hēi)客案件時(shí),一般第一思考的就是黑(hēi)客是通(tōng)過什麽途徑和(hé)漏洞進行(xíng)入侵的,并針對入侵整個(gè)的路徑進行(xíng)一個(gè)還(hái)原,然後再進行(xíng)一個(gè)反追蹤。根據入侵的路徑然後再根據留下的信息和(hé)特征進行(xíng)逆向,從而再進行(xíng)反追蹤的工作(zuò)。
所以說當企業遇到黑(hēi)客入侵的時(shí)候,應該第一想到的就是:“我哪裏出現了漏洞?”這裏我大(dà)概列了幾點:
管理(lǐ)漏洞。這個(gè)可(kě)以非常簡單的理(lǐ)解,就是企業的管理(lǐ),包括人(rén)員的漏洞。這裏有(yǒu)一個(gè)最經典的攻擊方式就是客服攻擊,因為(wèi)有(yǒu)很(hěn)多(duō)網站(zhàn)提供了客服人(rén)工的申訴,比如說我要修改密碼,但(dàn)密碼忘記了,手機也找不到了,我要申訴。而這個(gè)時(shí)候就要對客服進行(xíng)社會(huì)工程學的攻擊,黑(hēi)客通(tōng)過收集大(dà)量被攻擊者的信息,利用社會(huì)工程學的方法,讓客服把目标賬号的密碼給重置,從而獲得(de)重要的賬号。
邏輯漏洞。我們很(hěn)多(duō)的網站(zhàn)有(yǒu)支付功能,在支付流程中,網站(zhàn)需要進行(xíng)多(duō)次确認,如果網站(zhàn)開(kāi)發時(shí)沒有(yǒu)很(hěn)完備的流程設計(jì)和(hé)審計(jì),這時(shí)黑(hēi)客把數(shù)據包改一下,把錢(qián)改一下,前面下訂單的時(shí)候是99元,支付的時(shí)候隻需1塊錢(qián)就支付成功了,這樣就産生(shēng)了邏輯漏洞,也就是最經典的1元買iphone的漏洞,這類的漏洞也是非常經典的。
協議漏洞。比如像Ddos的SYN攻擊就是非常典型的一個(gè)協議漏洞,在Ddos攻擊的時(shí)候通(tōng)過發送大(dà)量的SYN數(shù)據包來(lái)消耗目标主機的資源。
提權漏洞。這類漏洞也很(hěn)常見。黑(hēi)客可(kě)以利用系統機制(zhì),獲取到系統管理(lǐ)員的權限,這時(shí)就可(kě)以對系統進行(xíng)最高(gāo)級别的命令執行(xíng),從而下載數(shù)據庫或植入木馬。
防護漏洞。這類漏洞是大(dà)家(jiā)經常會(huì)遺忘的,就是我們所用的這些(xiē)防火(huǒ)牆、安全設備或者說安全方案,其實裏面也是有(yǒu)漏洞的,黑(hēi)客也可(kě)以利用這些(xiē)漏洞進行(xíng)入侵。越是我們信任的環節往往造成的危害越大(dà)。
那(nà)我們綜合來(lái)看黑(hēi)客在進行(xíng)攻擊的時(shí)候,最核心的目标是什麽?他就是去尋找你(nǐ)所有(yǒu)的漏洞,把所有(yǒu)的相關信息收集起來(lái),然後做(zuò)成一個(gè)作(zuò)戰地圖,根據這張作(zuò)戰地圖去分析你(nǐ)在整個(gè)數(shù)據保護、信息架構等層面存在的漏洞。然後會(huì)根據這些(xiē)漏洞進行(xíng)嘗試,當然這些(xiē)漏洞有(yǒu)技(jì)術(shù)上(shàng)的漏洞,也有(yǒu)思維上(shàng)的漏洞,還(hái)有(yǒu)相關流程和(hé)規則上(shàng)的漏洞,隻要黑(hēi)客足夠有(yǒu)耐心,就能确保可(kě)以攻陷系統。
這些(xiē)漏洞其實都是值得(de)我們企業去關注、思考、審視(shì)的,如果這些(xiē)環節都會(huì)有(yǒu)漏洞的話(huà),相信企業安全也非常難做(zuò),并且黑(hēi)客也是有(yǒu)非常多(duō)的點可(kě)以去危害企業的。
關于漏洞産生(shēng)的二三事
那(nà)既然漏洞是根源,它是怎麽産生(shēng)的呢?我們就拿(ná)程序開(kāi)發這個(gè)過程來(lái)分析下,因為(wèi)我也做(zuò)過開(kāi)發人(rén)員,相信大(dà)家(jiā)大(dà)部分受到入侵攻擊的也都是企業信息系統,這些(xiē)信息系統的程序開(kāi)發會(huì)經曆很(hěn)多(duō)過程。這張圖就列了一個(gè)非常簡單的過程:開(kāi)發人(rén)員編寫代碼,每個(gè)人(rén)員編寫完代碼後自己會(huì)進行(xíng)單元測試,測試完了之後多(duō)人(rén)會(huì)把代碼進行(xíng)整合,整合完成之後再進行(xíng)一個(gè)上(shàng)線測試,最終再發布上(shàng)線,其實每一個(gè)環節都有(yǒu)一些(xiē)不可(kě)避免的風險會(huì)産生(shēng)漏洞。
每個(gè)環節都可(kě)能産生(shēng)漏洞
每個(gè)環節都可(kě)能産生(shēng)漏洞
比如說開(kāi)發人(rén)員,我們很(hěn)多(duō)開(kāi)發人(rén)員是不懂安全技(jì)術(shù)的,他也不是安全專家(jiā),隻會(huì)實現功能,完成程序正常的流程,但(dàn)是卻無法完全避免實現方式裏存在的漏洞。再說單元測試,通(tōng)常企業裏隻做(zuò)功能和(hé)性能測試,但(dàn)不會(huì)做(zuò)安全測試。代碼整合階段同樣會(huì)出現一些(xiē)邏輯問題,由于是不同人(rén)員開(kāi)發的,整合在一起是不是會(huì)産生(shēng)漏洞,沒有(yǒu)一個(gè)完善的機制(zhì)。最後的上(shàng)線環節也同樣會(huì)出現漏洞風險,有(yǒu)個(gè)案例,蘋果的開(kāi)發工具可(kě)以發布很(hěn)多(duō)蘋果的App,但(dàn)是如果開(kāi)發工具本身被黑(hēi)客動了手腳,那(nà)發布出來(lái)的程序是不是都會(huì)附帶危害?這個(gè)恰恰是我們新聞爆出的大(dà)事件,蘋果開(kāi)發工具被黑(hēi)客修改發不到網上(shàng),大(dà)量知名APP都遭受到了影(yǐng)響,導緻最終的程序含有(yǒu)惡意代碼。
所以我們單就程序開(kāi)發、網站(zhàn)開(kāi)發這樣的過程,就會(huì)有(yǒu)諸多(duō)的環節産生(shēng)漏洞風險,那(nà)其他過程我們就更無法确保不會(huì)産生(shēng)風險了。
常見的漏洞有(yǒu)哪些(xiē)?
常見的漏洞有(yǒu)哪些(xiē)?
接下來(lái)我們看下漏洞情況分布,這張圖是IBM做(zuò)的一個(gè)分析,值得(de)注意的是從2014年到2016年,漏洞逐步轉向更多(duō)未知類型,包括零日漏洞這類非常見漏洞,所以未來(lái)零日漏洞的威脅會(huì)逐步變大(dà)。
漏洞的發展曆程
既然漏洞無處不在,那(nà)我們企業如何去應對呢?我們還(hái)是要慢慢的去了解和(hé)掌握這些(xiē)漏洞,從全局來(lái)看,漏洞是有(yǒu)一個(gè)發展曆程的,我們要清晰的了解它的演化過程。現在總結出來(lái)大(dà)概有(yǒu)三個(gè)階段,是基于威脅進行(xíng)定義的:
第一階段,基礎威脅階段。基于操作(zuò)系統、協議、機制(zhì)本身的不完善産生(shēng)的漏洞威脅。我們信息化剛剛起步的時(shí)候,存在大(dà)量系統安全和(hé)協議安全的威脅,就在2010年之前,大(dà)部分都是病毒威脅,大(dà)家(jiā)會(huì)使用很(hěn)多(duō)的殺毒軟件,那(nà)是因為(wèi)當時(shí)的操作(zuò)系統有(yǒu)非常多(duō)的漏洞,還(hái)有(yǒu)一些(xiē)協議安全,也就是說像Ddos、 ARP攻擊等,都是在那(nà)個(gè)階段出現的,所以在那(nà)個(gè)階段更多(duō)的這種漏洞都是基于系統漏洞和(hé)協議漏洞,基于這樣一些(xiē)威脅我們在做(zuò)防禦。
第二階段,應用威脅階段。随着基礎系統的不斷升級,慢慢從基礎漏洞威脅就轉移到了應用層的威脅。也就是說在2010年到2017年入侵事件非常多(duō)。那(nà)就是網站(zhàn)存在應用層漏洞。比如SQL注入、XSS、越權漏洞等,因為(wèi)大(dà)家(jiā)操作(zuò)系統越來(lái)越安全,慢慢黑(hēi)客就轉戰到了應用層的漏洞上(shàng),所以在這個(gè)階段出現了大(dà)量應用層漏洞。
其實經過我們這些(xiē)年的發展,目前網站(zhàn)安全已經做(zuò)得(de)非常好了,而且現在開(kāi)發網站(zhàn)的開(kāi)發人(rén)員也意識到了有(yǒu)非常多(duō)的應用層的漏洞,他們會(huì)在開(kāi)發網站(zhàn)的時(shí)候杜絕這樣一些(xiē)漏洞的風險。
第三階段,數(shù)據威脅階段。随着數(shù)據越來(lái)越重要,就産生(shēng)了針對數(shù)據安全的威脅漏洞。這個(gè)階段的漏洞大(dà)部分是什麽樣的呢?有(yǒu)防護漏洞、零日漏洞、框架漏洞、自動化攻擊漏洞、欺詐漏洞等,随着威脅和(hé)我們安全的升級,漏洞也是在不斷轉變的,這裏面的一個(gè)規律是什麽呢?其實最核心的規律就是黑(hēi)客的入侵成本問題,也就是黑(hēi)客會(huì)選擇入侵成本更低(dī)、利益最大(dà)的方式。
任何新的平台,都會(huì)經曆着這三個(gè)階段,比如我們的智能手機。最早的智能手機系統本身是不安全的,那(nà)時(shí)候出現了大(dà)量的系統惡意程序,慢慢的升級到現在的安卓和(hé)蘋果,系統會(huì)越來(lái)越安全,這時(shí)候就到了應用安全的階段,就會(huì)有(yǒu)一些(xiē)APP二次打包,假冒與釣魚APP出現。而慢慢随着安全機制(zhì)升級。黑(hēi)客可(kě)能就會(huì)進入到第三個(gè)階段,就是直接去攻擊你(nǐ)的數(shù)據,監聽(tīng)你(nǐ)的數(shù)據竊取你(nǐ)存儲在服務器(qì)上(shàng)的數(shù)據,也會(huì)利用其他的驅動來(lái)竊取鍵盤數(shù)據等。
如何解決漏洞?未來(lái)何去何從?
我們大(dà)概對漏洞也非常的了解了,接下來(lái)我們該如何面對呢?也就是說我們的未來(lái)将何去何從?這裏我先跟大(dà)家(jiā)講一下安全的本質,這是一張安全投入、威脅程度以及入侵成本的曲線圖,大(dà)家(jiā)可(kě)以仔細看一下這張圖,其實它反映了非常多(duō)的問題。
【钛坦白】漏洞銀行(xíng)CTO張雪松:企業遭遇黑(hēi)客入侵的原罪——漏洞
其實安全這個(gè)事情就是一個(gè)黑(hēi)與白的博弈。也就是說随着我們安全成本投入的提升,威脅就會(huì)越來(lái)越小(xiǎo),黑(hēi)客的入侵成本也會(huì)提高(gāo),這也是大(dà)家(jiā)有(yǒu)所共知的一個(gè)規律。但(dàn)是這裏面就牽扯到一個(gè)問題,就是我發現非常多(duō)的企業會(huì)進行(xíng)全面的安全建設,花(huā)費大(dà)量的安全經費,但(dàn)卻沒有(yǒu)達到這個(gè)曲線上(shàng)所實現的效果,這究竟是為(wèi)什麽呢?
實際上(shàng)很(hěn)多(duō)企業沒有(yǒu)把安全投入到最重要的方面,沒有(yǒu)投入到與入侵成本有(yǒu)關的方面。所以在這種基礎之上(shàng),我建議企業一定要學會(huì)利用黑(hēi)客的思路進行(xíng)布防,我們最關注的就是如何能夠提高(gāo)黑(hēi)客的入侵成本,用黑(hēi)客的視(shì)角來(lái)進行(xíng)防禦。
這裏給大(dà)家(jiā)列一些(xiē)漏洞發現的工具:代碼審計(jì)工具、漏洞掃描産品、滲透測試服務、衆測服務、建立SRC(Security Response Center)。
巧用工具學會(huì)黑(hēi)客的視(shì)角審視(shì)系統裏面究竟有(yǒu)沒有(yǒu)漏洞,按照黑(hēi)客的入侵思路進行(xíng)有(yǒu)效益的安全建設,這才能達到我們預期的期望。當然這些(xiē)“工具”也有(yǒu)成本對比,優劣對比,我們漏洞銀行(xíng)也推出了更加适合企業的解決方案,這些(xiē)都需要企業做(zuò)好相關工作(zuò),切實選擇适合自己的方案。
最後我再提一點就是我們今年頒布的《網絡安全法》,這個(gè)也是非常重要的,是我們企業對付黑(hēi)客違法行(xíng)為(wèi)非常重要的一個(gè)武器(qì),也希望大(dà)家(jiā)去看一下《網絡安全法》的研讀,有(yǒu)了立法就有(yǒu)了明(míng)确的法律武器(qì),幫助企業打擊黑(hēi)客犯罪行(xíng)為(wèi)。
钛坦白群友(yǒu)互動:
1、請(qǐng)問“漏洞銀行(xíng)”,為(wèi)什麽稱為(wèi)銀行(xíng)呢?
張雪松:看來(lái)大(dà)家(jiā)對這個(gè)品牌名稱還(hái)是很(hěn)感興趣,為(wèi)什麽叫漏洞銀行(xíng)呢?我講下我的一個(gè)理(lǐ)解。漏洞銀行(xíng)平台擁有(yǒu)上(shàng)萬注冊白帽(擁有(yǒu)黑(hēi)客技(jì)術(shù)的人(rén))為(wèi)企業做(zuò)漏洞挖掘和(hé)測試,用黑(hēi)客視(shì)角幫助企業尋找威脅與漏洞。白帽會(huì)把漏洞提交給平台,其實每個(gè)漏洞都是非常有(yǒu)價值的,就像金錢(qián)一樣,那(nà)我認為(wèi)這個(gè)如同是存取漏洞的銀行(xíng),是一個(gè)非常形象的比喻吧(ba)。我們也會(huì)持續專注于解決漏洞問題,幫助企業将所有(yǒu)與漏洞風險有(yǒu)關的問題徹底解決。
2、請(qǐng)問張總,我想知道(dào)黑(hēi)客這麽會(huì)隐藏自己的行(xíng)蹤,他們怎麽找女朋友(yǒu)啊?
張雪松:這個(gè)問題問的非常好。首先很(hěn)多(duō)黑(hēi)客他們本身單身的比較多(duō),同時(shí)他們有(yǒu)這樣的一個(gè)特性:一旦圈內(nèi)有(yǒu)新技(jì)術(shù)新的漏洞利用方式出現,他們會(huì)徹夜通(tōng)宵來(lái)研究和(hé)利用漏洞,完全會(huì)把女朋友(yǒu)抛擲腦(nǎo)後,所以也确實會(huì)很(hěn)難找到女朋友(yǒu)。
3、請(qǐng)問現在好多(duō)網站(zhàn)可(kě)以使用自己的微信授權,對于安全考慮是不是盡量避免這種授權?
張雪松:其實在很(hěn)多(duō)應用裏面都會(huì)進行(xíng)微信授權,這裏面一般來(lái)說,對方應用隻能夠拿(ná)到你(nǐ)的頭像和(hé)昵稱信息,微信授權接口沒有(yǒu)授權微信号、手機号等隐私信息,所以隻要你(nǐ)頭像不用個(gè)人(rén)照片,昵稱沒有(yǒu)真實名稱,一般沒有(yǒu)太多(duō)風險。但(dàn)是在大(dà)數(shù)據時(shí)代,這些(xiē)授權頁面收集到足夠多(duō)的信息,再進行(xíng)一個(gè)建模,然後會(huì)通(tōng)過你(nǐ)的昵稱和(hé)頭像發現你(nǐ)的手機号和(hé)地址,這種情況就比較危險了。建議盡量少(shǎo)去進行(xíng)這種授權,像一些(xiē)比較知名的品牌或者是公衆号,授權是沒有(yǒu)問題的,其他不知名的網頁就不要授權了。
4、請(qǐng)問現在如果一個(gè)初創公司要開(kāi)發一款App,是不是需要與這樣的安全機構合作(zuò)?
張雪松:現在初創的公司做(zuò)APP應用開(kāi)發的話(huà),實際上(shàng)安全還(hái)是有(yǒu)必要的,至少(shǎo)需要了解APP相關的安全內(nèi)容,如果能夠讓安全公司給出一個(gè)相應的咨詢報告或者是給出一個(gè)安全建議,實際上(shàng)能夠利于你(nǐ)們後期出現的很(hěn)多(duō)問題。APP本身它的問題也很(hěn)多(duō),因為(wèi)是有(yǒu)客戶端和(hé)服務端的,中間(jiān)還(hái)有(yǒu)一些(xiē)通(tōng)訊,包括現在還(hái)有(yǒu)專門(mén)做(zuò)APP安全的,所以APP這一塊的應用也是十分需要重視(shì)安全的。(本文獨家(jiā)首發钛媒體(tǐ),根據漏洞銀行(xíng)聯合創始人(rén)、CTO張雪松在钛坦白上(shàng)的分享整理(lǐ))
(廈門(mén)網站(zhàn)建設文章來(lái)自百度新聞)
聯系地址:廈門(mén)市軟件園二期望海路23号之二204|A3~A5
電(diàn)話(huà):0592-5786385
傳真:0592-5786385
QQ:413141903