如何看待信息安全—敦科爾克大撤退
是時候承認失敗了,我們所面對的信息安全現狀是糟糕透頂的:大多數安全保護措施形同虛設;安全工程師們更樂于看到自己薪水以及地位的節節上升。或許這正是信息安全產業之所以還沾沾自喜且陶醉于其中的原因所在,盡管一切看上去都朝著失敗的方向發展。
1 引言
溫水煮青蛙
對青蛙而言,這是一個相當殘忍的比喻。
雖然大多數引用這個比喻的人并不清楚青蛙在溫水中是否真正不會跳出來而一直被煮成青蛙湯。
如果我們將現在的信息安全產業看作成為那只溫水中的青蛙,我們又會發現什么?
難道那只青蛙真的要被困于那漸沸的鍋中?不得不進行歷史上最著名的敦科爾克大撤退么?
你不愿相信,我不愿相信,我們都不愿相信這一點。
互聯網以及全球經濟的迅猛發展很大程度上依賴于長久以來形成的信任與安全機制。然而每年在電子商務交易中損失的交易額數以數億美金計算。美國司法部的一項針對成人在網絡上的犯罪行為研究調查表明,傾向并熱衷于在網絡上進行犯罪行為的人比例三倍于傳統現實中的犯罪。不僅如此,來自蓋納調查機構的一份報告顯示,14%曾經使用在線銀行服務的用戶因為安全方面的因素而停止使用在線銀行服務,另外有37%的人很少使用在線銀行服務。很顯然,互聯網信任危機成為罪魁禍首。
正如那個經典的形容互聯網的優點的例子一樣,“在互聯網上,沒有人知道你是誰;哪怕電腦的對面是一只狗”。
我們應該開心抑或是悲哀,當信任危機嚴重的影響到我們生活、工作、學習的方方面面時,我們開始質疑:信息安全,你究竟路在何方?
2 失敗
2.1 產品迷思
我們面對著琳瑯滿目的安全產品:
第四、五代的防火墻(UTM統一威脅管理網關、應用防火墻等)
基于行為的反間諜軟件(Pestpatrol、Spybot、WebRoot等)
主機或者網絡入侵檢測(防護)系統(ISS BlackICE、HIDS、NIDS、IPS、NGSsoftware等)
動態身份認證(雙因子、電子令牌、生物識別認證等)
高度自動化的漏洞評估工具(GFI、SSS、eEye retina、Core Impact、Skyscope等)
個人防火墻(Zonealarm、天網等)
基于特征的反病毒軟件、硬件(Kaspersky、AVG、AntiyLabs等)
……
我們始終堅信這些無所不能的安全產品使我們可以免于恐懼,處于一種平和的狀態之中。但擁有并部署這些安全產品我們就真的獲得“安全”了么?
根據美國今日雜志的統計,2005年是計算機系統受到威脅并出現事故最多與后果最嚴重的“最糟糕年”。美國財政部技術處的統計表明在2004年,由于網絡犯罪所造成的損失高達1050億美金,遠遠超過毒品非法銷售所得。2005年,FBI與CSI聯合進行的一個關于計算機犯罪與安全的調查表明,至少有90%以上的交易在2004年受到計算機病毒、間諜軟件或者是其它形式的在線攻擊影響,而在2005年,這一比例仍有所上升;盡管已經部署了大量的安全設備、軟件等來防止并降低來自于網絡的威脅程度。FBI還發現,平均每天有超過27000人的身份數據、社會保險號等數據在網絡上失竊。藍色巨人IBM也在2006年初發布一項預警報告聲明在2006年更具有目的性、更為精密、更具有危害性的攻擊數量將進一步上升。
一定有某個地方出錯了,但是錯在哪里呢?
如果你隨意打開一張報紙并瀏覽當期頭條,我打賭十次有八次你可以看到有“銀行詐騙案”、“網絡交易欺詐”、“釣魚攻擊愈演愈烈”等類似標題出現。我們承認人們有時候是很粗心的,很容易犯這樣那樣的小錯誤;但是如果超過數千萬人天天都在犯粗心錯誤的時候,那就不僅僅屬于個人行為,而更進一步的衍變成為社會行為,并進而影響到那些幾乎“全副武裝到牙齒的”IT部門以及安全專家甚至巨額的安全預算。不是么?
2.2 究竟有多糟糕
大多數情況下,我們所聲稱的安全最佳實踐事實上是完全失效的。
AvanteGarde近期進行了一項實驗,其在網絡中部署了一批具備缺省安全配置系統并對其進行詳盡的分析,也就是我們所俗稱的“蜜罐Honeypot”做為誘餌調查攻擊者的行為。通過這一項目,可以在一定時間內進行對攻擊、威脅數量、種類的抽樣統計同時也可以計算從威脅到攻擊成功成為“傀儡”機器所需要的時間窗進行統計。統計表明,一次針對計算機成功的入侵平均時間僅需要4分鐘。
試想一下,我們可以購買更為昂貴、性能更為強大的電腦,然后加電、開機、接入網絡,起身去沖一杯咖啡,……這一切,只需要四分鐘。回來之后呢?木馬程序已經接管你系統權限,新機器已經成為“僵尸網絡”中的一分子,參與了發送垃圾郵件、釣魚攻擊、病毒傳播以及分布式拒絕服務攻擊等諸多攻擊行為浪潮中去。
絕大多數消費者都沒有足夠的安全意識,他們很少會在拿到一臺計算機并將其連接入網絡之前增加必要的安全措施,例如安裝系統補丁等。當然,具備足夠安全意識的用戶會通過其它渠道按照SANS應急響應中心的建議并按照自己的操作系統種進行初級的安全設置,譬如安裝系統補丁等。新問題又出現了,微軟發布的Windows XP系統補丁小到70Mb,大到260Mb,你下載這些補丁所需要花費的時間已經大于4分鐘,于是很遺憾,您的計算機可能已經被入侵者占據了。
因此,我們陷入怪圈:一方面下載并安裝補丁是必須的,另一方面下載過程中即被入侵而導致下載回來補丁沒有任何意義。更有甚者,我們對于計算機的控制權限可能少到可憐的30秒鐘。
即便你通過離線方式獲得并安裝補丁確保系統安全性得以提升,這也僅僅是萬里長征的第一步——因為,失敗無所不在。
2 失敗
2.1 產品迷思
我們面對著琳瑯滿目的安全產品:
第四、五代的防火墻(UTM統一威脅管理網關、應用防火墻等)
基于行為的反間諜軟件(Pestpatrol、Spybot、WebRoot等)
主機或者網絡入侵檢測(防護)系統(ISS BlackICE、HIDS、NIDS、IPS、NGSsoftware等)
動態身份認證(雙因子、電子令牌、生物識別認證等)
高度自動化的漏洞評估工具(GFI、SSS、eEye retina、Core Impact、Skyscope等)
個人防火墻(Zonealarm、天網等)
基于特征的反病毒軟件、硬件(Kaspersky、AVG、AntiyLabs等)
……
我們始終堅信這些無所不能的安全產品使我們可以免于恐懼,處于一種平和的狀態之中。但擁有并部署這些安全產品我們就真的獲得“安全”了么?
根據美國今日雜志的統計,2005年是計算機系統受到威脅并出現事故最多與后果最嚴重的“最糟糕年”。美國財政部技術處的統計表明在2004年,由于網絡犯罪所造成的損失高達1050億美金,遠遠超過毒品非法銷售所得。2005年,FBI與CSI聯合進行的一個關于計算機犯罪與安全的調查表明,至少有90%以上的交易在2004年受到計算機病毒、間諜軟件或者是其它形式的在線攻擊影響,而在2005年,這一比例仍有所上升;盡管已經部署了大量的安全設備、軟件等來防止并降低來自于網絡的威脅程度。FBI還發現,平均每天有超過27000人的身份數據、社會保險號等數據在網絡上失竊。藍色巨人IBM也在2006年初發布一項預警報告聲明在2006年更具有目的性、更為精密、更具有危害性的攻擊數量將進一步上升。
一定有某個地方出錯了,但是錯在哪里呢?
如果你隨意打開一張報紙并瀏覽當期頭條,我打賭十次有八次你可以看到有“銀行詐騙案”、“網絡交易欺詐”、“釣魚攻擊愈演愈烈”等類似標題出現。我們承認人們有時候是很粗心的,很容易犯這樣那樣的小錯誤;但是如果超過數千萬人天天都在犯粗心錯誤的時候,那就不僅僅屬于個人行為,而更進一步的衍變成為社會行為,并進而影響到那些幾乎“全副武裝到牙齒的”IT部門以及安全專家甚至巨額的安全預算。不是么?
2.2 究竟有多糟糕
大多數情況下,我們所聲稱的安全最佳實踐事實上是完全失效的。
AvanteGarde近期進行了一項實驗,其在網絡中部署了一批具備缺省安全配置系統并對其進行詳盡的分析,也就是我們所俗稱的“蜜罐Honeypot”做為誘餌調查攻擊者的行為。通過這一項目,可以在一定時間內進行對攻擊、威脅數量、種類的抽樣統計同時也可以計算從威脅到攻擊成功成為“傀儡”機器所需要的時間窗進行統計。統計表明,一次針對計算機成功的入侵平均時間僅需要4分鐘。
試想一下,我們可以購買更為昂貴、性能更為強大的電腦,然后加電、開機、接入網絡,起身去沖一杯咖啡,……這一切,只需要四分鐘。回來之后呢?木馬程序已經接管你系統權限,新機器已經成為“僵尸網絡”中的一分子,參與了發送垃圾郵件、釣魚攻擊、病毒傳播以及分布式拒絕服務攻擊等諸多攻擊行為浪潮中去。
絕大多數消費者都沒有足夠的安全意識,他們很少會在拿到一臺計算機并將其連接入網絡之前增加必要的安全措施,例如安裝系統補丁等。當然,具備足夠安全意識的用戶會通過其它渠道按照SANS應急響應中心的建議并按照自己的操作系統種進行初級的安全設置,譬如安裝系統補丁等。新問題又出現了,微軟發布的Windows XP系統補丁小到70Mb,大到260Mb,你下載這些補丁所需要花費的時間已經大于4分鐘,于是很遺憾,您的計算機可能已經被入侵者占據了。
因此,我們陷入怪圈:一方面下載并安裝補丁是必須的,另一方面下載過程中即被入侵而導致下載回來補丁沒有任何意義。更有甚者,我們對于計算機的控制權限可能少到可憐的30秒鐘。
即便你通過離線方式獲得并安裝補丁確保系統安全性得以提升,這也僅僅是萬里長征的第一步——因為,失敗無所不在。
2.3 失敗無所不在
雖然我們不愿意承認現實的殘酷與嚴峻,但我們必須意識到:失敗確實無所不在。
間諜軟件
普通用戶的計算機經常充斥著名目繁多的間諜軟件、流氓軟件或者彈出式廣告。根據NCSA一項研究表明91%以上的計算機系統內都存在間諜軟件。根據Earthlink以及防間諜軟件提供商WebRoot Software聯合進行的一項針對互聯網上超過100萬臺計算機進行的調查表明,每臺計算機內平均運行有超過28個間諜程序。間諜軟件更進一步導致系統性能下降、資源被耗盡,同時也彈出式廣告以及瀏覽器劫持插件、身份信息竊賊程序(如社會保險號、銀行卡號、財務數據等);不僅如此,間諜軟件還監視并采集計算機系統的一舉一動(如您的瀏覽歷史、個人習慣、愛好、隱私數據等);更有甚者,重定向或路由誘導未成年兒童訪問色情站點從而牟取商業利益。
圖:迷失的瀏覽器com:office:office" />
美國Illinois大學的一位著名的安全研究人員Eric Howes調查發現:絕大多數反間諜軟件都無法徹底清除受感染機器上的間諜軟件,甚至其中一些反間諜軟件對于由間諜程序所生成關鍵性的文件或者注冊表根本不予理睬,這一比例甚至曾搞達25%。微軟公司曾經發表聲明,從系統中根除間諜軟件是一項“不可能任務Mission Impossible”。
釣魚攻擊
國際防釣魚攻擊聯盟從成立以來不遺余力的聯合各個國家共同采取措施來抑制釣魚攻擊的成長并進一步降低釣魚攻擊所帶來的巨大損失。調查表明:釣魚者每周嘗試發起的攻擊次數平均每周超過40000000次。Gartner蓋納集團2004年6月的調查表明,在此前的12個月內,北美洲的銀行業在電子交易過程中因為惡意欺詐行為損失了超過24億美金。預計有近2億人次在釣魚攻擊中從諸多知名在線服務提供商(如:eBay、PayPal、Visa、SouthTrustBank、AOL、Comcast、Verizon等)蒙受不同數額的損失。
圖:惡意密碼竊取URL再創新高(Antiphishing.org)
安全專家George Ou同時發現許多大型金融機構早期(如:Bank of America、American Express、KeyBank、US Bank等)在驗證用戶的身份之時都沒有采用SSL協議對傳輸進行加密。這使得釣魚攻擊者可以更輕松的劫持并偽造欺騙性頁面以誘導用戶乖乖告訴他們銀行帳戶、密碼。
木馬、病毒和蠕蟲
木馬、病毒和蠕蟲以及混合型的惡意代碼正在以每月數千種以上的速度繁衍,我們幾乎已無力應對。做為防病毒廠商,以巨大的投資建立遍布全球的病毒監測網絡并努力搜尋并抓獲新生的木馬、病毒和蠕蟲。在90年代,除了轟動一時的計算機CIH病毒得到人們莫大的關注之外,其余均被人們僅僅當作茶余飯后的談資。然而今日木馬、病毒與蠕蟲作者被不再簡單的局限于娛樂、體驗或者是炫耀自己高超的編程技巧,而更多的以牟取高額經濟回報與利益為目的。因此,我們驚訝的發現90年代的病毒最多干一些刪除計算機文件的勾當,如今我們的金錢卻深處于水深火熱中。
美國FBI于2005年對于2066個企業、機構等進行的調查表明此類計算機木馬、病毒以及蠕蟲的惡意行為對受調查對象中的84%以上遭受到不同程度破壞,同時損失金額保守估計僅2005年全年就高達620億美金。另一個數字來自微軟,微軟去年推出的“惡意軟件移除工具”2005年的下載次數超過20億次,這一數字再次表明惡意軟件已經無所不在,深入我們的生活中。
惡意程序跟以往相比,危害更大,其攻擊能力也不斷增強。諸如Ransom.A.Trojan以及Zippo.A等新的加密型病毒不僅感染計算機并且對硬盤上的文件進行加密;然后這些惡意程序勒索用戶要求其通過paypal等在線支付手段支付一筆小額費用(10美金左右)到指定帳號,否則就不會為用戶提供打開密碼。這形成了一場赤裸裸的“敲詐”。
新一代的后門變得愈發難以檢測。微軟研究實驗室創建了一個基于虛擬機的后門原型——SubVirt。SubVirt實現了在操作系統下底層構建一個虛擬機監視器,其可以使得木馬本體在宿主操作系統中不可能被發現,因為其運行狀態根本不可能進入宿主操作系統的安全軟件監控之中。
圖:界面如此友好的木馬
軟件是盡最大可能利用現有防病毒軟件基于簽名、特征的檢測機制弱點進行衍生與傳播,這是無法根除惡意軟件的原因之所在。從技術角度上而言,基于簽名的檢測機制首先要求能夠有能力以最快的速度維護并擴充一個包含每一種新的惡意攻擊行為的信息庫。攻擊以及其傳播的速度遠遠超過補丁的發布與部署速度。2001年著名的“紅色代碼”蠕蟲每分鐘感染創記錄的2000臺電腦。加州伯克利分校的Nick Weaver曾經提出過一種可以超高速進行傳播的蠕蟲“Flash Worm”,其理論上可以實現15分鐘之內感染互聯網上幾乎所有存在相應漏洞的計算機,甚至構造優良的Flahs Worm其傳播速度可能以秒為數量級來計算。另一種繞過基于簽名的檢測機制的技術方法是類似Torjan.Mdropper.B以及Trojan.Riler.C這類針對一個特定公司或者行業的自定義的木馬程序,其利用到了尚未公開的一些漏洞以及底層核心技術,而輕松繞過防病毒軟件的檢測與監控。這種方法也呈現出一定的增長趨勢,必須要引起進一步的重視。
垃圾郵件
地球上連續12年最富有的人——Bill Gates微軟首席軟件架構師曾經預測2006年Spam——垃圾郵件會消失,然而他錯了。Postni從2002年元月起開始的一項調查表明,垃圾郵件的活躍程度增長了65%,直至2006年4月份的報告顯示互聯網中70%以上的郵件:也就是說每14封郵件中有10封屬于包含各種商業小廣告、色情內容等的垃圾郵件。
圖:垃圾郵件示例
這一點也不出人意料,垃圾郵件確實越發猖狂。2006年在德國漢堡舉行的歐洲計算機反病毒研究會議上,John Aycock以及來自Calgary大學的Nathan曾經發表過一篇關于垃圾郵件如何繞過形形色色的過濾器(其中包含微軟大力推行的防止垃圾郵件的發件人ID驗證SPF框架)并且如何成功欺騙那些對處理可疑垃圾郵件有豐富經驗的IT專業人員。這些新的技巧更多的表現在新一代的垃圾郵件“傀儡”實時監控受感染機器上的每一封郵件活動,然后記錄地址并自動偽造郵件轉發至相應關聯其它郵件地址。因此,我們在今后收到的垃圾郵件很有可能來自我們的同學、家人、同事甚至各種朋友(只要你曾經和他們發生過郵件往來并被垃圾郵件記錄到),甚至我們驚奇的發現發件人縮寫也是他們的姓名。因此我們絲毫不會懷疑郵件的真實性而去點擊其中的鏈接或者打開相應的附件。
僵尸網絡
美國司法部對網絡犯罪進行調查時發現了一個很具有戲劇性的事實,六成以上的垃圾郵件來自他們根本預料不到的計算機網絡:美國國防部數以百計的超級計算機。這些超級計算機大都被黑客入侵而成為“傀儡”,黑客遠程控制這些超級計算機而利用其強大的計算能力發送垃圾郵件或者進行分布式拒絕服務攻擊DDOS。以往數據表明,超過10萬、20萬節點的僵尸網絡是十分罕見的。然而,最近的一項調查表明,虛擬的網絡世界中甚至存在一個超過150萬節點的僵尸網絡。
圖:“僵尸”軍團
PandaLabs在2005年所進行的一項調查表明,其監測到有超過1萬個形形色色的僵尸網絡,相對2004年其增幅高達175%。僵尸網絡的傳播源——控制程序的種類也占了2005年全年檢測到的惡意程序的20%以上,而且每種控制程序又衍生出上千種變體,遠不是基于簽名或特征的檢測與防護機制所能夠防范的。例如Gaobot系列病毒僅2005年一年就衍生出超過6000種變體。
Web應用漏洞
梅賽德斯-奔馳、富士、松下、美國軍方、Microsoft、Google、Stanford大學、SANS安全研究學院、賽門鐵客、麥當勞、NASA、CIA、新浪、網易、Tom、搜狐、新華網、CCTV……這些耳熟能詳的知名公司、機構其Web服務都蒙受過不同程度的損失,甚至嚴重到種種入侵行為。
Zone-h.org致力于保存互聯網上世界范圍內針對企業、組織、機構以及公司的入侵所修改的網頁快照記錄并進行分析。統計表明其中19.4%來自于利用管理配置錯誤,而利用已知的一個系統漏洞(尚未安裝補丁)入侵成功的占到了15.3%。與此同時,2005-2006年間,來自google、Yahoo、Microsoft以及eBay等著名互聯網公司或者提供Web服務的軟件公司都出現了不同程度的漏洞且都被成功的加以利用。
1. 2005年10月,Gmail在進行帳號驗證以及會話管理的過程中出現一個致命的漏洞,這一漏洞導致攻擊者可以無須獲得它人帳號而進入其郵箱查看其電子郵件;
2. 2006年2月,微軟公司的Hotmail郵件服務被曝存在一個中風險級別的允許進行跨站腳本攻擊的漏洞;同期,eBay也出現類似漏洞
3. 2006年4月,Yahoo公司郵件服務中出現一個可以被利用進行釣魚攻擊的漏洞;同期微軟MSN Space以及Myspace均出現可以被利用在站點中增加并執行惡意腳本的漏洞。
html1\01\clip_image001.png">而這一切才只是冰山下的一角,來自OWASP(一個開放的Web應用安全研究組織)所發布的“十大漏洞”每年都會有新的種類衍生,Web應用愈發讓我們喪失信任。安全管理員始終不能確保所實施的安全解決方案能否保障Web應用按照預期正常安全運行;同時,Web開發人員也不清楚如何將安全措施貫徹到Web代碼開發過程中去,這里就形成了一個難于被逾越的鴻溝。
Web應用的復雜性、擴展性以及趨于更為復雜的特性三位一體,使得原本就脆弱的Web應用安全性進一步受到損害。因此,Zone-h.org的數據庫愈發龐大,我們都會為此而感到恐懼,因為我們并不清楚某一天自己的Web網站會被其列入到它的“黑”名單中去。
分布式拒絕服務攻擊DDOS
分布式拒絕服務攻擊其表現形式在于使用大量被入侵并控制的計算機對某一個特定的目標發起各種類型請求以盡可能消耗信息系統所有資源(如:帶寬、磁盤空間、CPU時間),從而導致合法用戶無法獲得正常服務。互聯網上受控制并用于發動DDOS攻擊的計算機數量從早期的數百臺、數千臺已經成長為數以萬計、百萬計的龐大的“僵尸網絡”,無孔不入的計算機病毒、蠕蟲、木馬使得控制者隱藏在世界上任何一個角落遠程控制并發起相應攻擊。2004年10月。騰訊、新浪臺灣、娛樂站點等數個站點被DDOS攻擊并導致正常服務被迫中止。而早在2004年4月,俄羅斯黑手黨也控制大量的“僵尸網絡”并DDOS英國數家賭博公司的在線服務站點,并聲稱“一手交錢,一手開閘”。
于是,我們開始意識到,分布式拒絕服務攻擊DDOS從單純的娛樂或者是簡單的個人惡意報復衍變成為集團化、有預謀的犯罪行為,“一切以經濟利益為根本出發點”。
AT&T的前首席技術官CTO Ed Amoroso在一次安全會議上表明了對于DDOS的憂慮,“我們所經歷的DDOS次數已經使得我們開始覺得麻木了。”試想一下,如AT&T般的電信巨頭也面臨著DDOS所帶來的揮之不盡的麻煩,更何況大量中小型公司更會深受其害,造成巨大的損失。SANS安全研究總監Alan Paller在調查中發現“超過6000以上的各種類型組織都為類似DDOS這樣的攻擊勒索支付數額不等的贖金,而幾乎每個在線賭博站點都曾經有過類似經歷。”
Active-X
Active-X是微軟所開發的用于瀏覽器進行一些與系統交互以實施簡單控制并增強用戶體驗的技術。從其剛開始推向市場,幾乎大家都對其頗有微詞,并發現其天生存在諸多安全缺陷。盡管如此,Active-X借助微軟對于瀏覽器的影響力以及簡單易用等優勢得以大范圍應用,并成長成為事實上的標準。Richard.M.Smith進行的一項調查表明所有安裝Windows系統的計算機中有超過半數以上內存在一個或多個具有嚴重缺陷甚至可以導致攻擊者控制并獲得系統權限的Active-X插件。微軟自2002年以來所建立的安全公告板已經發布數百個關于Active-X的漏洞與相關補丁。知名的研究機構Yankee集團曾在進行一項對于Active-X的調查之后做出“Active-X休矣”的論斷。從本質上來說,這正說明Active-X的安全缺陷的重要性不容被忽視。
密碼策略
絕大多數信息系統以及服務的認證大都沿用傳統的單因子認證手段。而另一方面,更強大功能(基于時間窗-內存快照等)的密碼破解工具層出不窮,其可以在現有的PC硬件性能基礎上,大大縮短破解密碼的長度并提高對更為復雜密碼的破解成功率。從個人角度上而言,大家都已經習慣于采用“生日、12345、9999”等之類的密碼設置策略,即使采用類似“Aq42WBp”之類貌似復雜的密碼也由于密碼破解工具的能力逐漸強大而變得不再安全。Cain、JohnTheRipper等諸多開源密碼破解工具變得愈發強大,甚至超過諸多商業密碼恢復工具,更重要的是它們是免費且隨時隨處可以獲得。OphCrack可以在數十秒之內成功恢復幾乎99,9%的Windows SAM帳戶密碼。
新型的身份認證技術(如:雙因子身份認證、生物識別技術、識別卡等)一定程度上抑制了釣魚攻擊、特權濫用等攻擊威脅,但他們會是身份認證的救世主么?答案:不是。攻擊者正在采用更為精妙的攻擊手段與方法試圖超越身份認證技術所構建的強大“馬其諾防線”。
譬如中國最知名的網絡游戲公司盛大網絡所推出的雙因子動態認證技術——盛大密寶,其采用動態電子令牌為用戶提供必要的身份認證。然而這種基于時間(每60秒變化一次)的認證機制有著潛在的機制缺陷。其首先要與認證服務器本身進行時間同步服務,而每次同步并更新認證信息的時間窗可能長達一至數分鐘。一個攻擊者通過簡單的“中間人”攻擊手法截獲一次認證會話,并將其人為修改成為一次失敗認證會話狀態返回給用戶;但盛大認證服務器會將其標記為一次成功認證過程,那么中間攻擊者只需要在下一次認證服務器發現其來源并不可靠并進行同步更換之前獲得合法用戶帳號、密碼就可以實現其最直接的目的——竊取帳號、密碼。事實上,來自蘭州的一個攻擊者正是這么去做的。其設計了木馬并將其通過各種手段傳播到數萬臺計算機上,并在此過程中插入所需要的信息返回狀態,從而達到獲利數百萬的經濟目的。除此之外,攻擊者還可以在用戶成功進行認證并登陸入在線銀行、服務等之后,竊取相關信息(即使采用SSL加密)并進行破解恢復。
補丁管理
軟件供應商的產品出現了大量的漏洞因此也導致其發布了數以千計的補丁來修復Bug或嚴重缺陷。通常情況下,安裝補丁以前,我們的信息系統始終處于危險之中。即使是號稱“安全第一,牢不可破”的Oracle在近兩年以來也花費了大量的精力與開銷發布補丁以修復產品缺陷。更具有諷刺意味的是,當Oracle聲稱其產品“牢不可破”之后,擅長于漏洞挖掘的安全專家David以及Mark Litchfield就發現了24個Oracle產品家族中的漏洞或者缺陷。而微軟公司對其Windows 2000服務器以及Windows 2003服務器在在發布之后同樣時間段內所出現的嚴重漏洞數目進行了對比性統計,結果表明:在635天內,前者出現的嚴重漏洞數目高達64個,而后者卻有所改善,下降到27個;微軟Office產品在調查過程中也出現類似結論。
圖:Windows&Office補丁管理與漏洞改善方面的顯著成效
這一調查結果表明一方面微軟通過數年的努力而建成的補丁管理機制初見成效,另一方面其在2002年開始制定并加以貫徹的“安全開發生命周期模型Security Development Lifecycle”起到了最根本的因素。令人遺憾的是,并不是所有的公司都會像微軟、Oracle等花費巨大的投入從流程、方法、人員等不同角度去改善并提高產品質量。
總而言之,補丁問題將愈發成為信息系統業務連續性的最嚴重的隱患所在,其從根本上是無法解決的。畢竟,一個“天下無賊”的信息系統“烏托邦”是不可能存在的。
Zero-Day攻擊
2005年12月27日,Windows Metafile(.WMF)文件中的一個嚴重缺陷被曝光,其導致幾乎所有的Windows 2003 Web服務器以及Windows XP操作系統用戶無論是通過瀏覽器、抑或是電子郵件、即時通訊工具瀏覽一個特定的圖片之后即可導致系統被入侵。因為其利用到了Windows Graphics Rendering Engine(WGRE)一個圖像渲染引擎方面的漏洞,所以幾乎所有的Windows應用程序都不可避免(如:Internet Explorer、Outlook電子郵件、Windows圖片和傳真查看器等凡是可以可用于處理WMF文件的軟件)的成為傳播渠道。剛開始的幾個小時小時之內,數以百計的站點利用此漏洞分發各種惡意代碼;四天之后,第一個利用即時通訊IM工具傳播該漏洞的蠕蟲病毒被發現。接下來呢?我們都想知道接下來發生了什么?
六天以后,歐洲著名的安全廠商Panda檢測到一個“WMF生成器”工具,非常簡單易用使得任何一個稍微具有計算機知識的人通過鼠標的點擊即可生成包含自定義惡意代碼的WMF圖片。
毫無疑問,WMF缺陷成為信息安全產業的“夢魘”,也成為網絡犯罪的“阿拉丁神燈”。WMF漏洞使得攻擊者以最為輕松的方式(瀏覽一張網頁、郵件圖片)獲得大多數計算機系統(幾乎所有的Windows系統)的管理權限。而到第九天,針對此WMF的補丁才姍姍來遲。比較有趣的是,早在此一漏洞所帶來的攻擊大規模傳播一個月以前這一漏洞就被放到eBay上進行拍賣,一口價4000美金;而在拍賣消息得出之后兩周,防病毒廠商才注意到該漏洞但仍未得到足夠重視;直至其大規模傳播爆發之后,微軟才開始著手調查并發布相應補丁。
這是第一個WMF漏洞;那么誰能保證我們沒有下一個“WMF漏洞”呢?
無線AP缺陷
世界范圍內部署了數以億萬計的WAP。FBI的一項實驗調查表明,在ISSA(一個國際性的信息安全組織)2005年Los Angeles會議之時,會議現場中70%以上的WAP沒有任何保護措施,其允許任何用戶都隨意訪問。而剩下的27%采用了傳統的802.11 中所制定的具有嚴重缺陷的WAP加密協議,只有3%采取了改良的、具有增強安全特性的WPA標準來進行加密防護。
攻擊者可以利用類似SiVus之類的無線AP漏洞掃描工具輕松構造特定的數據包并在數分鐘之內破解128位的WEP密鑰。之所以WPA標準還沒有被正式加以普及,其根源在于設備制造商仍然大量并銷售僅支持基于WAP加密協議的無線AP設備。因此我們在無線的網絡世界中仍舊危機四伏。
來自內部的攻擊
美國商務部統計表明,2002-2005年間,平均每年由于公司、組織或者機構內部人員、管理等方面的威脅以及缺陷所造成的直接或間接損失高達4000億美金,而這一數字仍然呈進一步上升趨勢,而其中3480億損失則與那些具有特權的管理者密切相關。2005年Global Security Survey的調查表明,在全球Top 100的金融機構中,來自內部的威脅與攻擊所造成的危害遠遠超過外部威脅(黑客、木馬、蠕蟲病毒等)所造成的危害。
因此,對于內部IT信息資產、用戶、權限、流程等方面的管理就成為重中之重,BS7799/ISO27001等信息安全管理標準就逐漸成為管理者眼中的“救世主”。我們首先承認標準是科學的、是被實踐證明行之有效的,然而在建設信息安全管理體系的過程中,諸多環節由于直接或者間接的人為因素而導致標準在每個執行的環節都大打折扣,而這些就導致標準無法真正落到實處。一方面,我們希望借助標準建立完善的PDCA(Plan、Do、Check、Action)流程,另一方面Plan方針的不確定性(取決于管理者的管理思想、管理文化、甚至性格等諸多因素)、Do行為的不可靠性(取決于各個部門的配合程度、責權利的分工明確與否等)、Check復查的有效性(取決于審計者的獨立性、客觀性、公證性以及檢查方法的科學性與否)、Act執行(取決于人、財、物等是否有足夠的預算、配置管理、影響業務連續性的致命因素等),以上四者導致PDCA流程在很多企業內部管理中無法真正得以實現。
圖:PDCA實施起來是相當艱難的
安全產品自身缺陷
琳瑯滿目的安全產品(軟件、硬件)大行其道,從傳統的“三大件”(防火墻、防病毒、入侵檢測系統)隨著技術以及需求的進一步發展而衍生出來數十種安全產品,其中除上述產品之外,還包括內容過濾產品(如:郵件過濾、員工上網行為管理等)、加密類產品(如:雙因子動態身份認證、CA、PKI、生物識別、VPN等)、訪問控制類產品(如:入侵防護系統IPS、統一威脅網關UTM、內網終端控制、物理隔離系統等)、安全管理類產品(如:內網資產管理、安全運維管理、內網行為管理等)、風險評估類產品(如:漏洞掃描器、滲透測試產品、自動化加固產品等)等數十類共上百種產品類別。
從本質上而言,所有的軟件產品與硬件產品都會存在或多或少、或影響嚴重或輕微的bug,而對于安全產品來說,其大多處于網絡的邊界、終端的第一道門戶以及系統的最底層防線,因此一旦缺陷被攻擊者利用到(譬如對于個人計算機使用的防火墻,其本質在于重構TCP/IP協議棧以達到控制的目的,如果攻擊者采用通信隱藏于http隧道技術進行協議交互與通訊,就可以輕松繞過防火墻監督;另外個人防火墻對應用程序的控制機制大多以程序進程名以及端口進行鑒別,倘若修改某一特定批處理文件以合法名稱加以執行,同樣也會為攻擊者造成可乘之機)就會造成非常嚴重的影響。Norton AntiVirus 8.0版本有多個溢出漏洞可使攻擊者輕松繞過其防護機制,而針對運行于虛擬機狀態下的新型病毒VM.Virus更是以現有的基于簽名、特征進行檢測的防病毒技術所無法解決的問題。
手機病毒
手機正在成為人們最為重要的通訊與交流工具之一,而遍布世界每一個角落的移動網絡更是為病毒、木馬以及蠕蟲病毒的傳播創造了最佳的途徑。由于手機操作系統的相對封閉性,手機病毒一向處于原型與研究階段。然而當智能手機(以Symbian、Windows Mobile、Palm以及Linux為首)成為一種潮流與時尚之時,我們驚奇的發現自己的手機會用藍牙搜索范圍內所有手機并對其進行拒絕服務攻擊,同時在收到一條特殊的“短信息”之后我們的手機的電池已在幾秒之內耗盡所有電量,甚至手機病毒還使得我們的智能手機成為未來“手機僵尸網絡”的一分子,從而成為移動網絡潛在的威脅來源。
從技術角度上來講,我們目前還沒有完整的針對手機病毒的免疫機制。針對Symbian以及Windows Mobile的手機病毒已經多到數以百計(盡管其中大多數僅僅屬于惡作劇性質),但對于病毒“玩客”們來說,制作出攻擊更為復雜的病毒僅僅是一個時間問題。因此,在一個“手機僵尸網絡”中,控制者可以發出指令使得受控制手機在同一時間段同時隱蔽撥叫某一電話號碼從而形成手機DDOS攻擊,并進而謀求一定的經濟利益,這正是某些不法之徒所希望干到的事情。我想,他們十分期待并關注著此類手機病毒的發展狀況。
音樂CD獵手
音樂CD一向是音樂愛好者的必備品,他們會收藏大量的CD并跟隨潮流的發展延續著對不同流行歌星的迷戀。我不屬于流行一族,但對于經典的歌曲CD卻仍是愛不釋手。2005年10月31日,美國著名的安全軟件公司Sysinternal的安全專家Mark Russinovich在進行一次安全測試時意外的發現SONY出品的一款具有DRM數字版權管理功能的音樂CD竟然隱藏有木馬程序。一旦你將CD放入計算機,木馬將自動在后臺運行并復制自身到系統內部。木馬程序創建了一個極為罕見的隱藏進程,其在你毫不知情的時候將你的隱私信息發送回SONY。“天哪!SONY,你偷走了我的名字!”我會這樣想,也許我們中的很多人都會這樣想。病毒作者們對于SONY創建這一隱藏進程的技術很感興趣,因為這可以讓他們將病毒藏在絲毫不起眼的地方。
SONY在媒體曝光其安全惡劣行徑之后,并未正式道歉并給出補救解決方案。這更令人感到氣憤,數日之后,SONY終于發布了“卸載”程序。然而,這一卸載程序并沒有起到卸載的作用,其僅僅將其進程隱藏通訊的特性關閉,反而多了另外一個漏洞:運行該“卸載”程序的電腦將允許控制者瀏覽你所訪問過的任何網頁,并且在你的電腦上運行任何代碼。大約超過50萬臺電腦(包括軍方、政府、商業、廣告等諸多行業)其在運行這一“卸載”程序之后被感染,甚至美國國防部的電腦上也檢測到了這一木馬程序。
密碼的夢魘
《風語者》中的尼古拉斯.凱奇依舊帥得一塌糊涂,他的任務只有兩個:第一,盡一切可能保護密碼戰士Password Warrior;第二:上述任務無法完成時就消滅密碼戰士。我們的密碼技術自古時“結繩記事”到現在先進的密碼技術可以說取得了很大的成就。然而破解密碼的的技術與理論也絲毫沒有停止過他們的腳步,因為人類是貪婪的、更是好奇的。
1999年,一些密碼研究人員開發了一個小工具“DES 破解者”,其能夠在56個小時以內進行2的56次方運算過程,其不僅可以在同等硬件配置下比其它同類型工具有超越若干個數量級的運算速度,這一點在破解方面是十分重要的。2004年,來自以色列技術學院的密碼專家Eli Biham以及Rafi Chen聲稱其使用“碰撞破解”機制成功的破解了MD5以及SHA,甚至建設了一個網頁入口可以從網頁提交受限的密文而進一步獲得明文數據。2005年1月,來自中國山東大學數學系杰出的數學家王小云、于洪波等設計了針對SHA以及MD5的“碰撞破解”優化算法其可以大大降低暴力破解的難度與工作量并盡可能快的還原密文。
這一切對我們來說,意味著什么?PGP是安全的么?
數學家、密碼學家用自己的專有語言描述著密碼的不安全性,他們很少會關注普通用戶對于密碼的擔心與觀察角度。顯而易見的是,他們的算法將進一步影響到加密與破解兩大陣營的平衡之道。
換而言之,我們沒有看到房間中的火苗,甚至也沒有看到煙霧,但是我們耳邊卻警種長鳴,我們必須離開,但是請排好隊,千萬不要跑!因為這樣會造成更大的恐慌與損失。
即便撤退也該是如此的……
3 來吧!水溫剛剛好!
毫無疑問,危機四伏的信息世界正在摧殘著我們脆弱的腦神經,尤其是執著于信息安全的從業者們。我們所處的信息系統已經過了溫度上升的階段——鍋已經開始沸騰了!
然而,事實真如我們所設想的那樣么?我們尋找安全“溫度計”時,卻發現了以下的事實:
表:貌似公正的“安全溫度計”
世界安全一片“綠”,網絡山河未曾“紅”。原來我們的網絡運行如此健康!我們每天應該可以“開門揖盜”了。當數以萬計的“Zero-Days攻擊”、10萬以上節點的僵尸網絡、日行三惡的病毒攻擊、垃圾郵件的充斥、有組織且有預謀的大規模犯罪、身份大盜等等對我們普通人來說,已經耳熟能詳時,研究機構、安全廠商告訴我們:唔,我可以很負責任的告訴大家,一切是正常的。
嗚呼!我很負責任的告訴安全廠商,消費者很生氣,后果很嚴重。
4為什么失敗
4.1 充滿著敵意的生存環境
首先虛擬網絡世界是一個戰場,盡管它不如《地球殺場》那么血腥,但暴力、欺詐、破壞、偷竊等仍無所不在。入侵者只需要找到一個可以利用的漏洞就可以闖入系統,而安全專家需要尋找出盡可能多的漏洞并在最短的時間內尋找并進行修正。其次,網絡與生懼來的自由、隱私、匿名、開放等特性使得網絡上充斥著大量的惡意行徑而幾乎很難被繩之以法。攻擊者大可以逃之夭夭,逍遙法外。
4.2 暗處的攻擊者們更懂得致勝之道
很顯然,安全與破壞安全的入侵者們一直進行著衛“道”士與石地“魔”的較量。他們之間此消彼長,在進行一場沒有終點的拉力賽。攻擊者們善于挖掘并利用任何一個潛在的可能脆弱性并真正威脅到信息世界的完整性、可用性與保密性,而進一步超越合法用戶獲得控制權。微軟曾經推出Windows Genuine Advantage正版增值計劃對其補丁下載并安裝增加了驗證機制,然而不到24小時,該機制即被破解。SONY耗資數百萬美金開發了名為key2audio的數字版權管理技術以保護其音樂CD不接受未經授權的復制或者音軌抓取行為。而在此類CD擺上WalMart超市柜臺不超過12小時,網絡上就提供了相應破解服務,成本僅需要不到1美金。更為常用的一些防護措施更是形同虛設,譬如Yahoo、PayPal以及Hotmail等服務在登陸帳戶時都不同程度的要求輸入頁面上的隨機生產的圖形驗證碼以確保其登陸會話的唯一性。然而,來自SAM.zoy.org的一個項目PWNTCHA的成果使得攻擊者可以使用該工具幾乎可以百分之百正確識別出大量的圖形驗證碼。
圖:百分百“識別”
4.3 人是罪惡的根源
主啊!請以你的寶血洗滌我所犯下的種種罪惡吧!……然而人們對于觸手可及的誘惑總是缺乏足夠的抵制力。做為掌握一定計算機知識的愛好者們,尤其是那些遠超常人的計算機天才更是有可能成為攻擊者與破壞者陣營中的主力成員。隨著技術的演化,入侵抑或是破壞已經不需要掌握高深的計算機技巧,最新計算機漏洞公告榜、病毒生成器、自動化、分布式、智能的攻擊工具已經使得入侵者破壞者無所不在。
俄羅斯黑客站點上以不到100人民幣的價格打包出售“Web攻擊工具套裝”,從針對瀏覽器Web頁面的漏洞檢測、入侵以及植入后門并清除日志痕跡等你只需要簡單到指定目標URL并點擊Start按鈕即可實現你的駭客夢想。一切安全措施似乎都形同虛設。
統計表明,2006年全球PC數量在6.6-6.7億臺之間,而預計到2010年,會達到甚至超過10億臺。隨著互聯網的進一步擴張,網絡“破壞者“的數量與攻擊的類型將日趨增加。
4.4 安全永不可達
Gartner集團安全分析師John Pescatore在對AT&T以及MCI進行的一項調查中發現,諸如此類的電信運營商部署了大量的Anti-DDOS設備以確保其業務的連續性不受影響,其開支高達每月平均12000美金。現實情況是,絕大多數企業并沒有足夠的時間、精力以及預算支出用于確保并改善安全現狀,他們只能聽之任之,使安全處于一種放任自流的失控狀態之中。消費者更是對此大多一無所知,他們更不懂得如何規避互聯網中的各種安全風險,也許,他們只會問一個問題:
我,上網安全么?
一個令所有安全廠商、安全專家、安全工程師難于回答的一個問題,然后我們或許該問自己一個問題:
我,盡力了么?
4.5 安全的敵人
信息系統的復雜性、擴展性以及互連接特性等進一步使得我們虛擬世界中的信息系統變得不再成為一個個的“信息孤島”,其提升了我們對于信息系統的管理效能但同時也為安全提出了更為嚴峻的挑戰。
圖:信息系統復雜“云”圖
舉例來說,我們的網絡打印機大都支持數種協議與連接方式(如:SNMP、Telnet、SMTP、SNMP、藍牙、1394、USB、COM等),也許我們所面臨到的最大威脅就是網絡打印機因為一個遠程溢出漏洞而成為威脅源,進而成為危及全網的根源。
5 我們該如何改善
這是一個難于回答的問題,無論從技術角度、從管理角度我們都找不出徹底改善并逃脫困境的“銀彈”。因此,我們只有再次低頭的問自己:
你,盡力了么?
或許還應該加上一個問題:
你,做對了么?
6 結語
此為信息安全產業三部曲之敦科爾克大撤退,第二部正在籌劃中,歡迎郵件批評指教。
