“泄密門”的背后
在2011年的歲末發生的密碼泄露事件引暴信息安全話題。根據國家互聯網應急中心(CNCERT)統計,截至12月29日,CNCERT通過公開渠道獲得疑似泄露的數據庫有26個,涉及帳號、密碼2.78億條。其中,具有與網站、論壇相關聯信息的數據庫有12個,涉及數據1.36億條;無法判斷網站、論壇關聯性的數據庫有14個,涉及數據1.42億條。
2011年12月28日,工業和信息化部發布通告稱,用戶信息泄露事件嚴重侵害了互聯網用戶的合法權益,危害互聯網安全。工信部對竊取和泄露用戶信息的行為表示強烈譴責。同時,要求各互聯網站要開展全面的安全自查。
網站傷不起
大量網站泄密事件的曝光,反映了網站安全防護的薄弱,很多網站甚至采用了明文密碼存儲或不安全的MD5加密存儲。網站處于互聯網這樣一個相對開放的環境中,網站整體安全防護中的任何一點漏洞或不足都可能在網絡上被迅速放大和利用,從而導致網站安全事件層出不窮。
天融信高級安全顧問呂延輝認為,在缺乏整體防護措施或安全意識不夠的情況下安全事件的發生只是“時間問題”。實際上,國內網站競爭激烈,很多企業都把大部分精力放在了發展業務上,在安全防護上投入很少或無力投入。沒有一種技術或產品能夠解決所有安全問題,在有限投入情況下,安全的防護水平必然也是有限的,安全風險或隱患的存在也成為了一種必然。
在東軟網絡安全資深咨詢顧問仝磊看來,此次泄密事件可以說是必然會發生的,只是發生這件事情的對象存在一定的偶然性而已。目前,國內對于信息安全的重視不夠,無論是個人還是組織,均是如此。對信息安全意識不足,發生安全事故是遲早的事。從另一方面看,如果能借此提高大家的信息安全保護意識,長遠來看或許是件好事。
資深安全顧問張百川表示,許多網站設計之初就只考慮業務而不考慮安全。在試運行期間只要功能滿足就驗收通過。在網站的規劃、設計、實施、運維、廢棄等五個階段沒有一個安全的考慮。這樣“湊合”用的系統,安全性顯而易見。
一位資深的安全應急工程師告訴記者:“很多企業根本沒有重視過信息安全,出了安全問題才想辦法解決,而且在解決上只考慮掩蓋,而不是從根本上考慮解決。”同時,他向記者舉例,目前國內電子商務公司里有安全部門的很少,有些公司就算設立安全部門也不過1-2個人,沒權力沒資源根本沒法實現信息安全。
有專家指出,目前國內企業和機構普遍存在對信息安全的認識不足、安全設備零或少投入、制度的缺失、流程的不完善、權限分配不合理等問題。一位網警向記者表示,很多因黑客攻擊而報案的網站基本上無安全投入或者沒有相應的防護措施。
應用漏洞引發的血案
此次密碼泄露事件讓網站安全成為了大眾的關注焦點。賽門鐵克資深首席信息安全技術顧問林育民分析后表示,此次“泄密門”以網站應用安全漏洞導致外泄的可能性最高。
根據安全公司給CSDN提供的審計報告,此次CSDN資料泄露事件暴露出該網站的四個安全問題:第一是開源系統等第三方系統存在漏洞,導致CSDN系統存在安全風險;其次是應用程序存在跨站腳本漏洞;第三,網站存在大量系統后臺認證漏洞,如安全等級較弱的口令等;第四,一些已經停用但還在線上的老系統由于安全級別低,泄露了大量信息。
通過網站應用安全漏洞而導致數據泄密的事件還在繼續發生,在2012年新年伊始,新浪愛問被發現存在SQL注入漏洞,利用漏洞可讀取愛問數據庫的內容,包括明文密碼在內的7000多萬新浪用戶信息。有安全人士通過SQL注入對著名魔術師劉謙的賬號和密碼進行嘗試性攻擊并取得成功,劉謙得知此事后在微博上連呼“太恐怖”。
SQL注入攻擊本身就是對數據庫進行一系列SQL語句的查詢,黑客可以執行一個SQL查詢來實現繞過身份驗證或者操縱數據。通過SQL注入攻擊,黑客可以輕松地敲入一些SQL語句登錄進網站、對隱秘數據進行查詢等等。而這一切都可以在瀏覽器中進行。不止一位安全工程師向記者調侃:“不怕流氓會武術,就怕黑客會注入。”可見SQL注入的危害性和代表性。
但此次密碼泄露事件涉及的眾多網站,并不單純是因為SQL注入攻擊而失守。根據知道創宇公司對500萬個網站檢測后得出結論,SQL注入和XSS跨站攻擊已經成為黑客主流攻擊網站的手段。
防范之道
SQL通用防注入系統的作者Neeao認為,此次密碼泄露事件大部分是因為網站出現安全問題而導致數據庫被攻擊。網站程序開發初期就應該考慮安全問題,同時應該嚴格把控代碼的上線管理流程,所有代碼規范管理。
明朝萬達總裁王志海指出,全員的安全意識培訓特別是技術開發和服務人員的安全意識是必要的,只要讓大家牢牢樹立信息安全防范意識,徹底排除僥幸心理,并融入到具體的開發和服務工作中,才能減少類似事件的發生。
專注于Web安全的團隊80sec成員宋申雷以木桶比喻網站安全體系。他表示,以新浪愛問存在SQL注入為例,就是關聯業務出現安全問題導致安全體系出現短板。目前,多數網站系統存在漏洞是由于業務部門不重視安全,沒有產品上線和測試的安全流程所致。
記者在咨詢多位安全工程師后歸納網站應用安全問題的原因主要有兩個方面:一方面是代碼的安全問題,SQL注入漏和XSS都是利用了Web頁面的編寫不完善,所以每一個漏洞所利用和針對的弱點都不盡相同。所以,不可能以單一特征來概括,這和開發人員對于安全的理解程度有關,應該通過加強開發人員的安全意識來避免。另外一方面是由于服務器配置原因造成,如目錄遍歷、備份文件直接可通過Web下載,IIS寫權限等,這部分主要與服務器運維人員有關。應該建立健全的服務器配置管理流程,并嚴格執行。
此外,很多企業為方便工作,應用系統的用戶賬號和口令存在很明顯的規則性。仝磊向記者介紹了一個因黑客摸清了業務系統生成默認賬號密碼的規律而被入侵的案例。仝磊建議,如果用戶能夠定期變更默認用戶賬號密碼生成的規律,其損失就會大大減小,發生惡意事件的幾率也會大大降低。
除了防范網站應用安全外,還要加強對數據庫的審計,可對數據庫操作的有完整記錄并能夠對外部的數據庫未授權訪問行為有效阻斷。
據了解,目前多家安全公司如綠盟科技、啟明星辰、安恒科技、安全寶等已啟動提供免費的網站安全體檢的服務,可幫助技術力量相對薄弱的企業掌握網站的安全狀況。
【編輯推薦】
