12月21日上午�,CSDN網(wǎng)站部分用戶數(shù)據(jù)被在網(wǎng)絡(luò)公開�����。事件發(fā)生后����,CSDN立即進(jìn)行了應(yīng)急處理,在第一時間向用戶致歉�����,提醒可能存在安全隱患的用戶及時做帳號信息修改�。
此后陸續(xù)幾天���,天涯�、人人�����、當(dāng)當(dāng)�����、凡客、卓越�、開心、多玩等多家網(wǎng)站�����,相繼被曝出密碼遭網(wǎng)上公開泄露��。目前網(wǎng)上公開暴露的網(wǎng)絡(luò)賬戶密碼已超1億個�。
用戶數(shù)據(jù)作為網(wǎng)站所有者的信息資產(chǎn),涉及到網(wǎng)站及關(guān)聯(lián)信息系統(tǒng)的實(shí)質(zhì)業(yè)務(wù)�,對其保密性的要求強(qiáng)度不言而喻。為此�,安恒信息已于近日對多家受到攻擊的網(wǎng)站提供網(wǎng)站安全檢測并為其提供解決方案。安恒信息的專家將從信息安全防御的角度����,就Web應(yīng)用的數(shù)據(jù)庫的防泄密策略提出解決建議,以杜絕類似的數(shù)據(jù)庫泄露事件再次發(fā)生��。
數(shù)據(jù)庫為什么成為目標(biāo)
攻擊者為什么會冒著巨大的法律風(fēng)險去獲取數(shù)據(jù)庫信息��?
2001年,隨著網(wǎng)絡(luò)游戲的興起����,虛擬物品和虛擬貨幣的價值逐步被人們認(rèn)可,網(wǎng)絡(luò)上出現(xiàn)了多種途徑可以將虛擬財產(chǎn)轉(zhuǎn)化成現(xiàn)實(shí)貨幣���,針對游戲帳號攻擊的逐步興起�����,并發(fā)展成龐大的虛擬資產(chǎn)交易市場��。
2004~2007年��,相對于通過木馬傳播方式獲得的用戶數(shù)據(jù)�����,攻擊者采用入侵目標(biāo)信息系統(tǒng)獲得數(shù)據(jù)庫所獲得的信息其針對性與攻擊效率都有顯著提高。在巨額利益驅(qū)動下�����,網(wǎng)絡(luò)游戲服務(wù)端成為黑客“拖庫”的主要目標(biāo)��。
2008~2009年,國內(nèi)信息安全立法和追蹤手段得到完善��,攻擊者針對中國境內(nèi)網(wǎng)絡(luò)游戲的攻擊日趨收斂�����。與此同時�����,殘余攻擊者的操作手法愈加精細(xì)和隱蔽�����,攻擊目標(biāo)也隨著電子交易系統(tǒng)的發(fā)展擴(kuò)散至的電子商務(wù)�、彩票和境外賭博等主題網(wǎng)站,并通過黑色產(chǎn)業(yè)鏈將權(quán)限或數(shù)據(jù)轉(zhuǎn)換成為現(xiàn)實(shí)貨幣�����。招商加盟類網(wǎng)站也由于其本身數(shù)據(jù)的商業(yè)業(yè)務(wù)價值���,成為攻擊者的“拖庫”的目標(biāo)�����。
2010年���,攻防雙方經(jīng)歷了多年的博弈�����,國內(nèi)網(wǎng)站安全運(yùn)維水平不斷提升�����,信息安全防御產(chǎn)品的成熟度加強(qiáng)���,單純從技術(shù)角度對目標(biāo)系統(tǒng)進(jìn)行滲透攻擊的難度加大,而通過收集分析管理員�、用戶信息等一系列被稱做“社會工程學(xué)”的手段的攻擊效果被廣大攻擊者認(rèn)可。獲得更多的用戶信息數(shù)據(jù)有利于提高攻擊的實(shí)際效率�����,攻擊者將目標(biāo)指向了擁有大量注冊用戶真實(shí)詳細(xì)信息的社區(qū)及社交網(wǎng)站���,并在地下建立起“人肉搜索庫”,預(yù)期實(shí)現(xiàn):獲知某用戶常用ID或Email����,可以直接搜索出其常用密碼或常用密碼密文�����。
2011年12月21日����,僅僅是在這一天�����,攻擊者曾經(jīng)獲取到的部分?jǐn)?shù)據(jù)庫被陸續(xù)公開了���。
數(shù)據(jù)庫是如何被獲取的
攻防回合的延續(xù)使入侵網(wǎng)游服務(wù)端主機(jī)系統(tǒng)難度加大�����,而Web應(yīng)用的登錄入口表明了Web應(yīng)用程序與用戶數(shù)據(jù)表之間存在關(guān)聯(lián)�����,通過入侵Web網(wǎng)站獲得數(shù)據(jù)庫信息成為針對網(wǎng)站數(shù)據(jù)庫攻擊的主要入手點(diǎn)��,常見的攻擊步驟如下:
1.尋找目標(biāo)網(wǎng)站(或同臺服務(wù)器的其他網(wǎng)站)程序中存在的SQL注入��、非法上傳或者后臺管理權(quán)限等漏洞��;
2.通過上述漏洞添加一個以網(wǎng)頁腳本方式控制網(wǎng)站服務(wù)器的后門����,即:WebShell;
3.通過已獲得的WebShell提升權(quán)限�,獲得對Web應(yīng)用服務(wù)器主機(jī)操作系統(tǒng)的控制權(quán),并通過查看網(wǎng)站數(shù)據(jù)庫鏈接文件����,或得數(shù)據(jù)庫的鏈接密碼;
4.通過在Web應(yīng)用服務(wù)器上鏡像數(shù)據(jù)庫連接�����,將目標(biāo)數(shù)據(jù)庫中所需要的信息導(dǎo)入至攻擊者本地數(shù)據(jù)庫(或直接下載服務(wù)器上可能存在的數(shù)據(jù)庫備份文件)�;
5.清理服務(wù)器日志,設(shè)置長期后門�。
目前攻擊者以團(tuán)隊為單位,無論從工具的制造����、攻擊實(shí)施的具體手法都已經(jīng)形成了體系化的作業(yè)流程。從安恒支持的全國網(wǎng)站安全大檢查數(shù)據(jù)分析中���,可以知道全國70%的網(wǎng)站存在安全問題���,這些網(wǎng)站也將均有可能成為下一個數(shù)據(jù)信息泄露的潛在安全隱患群體。
以下是幾點(diǎn)防御策略:
技術(shù)方面����,根據(jù)具體信息系統(tǒng)的實(shí)際情況適當(dāng)采用對應(yīng)的安全工具或設(shè)備,如Web應(yīng)用弱點(diǎn)掃描器���、數(shù)據(jù)庫弱點(diǎn)掃描器���、Web應(yīng)用防火墻、數(shù)據(jù)庫審計系統(tǒng)等����;并通過人工手段,對系統(tǒng)進(jìn)行多種方式的脆弱性評估和加固工作���,如:滲透測試�����、代碼審計等���。
管理方面�����,加強(qiáng)對Web應(yīng)用和數(shù)據(jù)庫對應(yīng)的組織人員�����、開發(fā)規(guī)范��、運(yùn)維策略和安全培訓(xùn)等的建設(shè)��,在單業(yè)務(wù)系統(tǒng)的范圍內(nèi)�,達(dá)到體系完善���。如對數(shù)據(jù)庫用戶權(quán)限和備份文件加強(qiáng)管理����,針對于某些攻擊手段的防御效果可能高于產(chǎn)品部署而大幅降低成本�。
反思
大型互聯(lián)網(wǎng)公司,不可能沒有安全機(jī)制���,什么硬件防火墻��、軟件防火墻�、殺毒軟件、主動防御����、漏洞掃描和動態(tài)補(bǔ)丁補(bǔ)個不完����、自動更新更個沒完,等等……��,現(xiàn)在能夠使用的渾身解數(shù)幾乎統(tǒng)統(tǒng)用上��。
可是為何還會中招�?
這是因為目前的安全體系思維過于陳舊,基本上都是從DOS時代傳承下來的安全思維���,基本上都是哪出問題補(bǔ)哪的安全方式�。說句不好聽的話�����,基本上都是“事后諸葛亮”、“馬后炮”��。即使是什么“主動防御”�,也沒什么突破性思維。
密碼泄露了�����,就研究讓密碼加個密����,以為那樣即使密碼丟了對黑客也不會有什么用,以為黑客即使得到密碼也無法破解�。事實(shí)上,網(wǎng)上破密用的密碼字典很大���,幾乎囊括所有可能的密碼方式����,甚至不需動用暴力破解就可以把絕大部分密碼進(jìn)行破解�。
密碼數(shù)據(jù)庫泄露,就說明這個網(wǎng)站的核心服務(wù)器已經(jīng)是別人可以隨意控制的“私人機(jī)器”了���,人們總是心理安穩(wěn)就滿足�。當(dāng)XP推出的時候就歡呼以后電腦就安全了,當(dāng)Vista推出的時候也歡呼以后電腦就安全了����,當(dāng)Windows 7推出的時候也歡呼以后電腦就安全了,現(xiàn)在又翹首以盼�����,聽說當(dāng)Win8推出以后電腦就安全了�。或者�����,還有人認(rèn)為可能Windows不安全���,所以我們用Linux就安全了,微軟的系統(tǒng)可能不安全���,我們改用蘋果的可能就安全了����。事實(shí)上�,無論使用哪個操作系統(tǒng),只要你有重要信息數(shù)據(jù),黑客照樣可以攻克��。
有人認(rèn)為針對黑客應(yīng)該由政府立法來懲戒就可以解決問題��,每一個國家的憲法都規(guī)定殺人是刑事問題��,可是每天照樣有人被殺��。所以依靠“權(quán)威”來震懾是沒有用的����,何況技術(shù)的問題,傳統(tǒng)的立法體系根本就跟不上�。讓擅長打人的警察在擅長敲鍵盤的技術(shù)領(lǐng)地里與黑客過招,后果可想而知�。
由于CSDN是我的老朋友,我特意去聽了他們組織的一個小型封閉式的“安全研討會”���,我聽到的還是哪些“修補(bǔ)性思維”��,只聽到一個哥們談“為什么不能跳出補(bǔ)漏洞的辦法�,漏洞補(bǔ)不完�����、那我們能不能就不補(bǔ),我們?yōu)槭裁床荒軗Q一個方式����、換一種思維來實(shí)現(xiàn)安全?”�,這是令我耳目一新的“新思維”。
的確����,現(xiàn)在的電腦安全需要“新思維”。番禺監(jiān)控分析
打個比喻�,來說明現(xiàn)有安全體系的思維。
假如電腦就是一個開放的菜市場�,菜市場是小偷可以光顧,顧客也可以光顧的地方�。那安全的問題就是防止小偷出現(xiàn)?���,F(xiàn)有的安全方法就是找出小偷�,并給小偷貼一個標(biāo)簽“我是小偷”,然后,一旦看到小偷來了���,我們就派出城管把它一棍子打死�?����?墒牵⊥狄彩怯兴季S的��,小偷也需要保命���,于是,小偷就不斷化妝��、不斷更換衣服�、不斷變臉,使得“我是小偷”的標(biāo)簽失效�,然后,小偷就可以在菜市場里自由行動�。于是,我們就給小偷發(fā)很多標(biāo)簽���,以至于標(biāo)簽堆積如山����,標(biāo)簽體積遠(yuǎn)遠(yuǎn)大過這個菜市場�����,這就是“殺毒的安全思維”���。
既然���,小偷經(jīng)常變換身份�,所以就想出來一個“新發(fā)明”,就是總結(jié)小偷經(jīng)常的走動路線����,把這條路線定義為危險路線,只要有人按照這條路線走�����,他就“可能是小偷”���,于是我們就按響報警�,不管什么人只要一走動就報警�,以至于想要來買菜的人都提心吊膽,屢屢被警告是小偷�����,這就是“主動防御”的思維����。
又有人,發(fā)現(xiàn)菜市場安裝防小偷門衛(wèi)保安�����,那小偷就不能從正門進(jìn)來���,于是小偷就從墻頭翻進(jìn)來����、可以從狗洞鉆進(jìn)來�,于是,就發(fā)明了專門找出可以翻進(jìn)來的墻頭���、狗洞��,并且把這些墻頭���、狗洞堵住?��?墒遣耸袌鎏罅?,天天找都能找出很多可以翻進(jìn)來的墻頭�,堵住了狗洞還有貓洞,堵住了貓洞還有老鼠洞����,堵啊堵,就是堵不完�����。這就使“漏洞掃面”����、“漏洞補(bǔ)丁”的思維。
有人認(rèn)為這個菜市場太爛小偷太多�,換一個新的菜市場就好了,不知道其實(shí)只要有菜市場必然有小偷��,只是某一個菜市場離市中心太遠(yuǎn)�����,市場不夠火�,很多小偷懶得去而已。這就是以為“換個新操作系統(tǒng)”就安全了的思維����。
總之�,現(xiàn)在的安全思維不外乎如此�,但是小偷到目前為止照樣在菜市場里轉(zhuǎn)悠�����,照樣行動自如��。
單從大規(guī)模用戶帳戶數(shù)據(jù)庫泄露來看��,黑客有幾種辦法�,一種簡單的辦法就是通過正常的訪問請求就被系統(tǒng)當(dāng)作普通數(shù)據(jù)傳出來。稍微復(fù)雜一點(diǎn)的就是注入辦法獲得網(wǎng)站管理員密碼�,然后自由下載。再復(fù)雜一點(diǎn)的就是爆破攻擊���,激發(fā)漏洞提升權(quán)限然后運(yùn)行自己想要的工具����,進(jìn)而上傳自己專用工具��,完全控制一臺服務(wù)器�����,然后以此為據(jù)點(diǎn)進(jìn)一步控制其他機(jī)器,直到所有有用的核心服務(wù)器都在自己的掌控制下���,慢慢再找出自己想要的東西�,比如用戶數(shù)據(jù)庫���,再把整個數(shù)據(jù)下載下來���。
一臺服務(wù)器,只要安裝一些工具軟件�����,基本上都有10萬個文件�,即使是剛安裝好的系統(tǒng)文件個數(shù)也都在2~3萬的數(shù)量級別,可執(zhí)行的文件有1萬多����。系統(tǒng)越來越龐大,提供的漏洞必然會越來越多����。
目前隨便一個軟件就是幾百M(fèi)B�、上GB的大小���,其中絕大部分是可執(zhí)行的應(yīng)用數(shù)量�。所以漏洞多得無法計算�����。
現(xiàn)在的編譯工具添加了一些補(bǔ)救措施�����,比如安全SEH����、禁用數(shù)據(jù)執(zhí)行等等�����,只能說給黑客添加來一點(diǎn)麻煩而已�。
黑客分為幾個層次,核心層次是尋找漏洞��,這層次的黑客以攻克技術(shù)為樂�,工具就是反匯編和Debug工具�����,有沒有源碼不重要�。第二層次是利用漏洞制作工具�。第三層次使用工具。
我國是第三層次為主����,主要使用已經(jīng)公布的漏洞或者第二層次中沒有公布的漏洞進(jìn)行攻擊牟利。
在核心黑客圈子里通?����;ハ喾窒硭麄冏约鹤钚掳l(fā)現(xiàn)的成果�����,一般核心層次的漏洞成果是不公開的����,只有核心成員之間分享,但他們一般也不干什么壞事��。在核心圈子里���,他們擁有各種系統(tǒng)得秘密漏洞�,微軟的也好、蘋果的也好��、Linux的也好���、甚至大型機(jī)的也好�、Android的也好����、iPhone的也好����,都在他們小圈子里分享。
公布出來的基本上都屬于過時的漏洞而已��。
目前��,病毒都可以做到BIOS里的年代�,安全已經(jīng)不能夠再用“圍追堵截”的方法來實(shí)現(xiàn)了。
那么有沒有可以實(shí)現(xiàn)安全的東西呢�?
有的,比如隔離系統(tǒng)����。比如ATM取款機(jī)����,在不破壞機(jī)器墻體的情況下����,要想讓ATM取款機(jī)偷出錢來沒那么容易,一方面���,因為ATM取款機(jī)使用的一般都不是Window系統(tǒng)�,我看見有不少使用OS/2系統(tǒng)����,并不是OS/2系統(tǒng)就沒有漏洞,而是因為它是隔離使用�,使得OS/2并沒有其他連接,只有操作面板這一個I/O入口���,如果ATM機(jī)也裝一個無線網(wǎng)絡(luò)的話�,我相信不需要多久����,這個ATM機(jī)就會成為免費(fèi)提款機(jī)���。
可見,一旦一個機(jī)器��、一個系統(tǒng)暴露的I/O過多必然就會有大量的漏洞可以使用���,它無法實(shí)現(xiàn)有效的安全�,就如同一個圍墻體提供的安全體系�,是無法與一個封閉體的碉堡那樣的安全。因為圍墻是可以從四面八方爬進(jìn)來的��,而封閉的碉堡卻只有一個入口�,自然安全體系就會不一樣。
有人認(rèn)為網(wǎng)銀安全��,其實(shí)網(wǎng)銀安全相當(dāng)?shù)牟话踩?����。尤其是有USB的網(wǎng)銀���。因為即使有了USB整個網(wǎng)銀的線路都是開放的,根本無法與ATM相比�����,USB只是保證了密碼的安全,并不保證電腦的安全���,更不保證支付線路的安全���。有人認(rèn)為支付線路是使用SSL的,即使SSL可以安全���,但從USB到SSL中間有廣闊的空間是不在安全范圍里的�,今年3月份央視的《經(jīng)濟(jì)信息連播》就報道過被穿改支付線路而錢款被盜一空的狀況����。
如果我們能夠?qū)崿F(xiàn)一個類似ATM機(jī)那樣的安全體系,那安全就會截然不同���。這需要新的安全思維���、新的安全體系。
現(xiàn)在已經(jīng)不是DOS時代��,而是四處互聯(lián)的網(wǎng)絡(luò)時代,繼續(xù)依賴DOS時代建立的安全思維�,已經(jīng)過時很久很久了。
安全問題為什么難����,就在于安全問題的本質(zhì)是人與人之間的斗智斗勇問題,如果在一個廣闊的舞臺上��,人與人之間的斗智斗勇永遠(yuǎn)不會有結(jié)果���。
番禺監(jiān)控專家覺得:安全是一種事業(yè)�����,不是一個解決方案�。
售前咨詢專員 