曹政：信息安全常識科普

曹政：信息安全常識科普曹政：信息安全常識科普0時間：2015-10-239:06:14編輯：少恭熱度：1531℃前天在新加坡IC咖啡做了一場關(guān)于信息安全的常識普及分享，主要是一些基本概念的澄清，以及對信息安全入門級別的了解。我不是信息安全技術(shù)高手，很多很實際的技術(shù)細節(jié)可能不夠了解，所以如果有一些概念錯誤或其他誤導(dǎo)，也請技術(shù)高手指正先說一些錯誤的概念1、對于企業(yè)而言，信息安全是技術(shù)人員的工作。錯誤，普通員工如果不注重安全很容易被突破。內(nèi)網(wǎng)安全往往是由非技術(shù)人員的疏忽造成的。范例1:某巨頭互聯(lián)網(wǎng)公司內(nèi)網(wǎng)曾因某員工不安全的電腦導(dǎo)致ARP欺騙，導(dǎo)致內(nèi)網(wǎng)dns解析遭受感染，在內(nèi)網(wǎng)正常電腦的正常用戶的訪問本公司網(wǎng)址居然被轉(zhuǎn)移到木馬網(wǎng)址。范例2:某信息安全上市公司因銷售人員安全意識淡泊個人電腦被入侵，導(dǎo)致內(nèi)網(wǎng)穿透，信息泄露很久后被發(fā)現(xiàn)。全員信息安全意識培訓(xùn)非常重要。2、良好的上網(wǎng)習(xí)慣，不亂下文件，不點開奇怪的文件，不上奇怪的網(wǎng)站，個人電腦就不會中病毒。所以，裸奔有理的論調(diào)特別流行。錯誤，15年前，從尼姆達病毒起，病毒和木馬就已經(jīng)具有了主動攻擊性，他們根本不需要你點擊和打開，會主動在網(wǎng)段內(nèi)掃描和入侵有缺陷的主機。3、裝好殺毒軟件，打好補丁，就不會被入侵被黑掉。錯誤。day攻擊可以輕松穿透殺毒軟件和打好最新補丁的系統(tǒng)。[轉(zhuǎn)自365知識網(wǎng)/]名詞解釋：0day我們知道每隔一段時間，微軟，蘋果或其他系統(tǒng)廠商都會公布安全漏洞，發(fā)布安全補丁，然后用戶就會及時打補丁防止被入侵，那么我們想一個簡單的問題，1、這個漏洞是系統(tǒng)廠商公布的時候才出現(xiàn)的么？2、在漏洞被系統(tǒng)廠商發(fā)現(xiàn)之前請問誰能防止基于這個漏洞的攻擊？很遺憾，事實，就是，沒有，所以，在安全漏洞沒有被系統(tǒng)廠商發(fā)現(xiàn)，或者被發(fā)現(xiàn)但安全補丁沒有發(fā)布之前，這段時間，基于這個安全漏洞的攻擊，就統(tǒng)稱為0day，所以0day實際上不是一種技術(shù)形式，而是一種時間的概念，未公開的漏洞是廣泛的，長期存在的，有一種說法叫做長老漏洞，什么是長老漏洞呢？比如說有款微軟的操作系統(tǒng)漏洞，當微軟發(fā)現(xiàn)這個漏洞的時候，其存在時間已經(jīng)超過了10年。那么，這十年是否一直沒有被人發(fā)現(xiàn)呢？很遺憾，只是沒有被微軟發(fā)現(xiàn)而已，在某些技術(shù)高手手里，這是一個通殺的入侵工具，想想可怕不。那么，誰手里有0day呢，第一，各國軍方，美國有，中國也有，俄羅斯有，以色列有，韓國有，日本也會有。第二，各大安全公司，有人會說，安全公司不是要講操守，發(fā)現(xiàn)漏洞不是應(yīng)該公告么？有些會公告，有些不會，為什么不會呢？因為有時候需要，比如說，兩個安全公司去搶一個軍方的訂單，軍方說了，你來檢測一下我的系統(tǒng)，給我一個報告吧如果你手里沒有0day，你可能就競爭不過手里有0day的同行。你對手拿到了人家服務(wù)器的權(quán)限你沒拿到，你不就丟單了么，你說其實你漏洞挖掘比對手強，不過你都公告了（你公告了系統(tǒng)廠商就有補丁了，有補丁了人家軍方的運維也不是吃閑飯的，早就補了，明白這個邏輯不。），你看微軟，google給你一沓感謝信呢，你想想軍方領(lǐng)導(dǎo)人怎么想，尼瑪另一家隨時可以入侵我，而你不能，你讓我跟你合作，我傻啊。第三，很不幸，一些個人高手和黑產(chǎn)手里也有，存在0day交易的地下黑市，簡單說個數(shù)字概念，比如微軟給TK教主發(fā)現(xiàn)的漏洞和利用方法發(fā)獎金，10萬美元大家覺得了不起，這是TK教主比較有操守，如果這個漏洞放到黑產(chǎn)的地下黑市里，100萬美金都可以賣掉你信不信。一個高危漏洞，在黑產(chǎn)手里的話，其價值是極為巨大的，很多人讓我寫寫黑產(chǎn)，但我不敢，實話說，我惹不起他們。你看你看，我敢寫黑社會，我不敢寫黑產(chǎn)。寫了黑社會我大不了不去香港了，寫黑產(chǎn)我互聯(lián)網(wǎng)的業(yè)務(wù)不要碰了。那么問題來了，為什么系統(tǒng)廠商不給很高的獎金去獎勵安全專家呢？而讓漏洞流向黑產(chǎn)？這里還真不是錢的問題，而是存在一個悖論，如果系統(tǒng)廠商，對漏洞的獎勵過高，會存在一個管理風(fēng)險，如果獎金激勵太大，那么系統(tǒng)廠商的開發(fā)工程師真有可能會故意留一些看上去很不小心的問題點，然后將這個問題點泄露給第三方的安全專家，分享獎金。所以，很多時候，利弊權(quán)衡，并不能只看一面。名詞解釋：漏洞挖掘什么叫漏洞挖掘，就是針對某個系統(tǒng)，某個應(yīng)用，去分析其弱點并挖掘其可被利用的漏洞，其結(jié)果又分為高危漏洞和低危漏洞，高危一般是可以取得系統(tǒng)控制權(quán)，或者利用系統(tǒng)執(zhí)行一些危險的操作。低危往往是可能導(dǎo)致系統(tǒng)不穩(wěn)定，或者存在一些非機密信息泄露的可能。發(fā)現(xiàn)漏洞和找到漏洞利用方法是兩個步驟。有的時候安全專家發(fā)現(xiàn)一個可能嚴重的漏洞，比如一個權(quán)限很高系統(tǒng)服務(wù)在一個偏僻的系統(tǒng)調(diào)用處存在一個溢出點。但這時只能說這可能是一個高危漏洞，有時候系統(tǒng)廠商會認為這個漏洞無法利用，當作低危漏洞來處理，這種情況以前很常見，但一旦找到漏洞利用方法，這才是實現(xiàn)一個完美的漏洞挖掘。所以微軟很多對安全專家的重獎不是因為發(fā)現(xiàn)了一個漏洞，而是提供了一個非常巧妙的漏洞利用方法。所以公眾可能理解黑客是黑掉一個網(wǎng)站，或者黑掉一個賬戶，而漏洞挖掘不是這樣的概念，一旦發(fā)現(xiàn)一個高危漏洞，比如說，發(fā)現(xiàn)微軟操作系統(tǒng)的高危漏洞，可能所有這個版本的用戶的電腦都可以被入侵，比如說發(fā)現(xiàn)mysql數(shù)據(jù)庫的一個高危漏洞，可能所有使用mysql數(shù)據(jù)庫服務(wù)并且存在外網(wǎng)訪問接口的都可能被入侵。所以漏洞挖掘的高手，他們并不是針對特定網(wǎng)站，特別目標去分析，他們的目標是主流的系統(tǒng)和應(yīng)用。然后一旦有所成就，幾乎就等于手里掌握了可以橫掃互聯(lián)網(wǎng)的核武器。在這種情況下，你去說黑掉幾個網(wǎng)站了不起，人家就只能呵呵了。[轉(zhuǎn)自365知識網(wǎng)/]0day攻擊應(yīng)對策略：暫無不過也不用過于緊張，如果你不是特別特別有價值的目標，一般人不會用0day對付你?；ヂ?lián)網(wǎng)上有一次經(jīng)典的0day攻擊事件，被一個商業(yè)安全公司捅出來的，目標直指伊朗核設(shè)施，實施者是誰你猜猜看？4、我輸入可信的網(wǎng)站地址，訪問的網(wǎng)站一定是安全的錯，DNS劫持可能讓你即便輸入了正確的網(wǎng)址，也會進入錯誤的網(wǎng)站。DNS劫持是一種常見網(wǎng)絡(luò)安全風(fēng)險，但其實這里并不只有一種攻擊途徑，有很多途徑可以劫持dns。從你的主機開始病毒木馬可能會改寫你的電腦的host文件，或者改寫瀏覽器的鉤子，導(dǎo)致你訪問的目標網(wǎng)址被導(dǎo)向其控制者的手里。如果你的主機是安全的，不能保證你鄰居會不會用arp欺騙來干擾你。這里說句公道話，arp欺騙曾經(jīng)猖獗一時，對網(wǎng)民上網(wǎng)帶來的傷害特別大，改寫host和瀏覽器掛鉤子也曾是中國互聯(lián)網(wǎng)常見的毒瘤，360崛起后這些東西從某種角度基本上沒有了（其實還有，一會說），我知道很多人討厭360，但這個事實還是必須承認的，當然，3721是瀏覽器鉤子的鼻祖。你的鄰居也安全，你訪問的就安全了？你上網(wǎng)是不是默認配置dns的，電信接入商耍流氓在中國太普遍了。那么你強設(shè)了可信任的dns，你訪問網(wǎng)址就安全了？GFW的能力相信大部分人并不真正了解，為了本帳號的合法運營，此處忽略多個案例。選自：365知識網(wǎng)剛才說道，某種程度上，瀏覽器鉤子和劫持不常見了，但不是真的沒有了，只是特別惡意的基本被遏制了，但是依然有一種常見的，而且極具中國特色的，大家見怪不怪早就習(xí)慣的劫持行為，你們?nèi)绻褂胕e瀏覽器，輸入錯誤網(wǎng)址或文字的時候，按照正常邏輯，應(yīng)該是跳轉(zhuǎn)到bing的搜索頁，早前應(yīng)該是msn的搜索頁，但是很遺憾，在中國你幾乎不可能看到這一幕，各種安全工具設(shè)置的瀏覽器鉤子早將這個訪問劫持了，僥幸沒有劫持，也會被電信運營商劫持。這就是我們最常見而又最麻木的dns劫持，這個原因是因為利益鏈，因為對用戶體驗來說不是危害，所以沒人覺得不對，不展開了。移動互聯(lián)網(wǎng)還存在假基站的問題，假基站在國內(nèi)目前也很猖獗，能不能劫持DNS我不是很明確，但是偽造來電號碼是穩(wěn)穩(wěn)的，今天我還看到朋友圈有人說親戚收到移動官方發(fā)來短信，點過去鏈接操作結(jié)果被詐騙了幾千元，投訴移動沒有效果云云，我一看就是中了假基站的騙子短信。所以誤以為信息是官方發(fā)送的。移動上網(wǎng)其實也是存在風(fēng)險的。此外，蹭免費wifi也存在dns劫持風(fēng)險。5、百度，新浪這種公司是安全的，所以我在這里的帳號也是安全的。錯誤：彩虹庫和撞庫攻擊屢屢突破巨頭防線。選自：365知識網(wǎng)名詞解釋：彩虹庫，社工庫還記得csdn爆庫事件么，很多很多很多論壇社區(qū)的用戶庫都被黑客入侵并拿到過，有些是明文密碼的被黑客100%拿到帳號密碼，有些僅僅做了md5的被80%拿到，有些做了md5+md5的也差不多被80%拿到，除了做隨機salt的幾乎都被破的七七八八。（隨機salt不解釋了，下一篇會講）黑客們將彼此拿到的數(shù)據(jù)庫里的用戶名和密碼，合并在一起，就是社工庫，也叫彩虹庫。這個庫的規(guī)模特別大，而且一直還在激增，實際上，社工庫的歷史特別的悠久，當你從媒體上看到的時候，已經(jīng)流行了很多年了。名詞解釋：撞庫攻擊由于很多用戶習(xí)慣在多個網(wǎng)站用同樣的帳號和密碼，所以一旦A網(wǎng)站的用戶密碼透露，有經(jīng)驗的黑客會去嘗試用同樣的帳號密碼去b網(wǎng)站嘗試，這就是所謂撞庫攻擊，新浪也好，百度也好，很多巨頭都飽受撞庫攻擊的侵擾，而且很多帳號密碼因此被泄露。我在大約七八年前的時候一個安全圈的朋友曾把我百度的帳號密碼發(fā)給我，讓我趕緊去改密碼，我大吃一驚，以為百度的帳號系統(tǒng)被入侵，后來詢問才知道是因為對方通過社工庫拿了我的帳號密碼，隨便一試就發(fā)現(xiàn)其實我在很多網(wǎng)站用的同樣的密碼，包括百度。應(yīng)對策略：不同網(wǎng)站密碼保持不同；或者對高安全需求的網(wǎng)站強化密碼。6、我的密碼很復(fù)雜，別人一定不會破解錯誤，獲取你的權(quán)限，其實未必需要你的密碼通過找回密碼來暴力破解的以前非常常見范例1:以前很多郵局都是有通過生日和回答問題來重設(shè)密碼，通過程序暴力破解生日（最多5分鐘）+猜測問題，是攻破很多小姑娘郵箱的絕招。范例2:騰訊出過一個案例以手機短信驗證碼來重設(shè)密碼，但短信密碼只有4位數(shù)字，暴力破解只需要9999次，程序員輕松搞定。應(yīng)對策略：驗證碼，而且是變態(tài)的驗證碼是防止程序暴力測試的重要方案。SQL注入和跨站腳本是獲取用戶權(quán)限非常常見的攻擊方式，流行超過15年，至今仍然廣泛可用。其原理是程序員在編寫程序中對用戶輸入或瀏覽器傳遞參數(shù)校驗不夠嚴謹，黑客可以將可執(zhí)行代碼植入到正常的輸入或參數(shù)中，導(dǎo)致程序員的代碼被改寫，其中SQL注入是改寫數(shù)據(jù)庫查詢腳本，跨站腳本是改寫瀏覽器的可執(zhí)行腳本，但均可未授權(quán)獲得用戶身份并執(zhí)行危險操作。很多巨頭在此跌過跟頭，至今不絕。范例：某知名安全論壇管理員曾因為論壇程序不夠嚴謹，被人用跨站腳本發(fā)帖拿走權(quán)限。2000年左右的時候，SQL注入幾乎可以入侵一切用戶登錄系統(tǒng)?，F(xiàn)在情況好多了，但并未絕跡。其他概念嗅探偵聽,sniffer互聯(lián)網(wǎng)數(shù)據(jù)傳輸會經(jīng)過很多設(shè)備，通過特定軟件截獲傳輸?shù)臄?shù)據(jù)，可能會包括很多的敏感信息，包括不限于網(wǎng)站登錄的帳號密碼，郵件帳號密碼等等。應(yīng)對策略：http是明文傳輸，https是加密傳輸，telnet是明文傳輸，ssh是加密傳輸，很多明文傳輸?shù)膮f(xié)議還有對應(yīng)加密傳輸?shù)膮f(xié)議，敏感的瀏覽和登錄行為盡可能使用加密傳輸方式。當然，加密傳輸也存在證書風(fēng)險，中間人攻擊，這是另外一個話題，所以還是要裝好的瀏覽器和安全工具，如果提示證書可能有問題，還是要小心一點。（提示證書有問題不代表一定有問題，評估一下自己操作的敏感程度）世界上最大的嗅探偵聽都在政府手里，美國有棱鏡，中國有敏感詞。權(quán)限繞過系統(tǒng)對權(quán)限的授權(quán)判斷不嚴謹，被人繞過驗證獲得權(quán)限。說個范例，好像是windows98吧，具體版本不記得了，出了一個中文輸入法權(quán)限繞過漏洞，理論上你必須輸入帳號和密碼才能進入系統(tǒng)，但是輸入帳號的時候可以調(diào)用輸入法，輸入法有個幫助選項，打開幫助找詞條可以點擊進入瀏覽器，進入瀏覽器后就可以直接輸入c:\了，后面就一馬平川，你可以通過瀏覽器點開cmd命令，然后命令行執(zhí)行任何操作，系統(tǒng)就完全在你掌控了。從整個操作流程而言，幾乎沒什么技術(shù)含量，就是一個設(shè)計漏洞，系統(tǒng)驗證就被繞過了。分布式拒絕服務(wù)攻擊用超過系統(tǒng)承受能力的請求，流量導(dǎo)致目標系統(tǒng)無法正常響應(yīng)，實現(xiàn)攻擊效果。這里也包括非常多類型針對協(xié)議弱點的攻擊，比如synflood。實施成本特別低，追溯難度極高，曾經(jīng)特別流行。針對流量帶寬的攻擊針對應(yīng)用程序的計算資源的攻擊針對域名解析的攻擊六省斷網(wǎng)事件就不用解釋了。前段時間網(wǎng)易也被人打掛了半天，至今也沒個啥說法出來。你去看夢幻西游蘋果市場的暢銷榜，從沖榜到第一名開始，夢幻西游連續(xù)幾個多月一直是第一名，其中只有一天是第二名，就是那天，被人打掛了幾個小時。目前黑產(chǎn)這個領(lǐng)域規(guī)模特別大，以攻擊威脅收保護費是常見手段，據(jù)說很多p2p金融公司都交過保護費了。這個我也只能說這么多，理由很簡單，我真惹不起。緩沖區(qū)溢出漏洞挖掘的一個重要幾乎領(lǐng)域，原理是因為程序中對數(shù)據(jù)段的長度判斷不夠嚴謹，導(dǎo)致數(shù)據(jù)段超出內(nèi)存數(shù)據(jù)區(qū)間，從而覆蓋代碼執(zhí)行區(qū)間，如果數(shù)據(jù)中在溢出點處編寫了精心設(shè)計的代碼，黑客的這部分代碼就會以相關(guān)服務(wù)程序的權(quán)限執(zhí)行，從而實現(xiàn)黑客目的。大部分系統(tǒng)級別的高危漏洞來自于緩沖區(qū)溢出，蘋果越獄的某些版本技術(shù)似乎也來自于緩沖區(qū)溢出技術(shù)的實現(xiàn)。但因為這個太技術(shù)化，可能普通用戶理解起來會比較困難。綜述黑客入侵更多是一種思維方式，正常的程序員寫程序是認為用戶會正常請求和訪問他的系統(tǒng)，對異常的處理都是非常簡單的，而黑客的想法是偽造各種不正常的請求，欺騙系統(tǒng)，導(dǎo)致系統(tǒng)脫離其正常的執(zhí)行流程，從而獲得黑客所期望的結(jié)果，