曹政：信息安全常識科普

曹政：信息安全常識科普曹政：信息安全常識科普0時(shí)間：2015-10-239:06:14編輯：少恭熱度：1531℃前天在新加坡IC咖啡做了一場關(guān)于信息安全的常識普及分享，主要是一些基本概念的澄清，以及對信息安全入門級別的了解。我不是信息安全技術(shù)高手，很多很實(shí)際的技術(shù)細(xì)節(jié)可能不夠了解，所以如果有一些概念錯(cuò)誤或其他誤導(dǎo)，也請技術(shù)高手指正先說一些錯(cuò)誤的概念1、對于企業(yè)而言，信息安全是技術(shù)人員的工作。錯(cuò)誤，普通員工如果不注重安全很容易被突破。內(nèi)網(wǎng)安全往往是由非技術(shù)人員的疏忽造成的。范例1:某巨頭互聯(lián)網(wǎng)公司內(nèi)網(wǎng)曾因某員工不安全的電腦導(dǎo)致ARP欺騙，導(dǎo)致內(nèi)網(wǎng)dns解析遭受感染，在內(nèi)網(wǎng)正常電腦的正常用戶的訪問本公司網(wǎng)址居然被轉(zhuǎn)移到木馬網(wǎng)址。范例2:某信息安全上市公司因銷售人員安全意識淡泊個(gè)人電腦被入侵，導(dǎo)致內(nèi)網(wǎng)穿透，信息泄露很久后被發(fā)現(xiàn)。全員信息安全意識培訓(xùn)非常重要。2、良好的上網(wǎng)習(xí)慣，不亂下文件，不點(diǎn)開奇怪的文件，不上奇怪的網(wǎng)站，個(gè)人電腦就不會中病毒。所以，裸奔有理的論調(diào)特別流行。錯(cuò)誤，15年前，從尼姆達(dá)病毒起，病毒和木馬就已經(jīng)具有了主動攻擊性，他們根本不需要你點(diǎn)擊和打開，會主動在網(wǎng)段內(nèi)掃描和入侵有缺陷的主機(jī)。3、裝好殺毒軟件，打好補(bǔ)丁，就不會被入侵被黑掉。錯(cuò)誤。day攻擊可以輕松穿透殺毒軟件和打好最新補(bǔ)丁的系統(tǒng)。[轉(zhuǎn)自365知識網(wǎng)/]名詞解釋：0day我們知道每隔一段時(shí)間，微軟，蘋果或其他系統(tǒng)廠商都會公布安全漏洞，發(fā)布安全補(bǔ)丁，然后用戶就會及時(shí)打補(bǔ)丁防止被入侵，那么我們想一個(gè)簡單的問題，1、這個(gè)漏洞是系統(tǒng)廠商公布的時(shí)候才出現(xiàn)的么？2、在漏洞被系統(tǒng)廠商發(fā)現(xiàn)之前請問誰能防止基于這個(gè)漏洞的攻擊？很遺憾，事實(shí)，就是，沒有，所以，在安全漏洞沒有被系統(tǒng)廠商發(fā)現(xiàn)，或者被發(fā)現(xiàn)但安全補(bǔ)丁沒有發(fā)布之前，這段時(shí)間，基于這個(gè)安全漏洞的攻擊，就統(tǒng)稱為0day，所以0day實(shí)際上不是一種技術(shù)形式，而是一種時(shí)間的概念，未公開的漏洞是廣泛的，長期存在的，有一種說法叫做長老漏洞，什么是長老漏洞呢？比如說有款微軟的操作系統(tǒng)漏洞，當(dāng)微軟發(fā)現(xiàn)這個(gè)漏洞的時(shí)候，其存在時(shí)間已經(jīng)超過了10年。那么，這十年是否一直沒有被人發(fā)現(xiàn)呢？很遺憾，只是沒有被微軟發(fā)現(xiàn)而已，在某些技術(shù)高手手里，這是一個(gè)通殺的入侵工具，想想可怕不。那么，誰手里有0day呢，第一，各國軍方，美國有，中國也有，俄羅斯有，以色列有，韓國有，日本也會有。第二，各大安全公司，有人會說，安全公司不是要講操守，發(fā)現(xiàn)漏洞不是應(yīng)該公告么？有些會公告，有些不會，為什么不會呢？因?yàn)橛袝r(shí)候需要，比如說，兩個(gè)安全公司去搶一個(gè)軍方的訂單，軍方說了，你來檢測一下我的系統(tǒng)，給我一個(gè)報(bào)告吧如果你手里沒有0day，你可能就競爭不過手里有0day的同行。你對手拿到了人家服務(wù)器的權(quán)限你沒拿到，你不就丟單了么，你說其實(shí)你漏洞挖掘比對手強(qiáng)，不過你都公告了（你公告了系統(tǒng)廠商就有補(bǔ)丁了，有補(bǔ)丁了人家軍方的運(yùn)維也不是吃閑飯的，早就補(bǔ)了，明白這個(gè)邏輯不。），你看微軟，google給你一沓感謝信呢，你想想軍方領(lǐng)導(dǎo)人怎么想，尼瑪另一家隨時(shí)可以入侵我，而你不能，你讓我跟你合作，我傻啊。第三，很不幸，一些個(gè)人高手和黑產(chǎn)手里也有，存在0day交易的地下黑市，簡單說個(gè)數(shù)字概念，比如微軟給TK教主發(fā)現(xiàn)的漏洞和利用方法發(fā)獎(jiǎng)金，10萬美元大家覺得了不起，這是TK教主比較有操守，如果這個(gè)漏洞放到黑產(chǎn)的地下黑市里，100萬美金都可以賣掉你信不信。一個(gè)高危漏洞，在黑產(chǎn)手里的話，其價(jià)值是極為巨大的，很多人讓我寫寫黑產(chǎn)，但我不敢，實(shí)話說，我惹不起他們。你看你看，我敢寫黑社會，我不敢寫黑產(chǎn)。寫了黑社會我大不了不去香港了，寫黑產(chǎn)我互聯(lián)網(wǎng)的業(yè)務(wù)不要碰了。那么問題來了，為什么系統(tǒng)廠商不給很高的獎(jiǎng)金去獎(jiǎng)勵(lì)安全專家呢？而讓漏洞流向黑產(chǎn)？這里還真不是錢的問題，而是存在一個(gè)悖論，如果系統(tǒng)廠商，對漏洞的獎(jiǎng)勵(lì)過高，會存在一個(gè)管理風(fēng)險(xiǎn)，如果獎(jiǎng)金激勵(lì)太大，那么系統(tǒng)廠商的開發(fā)工程師真有可能會故意留一些看上去很不小心的問題點(diǎn)，然后將這個(gè)問題點(diǎn)泄露給第三方的安全專家，分享獎(jiǎng)金。所以，很多時(shí)候，利弊權(quán)衡，并不能只看一面。名詞解釋：漏洞挖掘什么叫漏洞挖掘，就是針對某個(gè)系統(tǒng)，某個(gè)應(yīng)用，去分析其弱點(diǎn)并挖掘其可被利用的漏洞，其結(jié)果又分為高危漏洞和低危漏洞，高危一般是可以取得系統(tǒng)控制權(quán)，或者利用系統(tǒng)執(zhí)行一些危險(xiǎn)的操作。低危往往是可能導(dǎo)致系統(tǒng)不穩(wěn)定，或者存在一些非機(jī)密信息泄露的可能。發(fā)現(xiàn)漏洞和找到漏洞利用方法是兩個(gè)步驟。有的時(shí)候安全專家發(fā)現(xiàn)一個(gè)可能嚴(yán)重的漏洞，比如一個(gè)權(quán)限很高系統(tǒng)服務(wù)在一個(gè)偏僻的系統(tǒng)調(diào)用處存在一個(gè)溢出點(diǎn)。但這時(shí)只能說這可能是一個(gè)高危漏洞，有時(shí)候系統(tǒng)廠商會認(rèn)為這個(gè)漏洞無法利用，當(dāng)作低危漏洞來處理，這種情況以前很常見，但一旦找到漏洞利用方法，這才是實(shí)現(xiàn)一個(gè)完美的漏洞挖掘。所以微軟很多對安全專家的重獎(jiǎng)不是因?yàn)榘l(fā)現(xiàn)了一個(gè)漏洞，而是提供了一個(gè)非常巧妙的漏洞利用方法。所以公眾可能理解黑客是黑掉一個(gè)網(wǎng)站，或者黑掉一個(gè)賬戶，而漏洞挖掘不是這樣的概念，一旦發(fā)現(xiàn)一個(gè)高危漏洞，比如說，發(fā)現(xiàn)微軟操作系統(tǒng)的高危漏洞，可能所有這個(gè)版本的用戶的電腦都可以被入侵，比如說發(fā)現(xiàn)mysql數(shù)據(jù)庫的一個(gè)高危漏洞，可能所有使用mysql數(shù)據(jù)庫服務(wù)并且存在外網(wǎng)訪問接口的都可能被入侵。所以漏洞挖掘的高手，他們并不是針對特定網(wǎng)站，特別目標(biāo)去分析，他們的目標(biāo)是主流的系統(tǒng)和應(yīng)用。然后一旦有所成就，幾乎就等于手里掌握了可以橫掃互聯(lián)網(wǎng)的核武器。在這種情況下，你去說黑掉幾個(gè)網(wǎng)站了不起，人家就只能呵呵了。[轉(zhuǎn)自365知識網(wǎng)/]0day攻擊應(yīng)對策略：暫無不過也不用過于緊張，如果你不是特別特別有價(jià)值的目標(biāo)，一般人不會用0day對付你?；ヂ?lián)網(wǎng)上有一次經(jīng)典的0day攻擊事件，被一個(gè)商業(yè)安全公司捅出來的，目標(biāo)直指伊朗核設(shè)施，實(shí)施者是誰你猜猜看？4、我輸入可信的網(wǎng)站地址，訪問的網(wǎng)站一定是安全的錯(cuò)，DNS劫持可能讓你即便輸入了正確的網(wǎng)址，也會進(jìn)入錯(cuò)誤的網(wǎng)站。DNS劫持是一種常見網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但其實(shí)這里并不只有一種攻擊途徑，有很多途徑可以劫持dns。從你的主機(jī)開始病毒木馬可能會改寫你的電腦的host文件，或者改寫瀏覽器的鉤子，導(dǎo)致你訪問的目標(biāo)網(wǎng)址被導(dǎo)向其控制者的手里。如果你的主機(jī)是安全的，不能保證你鄰居會不會用arp欺騙來干擾你。這里說句公道話，arp欺騙曾經(jīng)猖獗一時(shí)，對網(wǎng)民上網(wǎng)帶來的傷害特別大，改寫host和瀏覽器掛鉤子也曾是中國互聯(lián)網(wǎng)常見的毒瘤，360崛起后這些東西從某種角度基本上沒有了（其實(shí)還有，一會說），我知道很多人討厭360，但這個(gè)事實(shí)還是必須承認(rèn)的，當(dāng)然，3721是瀏覽器鉤子的鼻祖。你的鄰居也安全，你訪問的就安全了？你上網(wǎng)是不是默認(rèn)配置dns的，電信接入商耍流氓在中國太普遍了。那么你強(qiáng)設(shè)了可信任的dns，你訪問網(wǎng)址就安全了？GFW的能力相信大部分人并不真正了解，為了本帳號的合法運(yùn)營，此處忽略多個(gè)案例。選自：365知識網(wǎng)剛才說道，某種程度上，瀏覽器鉤子和劫持不常見了，但不是真的沒有了，只是特別惡意的基本被遏制了，但是依然有一種常見的，而且極具中國特色的，大家見怪不怪早就習(xí)慣的劫持行為，你們?nèi)绻褂胕e瀏覽器，輸入錯(cuò)誤網(wǎng)址或文字的時(shí)候，按照正常邏輯，應(yīng)該是跳轉(zhuǎn)到bing的搜索頁，早前應(yīng)該是msn的搜索頁，但是很遺憾，在中國你幾乎不可能看到這一幕，各種安全工具設(shè)置的瀏覽器鉤子早將這個(gè)訪問劫持了，僥幸沒有劫持，也會被電信運(yùn)營商劫持。這就是我們最常見而又最麻木的dns劫持，這個(gè)原因是因?yàn)槔骀?，因?yàn)閷τ脩趔w驗(yàn)來說不是危害，所以沒人覺得不對，不展開了。移動互聯(lián)網(wǎng)還存在假基站的問題，假基站在國內(nèi)目前也很猖獗，能不能劫持DNS我不是很明確，但是偽造來電號碼是穩(wěn)穩(wěn)的，今天我還看到朋友圈有人說親戚收到移動官方發(fā)來短信，點(diǎn)過去鏈接操作結(jié)果被詐騙了幾千元，投訴移動沒有效果云云，我一看就是中了假基站的騙子短信。所以誤以為信息是官方發(fā)送的。移動上網(wǎng)其實(shí)也是存在風(fēng)險(xiǎn)的。此外，蹭免費(fèi)wifi也存在dns劫持風(fēng)險(xiǎn)。5、百度，新浪這種公司是安全的，所以我在這里的帳號也是安全的。錯(cuò)誤：彩虹庫和撞庫攻擊屢屢突破巨頭防線。選自：365知識網(wǎng)名詞解釋：彩虹庫，社工庫還記得csdn爆庫事件么，很多很多很多論壇社區(qū)的用戶庫都被黑客入侵并拿到過，有些是明文密碼的被黑客100%拿到帳號密碼，有些僅僅做了md5的被80%拿到，有些做了md5+md5的也差不多被80%拿到，除了做隨機(jī)salt的幾乎都被破的七七八八。（隨機(jī)salt不解釋了，下一篇會講）黑客們將彼此拿到的數(shù)據(jù)庫里的用戶名和密碼，合并在一起，就是社工庫，也叫彩虹庫。這個(gè)庫的規(guī)模特別大，而且一直還在激增，實(shí)際上，社工庫的歷史特別的悠久，當(dāng)你從媒體上看到的時(shí)候，已經(jīng)流行了很多年了。名詞解釋：撞庫攻擊由于很多用戶習(xí)慣在多個(gè)網(wǎng)站用同樣的帳號和密碼，所以一旦A網(wǎng)站的用戶密碼透露，有經(jīng)驗(yàn)的黑客會去嘗試用同樣的帳號密碼去b網(wǎng)站嘗試，這就是所謂撞庫攻擊，新浪也好，百度也好，很多巨頭都飽受撞庫攻擊的侵?jǐn)_，而且很多帳號密碼因此被泄露。我在大約七八年前的時(shí)候一個(gè)安全圈的朋友曾把我百度的帳號密碼發(fā)給我，讓我趕緊去改密碼，我大吃一驚，以為百度的帳號系統(tǒng)被入侵，后來詢問才知道是因?yàn)閷Ψ酵ㄟ^社工庫拿了我的帳號密碼，隨便一試就發(fā)現(xiàn)其實(shí)我在很多網(wǎng)站用的同樣的密碼，包括百度。應(yīng)對策略：不同網(wǎng)站密碼保持不同；或者對高安全需求的網(wǎng)站強(qiáng)化密碼。6、我的密碼很復(fù)雜，別人一定不會破解錯(cuò)誤，獲取你的權(quán)限，其實(shí)未必需要你的密碼通過找回密碼來暴力破解的以前非常常見范例1:以前很多郵局都是有通過生日和回答問題來重設(shè)密碼，通過程序暴力破解生日（最多5分鐘）+猜測問題，是攻破很多小姑娘郵箱的絕招。范例2:騰訊出過一個(gè)案例以手機(jī)短信驗(yàn)證碼來重設(shè)密碼，但短信密碼只有4位數(shù)字，暴力破解只需要9999次，程序員輕松搞定。應(yīng)對策略：驗(yàn)證碼，而且是變態(tài)的驗(yàn)證碼是防止程序暴力測試的重要方案。SQL注入和跨站腳本是獲取用戶權(quán)限非常常見的攻擊方式，流行超過15年，至今仍然廣泛可用。其原理是程序員在編寫程序中對用戶輸入或?yàn)g覽器傳遞參數(shù)校驗(yàn)不夠嚴(yán)謹(jǐn)，黑客可以將可執(zhí)行代碼植入到正常的輸入或參數(shù)中，導(dǎo)致程序員的代碼被改寫，其中SQL注入是改寫數(shù)據(jù)庫查詢腳本，跨站腳本是改寫瀏覽器的可執(zhí)行腳本，但均可未授權(quán)獲得用戶身份并執(zhí)行危險(xiǎn)操作。很多巨頭在此跌過跟頭，至今不絕。范例：某知名安全論壇管理員曾因?yàn)檎搲绦虿粔驀?yán)謹(jǐn)，被人用跨站腳本發(fā)帖拿走權(quán)限。2000年左右的時(shí)候，SQL注入幾乎可以入侵一切用戶登錄系統(tǒng)?，F(xiàn)在情況好多了，但并未絕跡。其他概念嗅探偵聽,sniffer互聯(lián)網(wǎng)數(shù)據(jù)傳輸會經(jīng)過很多設(shè)備，通過特定軟件截獲傳輸?shù)臄?shù)據(jù)，可能會包括很多的敏感信息，包括不限于網(wǎng)站登錄的帳號密碼，郵件帳號密碼等等。應(yīng)對策略：http是明文傳輸，https是加密傳輸，telnet是明文傳輸，ssh是加密傳輸，很多明文傳輸?shù)膮f(xié)議還有對應(yīng)加密傳輸?shù)膮f(xié)議，敏感的瀏覽和登錄行為盡可能使用加密傳輸方式。當(dāng)然，加密傳輸也存在證書風(fēng)險(xiǎn)，中間人攻擊，這是另外一個(gè)話題，所以還是要裝好的瀏覽器和安全工具，如果提示證書可能有問題，還是要小心一點(diǎn)。（提示證書有問題不代表一定有問題，評估一下自己操作的敏感程度）世界上最大的嗅探偵聽都在政府手里，美國有棱鏡，中國有敏感詞。權(quán)限繞過系統(tǒng)對權(quán)限的授權(quán)判斷不嚴(yán)謹(jǐn)，被人繞過驗(yàn)證獲得權(quán)限。說個(gè)范例，好像是windows98吧，具體版本不記得了，出了一個(gè)中文輸入法權(quán)限繞過漏洞，理論上你必須輸入帳號和密碼才能進(jìn)入系統(tǒng)，但是輸入帳號的時(shí)候可以調(diào)用輸入法，輸入法有個(gè)幫助選項(xiàng)，打開幫助找詞條可以點(diǎn)擊進(jìn)入瀏覽器，進(jìn)入瀏覽器后就可以直接輸入c:\了，后面就一馬平川，你可以通過瀏覽器點(diǎn)開cmd命令，然后命令行執(zhí)行任何操作，系統(tǒng)就完全在你掌控了。從整個(gè)操作流程而言，幾乎沒什么技術(shù)含量，就是一個(gè)設(shè)計(jì)漏洞，系統(tǒng)驗(yàn)證就被繞過了。分布式拒絕服務(wù)攻擊用超過系統(tǒng)承受能力的請求，流量導(dǎo)致目標(biāo)系統(tǒng)無法正常響應(yīng)，實(shí)現(xiàn)攻擊效果。這里也包括非常多類型針對協(xié)議弱點(diǎn)的攻擊，比如synflood。實(shí)施成本特別低，追溯難度極高，曾經(jīng)特別流行。針對流量帶寬的攻擊針對應(yīng)用程序的計(jì)算資源的攻擊針對域名解析的攻擊六省斷網(wǎng)事件就不用解釋了。前段時(shí)間網(wǎng)易也被人打掛了半天，至今也沒個(gè)啥說法出來。你去看夢幻西游蘋果市場的暢銷榜，從沖榜到第一名開始，夢幻西游連續(xù)幾個(gè)多月一直是第一名，其中只有一天是第二名，就是那天，被人打掛了幾個(gè)小時(shí)。目前黑產(chǎn)這個(gè)領(lǐng)域規(guī)模特別大，以攻擊威脅收保護(hù)費(fèi)是常見手段，據(jù)說很多p2p金融公司都交過保護(hù)費(fèi)了。這個(gè)我也只能說這么多，理由很簡單，我真惹不起。緩沖區(qū)溢出漏洞挖掘的一個(gè)重要幾乎領(lǐng)域，原理是因?yàn)槌绦蛑袑?shù)據(jù)段的長度判斷不夠嚴(yán)謹(jǐn)，導(dǎo)致數(shù)據(jù)段超出內(nèi)存數(shù)據(jù)區(qū)間，從而覆蓋代碼執(zhí)行區(qū)間，如果數(shù)據(jù)中在溢出點(diǎn)處編寫了精心設(shè)計(jì)的代碼，黑客的這部分代碼就會以相關(guān)服務(wù)程序的權(quán)限執(zhí)行，從而實(shí)現(xiàn)黑客目的。大部分系統(tǒng)級別的高危漏洞來自于緩沖區(qū)溢出，蘋果越獄的某些版本技術(shù)似乎也來自于緩沖區(qū)溢出技術(shù)的實(shí)現(xiàn)。但因?yàn)檫@個(gè)太技術(shù)化，可能普通用戶理解起來會比較困難。綜述黑客入侵更多是一種思維方式，正常的程序員寫程序是認(rèn)為用戶會正常請求和訪問他的系統(tǒng)，對異常的處理都是非常簡單的，而黑客的想法是偽造各種不正常的請求，欺騙系統(tǒng)，導(dǎo)致系統(tǒng)脫離其正常的執(zhí)行流程，從而獲得黑客所期望的結(jié)果，