常见的安全误区
黑客、网络安全只存在于虚拟世界
如果我说以后黑客不但可以控制你的汽车开窗、刹车,甚至还能远程“强奸”,你信吗?
许多初创公司,有基于互联网的Sex应用。杜蕾斯公司也有一款Sex over Internet产品叫做Fundawear。如果这个产品出了安全问题或者协议缺陷,被黑客劫持了连接,实现中间人攻击,会出现什么样的后果?
360公司最近发现了时下最火的电动汽车Tesla Model S的安全漏洞。根据资料,该漏洞存在于汽车的应用程序流程中,黑客利用这个漏洞,可远程控制车辆,实现开锁、鸣笛、闪灯等操作,甚至可以使行驶中的车辆开启天窗。也许在不久的将来,Tesla会被破解得更完全,攻击者可以远程获取到更大的权限,做更多事情。
类似的场景会越来越多,把你的热水器远程调到80度,把家中的煤气阀门打开,关掉身上的某些医疗器械。在不久的未来,安全会渗透到生活的各个方面,甚至直接威胁生命,需要引起足够的重视。
我的程序部署在内网,没事儿
有人会说,我这个网站是部署在办公网内部的,完全不提供对Internet的访问,而且在办公网入口还有防火墙,完全不需要对这些系统做保护,也不需要修补漏洞,因为它根本就不会被访问,更不会被入侵。我只能说,太天真——攻击者的猥琐是无法形容的。
前不久支付宝举办的“天下无贼”安全大会,著名网络安全研究员superhei做了名为“走向内网的邪恶之路”的主题演讲,直接在外网盲打入侵内网获取权限。基本原理是使用JRE或者WebRTC获取私网IP地址段,然后通过CSRF(跨站请求伪造)让内网的用户在访问网站时遍历内网IP段,发起POST请求,直接入侵反弹出Shell给入侵者。
可见,在内网并不足以保证自身的安全。入侵者甚至不需要知道你的应用的具体位置,暴力盲打即可。
我的系统打上了所有的补丁,不会被入侵
这一点是最不可思议的,系统打了所有的补丁,还会被轻易入侵?是的!
一般的家庭都使用无线路由器让多个设备共享网络。这些无线路由器,多多少少都有一些安全问题,如弱密码、CSRF漏洞之类,攻击者可以通过这些漏洞修改路由器的DNS设置,让上网的终端在解析域名时访问恶意网站。也许有人会说,恶意网站最多挂马或是钓鱼,我打上了所有的补丁,智商也高,你黑客能奈我何?天真,黑客的智商也很高。
有个黑客工具叫EvilGrade。顾名思义,就是一个专门用来欺骗客户端的软件,让人以为自己有新版本或补丁可以升级的框架,它支持自定义插件,以及数百种客户端程序,如VMware、JRE、EditPlus、Flash等。当黑客劫持了DNS,你使用着打全了补丁的操作系统打开EditPlus准备编码时,它突然提示你有新版本要升级,点一下确定,就开始下载安装木马,再然后……
密码用MD5加密了,拖了库也没关系
MD5是最常见的单向Hash算法之一,为了安全起见,某些机密数据,例如用户密码会使用MD5加密后存储。由于MD5算法不可逆,有些人就认为MD5加密后的数据绝对安全。其实完全不是这样。早在几年前,攻击者就通过使用彩虹表的方式,以空间换时间,增加对MD5、SHA之类算法的破解能力。
结合GPU运算,对MD5之类Hash算法的破解时间,已缩减到非常短了。大约1000万条MD5加密后的密码,在24小时之内就可以破解90%左右,甚至达到96%以上。为了解决这些问题,一般使用SALT的方式增强安全性。但可惜的是,增强之后的算法依旧风险多多,有攻击者直接使用云计算提供的GPU计算能力,构建集群来破解。
另外,撞库的情况越来越多。最近几年非常多的大型网站用户库被黑客窃取,有的黑客拥有几十亿条数据的庞大信息库。他们通过手机号码、邮件地址等信息,直接在这个库中检索,再去其他网站登录。一般的人常用密码就那么几个,这种撞库攻击非常难以防范,加密算法根本无能为力。
交易使用了短信验证码,绝对可靠
在涉及修改密码、金钱交易的场合,大家喜欢使用短信验证码认证身份。其实,这并不是一个非常可靠的方式。
首先,现在的智能手机操作系统复杂,本身就存在植入木马的风险。短信等信息,直接就在木马的监控之下,攻击者可以直接完成操作,甚至通过截取的方式让短信只有木马能看到,直接在后台偷偷完成了操作,机主都不知情。其次,有的短信验证码长度不够,只有3、4个数字。攻击者甚至通过暴力破解的方式,尝试1万次,就能成功完成操作。以现在的网速,1万次网络提交根本花不了多少时间。
对于类似的系统,一定要有专业的风控手段配合,单一的手机验证码维度不足以保证系统安全。
主流攻击方式
黑客攻击,最开始是单纯地入侵服务器,篡改网页。近些年,攻击目的逐步向偷取数据、抓取信息、敲诈勒索等方面转移,以赚钱为主。攻击的目标也从服务器转移了相当大的一部分到手机等移动设备,或者个人电脑甚至是家用路由器。
入侵方面,我们分析了相当多的案例,也对整个互联网做过扫描统计,发现绝大多数的入侵行为还是由非常简单的攻击方式发起的,即系统弱口令和Web攻击。系统弱口令主要是指Linux服务器的SSH弱口令、Windows的终端服务弱口令,还包括一些第三方软件,例如MySQL数据库、SQL Server数据库等。Web攻击则以SQL注入和远程文件包含、任意文件上传漏洞为主。除此之外,攻击者也使用类似CSRF这样的手段,攻击家用无线路由器,篡改DNS信息。攻击者自己实现完整的入侵框架,对互联网做大范围的扫描实现全自动入侵,为后续的劫持流量展示广告、赚取交易佣金做准备。
大范围入侵的另一方面是所谓APT(高级持续性威胁)攻击,它与大范围的入侵相反,注重目标的专一性以及隐蔽性。攻击者接到任务后盯住一个目标,尽可能全面地收集所有数据,如系统版本、应用类型、邮件地址等,每爆发一个与目标应用相关的新漏洞时,攻击者马上就会尝试是否可以利用。社会工程学、邮件钓鱼、直接上门攻击无线网络,无所不用其极。
在入侵的同时,也有一部分人专注于非入侵式攻击,直接抓取数据就可以卖钱。在这个领域,主要是自动化的爬虫抓取,也有的利用应用的水平权限漏洞获取更多机密资料。随着攻防双方的对抗,爬虫也由简单的Socket、HttpClient库爬虫,逐步进化到WebKit内核爬虫、V8引擎爬虫之类的高端形态,以绕过防御方使用的JavaScript等策略。
敲诈勒索方面的攻击,主要是DDoS。攻击者挑选游戏私服、页游、手游等挣钱行业,以DDoS拒绝服务为手段发起要挟。这些攻击,有的是依靠大范围入侵获取的傀儡机,有的是使用NTP反射放大之类灵巧的手段。