657
技術社區[雲棲]
像黑客一樣思考問題
Jeremy Poteet正在觀看著他做安全工作的候選人網站上線。就在16分鍾後,該網站遭到攻擊。但是這個高度受關注的網站巧妙地規避了這些攻擊,以及隨之而來的其他攻擊,因為Proteet已經預見到會發生此類攻擊,並已經做出了對策。他是怎麼知道的呢?很簡單,他是一個黑客,像黑客一樣思考問題,並且知道黑客使用的工具——這是保護公司不被攻擊的最有效方法。作為App防禦的首席安全官,Poteet這一類黑客俗稱為白帽子黑客或安全研究員——他們挖掘係統漏洞,指出哪裏會有麻煩發生。黑帽子黑客是相反的一類——他們為了邪惡的目的企圖獲得進入係統和數據資料的權限。在過去,大多數黑客是為了好玩或是為了吹牛。
現在,黑帽子黑客在惡意軟件業以數萬美元的價格販賣攻擊代碼,利用漏洞獲取密碼、銀行網站信用及個人資料來進行身份竊取和金融詐騙。
學習像黑帽子黑客一樣思考,知道他們尋找什麼以及如何得到應該成為每個公司安全戰略的基本部分。
根據“黑客暴光”一書的作者George Kurtz的說法,過去幾年裏黑客攻擊的目標發生了戲劇性的變化。
“當我進入遊戲…以前是這樣,‘我們沒有防火牆,我們有一個封包路由過濾器’,快速閃回到今天,你有非常互動的應用程序:Web2.0與後端數據庫及周圍所有潛在風險捆綁在一起”Foundstone的創始人Kurts說。Foundstone是美國信息安全顧問服務與教育訓練領導廠商,現在是McAfee的一個分公司,Kurtz擔任McAfee企業在加裏福尼亞的公司Mission Viejo的高級副總裁。事實上,應用軟件越來越引起黑客的注意。
根據Gartner和Symantec的研究,截至2006年6月接近90%的軟件攻擊是針對應用程序層。“隻要開啟了端口80,就可以不受限製的進入一個應用程序”Kurtz說。
應用級別的漏洞並不新鮮。2002年,Poteet贏得了第四界eWEEK's OpenHack競賽,在這個競賽中參賽者被邀請攻擊電子商務試驗網站。Poteet那時已經攻擊了一個捆綁於Oracle數據庫應用版本的網站。
基本上,Poteet攻擊的這個漏洞是一個可以讓用戶編輯個人資料的界麵。
用戶名域估計是不可編輯的。但隻要前端接受了輸入,同時WEB服務器從一個瀏覽器接收了數據,那麼用戶名域是不是可編輯的就不重要了——到了這一步,所有東西都可編輯了。
Poteet把用戶名域中的名字改成"A Smith",然後他就象一隻蜘蛛等待潛逃一樣伺機行動。隻要一個叫做"A Smith"的用戶名登陸了,他便發起突襲,迅速進入並獲取用戶A Smith的所有數據。
問題是,在Openhack期間大部分應用開發商不重視Poteet的做法。Poteet說他已經與很多公司協商過,重要的不是看到漏洞無處不在,而是在所有域的所有界麵和所有應用程序中都存在這種易於攻擊的漏洞。
而且我們談論的不是小夫妻店—Poteet的大部分客戶是財富500強公司,其中很多是金融機構。但是,即使是在這些金融領域的大型機構中—它們都是以在安全問題方麵專業精通和經驗豐富而聞名—這些數字領域的專家仍然留出了大量有名的安全漏洞,吸引攻擊者像蒼蠅追著蜜糖一樣蜂擁而至。
騙我一次…
談到安全問題隻有一件事可以確定,就是人們一遍又一遍地犯著同樣的錯誤。黑客因此得以存在。
一般的漏洞包括錯誤信息數據,它們可以用來進入係統,SQL注入,XSS(跨站點腳本)和J2EE應用程序中的進入控製(Java2平台,企業版本)。
黑客特別喜愛SQL注入:一個好的SQL注入將從你數據庫表中得到數據。
如果攻擊者得到用戶查詢中的編輯能力,他們就可以改變數據庫中的數據。
在開放網絡應用安全計劃概述中,這些問題名列全球十大應用安全問題最頻繁失誤。也包括在提供錯誤信息的實用信息名單中。
例如這個錯誤信息:"微軟提供的適用於MS SQL Server數據庫係統的OLE DB數據庫驅動程序錯誤'80040e14'號, select語句中的字段'newsTBL.NEWS_ID' 不合法,因為它沒有包含在聚集函數中, 並且沒有GROUP BY子句。
從以上信息中,一個潛在的攻擊者會了解到該應用程序是使用OLE DB與數據庫聯係,它使用SQL服務器作為數據庫,SQL指令會傳送到數據庫裏叫做newsTBL的表。Rootkit技術的快速發展成為了為惡意代碼機器增加利益的新趨勢。
“我們在‘McAfee's’的Avert實驗室看到一些的rootkit技術簡直不可思議,”Kurtz說“‘我們看到’以前沒有做過的事情,完全按新的方法‘做’的事情,暗中竊取信息,並把它用於金融欺詐。從一個‘犯罪的’心理來看,觀念從‘讓我來找個漏洞’變成了‘讓我來找個能讓我安裝網絡自動代理程序的應用程序漏洞,用自動代理程序使它自動化下載網頁、感染用戶。”
安全研究人員正在密切關注著兩項rootkit新技術的實戰應用,他們擔心新技術有一天會為自動代理程序產業貢獻金錢:虛擬的rootkit和邪惡的超級監視者。
“我們知道壞人為了在係統中停留更長時間,在悄悄地尋找更多途徑”Joe Telafici說, Joe Telafici是俄勒岡州Beaverton的McAfee公司的Avert運營中心副總裁。”在一台機器上隱蔽地停留越長時間,就能將網絡自動代理程序或其他的東西租售越長時間。”
目前隻在概念證明型代碼中看到的無論是邪惡hypervisor技術還是虛擬rootkits,都能讓惡意代碼作者在一台機器上隱蔽地停留很長的時間。
一直以來,研究員對黑帽子將新技術運用於攻擊中嚴陣以待;他們相信這隻是時間問題,而不是會不會發生的問題。(6月27日,一組研究人員提出外國新rootkit技術可能無法被察覺出來,不過委員會對這個問題仍然沒有得出結論。)
讓它流血
Thomas Ptacek,Matasano公司的首席研究員兼創始人說,評估那些用來保護資產的產品的安全性不僅是程序開發員和係統架構師的應盡的責任;他們還應深入程序內部看是否有漏洞存在——和黑客做一樣的事。”Ptacek還說“為了做到盡職調查,他們得要剝開應用程序的外衣深入其中”比如,剝離開Microsoft's Windows Vista,我們會看到微軟在這個最新的操作係統中做出了被認為是最重大的安全問題改善。Vista的64位版本使現在黑客用的有些工具不能用了。
對於那些以為攻擊登入點總在同一個地方,而向有安全漏洞的功能發起攻擊的黑客來說,Vista的64位版本使之變的更加困難了。Vista還消除了向Windows核心注入編碼的功能,來觀察哪些函數正在被其他正在運行的程序所調用。
還有Vista的UAC(用戶帳戶控製),它將一些文件和注冊表的鍵改向“沙坑”傳送。惡意軟件可以做出一些改變,但是這些改變會在進程停止或至少是不再感染其他用戶時消失作用。
盡管如此,放心,這些新的安全控製還不會讓惡意代碼編寫者卷鋪蓋回家。而且,安全研究員已預見到Vista的新安全文件實際上會促進攻擊者推陳出新。
McAfee預計大約需要6個月的時間,一個遭受挫折的野心勃勃的惡意代碼作者就會把他或她的注意力轉向用rootkitt攻擊機器並利用虛擬技術功能平衡Inter和AMD公司的芯片。
這是一場貓捉老鼠的遊戲:隨著新的安全技術湧現出來,黑客刺探出其中的漏洞,惡意代碼作者學習如何操縱它們來盈利。
黑客使用的掃描程序和其他工具都可以被任何一個聯網用戶使用,程序開發者和係統構架師當然也會使用它們。一分鍾都不要認為這些工具不會被狡猾的攻擊者攻擊——它們是最容易與有效的加速測試方法。
與Ptacek的建議相唿應的最佳忠告是:像你把他們放在一起那樣小心地,有條不紊地再把它們拆開。由自己來深入尋找係統漏洞總比某些人為你做好。
最後更新:2017-04-03 16:59:46