BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

解读2014之安全篇:史诗级漏洞频发

| 作者 黄丹 关注 0 他的粉丝 发布于 2015年1月29日. 估计阅读时间: 12 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

编者按

2014年,整个IT领域发生了许多深刻而又复杂的变化,InfoQ策划了“解读2014”年终技术盘点系列文章,希望能够给读者清晰地梳理出技术领域在这一年的发展变化,回顾过去,继续前行。本篇是解读系列的又一新作,互联网安全事件剖析,知道创宇技术副总裁余弦鼎力加盟话安全。

正文

初识余弦是在半年前,平时沟通算不上多,直到QCon上海2014大会时,我们才渐渐熟识。他作为隐私安全专场的讲师,带来了主题为《程序员与黑客》的演讲,制造了一场惊心动魄的思维PK,俘虏了众多“程黑”粉。这位看上去安静的美男子有着一颗并不安分的心,对这个世界充满好奇,最擅长的黑客攻防,在他的黑客生涯中发现过众多安全漏洞,实战经验极其丰富,经由他编写的《Web前端黑客技术揭秘》一书也十分畅销。

2014年是互联网严重漏洞集中爆发的一年,如OpenSSL的心脏出血(Heartbleed)漏洞、Bash破壳(Shellshock)漏洞、Windows的一些0Day漏洞等,受影响的企业、网站、硬件设备等范围很广。这一年对余弦来说也是不平凡的一年,他亲身参与了携程信用卡盗刷、心脏出血、破壳漏洞、12306撞库等大事件的一线支撑。本文以时间为主轴,将这些事件串联起来,带大家回顾一下安全领域发生的几件大事儿。

携程信用卡泄露门

2014年3月22日,中国在线旅游巨头携程公司被爆出“支付漏洞”,用户信用卡信息有可能被黑客读取,一时间引起成千上万用户的担心,纷纷打听是不是要更换信用卡。余弦认为这只是部分媒体对此事件的报道过分夸大,造成闹剧化趋势,事实上并没有那么可怕。关于漏洞产生的原因,余弦解释到:“按理说一个金融支付类的网站,应该遵守PCI DSS(支付卡行业数据安全标准),这个标准体系里面有严格的规定,安全要怎么做?不能存,不能记录。如果记录了没有被曝光也许没事,但是被曝光出来了,又和人的财产相关,所以引起的动荡面还是很大的。当然,携程也迅速应急这件事,当一个企业成为舆论焦点的时候,携程做得比较好的是他承认了这件事,而且会改进这件事,并且去理赔,还是尽到了应尽的责任。”

OpenSSL心脏出血

2014年4月7日,OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。每次可以读取64K,循环去读,基本可以把这个机器内存里面保留的东西全部读出来。有很多用户名、密码,包括用户登陆的操作,收发邮件等私密明文信息。

余弦谈到4月8号开始,他们团队就开始应急,给国家包括很多媒体做了一线的支撑。大概6个小时后,了解到全球有240多万服务器受影响,覆盖面包括了使用HTTPS这样的安全网站,还有一些安全邮件的传输,还有VPN等。从全球来看,这个应急速度是非常快的,通过微博、微信等方式的传输,全球很多黑客都在行动,各种刷数据。总体来说,这次事件是整个中国安全应急的一次胜利。

Bash破壳(Shellshock)漏洞

9月25号,继“心脏出血”漏洞之后,安全研究专家又发现了一个危险级别为“毁灭级”的漏洞——Shellshock漏洞。这项漏洞的威胁程度堪比“心脏流血”,甚至影响更大。一方面是因为Shellshock所影响的Bash软件,同样被广泛应用于各类网络服务器以及其他电脑设备。另一方面,Shellshock本身的破坏力却更大,因为黑客可以借此完全控制被感染的机器。

回忆起当时的情景,余弦不禁感叹道:“又是一个不眠夜!”。这种世界级的漏洞,很有可能半年之后又会发生。就好像渔夫懂得暴风雨要来临一样,黑客也有这样的预感,当时他就是这样的感觉。当然这种感觉并非没有道理,而是根据很多的线索感知出来的。破壳爆发的时候,国外的漏洞库CVE有一个比较专业的评价,他们有一个平衡的标准,心脏出血定义是5分,破壳漏洞是10分,顶级的。心脏出血是心脏出了血,破壳是“壳”破掉了,这都比较形象。因为它影响的是Bash,翻成中文就是“壳”。这几个漏洞都比较有代表性。这些漏洞的问题在于这个Bash,它在Linux世界存在了25年之久,这个漏洞也存在了25年,是史诗级的。虽然不能说全球所有的Linux都受影响,但基本上都受影响了。这时候就要去证明这个东西,像心脏出血,第一天看出240多万出问题,破壳一天有多少?通过研究发现探测的方式很复杂,不像心脏出血,针对它的服务器发几个包就可以知道情况。破壳不一样,在网络上,不同的设备、组件,所使用的Bash方式不太一样。破壳既可以远程也可以本地。远程方式比较复杂,需要CGI作为一个入口,并且这个CGI与Bash命令进行了交互,这时需要根据不同的设备,针对性地添加探测规则。但是一旦探测成功,就可以轻易入侵,在实测中发现几乎所有设备都用root权限启用这个CGI,导致可以完全控制服务器权限。这些量级,多则几十万,少则几千。这个事情对整个业内的影响非常之大。

索尼影业被黑

11月27日,索尼公司被黑客攻击内网之后,宣布旗下5部电影遭到了泄密。这并不是一部影片遭遇泄密,而是大面积的泄密事件,足以引起绝对的重视。这次的事件全球的报道还是比较多的,各种花边的消息,各种说法都会有。据余弦透漏,索尼以前也出现过这样的问题,以前也得罪了黑客。现在又出现这样的问题,这个问题出现的还比较明显,有人告诉他是谁来黑他们了,他们这才发现,然后FBI进来调查,调查之后查到可能和朝鲜有关系。朝鲜前段时间因为这件事全国断网之类的,引起很多人的联想。当时八卦是说索尼那边有一个电影叫《刺杀金正恩》,惹怒了黑客,所以发生了这件事。而且这个可能还和内鬼有关,内外结合才会黑得这么透彻,还放出了很多索尼的内部资料,好几十G,都可以下载。这就变得特别特别复杂、特别乱。背后牵涉到一些国与国之间政治上的东西,渐渐到经济上的一些影响、舆论上的东西。像索尼这么大的公司都会被黑客攻击,何况一些小公司呢?安全问题要尤为重视。

12306遭撞库攻击

12月24日,漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告,危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。据悉,此漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露。对此,余弦认为:“12306,这本来就是一个很具有争议性的网站,尤其是在技术上。因为它和老百姓的生活息息相关,一旦出问题,当然是‘风口浪尖’,被各路黑客盯上也是很正常的事情。作为一个安全研究的团队,首先要想到一个好的思路,如何给出一个最佳、最严谨的真相?虽然很多人恨12306、骂12306,但是这个错误确实不是他们的。当12306的这个事情爆出来时,知道创宇安全团队很快开始做分析,经过很多的推敲,比如要随机调查、分析、审核,认为没有太多问题时,再对外发声,整个过程中团队的配合非常默契。”

对于这被泄露的131653条记录,当时有几种猜测,一种是撞库,还有是拖库,还有是用了第三方的插件(刷票)。从直觉来看,余弦认为是撞库出来的,然后去印证。如果是撞出来的,通过账号密码、身份证能体现出来。当登陆12306网站测试时,发现身份证等相关资料都是明文的,说明这个撞库的程序自动化是可以实现的。而且可以找到撞库的接口,通过这个接口,不需要验证码之类的,可以很方便的去刷。这些既然可以办到,那就说明撞库的可能性比较大。如果是撞库,那么哪些库可以作为依据来撞?于是将历史上泄露的一些库拿出来对比,发现相似度极高,大概有这样的一个依据。网上广为流传是由于第三方插件带来安全隐患,对于这一说法。余弦团队也进行了验证。他们从泄露的账号中找到几个和QQ号有关的,去添加测试。追踪是否使用第三方插件刷票的问题时,得到的答案都是否定的,那么可以排除通过第三方插件的可能性。对比之下得出了撞库这个结论。第二天12306的新闻就出来了,此次攻击确实是因撞库引起的。年关将至,爆出这么一出,用户也真是醉了呀!

总结

以上只是2014年我们所认为影响比较大的网络攻击事件,实际上这还只是冰山一角,余弦认为,未来的网络空间将出现更多错综复杂网络袭击。比如说“工业控制”,尤其在国内,工业控制可以看作是民生的一个基础,水利、电力、石油、管道、燃气、交通、航天、化工、能源等全部都是工控。另外物联网、可穿戴设备、医疗设备等,这些都会在2015年爆发出来,安全伴随着不同的实体,这些实体在发展,安全同时也会发展起来。和人民的基础设备有关系的,一旦出问题了,带来的影响就不仅仅是数据丢失那么简单了,可能还会涉及到人身安全问题,迟早会有一篇新闻报道说,黑客控制什么什么,导致多少多少人死亡,这个也许会发生在2015年以后的某一年。

这么多安全事件引爆,都是黑客攻来攻去。所有这些事件的发生都和互联网的网络空间息息相关。这个网络空间如同人的大脑,网络空间里每一个终端的背后都是一个人,这个人给终端输入相关的指令,人的思维影响着终端的行为,终端的行为在整个网络空间传播,然后被存储下来。每一个终端都是一个节点,一个点一个点串起来,最终形成一个非常智慧的“大脑”,有存储、有记忆、有思维流通。它是群体构成的,不会依赖于个人的意志力去改变。哪怕有再多可怕的事件发生,这都没关系。整个行业一直往前发展,人类的智慧力量无穷。一个黑客再邪恶、再凶狠,这个大脑都是可以治愈的。有受伤,治愈就OK。未来还有很长的路要走,虽然压力无穷,但是正能量满满。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT