一窥互联网安全

标签: 图书推荐 书摘 图书 | 发表时间:2012-04-18 10:51 | 作者:baiyuzhong
出处:http://www.programmer.com.cn

在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。信息本来是安全的,自从有了研究安全的人之后,互联网就变得不安全了。

起初,研究计算机系统和网络的人,被称为“Hacker”,他们对计算机系统有着深入的理解,因此往往能够发现其中的问题。“Hacker”在中国按照音译,被称为“黑客”。在计算机安全领域,黑客是一群破坏规则、不喜欢被拘束的人,因此总想着能够找到系统的漏洞,以获得一些规则之外的权力。

对于现代计算机系统来说,在用户态的最高权限是root(administrator),也是黑客们最渴望能够获取的系统最高权限。“root”对黑客的吸引,就像大米对老鼠的吸引,美女对色狼的吸引。

不想拿到“root”的黑客,不是好黑客。漏洞利用代码能够帮助黑客们达成这一目标。黑客们使用的漏洞利用代码,被称为“exploit”。在黑客的世界里,有的黑客,精通计算机技术,能自己挖掘漏洞,并编写exploit;而有的黑客,则只对攻击本身感兴趣,对计算机原理和各种编程技术的了解比较粗浅,因此只懂得编译别人的代码,自己并没有动手能力,这种黑客被称为“Script Kids”,即“脚本小子”。在现实世界里,真正造成破坏的,往往并非那些挖掘并研究漏洞的“黑客”们,而是这些脚本小子。而在今天已经形成产业的计算机犯罪、网络犯罪中,造成主要破坏的,也是这些“脚本小子”。

中国黑客简史

中国黑客的发展分为几个阶段,到今天已经形成了一条黑色产业链。

笔者把中国黑客的发展分为了:启蒙时代、黄金时代、黑暗时代。

首先是启蒙时代,这个时期大概处在20世纪90年代,此时中国的互联网也刚刚处于起步阶段,一些热爱新兴技术的青年受到国外黑客技术的影响,开始研究安全漏洞。启蒙时代的黑客们大多是由于个人爱好而走上这条道路,好奇心与求知欲是驱使他们前进的动力,没有任何利益的瓜葛。这个时期的中国黑客们通过互联网,看到了世界,因此与西方发达国家同期诞生的黑客精神是一脉相传的,他们崇尚分享、自由、免费的互联网精神,并热衷于分享自己的最新研究成果。

接下来是黄金时代,这个时期以中美黑客大战为标志。在这个历史背景下,黑客这个特殊的群体一下子几乎吸引了社会的所有眼球,而此时黑客圈子所宣扬的黑客文化以及黑客技术的独特魅力也吸引了无数的青少年走上这条道路。自此事件后,各种黑客组织如雨后春笋般冒出。此阶段的中国黑客,其普遍的特点是年轻,有活力,充满激情,但在技术上也许还不够成熟。此时期黑客圈子里贩卖漏洞、恶意软件的现象开始升温,同时因为黑客群体的良莠不齐,也开始出现以赢利为目的的攻击行为,黑色产业链逐渐成型。

最后是黑暗时代,这个阶段从几年前开始一直延续到今天,也许还将继续下去。在这个时期黑客组织也遵循着社会发展规律,优胜劣汰,大多数的黑客组织没有坚持下来。在上一个时期非常流行的黑客技术论坛越来越缺乏人气,最终走向没落。所有门户型的漏洞披露站点,也不再公布任何漏洞相关的技术细节。

伴随着安全产业的发展,黑客的功利性越来越强。黑色产业链开始成熟,这个地下产业每年都会给互联网造成数十亿的损失。而在上一个时期技术还不成熟的黑客们,凡是坚持下来的,都已经成长为安全领域的高级人才,有的在安全公司贡献着自己的专业技能,有的则带着非常强的技术进入了黑色产业。此时期的黑客群体因为互相之间缺失信任已经不再具有开放和分享的精神,最为纯粹的黑客精神实质上已经死亡。

整个互联网笼罩在黑色产业链的阴影之下,每年数十亿的经济损失和数千万的网民受害,以及黑客精神的死亡,使得我们没有理由不把此时称为黑暗时代。也许黑客精神所代表的Open、Free、Share,真的一去不复返了!

黑客技术的发展历程

从黑客技术发展的角度看,在早期,黑客攻击的目标以系统软件居多。一方面,是由于这个时期的Web技术发展还远远不成熟;另一方面,则是因为通过攻击系统软件,黑客们往往能够直接获取root权限。这段时期,涌现出了非常多的经典漏洞以及“exploit”。比如著名的黑客组织TESO,就曾经编写过一个攻击SSH的exploit,并公然在exploit的banner中宣称曾经利用这个exploit入侵过cia.gov(美国中央情报局)。

下面是这个exploit的一些信息。


有趣的是,这个exploit还曾经出现在著名电影《黑客帝国2》中:

电影《黑客帝国2》

电影《黑客帝国2》

放大屏幕上的文字可以看到:

电影《黑客帝国2》中使用的著名exploit

在早期互联网中,Web并非互联网的主流应用,相对来说,基于SMTP、POP3、FTP、IRC等协议的服务拥有着绝大多数的用户。因此黑客们主要的攻击目标是网络、操作系统以及软件等领域,Web安全领域的攻击与防御技术均处于非常原始的阶段。

相对于那些攻击系统软件的exploit而言,基于Web的攻击,一般只能让黑客获得一个较低权限的账户,对黑客的吸引力远远不如直接攻击系统软件。

但是时代在发展,防火墙技术的兴起改变了互联网安全的格局。尤其是以Cisco、华为等为代表的网络设备厂商,开始在网络产品中更加重视网络安全,最终改变了互联网安全的走向。防火墙、ACL技术的兴起,使得直接暴露在互联网上的系统得到了保护。

比如一个网站的数据库,在没有保护的情况下,数据库服务端口是允许任何人随意连接的;在有了防火墙的保护后,通过ACL可以控制只允许信任来源的访问。这些措施在很大程度上保证了系统软件处于信任边界之内,从而杜绝了大部分的攻击来源。

2003年的冲击波蠕虫是一个里程碑式的事件,这个针对Windows操作系统RPC服务(运行在445端口)的蠕虫,在很短的时间内席卷了全球,造成了数百万台机器被感染,损失难以估量。在此次事件后,网络运营商们很坚决地在骨干网络上屏蔽了135、445等端口的连接请求。此次事件之后,整个互联网对于安全的重视达到了一个空前的高度。 

运营商、防火墙对于网络的封锁,使得暴露在互联网上的非Web服务越来越少,且Web技术的成熟使得Web应用的功能越来越强大,最终成为了互联网的主流。黑客们的目光,也渐渐转移到了Web这块大蛋糕上。

实际上,在互联网安全领域所经历的这个阶段,还有另外一个重要的分支,即桌面软件安全,或者叫客户端软件安全。其代表是浏览器攻击。一个典型的攻击场景是,黑客构造一个恶意网页,诱使用户使用浏览器访问该网页,利用浏览器中存在的某些漏洞,比如一个缓冲区溢出漏洞,执行shellcode,通常是下载一个木马并在用户机器里执行。常见的针对桌面软件的攻击目标,还包括微软的Office系列软件、Adobe Acrobat Reader、多媒体播放软件、压缩软件等装机量大的流行软件,都曾经成为黑客们的最爱。但是这种攻击,和本书要讨论的Web安全还是有着本质的区别,所以即使浏览器安全是Web安全的重要组成部分,但在本书中,也只会讨论浏览器和Web安全有关的部分。

Web安全的兴起

Web攻击技术的发展也可以分为几个阶段。在Web 1.0时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本(俗称webshell)上传到服务器上,从而获得权限。动态脚本语言的普及,以及Web技术发展初期对安全问题认知的不足导致很多“血案”的发生,同时也遗留下很多历史问题,比如PHP语言至今仍然只能靠较好的代码规范来保证没有文件包含漏洞,而无法从语言本身杜绝此类安全问题的发生。

SQL注入的出现是Web安全史上的一个里程碑,它最早出现大概是在1999年,并很快就成为Web安全的头号大敌。就如同缓冲区溢出出现时一样,程序员们不得不日以继夜地去修改程序中存在的漏洞。黑客们发现通过SQL注入攻击,可以获取很多重要的、敏感的数据,甚至能够通过数据库获取系统访问权限,这种效果并不比直接攻击系统软件差,Web攻击一下子就流行起来。SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。

XSS(跨站脚本攻击)的出现则是Web安全史上的另一个里程碑。实际上,XSS的出现时间和SQL 注入差不多,但是真正引起人们重视则是在大概 2003年以后。在经历了 MySpace 的XSS 蠕虫事件后,安全界对XSS的重视程度提高了很多,OWASP 2007 TOP 10威胁甚至把XSS排在榜首。

伴随着Web 2.0的兴起,XSS、CSRF等攻击已经变得更为强大。Web攻击的思路也从服务器端转向了客户端,转向了浏览器和用户。黑客们天马行空的思路,覆盖了Web的每一个环节,变得更加的多样化,这些安全问题,在本书后续的章节中会深入地探讨。

Web技术发展到今天,构建出了丰富多彩的互联网。互联网业务的蓬勃发展,也催生出了许多新兴的脚本语言,比如Python、Ruby、NodeJS等,敏捷开发成为互联网的主旋律。而手机技术、移动互联网的兴起,也给HTML 5带来了新的机遇和挑战。与此同时,Web安全技术,也将紧跟着互联网发展的脚步,不断地演化出新的变化。

本文节选自《白帽子讲Web安全》,吴翰清著,由电子工业出版社发行。

相关 [互联网 安全] 推荐:

一窥互联网安全

- - 技术改变世界 创新驱动中国 - 《程序员》官网
在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷. 信息本来是安全的,自从有了研究安全的人之后,互联网就变得不安全了. 起初,研究计算机系统和网络的人,被称为“Hacker”,他们对计算机系统有着深入的理解,因此往往能够发现其中的问题. “Hacker”在中国按照音译,被称为“黑客”.

移动互联网便利背后的安全隐患

- - 付亮的竞争情报应用
——身份证号做依据,手机号、应用帐号交叉验证. 《新闻晨报》的报道《 手机卡被他人挂失致损失3万 移动称失误难免》,大致流程如下:. 1、盖小姐两年前遗失身份证;. 2、不法分子假冒盖小姐,拿她身份证到营业厅挂失手机卡后领取新卡;. 3、通过手机取回密码的方法,进入盖小姐支付宝账户;. 4、通过支付宝转走了盖小姐银行账户内的3万元存款.

互联网企业数据安全体系建设

- - 美团点评技术团队
Facebook数据泄露事件一度成为互联网行业的焦点,几百亿美元市值瞬间蒸发,这个代价足以在地球上养活一支绝对庞大的安全团队,甚至可以直接收购几家规模比较大的安全公司了. 虽然媒体上发表了很多谴责的言论,但实事求是地讲,Facebook面临是一个业界难题,任何一家千亿美元的互联网公司面对这种问题,可能都没有太大的抵抗力,仅仅是因为全球区域的法律和国情不同,暂时不被顶上舆论的浪尖罢了.

大型互联网公司数据安全实践

- - FreeBuf互联网安全新媒体平台
相信很多企业都面临数据泄漏的问题,例如用户投诉注册后收到了很多骚扰电话,内部员工频繁接到到猎头电话骚扰,业务上的竞争对手准确地掌握了公司的经营数据动态等. 而这些泄漏事件的追查难度又非常大. 如下图,用户的一个购买行为,沿途可能经过若干路径,每个路径下面又包含N多分叉. 最终交易成功,可能会被几百个服务调用,这些服务同时又对应到后台,最终可能有几千人会看到,究竟是谁泄漏了,如同大海捞针.

聚焦安全:互联网场景的身份认证方法分析

- - 技术改变世界 创新驱动中国 - 《程序员》官网
2011年末多家国内网站用户信息泄露,让许多人意识到安全不再是与自己无关的话题. 2012年3月《程序员》封面报道,我们分别从身份认证、数据库安全、中间平台、终端用户、云计算等几个角度为大家剖析安全所涉的方方面面. 身份认证是一个古老的话题,从最早的户籍造册,到今天的2代身份证或社会保险号码,“我是谁”或“他是谁”的问题贯穿着人类社会的发展.

BitDefender互联网安全套装2012简体中文版发布下载

- - cnBeta.COM
感谢 电脑知识的投递. BitDefender 2012 英文版已经推出数月,今天其中文版终于与今天推出了,但目前只有BitDefender internet security 2012 (互联网安全套装)简体中文版发布,BAV,和Total 版本仍未发布,喜欢的朋友快去下载体验吧:. BitDefender internet security 2012 下载地址:.

盘点互联网巨头奉献的十大开源安全工具

- - ITeye资讯频道
Facebook等大型互联网公司推动的服务器与数据中心、大数据工具的开源化项目类似,当大型互联网公司们在超大规模基础设施运营方面面临的挑战超出技术厂商的能力时,这些巨头就选择反客为主,成为创新技术的推动者和提供者. 同样的情况也在信息安全领域中发生着. 不少大型互联网公司经常会将自己开发的顶级安全工具开源,推动整个互联网的安全发展.

证监会:互联网企业海外上市“对国家安全形成严重威胁”

- shan - cnBeta.COM
“目前,国内互联网领域的龙头企业中,绝大部分选择赴美上市,对我国互联网络的国家安全已经形成严重威胁. 据了解,信产部曾多次上报国务院,希望安排上述龙头企业尽早回归A股市场,以避免我国的互联网络国家战略受制于人,但由于上述互联网海外上市企业均涉嫌实质违反我国外资行业准入政策,在实际操作上一直难以解决.

广告屏蔽装置AdTrap:还你一个干净、安全、快速的互联网

- - TECH2IPO创见
我们现在上网最烦的估计就是广告,广告无处不在,有漂浮的图片广告,有大横幅,甚至有弹窗. 这些广告让很多人不满,也激发了一些人的聪明才智,各路高手各显身手,现在网上有各种各样的广告屏蔽插件. 但是这种插件只能在电脑上使用,不能在平板电脑和手机上用,软件再怎么说还是“太软弱”,于是更牛的东西出现了,这次是一款“很强硬”的硬件产品——AdTrap.

面对互联网当前最危险的漏洞Heartbleed bug,你应当知道的一些安全问题

- - PingWest中文网
昨天,关于 Heartbleed漏洞的消息在网络上引发了激烈的讨论. 这个从OpenSSL项目中爆出的漏洞让攻击者可以在多种加密传输的网络数据中窃取用户信息,由于OpenSSL被广泛使用在Web服务器、邮件协议、通讯协议中,所以一时间受影响的用户数量难以估计. 在谈Heartbleed漏洞之前,我们不得不先说一下什么是OpenSSL,不过由于其和SSL有着莫大的关系而且用户平常接触到最多的也许就是SSL安全协议了,所以我们先从介绍SSL入手.