距离ISC已经有点久了,这段时间都用来把参会经历晒晒,现在感觉差不多晒干了,所以还是总结下在这次大会中看到、听到、学到关于安全相关的一点见闻,尽量干货。对这次大会的感觉呢,主要因为会议面向群体覆盖面很广,议题也很多,作为一个学习技术的菜鸟,兴趣点比较少,所以觉得整体技术干货还是比较少,很多议题一看是“业务拓展经理”、“高级产品经理”等领导来讲,就知道不是讲技术的,让人昏昏欲睡。长话短说。
IoT
IoT:Internet of Things ,万物互联;
互联网时代从“PC互联网”到“手机互联网”再到“IoT万物互联”;比如现在的各种智能手表,智能眼镜,智能电视,那么不远的未来,我们的电灯甚至都内置了cpu,可以直接接入互联网。
而我们客户端的安全呢,也从“电脑卫士”,到“手机卫士”,到了万物互联的时候,不可能给每个智能硬件都做个卫士,那就统一在出入口管理,所以有了现在的智能路由器,可以在路由器上部署“家居卫士”。
周鸿祎说,到了IoT时代,也就到了重新发明轮子的时代,其实这点看360的产品页也就有所感受了:
大数据时代的用户隐私保护
关于这一点呢,周鸿祎提出了3点“大数据安全准则”
1)信息是用户的个人资产; 2)安全传输,安全存储; 3)平等交换,授权使用;
据说360某发言人在一个分论坛展示用户数据的时候,就有人提问说“你们这样用数据符合周董提议的安全准则吗”,结果当然就不了了之。
随着安全意识的提高,斯洛登,艳照门等事件的发生,对普通用户来说,隐私问题越来越重视,但是估计现在没有哪家公司能做到绝不收集和存储涉及用户隐私的行为信息。所以说,现在的互联网时代,对我们来说,可以说是一个无处藏身的时代,且行且珍惜。
2013年日本、美国、中国信息安全投资分布
日本:安全硬件:5% 安全软件:24% 安全服务:71%
美国:安全硬件:15% 安全软件:41% 安全服务:44%
中国:安全硬件:51% 安全软件:23% 安全服务:26%
由此可以看出,中国和发达国家在信息安全领域的“意识差距”,可能从事相关信息安全工作的人也能感受到,向企事业单位,尤其是政府单位提供安全设备和服务的时候,他们很看轻软件和服务,而看重硬件,感觉具体的设备是实打实的,摆在那里感觉就有说服力,好像硬件就能就说明他们在信息安全方便确实做了工作和努力。比如,一套软件的防护系统,卖1万,他们就很不情愿,说你一个软件值什么钱,可如果销售方再搭配个定制的计算机,卖20万他们都能接受……….每次想到这里,心头万马奔腾。
其实说实话,软件往往是研发人员的智慧结晶,而服务,背后对应的是信息安全人才。在信息安全领域,人才才是最贵的。很多单位买回去的设备,由于没有专业人员维护,往往处于闲置状态,或者就是串接到网络中,默认设置一点没改,安全功能只有默认开启的开了,出了问题也不晓得怎么解决。而一旦你有了专业技术人员的支持,即使是普通的设备,也能通过配置发挥出相应的安全功能。所以,对“安全服务”和“安全软件”的重视,真正表现的是对安全人才的重视。
云计算的几个相关概念
1)IaaS (Infrastructure as a Service,基础架构即服务) 通过互联网提供了数据中心、基础架构硬件和软件资源。IaaS可以提供服务器、操作系统、磁盘存储、数据库和/或信息资源。
2)PaaS (Platform as a Service,平台即服务) 提供了基础架构,软件开发者可以在这个基础架构之上建设新的应用,或者扩展已有的应用,同时却不必购买开发、质量控制或生产服务器。
3)SaaS (Software as a Service,软件即服务) 是最为成熟、最出名,也是得到最广泛应用的一种云计算。大家可以将它理解为一种软件分布模式,在这种模式下,应用软件安装在厂商或者服务供应商那里,用户可以通过某个网络来使用这些软件,通常使用的网络是互联网。
PaaS、IaaS和SaaS之间的区别并不是那么重要,因为这三种模式都是采用外包的方式,减轻企业负担,降低管理、维护服务器硬件、网络硬件、基础架构软件和/或应用软件的人力成本。从更高的层次上看,它们都试图去解决同一个商业问题——用尽可能少甚至是为零的资本支出,获得功能、扩展能力、服务和商业价值。当某种云计算的模式获得了成功,这三者之间的界限就会进一步模糊。成功的SaaS或IaaS服务可以很容易地延伸到平台领域。
注意,云平台不光要防护外部的各种攻击,用户的数据在服务商的数据中心中,还需要防内。只有真正地数据安全才是用户确信拥有自己保险柜的核心。而云上的数据一般是不会丢的,都有备份,希望未来云存储能值得信赖。
“计算机安全”已经成为一种有价值的商业活动
那么问题来了!
首先,赚钱是商业的主要目的,以PC防护软件为例;
那么,如果厂家把安全服务做得太好,让您感受不到威胁的存在,你也就不再需要安全服务了?
但反之,如果厂家把安全服务做得不好,那么你为什么还要花钱去购买它呢?
那么销售方该怎么去向消费者推销我们的安全软件呢?
一个答案是:FUD
-F 恐惧:坏事即将发生在你身上,它已经在别人身上发生了 -U 不确定:你怎么知道自己是安全的,谁是看着你的守护者? -D 怀疑 即使是NSA(美国国家安全局)也不能保住自己的秘密 在制造恐惧、不确定与疑惑后,你就需要帮助消费者释放这些恐惧
那么,快来使用给我们的产品吧,用了你就安全了,NSA已经在使用我们的产品了。
DoS攻击理论
1)资源枯竭造成拒绝服务
2)关键资源示例:CPU时间,文件句柄,磁盘空间,内存空间,进程中条目,连入端口,网络带宽,内部总线带宽等
Web扫描
1)全自动扫描器:基于爬虫和字典等,只能达到70%-80%的覆盖页面,难以应对应用复杂的操作逻辑。 如:孤岛页面、需要登录系统、具备复杂的交互逻辑的应用。
2)半自动漏洞扫描
业务重放+url镜像,实现高度覆盖:
业务重放,测试过程使用burpsuite、fiddler HTTP(S)业务流量录制与重放扫描、手工修改业务数据流、对手机APP也实用 检测逻辑漏洞:水平权限绕过、订单修改、隐藏域修改。 局限:时间滞后/token,流量重发时,不能保证重现业务流程及bug;难以覆盖所有业务链接;漏洞检测技术滞后于攻击技术,无法解决0Day漏洞。
3)被动式漏洞分析:应对0Day和孤岛页面。国外产品:Nessus PVS被动式扫描
旁路被动式扫描,全流量数据分析 检测方式:被动式扫描不需要联网,不会主动发出url请求,也不发出任何数据包。
PVS和IDS的区别:
a. 更关注漏洞感知,而不是入侵;如页面出现sql报错信息,可触发pvs报警,但不会出发ids报警。 b. 报警结果不一样,pvs按照漏洞的风险等级,ids按照黑客的攻击手段报警。 c. 双向分析数据报文; d. 更关注于web应用,OWASP TOP10的攻击手段。 e. 按攻击影响报警(分析双向报文),而不是按攻击手段去报警(分析单向报文)
注意:Nessus的PVS只是一个思路,它专注与网络及主机漏洞,对Web应用的监测能力有限。我们需要重新设计一个针对web的PVS出来:WebPVS。
Web日志分析
1)日志分析的价值
网站优化:时间(time),路径(url),人物(sourceip),地点(path),访客分布(user-aent),带宽资源(bytes),爬虫信息(bot)
发现攻击:时间(time),地点(path),人物(sourceip),起因(vulnerability/webshell)、经过(attack),结果(status 200/404/403/500)
发现漏洞:起因(vulnerability),经过(scan url),结果(status 200/404/403/500,命中词)
2)一些注意点
允许小范围误报,拒绝漏报;
精确报警不是日志分析的职责;
攻击隐藏在异常中,找异常最重要。
3)关键词是日志分析的建模基础
传统关键词:system、exec、phpinfo、phpspy、powered by、union select…
不常见的关键词:CSS,bgcolor,js
关键词的类型:行为关键词、指纹关键词。
关键词的逻辑:当出现关键词A时,必然出现关键词B或者C,出现B给80,出现C给20分。
还有就是,程序自动提取关键词(比如一段字符或者二进制序列),这里说的第二种关键词就是人看不懂的关键词。比如通过文件偏移让程序自动提取后门关键词。通过文件行数或者字节数偏移来随机取单端不连续的指纹关键词。通过遍历链接获取行为关键词。
基于Web的DDoS
1)出现频率最高的DDoS后门文件名
abc.php, xl.php, Xml.php, dedetag.class.php, counti.php, plase.php, cba.php, os.php, practical.php, abbb.php
2)出现频率最高目录
/plus/, /templets/, /include/, /data/, /api/, /cache/, /admin/, /UploadFiles/, /
3)最常被攻击的端口
80,53,21,22
4)其他
开放云平台是日渐兴起的后门藏匿地 PHPwebshell自带DDoS功能的越来越多 有些建站公司建站同时植入后门 大部分出现后门的网站都是中小型的电商或者企业 大部分的攻击客户端来自小说阅读器、传奇私服登陆器等
最后
通过360和知道创宇提供的一些数据,简单说下Web安全的一些现状。
1)全国每年有24万网站被黑,其中政府网站2万(总数10万)
2)全国超过17%的站点存在明显的高危漏洞;
3)中国目前大约240万个网站使用了.cn的域名,是主要的攻击目标。
4)接近10%的网站引用了第三方组件;
5)超过3.3%的网站所安装的组件是在无补丁状态下使用;
6)每天全网针对Web站点的攻击超过3亿次。
7)2014上半年,被植入后门的网站中84.8%是被境外控制
8)0day 从曝光到爆发:大约1周时间(从开始研究demo到大范围爆发)
9)漏洞修复率低,半衰期的威胁
“心脏滴血漏洞”,在中国网站中,72小时的时候,只有18%的修复率。
4月爆发的OpenSSL 心脏出血漏洞,到9月,还有16%的全局用户未修复,和11%的重要用户未修复。