编者按
2014 年,整个 IT 领域发生了许多深刻而又复杂的变化,InfoQ 策划了“解读2014 ”年终技术盘点系列文章,希望能够给读者清晰地梳理出技术领域在这一年的发展变化,回顾过去,继续前行。本篇是解读系列的又一新作,互联网安全事件剖析,知道创宇技术副总裁余弦鼎力加盟话安全。
正文
初识余弦是在半年前,平时沟通算不上多,直到 QCon 上海 2014 大会时,我们才渐渐熟识。他作为隐私安全专场的讲师,带来了主题为《程序员与黑客》的演讲,制造了一场惊心动魄的思维PK,俘虏了众多“程黑”粉。这位看上去安静的美男子有着一颗并不安分的心,对这个世界充满好奇,最擅长的黑客攻防,在他的黑客生涯中发现过众多安全漏洞,实战经验极其丰富,经由他编写的《 Web 前端黑客技术揭秘》一书也十分畅销。
2014 年是互联网严重漏洞集中爆发的一年,如 OpenSSL 的心脏出血(Heartbleed)漏洞、Bash 破壳(Shellshock)漏洞、Windows 的一些 0Day 漏洞等,受影响的企业、网站、硬件设备等范围很广。这一年对余弦来说也是不平凡的一年,他亲身参与了携程信用卡盗刷、心脏出血、破壳漏洞、12306 撞库等大事件的一线支撑。本文以时间为主轴,将这些事件串联起来,带大家回顾一下安全领域发生的几件大事儿。
携程信用卡泄露门
2014 年 3 月 22 日,中国在线旅游巨头携程公司被爆出“支付漏洞”,用户信用卡信息有可能被黑客读取,一时间引起成千上万用户的担心,纷纷打听是不是要更换信用卡。余弦认为这只是部分媒体对此事件的报道过分夸大,造成闹剧化趋势,事实上并没有那么可怕。关于漏洞产生的原因,余弦解释到:“按理说一个金融支付类的网站,应该遵守 PCI DSS(支付卡行业数据安全标准),这个标准体系里面有严格的规定,安全要怎么做?不能存,不能记录。如果记录了没有被曝光也许没事,但是被曝光出来了,又和人的财产相关,所以引起的动荡面还是很大的。当然,携程也迅速应急这件事,当一个企业成为舆论焦点的时候,携程做得比较好的是他承认了这件事,而且会改进这件事,并且去理赔,还是尽到了应尽的责任。”
OpenSSL 心脏出血
2014 年 4 月 7 日,OpenSSL 发布了安全公告,在 OpenSSL1.0.1 版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed 模块存在一个 BUG,问题存在于 ssl/dl_both.c 文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致 memcpy 函数把 SSLv3 记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的 OpenSSL 服务器内存中多达 64K 的数据。每次可以读取 64K,循环去读,基本可以把这个机器内存里面保留的东西全部读出来。有很多用户名、密码,包括用户登陆的操作,收发邮件等私密明文信息。
余弦谈到 4 月 8 号开始,他们团队就开始应急,给国家包括很多媒体做了一线的支撑。大概 6 个小时后,了解到全球有 240 多万服务器受影响,覆盖面包括了使用 HTTPS 这样的安全网站,还有一些安全邮件的传输,还有 VPN 等。从全球来看,这个应急速度是非常快的,通过微博、微信等方式的传输,全球很多黑客都在行动,各种刷数据。总体来说,这次事件是整个中国安全应急的一次胜利。
Bash 破壳(Shellshock)漏洞
9 月 25 号,继“心脏出血”漏洞之后,安全研究专家又发现了一个危险级别为“毁灭级”的漏洞——Shellshock 漏洞。这项漏洞的威胁程度堪比“心脏流血”,甚至影响更大。一方面是因为 Shellshock 所影响的 Bash 软件,同样被广泛应用于各类网络服务器以及其他电脑设备。另一方面,Shellshock 本身的破坏力却更大,因为黑客可以借此完全控制被感染的机器。
回忆起当时的情景,余弦不禁感叹道:“又是一个不眠夜!”。这种世界级的漏洞,很有可能半年之后又会发生。就好像渔夫懂得暴风雨要来临一样,黑客也有这样的预感,当时他就是这样的感觉。当然这种感觉并非没有道理,而是根据很多的线索感知出来的。破壳爆发的时候,国外的漏洞库 CVE 有一个比较专业的评价,他们有一个平衡的标准,心脏出血定义是 5 分,破壳漏洞是 10 分,顶级的。心脏出血是心脏出了血,破壳是“壳”破掉了,这都比较形象。因为它影响的是 Bash,翻成中文就是“壳”。这几个漏洞都比较有代表性。这些漏洞的问题在于这个 Bash,它在 Linux 世界存在了 25 年之久,这个漏洞也存在了 25 年,是史诗级的。虽然不能说全球所有的 Linux 都受影响,但基本上都受影响了。这时候就要去证明这个东西,像心脏出血,第一天看出 240 多万出问题,破壳一天有多少?通过研究发现探测的方式很复杂,不像心脏出血,针对它的服务器发几个包就可以知道情况。破壳不一样,在网络上,不同的设备、组件,所使用的 Bash 方式不太一样。破壳既可以远程也可以本地。远程方式比较复杂,需要 CGI 作为一个入口,并且这个 CGI 与 Bash 命令进行了交互,这时需要根据不同的设备,针对性地添加探测规则。但是一旦探测成功,就可以轻易入侵,在实测中发现几乎所有设备都用 root 权限启用这个 CGI,导致可以完全控制服务器权限。这些量级,多则几十万,少则几千。这个事情对整个业内的影响非常之大。
索尼影业被黑
11 月 27 日,索尼公司被黑客攻击内网之后,宣布旗下 5 部电影遭到了泄密。这并不是一部影片遭遇泄密,而是大面积的泄密事件,足以引起绝对的重视。这次的事件全球的报道还是比较多的,各种花边的消息,各种说法都会有。据余弦透漏,索尼以前也出现过这样的问题,以前也得罪了黑客。现在又出现这样的问题,这个问题出现的还比较明显,有人告诉他是谁来黑他们了,他们这才发现,然后 FBI 进来调查,调查之后查到可能和朝鲜有关系。朝鲜前段时间因为这件事全国断网之类的,引起很多人的联想。当时八卦是说索尼那边有一个电影叫《刺杀金正恩》,惹怒了黑客,所以发生了这件事。而且这个可能还和内鬼有关,内外结合才会黑得这么透彻,还放出了很多索尼的内部资料,好几十 G,都可以下载。这就变得特别特别复杂、特别乱。背后牵涉到一些国与国之间政治上的东西,渐渐到经济上的一些影响、舆论上的东西。像索尼这么大的公司都会被黑客攻击,何况一些小公司呢?安全问题要尤为重视。
12306 遭撞库攻击
12 月 24 日,漏洞报告平台乌云网出现了一则关于中国铁路购票网站 12306 的漏洞报告,危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。据悉,此漏洞将有可能导致所有注册了 12306 用户的账号、明文密码、身份证、邮箱等敏感信息泄露。对此,余弦认为:“12306,这本来就是一个很具有争议性的网站,尤其是在技术上。因为它和老百姓的生活息息相关,一旦出问题,当然是‘风口浪尖’,被各路黑客盯上也是很正常的事情。作为一个安全研究的团队,首先要想到一个好的思路,如何给出一个最佳、最严谨的真相?虽然很多人恨 12306、骂 12306,但是这个错误确实不是他们的。当 12306 的这个事情爆出来时,知道创宇安全团队很快开始做分析,经过很多的推敲,比如要随机调查、分析、审核,认为没有太多问题时,再对外发声,整个过程中团队的配合非常默契。”
对于这被泄露的 131653 条记录,当时有几种猜测,一种是撞库,还有是拖库,还有是用了第三方的插件(刷票)。从直觉来看,余弦认为是撞库出来的,然后去印证。如果是撞出来的,通过账号密码、身份证能体现出来。当登陆 12306 网站测试时,发现身份证等相关资料都是明文的,说明这个撞库的程序自动化是可以实现的。而且可以找到撞库的接口,通过这个接口,不需要验证码之类的,可以很方便的去刷。这些既然可以办到,那就说明撞库的可能性比较大。如果是撞库,那么哪些库可以作为依据来撞?于是将历史上泄露的一些库拿出来对比,发现相似度极高,大概有这样的一个依据。网上广为流传是由于第三方插件带来安全隐患,对于这一说法。余弦团队也进行了验证。他们从泄露的账号中找到几个和 QQ 号有关的,去添加测试。追踪是否使用第三方插件刷票的问题时,得到的答案都是否定的,那么可以排除通过第三方插件的可能性。对比之下得出了撞库这个结论。第二天 12306 的新闻就出来了,此次攻击确实是因撞库引起的。年关将至,爆出这么一出,用户也真是醉了呀!
总结
以上只是 2014 年我们所认为影响比较大的网络攻击事件,实际上这还只是冰山一角,余弦认为,未来的网络空间将出现更多错综复杂网络袭击。比如说“工业控制”,尤其在国内,工业控制可以看作是民生的一个基础,水利、电力、石油、管道、燃气、交通、航天、化工、能源等全部都是工控。另外物联网、可穿戴设备、医疗设备等,这些都会在 2015 年爆发出来,安全伴随着不同的实体,这些实体在发展,安全同时也会发展起来。和人民的基础设备有关系的,一旦出问题了,带来的影响就不仅仅是数据丢失那么简单了,可能还会涉及到人身安全问题,迟早会有一篇新闻报道说,黑客控制什么什么,导致多少多少人死亡,这个也许会发生在 2015 年以后的某一年。
这么多安全事件引爆,都是黑客攻来攻去。所有这些事件的发生都和互联网的网络空间息息相关。这个网络空间如同人的大脑,网络空间里每一个终端的背后都是一个人,这个人给终端输入相关的指令,人的思维影响着终端的行为,终端的行为在整个网络空间传播,然后被存储下来。每一个终端都是一个节点,一个点一个点串起来,最终形成一个非常智慧的“大脑”,有存储、有记忆、有思维流通。它是群体构成的,不会依赖于个人的意志力去改变。哪怕有再多可怕的事件发生,这都没关系。整个行业一直往前发展,人类的智慧力量无穷。一个黑客再邪恶、再凶狠,这个大脑都是可以治愈的。有受伤,治愈就 OK。未来还有很长的路要走,虽然压力无穷,但是正能量满满。
评论