写点什么

解读 2014 之安全篇:史诗级漏洞频发

  • 2015-01-27
  • 本文字数:3864 字

    阅读完需:约 13 分钟

编者按

2014 年,整个 IT 领域发生了许多深刻而又复杂的变化,InfoQ 策划了“解读2014 ”年终技术盘点系列文章,希望能够给读者清晰地梳理出技术领域在这一年的发展变化,回顾过去,继续前行。本篇是解读系列的又一新作,互联网安全事件剖析,知道创宇技术副总裁余弦鼎力加盟话安全。

正文

初识余弦是在半年前,平时沟通算不上多,直到 QCon 上海 2014 大会时,我们才渐渐熟识。他作为隐私安全专场的讲师,带来了主题为《程序员与黑客》的演讲,制造了一场惊心动魄的思维PK,俘虏了众多“程黑”粉。这位看上去安静的美男子有着一颗并不安分的心,对这个世界充满好奇,最擅长的黑客攻防,在他的黑客生涯中发现过众多安全漏洞,实战经验极其丰富,经由他编写的《 Web 前端黑客技术揭秘》一书也十分畅销。

2014 年是互联网严重漏洞集中爆发的一年,如 OpenSSL 的心脏出血(Heartbleed)漏洞、Bash 破壳(Shellshock)漏洞、Windows 的一些 0Day 漏洞等,受影响的企业、网站、硬件设备等范围很广。这一年对余弦来说也是不平凡的一年,他亲身参与了携程信用卡盗刷、心脏出血、破壳漏洞、12306 撞库等大事件的一线支撑。本文以时间为主轴,将这些事件串联起来,带大家回顾一下安全领域发生的几件大事儿。

携程信用卡泄露门

2014 年 3 月 22 日,中国在线旅游巨头携程公司被爆出“支付漏洞”,用户信用卡信息有可能被黑客读取,一时间引起成千上万用户的担心,纷纷打听是不是要更换信用卡。余弦认为这只是部分媒体对此事件的报道过分夸大,造成闹剧化趋势,事实上并没有那么可怕。关于漏洞产生的原因,余弦解释到:“按理说一个金融支付类的网站,应该遵守 PCI DSS(支付卡行业数据安全标准),这个标准体系里面有严格的规定,安全要怎么做?不能存,不能记录。如果记录了没有被曝光也许没事,但是被曝光出来了,又和人的财产相关,所以引起的动荡面还是很大的。当然,携程也迅速应急这件事,当一个企业成为舆论焦点的时候,携程做得比较好的是他承认了这件事,而且会改进这件事,并且去理赔,还是尽到了应尽的责任。”

OpenSSL 心脏出血

2014 年 4 月 7 日,OpenSSL 发布了安全公告,在 OpenSSL1.0.1 版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed 模块存在一个 BUG,问题存在于 ssl/dl_both.c 文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致 memcpy 函数把 SSLv3 记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的 OpenSSL 服务器内存中多达 64K 的数据。每次可以读取 64K,循环去读,基本可以把这个机器内存里面保留的东西全部读出来。有很多用户名、密码,包括用户登陆的操作,收发邮件等私密明文信息。

余弦谈到 4 月 8 号开始,他们团队就开始应急,给国家包括很多媒体做了一线的支撑。大概 6 个小时后,了解到全球有 240 多万服务器受影响,覆盖面包括了使用 HTTPS 这样的安全网站,还有一些安全邮件的传输,还有 VPN 等。从全球来看,这个应急速度是非常快的,通过微博、微信等方式的传输,全球很多黑客都在行动,各种刷数据。总体来说,这次事件是整个中国安全应急的一次胜利。

Bash 破壳(Shellshock)漏洞

9 月 25 号,继“心脏出血”漏洞之后,安全研究专家又发现了一个危险级别为“毁灭级”的漏洞——Shellshock 漏洞。这项漏洞的威胁程度堪比“心脏流血”,甚至影响更大。一方面是因为 Shellshock 所影响的 Bash 软件,同样被广泛应用于各类网络服务器以及其他电脑设备。另一方面,Shellshock 本身的破坏力却更大,因为黑客可以借此完全控制被感染的机器。

回忆起当时的情景,余弦不禁感叹道:“又是一个不眠夜!”。这种世界级的漏洞,很有可能半年之后又会发生。就好像渔夫懂得暴风雨要来临一样,黑客也有这样的预感,当时他就是这样的感觉。当然这种感觉并非没有道理,而是根据很多的线索感知出来的。破壳爆发的时候,国外的漏洞库 CVE 有一个比较专业的评价,他们有一个平衡的标准,心脏出血定义是 5 分,破壳漏洞是 10 分,顶级的。心脏出血是心脏出了血,破壳是“壳”破掉了,这都比较形象。因为它影响的是 Bash,翻成中文就是“壳”。这几个漏洞都比较有代表性。这些漏洞的问题在于这个 Bash,它在 Linux 世界存在了 25 年之久,这个漏洞也存在了 25 年,是史诗级的。虽然不能说全球所有的 Linux 都受影响,但基本上都受影响了。这时候就要去证明这个东西,像心脏出血,第一天看出 240 多万出问题,破壳一天有多少?通过研究发现探测的方式很复杂,不像心脏出血,针对它的服务器发几个包就可以知道情况。破壳不一样,在网络上,不同的设备、组件,所使用的 Bash 方式不太一样。破壳既可以远程也可以本地。远程方式比较复杂,需要 CGI 作为一个入口,并且这个 CGI 与 Bash 命令进行了交互,这时需要根据不同的设备,针对性地添加探测规则。但是一旦探测成功,就可以轻易入侵,在实测中发现几乎所有设备都用 root 权限启用这个 CGI,导致可以完全控制服务器权限。这些量级,多则几十万,少则几千。这个事情对整个业内的影响非常之大。

索尼影业被黑

11 月 27 日,索尼公司被黑客攻击内网之后,宣布旗下 5 部电影遭到了泄密。这并不是一部影片遭遇泄密,而是大面积的泄密事件,足以引起绝对的重视。这次的事件全球的报道还是比较多的,各种花边的消息,各种说法都会有。据余弦透漏,索尼以前也出现过这样的问题,以前也得罪了黑客。现在又出现这样的问题,这个问题出现的还比较明显,有人告诉他是谁来黑他们了,他们这才发现,然后 FBI 进来调查,调查之后查到可能和朝鲜有关系。朝鲜前段时间因为这件事全国断网之类的,引起很多人的联想。当时八卦是说索尼那边有一个电影叫《刺杀金正恩》,惹怒了黑客,所以发生了这件事。而且这个可能还和内鬼有关,内外结合才会黑得这么透彻,还放出了很多索尼的内部资料,好几十 G,都可以下载。这就变得特别特别复杂、特别乱。背后牵涉到一些国与国之间政治上的东西,渐渐到经济上的一些影响、舆论上的东西。像索尼这么大的公司都会被黑客攻击,何况一些小公司呢?安全问题要尤为重视。

12306 遭撞库攻击

12 月 24 日,漏洞报告平台乌云网出现了一则关于中国铁路购票网站 12306 的漏洞报告,危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。据悉,此漏洞将有可能导致所有注册了 12306 用户的账号、明文密码、身份证、邮箱等敏感信息泄露。对此,余弦认为:“12306,这本来就是一个很具有争议性的网站,尤其是在技术上。因为它和老百姓的生活息息相关,一旦出问题,当然是‘风口浪尖’,被各路黑客盯上也是很正常的事情。作为一个安全研究的团队,首先要想到一个好的思路,如何给出一个最佳、最严谨的真相?虽然很多人恨 12306、骂 12306,但是这个错误确实不是他们的。当 12306 的这个事情爆出来时,知道创宇安全团队很快开始做分析,经过很多的推敲,比如要随机调查、分析、审核,认为没有太多问题时,再对外发声,整个过程中团队的配合非常默契。”

对于这被泄露的 131653 条记录,当时有几种猜测,一种是撞库,还有是拖库,还有是用了第三方的插件(刷票)。从直觉来看,余弦认为是撞库出来的,然后去印证。如果是撞出来的,通过账号密码、身份证能体现出来。当登陆 12306 网站测试时,发现身份证等相关资料都是明文的,说明这个撞库的程序自动化是可以实现的。而且可以找到撞库的接口,通过这个接口,不需要验证码之类的,可以很方便的去刷。这些既然可以办到,那就说明撞库的可能性比较大。如果是撞库,那么哪些库可以作为依据来撞?于是将历史上泄露的一些库拿出来对比,发现相似度极高,大概有这样的一个依据。网上广为流传是由于第三方插件带来安全隐患,对于这一说法。余弦团队也进行了验证。他们从泄露的账号中找到几个和 QQ 号有关的,去添加测试。追踪是否使用第三方插件刷票的问题时,得到的答案都是否定的,那么可以排除通过第三方插件的可能性。对比之下得出了撞库这个结论。第二天 12306 的新闻就出来了,此次攻击确实是因撞库引起的。年关将至,爆出这么一出,用户也真是醉了呀!

总结

以上只是 2014 年我们所认为影响比较大的网络攻击事件,实际上这还只是冰山一角,余弦认为,未来的网络空间将出现更多错综复杂网络袭击。比如说“工业控制”,尤其在国内,工业控制可以看作是民生的一个基础,水利、电力、石油、管道、燃气、交通、航天、化工、能源等全部都是工控。另外物联网、可穿戴设备、医疗设备等,这些都会在 2015 年爆发出来,安全伴随着不同的实体,这些实体在发展,安全同时也会发展起来。和人民的基础设备有关系的,一旦出问题了,带来的影响就不仅仅是数据丢失那么简单了,可能还会涉及到人身安全问题,迟早会有一篇新闻报道说,黑客控制什么什么,导致多少多少人死亡,这个也许会发生在 2015 年以后的某一年。

这么多安全事件引爆,都是黑客攻来攻去。所有这些事件的发生都和互联网的网络空间息息相关。这个网络空间如同人的大脑,网络空间里每一个终端的背后都是一个人,这个人给终端输入相关的指令,人的思维影响着终端的行为,终端的行为在整个网络空间传播,然后被存储下来。每一个终端都是一个节点,一个点一个点串起来,最终形成一个非常智慧的“大脑”,有存储、有记忆、有思维流通。它是群体构成的,不会依赖于个人的意志力去改变。哪怕有再多可怕的事件发生,这都没关系。整个行业一直往前发展,人类的智慧力量无穷。一个黑客再邪恶、再凶狠,这个大脑都是可以治愈的。有受伤,治愈就 OK。未来还有很长的路要走,虽然压力无穷,但是正能量满满。

2015-01-27 22:452432
用户头像
Kitty 极客邦科技会议主编

发布了 36 篇内容, 共 20.5 次阅读, 收获喜欢 52 次。

关注

评论

发布
暂无评论
发现更多内容

天翼云CDN最佳实践

天翼云开发者社区

CDN

安全网关是啥什么东西?有什么优势?与堡垒机的区别是什么?

行云管家

网络安全 堡垒机 运维审计 安全网关 堡垒机防火墙

Google如何申请客户端ID并调试代码?

CRMEB

jackson学习之一:基本信息

程序员欣宸

4月月更

Go 1.18 新特性:多模块工作区模式

华为云开发者联盟

Go 指令 go 1.18 多模块工作区 工作区

如何有效的对云专线进行测速

天翼云开发者社区

网络

龙蜥社区第七次运营委员会会议顺利召开

OpenAnolis小助手

开源社区 龙蜥社区 理事单位 运营委员会

三高Mysql - Mysql索引和查询优化(偏实战部分)

懒时小窝

MySQL

实例带你掌握如何分解条件表达式

华为云开发者联盟

代码 函数 条件表达式 条件分支 条件逻辑

到底为什么你我都要了解社会工程学

图灵教育

黑客 社会工程 社会科学

巧用天翼云盘备份云主机数据

天翼云开发者社区

云主机 云存储

Masa Blazor in Blazor Day

MASA技术团队

C# .net 微软

小区自助洗车机赚钱吗?想投几台

共享电单车厂家

自助洗车加盟 投资自助洗车机 自助洗车投资费用 自助洗车是否赚钱

netty系列之:netty中的核心编码器base64

程序那些事

Java Netty 程序那些事 4月月更

DapuStor大普微电子加入PolarDB开源数据库社区

阿里云数据库开源

数据库 阿里云 开源数据库 polarDB

谈谈Java8-18引入的新特性

CRMEB

投资自助洗车机要多少钱?看情况

共享电单车厂家

自助洗车加盟 投资自助洗车机 自助洗车机要多少钱

使用APICloud AVM框架封装app日历组件

YonBuilder低代码开发平台

前端开发 APP开发 APICloud 多端开发 avm.js

自助洗车机厂家如何选?要注意什么

共享电单车厂家

自助洗车机多少钱 自助洗车加盟 自助洗车机厂家

「技术人生」专栏作者来直播间啦!欢迎来提问

阿里巴巴中间件

阿里云 云原生 中间件 技术人生 一号位

解析天翼云IPsec VPN和SSL VPN的区别

天翼云开发者社区

vpn

如何利用MHA+ProxySQL实现读写分离和负载均衡

华为云开发者联盟

MySQL 读写分离 高可用架构 ProxySQL MHA

自动搭建Maven私有仓库,不限容量、免费用

阿里云云效

maven 阿里云 云原生 Maven仓库 制品仓库

天翼云云主机快照、云硬盘备份、云主机备份之间的区别

天翼云开发者社区

云主机 云备份

【等保】等级保护定级对象只定信息系统吗?还是说定单位?

行云管家

网络安全 等保 等级保护 等保2.0

10元自助洗车机器多少钱一台?

共享电单车厂家

自助洗车机价格 10元自助洗车机器 自助洗车机器多少钱

自助洗车机设备一台多少钱划算

共享电单车厂家

自助洗车机多少钱 自助洗车机设备价格

智能运维时代,如何做好日志全生命周期管理

云智慧AIOps社区

日志 智能运维 日志管理

快来一起玩转LiteOS组件:Curl

华为云开发者联盟

LiteOS 文件传输 curl LiteOS组件 嵌入式设备

郑曌:从 ACM 世界冠军到技术 VP 的制胜之道

第四范式开发者社区

人工智能 数据库 编程 程序员 ACM

社交CRM系统解决方案

低代码小观

CRM 企业管理系统 社交软件 CRM系统 客户关系管理系统

解读2014之安全篇:史诗级漏洞频发_安全_Kitty_InfoQ精选文章