解读 2015 之安全篇:安全环境持续恶化

阅读数:2005 2016 年 1 月 19 日

话题:安全DevOps语言 & 开发架构文化 & 方法

编者按:去年我们策划了『解读 2014』系列文章,赢得了读者的赞誉。2015 年,整个 IT 技术领域发生了许多深刻而又复杂的变化,InfoQ 策划了『解读 2015』年终技术盘点系列文章,希望能够给读者清晰地梳理出技术领域在这一年的发展变化,回顾过去,继续前行。

2015 年 12 月 16 日,在乌云TangScan的发布会上,我跟邬迪说这一年安全领域变化很大,各路安全峰会从年初开到年尾,安全理念也从“气宗与剑宗”发展到了“南向与北向”,作为第三方平台乌云理应盘点一下 2015 年的变化。近日报告初成,可以看到过去的这一年在安全领域,安全事件有增无减;数据隐私泄漏更为严重;第三方平台开始出现严重的信任危急;企业员工安全意识薄弱令人触目惊心;而智能设备的不断涌现,万物互联使得本就脆弱的基础设施安全更加千疮百孔。

对于 IT 从业者

热点漏洞

0x00 打印机居然接入互联网

4 月 29 日,乌云平台报告了中国移动某省公司打印机未授权访问的漏洞。由于该公司网络部打印机接入互联网可直接外网访问,导致黑客可以通过该打印机下载曾经打印过的文档。作为企业来说,对于需要联网的办公设备,应该尽可能保证不对外开放,毕竟一切接入互联网的东西都是存在安全风险的,何况是存储着企业资料的打印机呢?

0x01 不可信的第三方

贷齐乐借贷系统出现多处注入漏洞,影响上百家 P2P 平台

8 月 8 日,乌云匿名白帽子路人甲报告了知名 P2P 系统贷齐乐存在多处 SQL 注入漏洞,可影响大量 P2P 网贷站点,并随手附上了 100+ 案例。据了解,贷齐乐公司是一家专业从事 P2P 网络借贷平台开发的战略性电子商务有限公司,目前全国百分之七十以上的借贷网站都是用贷齐乐系统搭建,当贷齐乐系统出现多处注入之后,上百家 P2P 平台都受到了漏洞影响。

Java 反序列化漏洞爆发,风头直逼当年的 Struts 2

11 月 6 日,国外 FoxGlove 安全研究团队在其博客上公开了一篇关于常见 Java 应用如何利用反序列化操作进行远程命令执行的文章,其中详细说明了 Java 中如何使用 Apache Commons Collections 这个常用库来构造 POP 链(类 ROP 链)来进行任意命令执行。从 11 月份 Java 反序列化漏洞爆发开始,2015 年的最后两个月里,乌云平台已经陆续收到白帽子报告的此类漏洞数量多达900+,这个数字还在继续增加,影响范围直逼当年的 Struts 2 漏洞。

Redis 后门植入

11 月 10 日,国外安全研究者的一份文档显示,Redis 在未进行有效验证,并且服务器对外开启了 SSH 服务的前提下,攻击者有可能恶意登录服务器甚至进行提权操作(root 权限)。通过与一些企业和机构的沟通,已经发现了大量扫描与自动化攻击痕迹。

乌云君说:从 2010 年乌云平台创立至今,已不断收到了包括Struts、Jboss、Weblogic、ElasticSearch、Redis、Java、短信平台等第三方软件或服务的相关漏洞,这些漏洞已影响了无数厂商。随着使用者数量的增多,第三方软件或服务的漏洞影响范围还在不断扩大。对于使用第三方软件或服务的企业,需要密切关注漏洞预警,及时打上相关补丁,做好防护工作,降低损失。

0x02 XCodeGhost 引发的信任危机

9 月 14 日,一例 XCode 非官方版本恶意代码污染事件逐步被关注,并成为社会热点事件。多数分析者将这一事件称为“XCodeGhost”。截止到 9 月 20 日就已确认共 692 种(如按版本号计算为 858 个)APP 曾受到污染,受影响的厂商中包括了微信、滴滴、网易云音乐等著名应用。(我能说“珍爱生命、远离国产”吗?

乌云君说:此次受到污染的 XCode 虽然是非官方渠道下载的,但开发者们却不约而同的默认了它的安全性与正规性,这也可以看出企业在开发流程方面的不规范。经由此次事件可以看出,开发流程的规范是必不可少的,开发直接接触企业与用户之间沟通的产品,用户体验不只是使用时的舒适感,更是使用时的安全和放心。

0x03 WormHole:比葫芦娃还可怕的百度“全家桶”漏洞

7 月 28 日,乌云收到了第一例“虫洞”漏洞报告,白帽子发现百度助手开启的某个奇怪的数据通讯端口提供了一系列的信息查询功能,分析后猜测这个功能应该是用作与百度统计进行一些用户信息的交互回调。同网络环境中的其他用户可以直接访问这个端口并获取用户敏感信息,后来白帽子又陆续有了新的发现,比如新的监听端口以及接口功能等。该漏洞属于通用性质,国内其他厂商 APP、SDK 也可能存在类似问题。

乌云君说:苹果 CEO 库克同志曾经说过,“你不应该给软件装后门因为你不能保证这个后门只有好人能够使用”。不论厂商由于何种缘故而在软件中添加后门,都是一种不可取的做法,一旦后门被不法分子利用,造成的后果不仅是让用户的敏感信息不保,更会伤害用户对于企业的信任,这实在是种得不偿失的做法。

0x04 当企业对自己所处领域的安全技术信息不对称时

9 月 6 日,乌云收到了白帽子提交的有关小米手环的漏洞,该漏洞可以使黑客通过使用 Lightblue 来控制手环狂震不止。漏洞是由于蓝牙可以用 BLE 读写工具在不匹配的过程中直接读写设备数据造成的。

乌云君说:在智能硬件这个新兴行业中,企业还处于对该行业技术的摸索与上升阶段,目前大多智能硬件都使用蓝牙作为设备连接的方式,不可否认这也是一种非常合适的技术。不过现在大部分设备都还停留在无认证无加密的链路默认模式,这是非常不靠谱的。

这个漏洞从侧面反映了智能硬件行业中,企业对于所使用的技术的安全性信息不对称,场景考虑不够全面。虽然企业可能有关于产品开发周期与成本的顾虑,但还是缺少了对于一些场景的思考,尽管智能硬件行业的攻防现在还属于很小众的话题,硬件的开发和存储空间对于开发也是一个挑战,但对于一家想要用心做好产品的企业来说,对于安全的敏感性和掌控性仍旧不可以丢失。

热点事件

0x00 企业安全中最脆弱的一环——人

9 月 25 日,苏宁易购 iOS 源代码被发现出现在 GitHub 上,导致大量敏感信息泄漏。这已经不是第一起“人为”的安全事故了。1 月 6 日,乌云平台发现大量将各类帐号密码公布在公告中的 QQ 群;6 月 13 日,白帽子提交的编号为 WooYun-2015-119843 的漏洞就是因为中国联通工号申请审核人员的安全意识薄弱而给了黑客可乘之机……一连串人为造成的安全隐患证明了每一个不起眼的个体都能成为安全环节中的致命点,企业安全中「全员」的安全意识也应成为重中之重。

0x01 被盯上的办公网环境

4 月 16 日白帽子提交了一个通过破解京东某办公分部的 WiFi 而成功漫游京东内网的漏洞(WooYun-2015-108465)。其实因为办公网 WiFi 密码泄漏而造成的黑客侵入内网事件不单单出现在京东,早在 2 月 14 日,就有白帽子连接“天河一号”某用户的企业办公 WLAN 后导致白帽子漫游“天河一号”;10 月 27 日,小米科技因为售后授权中心的办公网 wifi 密码被破解而使得白帽子成功进入售后系统……企业中很多重要设施或系统因为安全起见都被放在内网环境,但是当办公网密码被破解,内网还能安全吗?

0x02 企业员工的日常安全

1 月 14 日,TCL 某网站在迁移代码时把 Mac 的隐藏文件 DS _Store 搬了过去,导致目录结构泄漏,从而可以使黑客获取到工具扫不出来的后台管理页面以及数据库文件。现在大部分企业在开发架构时会选择使用 Mac,但 Mac 具有系统特殊性,在编辑文件时会自动生成隐藏文件 DS _Store ,该文件会包含很多网站敏感信息,成为网站安全性的致命点。安全在于细节,细节决定成败。

0x03 企业安全机制的根本设计导致安全问题

1 月 15 日,酷派由于短信服务配置不当导致酷派云所有用户信息泄漏,酷派云注册找回密码时的短信网关因为没有任何限制而可以直接访问,其中包含大量用户敏感信息。本来作为安全机制使用的“找回密码”由于根本设计上的风险而成为安全中的最大障碍,这总让人有种无限惋惜和难以置信的感觉。安全不仅要注意每一处微小的细节,更要从根本上就规避可能隐藏的安全风险,安全真的容不得一丝疏漏,谁知道哪处疏漏就能造成怎样的危害呢?


对于白帽子

热点漏洞

0x00 一切输入皆有风险

1 月 18 日乌云公开了一个通过微信公众号获取到了大量优酷内部员工敏感信息,并存在定向钓鱼风险的漏洞。由于后端开发时什么都没有过滤,所以只需要往优酷内部的某公众号发送注入语句,就能获取到大量内部用户信息,甚至还可以把数据 Dump 下来,让我们来幻想一下:如果把所有用户数据都拖了出来,然后解出几个密码,顺利登陆邮箱 VPN 啥的,会出现什么后果呢?另外,通过该公众号,白帽子还找到了该公众号的微信后台管理入口并利用弱口令成功登录,这一点可以被用来做什么样的钓鱼我们就不多说了。虽然是面向内部员工开放的公众号,但既然是公众号,那就要做好会被“公众”知晓的准备,后端开发怎么可以如此马虎呢?要记得:一切输入皆有风险。

0x01 万物互联之车联网的安全风险

听说我们现在正在逐渐步入「万物互联」的物联网时代,这其中会存在怎样的安全风险呢?3 月 30 日,乌云“著名白帽子”路人甲报告了一例有关比亚迪智能汽车的漏洞(WooYun-2015-104734),车联网也开始成为了黑客的攻击目标。该漏洞是由于在比亚迪云服务页面,浏览器发送 AJAX 请求判断手机号存在时,会返回车主包括姓名、车牌号、车架号、身份证号等个人敏感信息,利用此漏洞,可以遍历手机号段来获取车主信息和控制密码。这是最好的时代,也是最坏的时代,「万物互联」带来的不只是生活上的便利,似乎,还有些别的东西,你觉得呢?

0x02 安全设备真的可以成为我们的“保护神”吗?

你们买安全设备是为了什么?当然这是一个很傻的问题——买安全设备当然是为了保证安全啊!可是你有想过有一天你买的安全设备也可能带来安全问题吗?4 月 2 日,有白帽子提交了一个天融信应用交付系统源码泄漏的漏洞(WooYun-2015-105415),并且使用 CloudEye 直接黑盒测试,发现可以存在命令执行。在这个漏洞中,源码泄漏的方式非常有意思,就是在 php 页面的 url 后加了个「.」,就成功获取到了源代码,这让人有些哭笑不得。安全设备出现安全问题会让用户的第一道防线出现破绽,而其中封装的黑盒也会隐藏着很多难以察觉的不确定因素,更需认真对待。

0x03 可以被任意下载的离线文件

漏洞的影响范围往往取决于用户量的多少。9 月 25 日,腾讯 QQ 被报存在高危漏洞可以读取并下载任意用户离线文件,导致用户敏感信息泄漏(WooYun-2015-143395)。这个漏洞的实现手法非常简单,但影响范围还是比较可观的,毕竟 QQ 作为目前国人主要的社交聊天软件,用户群还是非常庞大的。那么问题来了,当你承载着那么庞大用户量的各类隐私时,怎么可以不做好服务端校验等安全小细节呢?

热点事件

0x00 Hacking Team 的“军火库”泄漏

7 月份,意大利一家专业向政府及执法机构贩售入侵与监视工具的意大利黑客公司 Hacking Team 被攻击,攻击者对公众发布了多达 400GB 的内部文件、源代码以及电子邮件供任意下载。攻击者黑掉了 Hacking Team 的 Twitter 账户,丑化了 Logo、简介,并且将获得的内部消息通过该公司的 Twitter 公布于众。

对此,乌云君只想说,夜路走多了总会遇见鬼的,声名狼藉的 Hacking Team 也会被黑。技术应该被用在正确的道路上,尊重民众的隐私,保护个人信息安全才是安全从业者们想要做和应该做的。

0x01 “无敌舰队”的 DDoS 勒索

11 月份,国外一支名为“Armada Collective”的黑客团队(即“无敌舰队”)利用 DDoS 攻击技术开始勒索企业,其中有很多值得国人警惕的地方。该团伙作案都是瞄准一些大目标,先发邮件勒索,然后会随时发起 1Tbps 流量的 DDoS 攻击。攻击先从国外开始,但从“无敌舰队”后来的邮件中可以看出他们已经对中国国内做了踩点分析。一直都说国外互联网目前遇到的问题,就是国内互联网未来要面对的。目前来看这进度快同步了,至少是互联网的阴暗面——网络勒索攻击已经开始试运行了。


对于普通用户

热点漏洞

0x00 智能硬件安全标准贫瘠

WooYun-2015-134839、WooYun-2015-143270、WooYun-2015-143181…

2015 年 9 月,乌云平台上一支白帽团队研究了市场上十余款畅销智能儿童手表,发现大半存在漏洞可远程定位、窃听孩子并匹配身份,甚至还能切断手表和父母手机的联系。为保障孩子安全而买的儿童手表,因其简陋的安全防范却变身成了不怀好意者的窃听利器。谁来监督智能硬件的安全性?

0x01 云端投毒

WooYun-2015-128592、WooYun-2015-139347

2015 年 7 月、9 月,乌云平台连续收到两个云端风险案例。7 月有白帽发现某广告屏蔽软件云端的屏蔽规则审核后台存在漏洞,可获得管理员权限,这款软件有数十万用户,任意一个规则出错都影响巨大;9 月另一白帽发现,某智能路由固件存储了一个远程服务器认证信息,登录后发现为该品牌所有路由的云端管理调试平台,可 ROOT 权限远程控制任意路由。当“云”成为趋势,厂商如何保障它的安全?

0x02 越狱插件窃密

WooYun-2015-136806

似乎只有惨痛教训,才能让大众对安全有所重视。2015 月 8 月,有白帽向乌云平台报告,发现多款越狱软件内置后门,会窃取用户 iCloud 账号密码及机密信息。白帽从窃密软件后台找到了 22 万 iCloud 账号密码,抽样测试发现多为有效账号,可直接登录。未知来源的软件可能不安全!再强调一百年也不为过。

热点事件

0x00 大麦 && 网易帐号泄漏事件

2015 年 8 月 26 日,乌云报告平台显示,大麦网再次被发现存在安全漏洞,600 余万用户账户密码遭到泄漏,有白帽子甚至发现,这些隐私数据已被黑产行业进行售卖与传播;10 月份,有网易邮箱用户在论坛和微博上反映自己的网易邮箱泄漏,一些用网易邮箱注册的第三方账户被盗。

2015 年的数据泄漏事件不仅让大众更加明白了数据的重要性,提高了对于数据的安全意识,也让民众知道了「脱库」和「撞库」两个安全名词。

「脱库」和「撞库」是具有本质区别的,前者是黑客具有主动权,泄漏的数据也更完整,危害当然也更大;后者黑客是被动的,能否撞到数据全凭运气以及网民的安全意识,危害当然相对而言较小。

小结

如果说 2014 年是史诗级漏洞频发的一年,2015 年则是安全环境持续恶化的一年。我们看到广大企业并没有平衡业务与安全的关系,甚至为了业务而牺牲安全。尽管一再有血的教训,但麻木的大众对频发的安全事件越来越冷漠,IT 从业者的安全意识依旧令人担忧。在接下来的一年里,这一现状能否有所改善,恐怕还需要企业、白帽子以及社会大众的共同努力。


感谢魏星对本文的审校。

给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群(已满),InfoQ 读者交流群(#2))。