红帽白皮书新鲜出炉!点击获取,让你的云战略更胜一筹! 了解详情
写点什么

解读 2014 之安全篇:史诗级漏洞频发

  • 2015-01-27
  • 本文字数:3864 字

    阅读完需:约 13 分钟

编者按

2014 年,整个 IT 领域发生了许多深刻而又复杂的变化,InfoQ 策划了“解读2014 ”年终技术盘点系列文章,希望能够给读者清晰地梳理出技术领域在这一年的发展变化,回顾过去,继续前行。本篇是解读系列的又一新作,互联网安全事件剖析,知道创宇技术副总裁余弦鼎力加盟话安全。

正文

初识余弦是在半年前,平时沟通算不上多,直到 QCon 上海 2014 大会时,我们才渐渐熟识。他作为隐私安全专场的讲师,带来了主题为《程序员与黑客》的演讲,制造了一场惊心动魄的思维PK,俘虏了众多“程黑”粉。这位看上去安静的美男子有着一颗并不安分的心,对这个世界充满好奇,最擅长的黑客攻防,在他的黑客生涯中发现过众多安全漏洞,实战经验极其丰富,经由他编写的《 Web 前端黑客技术揭秘》一书也十分畅销。

2014 年是互联网严重漏洞集中爆发的一年,如 OpenSSL 的心脏出血(Heartbleed)漏洞、Bash 破壳(Shellshock)漏洞、Windows 的一些 0Day 漏洞等,受影响的企业、网站、硬件设备等范围很广。这一年对余弦来说也是不平凡的一年,他亲身参与了携程信用卡盗刷、心脏出血、破壳漏洞、12306 撞库等大事件的一线支撑。本文以时间为主轴,将这些事件串联起来,带大家回顾一下安全领域发生的几件大事儿。

携程信用卡泄露门

2014 年 3 月 22 日,中国在线旅游巨头携程公司被爆出“支付漏洞”,用户信用卡信息有可能被黑客读取,一时间引起成千上万用户的担心,纷纷打听是不是要更换信用卡。余弦认为这只是部分媒体对此事件的报道过分夸大,造成闹剧化趋势,事实上并没有那么可怕。关于漏洞产生的原因,余弦解释到:“按理说一个金融支付类的网站,应该遵守 PCI DSS(支付卡行业数据安全标准),这个标准体系里面有严格的规定,安全要怎么做?不能存,不能记录。如果记录了没有被曝光也许没事,但是被曝光出来了,又和人的财产相关,所以引起的动荡面还是很大的。当然,携程也迅速应急这件事,当一个企业成为舆论焦点的时候,携程做得比较好的是他承认了这件事,而且会改进这件事,并且去理赔,还是尽到了应尽的责任。”

OpenSSL 心脏出血

2014 年 4 月 7 日,OpenSSL 发布了安全公告,在 OpenSSL1.0.1 版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed 模块存在一个 BUG,问题存在于 ssl/dl_both.c 文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致 memcpy 函数把 SSLv3 记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的 OpenSSL 服务器内存中多达 64K 的数据。每次可以读取 64K,循环去读,基本可以把这个机器内存里面保留的东西全部读出来。有很多用户名、密码,包括用户登陆的操作,收发邮件等私密明文信息。

余弦谈到 4 月 8 号开始,他们团队就开始应急,给国家包括很多媒体做了一线的支撑。大概 6 个小时后,了解到全球有 240 多万服务器受影响,覆盖面包括了使用 HTTPS 这样的安全网站,还有一些安全邮件的传输,还有 VPN 等。从全球来看,这个应急速度是非常快的,通过微博、微信等方式的传输,全球很多黑客都在行动,各种刷数据。总体来说,这次事件是整个中国安全应急的一次胜利。

Bash 破壳(Shellshock)漏洞

9 月 25 号,继“心脏出血”漏洞之后,安全研究专家又发现了一个危险级别为“毁灭级”的漏洞——Shellshock 漏洞。这项漏洞的威胁程度堪比“心脏流血”,甚至影响更大。一方面是因为 Shellshock 所影响的 Bash 软件,同样被广泛应用于各类网络服务器以及其他电脑设备。另一方面,Shellshock 本身的破坏力却更大,因为黑客可以借此完全控制被感染的机器。

回忆起当时的情景,余弦不禁感叹道:“又是一个不眠夜!”。这种世界级的漏洞,很有可能半年之后又会发生。就好像渔夫懂得暴风雨要来临一样,黑客也有这样的预感,当时他就是这样的感觉。当然这种感觉并非没有道理,而是根据很多的线索感知出来的。破壳爆发的时候,国外的漏洞库 CVE 有一个比较专业的评价,他们有一个平衡的标准,心脏出血定义是 5 分,破壳漏洞是 10 分,顶级的。心脏出血是心脏出了血,破壳是“壳”破掉了,这都比较形象。因为它影响的是 Bash,翻成中文就是“壳”。这几个漏洞都比较有代表性。这些漏洞的问题在于这个 Bash,它在 Linux 世界存在了 25 年之久,这个漏洞也存在了 25 年,是史诗级的。虽然不能说全球所有的 Linux 都受影响,但基本上都受影响了。这时候就要去证明这个东西,像心脏出血,第一天看出 240 多万出问题,破壳一天有多少?通过研究发现探测的方式很复杂,不像心脏出血,针对它的服务器发几个包就可以知道情况。破壳不一样,在网络上,不同的设备、组件,所使用的 Bash 方式不太一样。破壳既可以远程也可以本地。远程方式比较复杂,需要 CGI 作为一个入口,并且这个 CGI 与 Bash 命令进行了交互,这时需要根据不同的设备,针对性地添加探测规则。但是一旦探测成功,就可以轻易入侵,在实测中发现几乎所有设备都用 root 权限启用这个 CGI,导致可以完全控制服务器权限。这些量级,多则几十万,少则几千。这个事情对整个业内的影响非常之大。

索尼影业被黑

11 月 27 日,索尼公司被黑客攻击内网之后,宣布旗下 5 部电影遭到了泄密。这并不是一部影片遭遇泄密,而是大面积的泄密事件,足以引起绝对的重视。这次的事件全球的报道还是比较多的,各种花边的消息,各种说法都会有。据余弦透漏,索尼以前也出现过这样的问题,以前也得罪了黑客。现在又出现这样的问题,这个问题出现的还比较明显,有人告诉他是谁来黑他们了,他们这才发现,然后 FBI 进来调查,调查之后查到可能和朝鲜有关系。朝鲜前段时间因为这件事全国断网之类的,引起很多人的联想。当时八卦是说索尼那边有一个电影叫《刺杀金正恩》,惹怒了黑客,所以发生了这件事。而且这个可能还和内鬼有关,内外结合才会黑得这么透彻,还放出了很多索尼的内部资料,好几十 G,都可以下载。这就变得特别特别复杂、特别乱。背后牵涉到一些国与国之间政治上的东西,渐渐到经济上的一些影响、舆论上的东西。像索尼这么大的公司都会被黑客攻击,何况一些小公司呢?安全问题要尤为重视。

12306 遭撞库攻击

12 月 24 日,漏洞报告平台乌云网出现了一则关于中国铁路购票网站 12306 的漏洞报告,危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。据悉,此漏洞将有可能导致所有注册了 12306 用户的账号、明文密码、身份证、邮箱等敏感信息泄露。对此,余弦认为:“12306,这本来就是一个很具有争议性的网站,尤其是在技术上。因为它和老百姓的生活息息相关,一旦出问题,当然是‘风口浪尖’,被各路黑客盯上也是很正常的事情。作为一个安全研究的团队,首先要想到一个好的思路,如何给出一个最佳、最严谨的真相?虽然很多人恨 12306、骂 12306,但是这个错误确实不是他们的。当 12306 的这个事情爆出来时,知道创宇安全团队很快开始做分析,经过很多的推敲,比如要随机调查、分析、审核,认为没有太多问题时,再对外发声,整个过程中团队的配合非常默契。”

对于这被泄露的 131653 条记录,当时有几种猜测,一种是撞库,还有是拖库,还有是用了第三方的插件(刷票)。从直觉来看,余弦认为是撞库出来的,然后去印证。如果是撞出来的,通过账号密码、身份证能体现出来。当登陆 12306 网站测试时,发现身份证等相关资料都是明文的,说明这个撞库的程序自动化是可以实现的。而且可以找到撞库的接口,通过这个接口,不需要验证码之类的,可以很方便的去刷。这些既然可以办到,那就说明撞库的可能性比较大。如果是撞库,那么哪些库可以作为依据来撞?于是将历史上泄露的一些库拿出来对比,发现相似度极高,大概有这样的一个依据。网上广为流传是由于第三方插件带来安全隐患,对于这一说法。余弦团队也进行了验证。他们从泄露的账号中找到几个和 QQ 号有关的,去添加测试。追踪是否使用第三方插件刷票的问题时,得到的答案都是否定的,那么可以排除通过第三方插件的可能性。对比之下得出了撞库这个结论。第二天 12306 的新闻就出来了,此次攻击确实是因撞库引起的。年关将至,爆出这么一出,用户也真是醉了呀!

总结

以上只是 2014 年我们所认为影响比较大的网络攻击事件,实际上这还只是冰山一角,余弦认为,未来的网络空间将出现更多错综复杂网络袭击。比如说“工业控制”,尤其在国内,工业控制可以看作是民生的一个基础,水利、电力、石油、管道、燃气、交通、航天、化工、能源等全部都是工控。另外物联网、可穿戴设备、医疗设备等,这些都会在 2015 年爆发出来,安全伴随着不同的实体,这些实体在发展,安全同时也会发展起来。和人民的基础设备有关系的,一旦出问题了,带来的影响就不仅仅是数据丢失那么简单了,可能还会涉及到人身安全问题,迟早会有一篇新闻报道说,黑客控制什么什么,导致多少多少人死亡,这个也许会发生在 2015 年以后的某一年。

这么多安全事件引爆,都是黑客攻来攻去。所有这些事件的发生都和互联网的网络空间息息相关。这个网络空间如同人的大脑,网络空间里每一个终端的背后都是一个人,这个人给终端输入相关的指令,人的思维影响着终端的行为,终端的行为在整个网络空间传播,然后被存储下来。每一个终端都是一个节点,一个点一个点串起来,最终形成一个非常智慧的“大脑”,有存储、有记忆、有思维流通。它是群体构成的,不会依赖于个人的意志力去改变。哪怕有再多可怕的事件发生,这都没关系。整个行业一直往前发展,人类的智慧力量无穷。一个黑客再邪恶、再凶狠,这个大脑都是可以治愈的。有受伤,治愈就 OK。未来还有很长的路要走,虽然压力无穷,但是正能量满满。

2015-01-27 22:452314
用户头像
Kitty 极客邦科技会议主编

发布了 27 篇内容, 共 11.9 次阅读, 收获喜欢 40 次。

关注

评论

发布
暂无评论
发现更多内容

比特币:21世纪的终极离岸银行

CECBC

比特币

为智能世界“高”歌:HEIGHT,五种风景,一个答案

脑极体

寻找被遗忘的勇气(二十五)

Changing Lin

3月日更

Wireshark数据包分析学习笔记Day22

穿过生命散发芬芳

Wireshark 数据包分析 3月日更

设计与思考,关于资源和生命周期(二)

程序员架构进阶

设计实践 生命周期 28天写作 3月日更 池化技术

使用组件的细节点

小小

作为后端开发人员应该懂的TCP、HTTP、Socket、Socket连接池,一文详解丨Linux后端开发

Linux服务器开发

TCP 后端 socket HTTP Linux服务器开发

常见Http响应码

风翱

3月日更 http响应码

你不知道的 Proxy

阿宝哥

JavaScript Proxy web api

聊一聊 Vue 3 双向绑定是如何工作的

阿宝哥

Vue Vue 3

9种常用便捷的Java异常处理方法,帮你脱身繁琐

北游学Java

Java 异常 异常检测 异常处理

JVM疑难情况分析

秋天

jvm调优

发展数字经济要因地制宜

CECBC

数字经济

这个 29.7 K 的剪贴板 JS 库有点东西!

阿宝哥

JavaScript 开源 源码解析

盘点数字人民币试点地区 哪里既可申请开通又能领红包?

CECBC

数字人民币

坚持输出文字

lenka

3月日更

Python OpenCV 图像缩放 cv2.resize 方法

梦想橡皮擦

3月日更

为什么很多工程师不了解Serverless

云原生

Serverless 云原生 Knative

搭建博客可能会用到的 Git 命令|学习笔记

彭宏豪95

学习 极客时间 笔记

2021最新整理Java面试合集(1000道附答案解析)

比伯

Java 编程 架构 面试 程序人生

Redis - 替换策略:LRU和LFU

insight

redis 3月日更

管理者如何应对员工离职

石云升

离职 28天写作 职场经验 管理经验 3月日更

Java后端开发面试题之MySQL上篇(含答案)

北游学Java

Java MySQL 面试

架构师训练营第一课学习笔记

杰语

百度AI人才培养课程0元报名倒计时

百度大脑

百度 AI 飞桨

JSP中Vue.js的使用受限

空城机

vue.js 大前端 jsp

区块链重新定义支付结算,让行业更便捷高效

CECBC

移动支付

简单粗暴实现深色模式

小小

深色模式

第七次作业

秦挺

Service Mesh框架选型对比分析:Linkerd、Envoy、Istio、Conduit

xcbeyond

Service Mesh 服务网格 3月日更

rmtc交易所系统开发平台丨rmtc交易所源码设计

系统开发咨询1357O98O718

解读2014之安全篇:史诗级漏洞频发_安全_Kitty_InfoQ精选文章