黑哥谈应用安全:技术的进步就是为了解决矛盾

  • 王文文

2014 年 2 月 23 日

话题:安全QConDevOps腾讯语言 & 开发

如果你是安全圈内或安全圈周边人士,或者如果你不懂安全但经常看道哥的黑板报,你应该知道黑哥。这里直接借用一下道哥在黑板报对黑哥的介绍:

黑哥真正的 id 是 superhei,熟悉他的人喜欢叫他黑哥,也有无聊者直译为“超级黑”、“素破黑”。在黑客的圈子里,有无数叫小黑或者黑哥的,但在资深黑客的眼中,只有一个黑哥,就是 superhei。黑哥真名周景平,目前是国内知名安全公司 — 知道创宇 — 的安全专家。

黑哥的故事在黑板报的那篇《中国黑客传说》中已经从圈内人的角度进行了相当广泛的描述,这里就不做搬运了。在下面的采访中,黑哥分享了他对当前 Web 程序漏洞、后门、用户体验和安全的矛盾、以及漏洞报告平台的一些观点。对黑哥研究的领域感兴趣的同学可以关注他的微博 @hi_heige,阅读他的博客,以及来 QCon 北京 2014 大会上听他的演讲并跟他交流:)

InfoQ:目前市面上有很多开源的 Web 程序可以给站长免费使用,但这些 Web 程序似乎都有补不完的漏洞及后门,您觉得这是什么原因导致的?

黑哥:这个问题提得好,我们先说说“漏洞”。我们安全联盟站长平台在以往就预警过大量 Web 程序的漏洞,去我们论坛查看我们预警过的记录,你会发现很多程序都是著名的开源程序,而且经常是刚刚被曝光一个漏洞,没多久又被曝漏洞,感觉有“补不完的漏洞”。

追其原因我认为主要是如下几个方面导致的:

i、开源市场的混乱:开源直接意味着这是一个开放的环境,任何人或者组织都可以加入进来,这直接导致程序员的水平参差不齐,对安全知识的缺乏,跟不用说自主发现并尽可能的避免安全问题出现了。

ii、官方对安全问题的漠视:“没有绝对的安全”,这个是安全界里的真理,所以有漏洞其实是没什么可怕的,真正可怕的是官方的冷漠态度:对报告的漏洞不承认、不修复,或者偷偷修复不发公告、不告知用户,还有对漏洞报告者不尊重——更加不要说起码的感谢了!

iii、Web 程序厂商缺少“高富帅”,对安全没有投入或者投入不足,这也导致了一个漏洞修复几次还修复不彻底(刚刚发布补丁就被绕过)、“见洞补洞(针对 POC 修复漏洞)”等情况大量存在。

我们再谈谈“后门”的情况,这个与“漏洞”的区分主要是:“漏洞”是开发过程中无意识导致的,而“后门”是主观意识下“有意为之”的产物。从我们的工作经验来看,后门问题也是一个非常严峻的问题,主要有几个方面:

i、官方后门:主要目的是方便调试,比如后台认证代码里使用固定硬编码的密码,还有的本来就是“恶意”目的留下的,比如某些电商类程序——尤其是团购、淘宝客等程序。

ii、黑客入侵后留下的后门:这个主要原因就是官方自身网站安全不到位。有一个普遍的问题:黑客发现某应用程序的漏洞后,发现官方 demo 或者本身就用这套程序,然后直接用发现的漏洞入侵官方后,篡改提供下载的文件包,在里面植入后门程序。

另外这里有必要强调一点,就是这些问题不是“开源”导致的,很多商业的闭源代码的问题可能更多,尤其是后门问题。因为对于安全研究者来说,开源代码都比较容易发现后门或者漏洞,也可以及时告知用户并可以推出临时补丁进行防御。而“闭源”的显然不行,所以一旦有漏洞或者后门,可能带来的危害就更大!

InfoQ:开源厂商里面是否有类似“内鬼”一样的角色在其中制造后门?如果有的话,您作为资深安全人员,您有没有什么好的建议给那些开源厂商?

黑哥:这里不应该针对“开源厂商”,所有的厂商都是一样的。目前来看这种“内鬼”还是可能存在的,当然了,很多事情是我们没办法去确认的,对于厂商来说这个是“家丑”。比如我们最近发现一个“案例”,对于用户来说没有啥“危害”,在这里可以提一下:

我们发现某个程序厂商的更新里,有几个默认链接被篡改了,如“CNZZ(http://www.cnzz.cn/,山寨的 CNZZ)”被修改为一个小说网链接。由于这样的手法以前在上面提到的黑客留“后门”的时也会顺带修改一个链接做恶意 SEO,所以我们当时就怀疑是不是被黑客入侵了,当我们联系官方后,他们给我们的答案就是他们自己人修改的!内部问题对于厂商来说可以通过一些管理手段来避免,比如对上线的程序修改要经过多名技术主管确认等。

InfoQ:外界盛传您是漏洞挖掘的高手,现在的 Web 漏洞还像以前那么容易挖吗?主要集中在哪几类(漏洞类型)?

黑哥:对于 Web 程序来说,相比过去还是有一些进步的,而这些改变主要体现在几个大的厂商。比如 Discuz!,在我的印象里他们是最早招聘安全研究人员进行代码审计的,有专业安全人员加入后,产品的安全性一下就提升不少。也就是说对于大型的程序,有安全投入的程序挖掘难度是越来越高的。不过前面我们提到的,由于整体环境的混乱,导致目前来说 Web 漏洞挖掘的难度整体上是不高的,有的程序你看一眼就是“满眼都是漏洞”!漏洞类型基本常见的比如代码执行、文件包含、上传漏洞、SQL 注入、XSS 都很常见。

而对于互联网在线服务来说,由于各个甲方都推出了自己的安全应急响应中心,及安全部门人才及设备等的投入,网站是越来越安全。我在参与 TSRC(腾讯安全应急响应中心)中就深有体会,他们会根据白帽子们报告的漏洞研究后来改进自己的扫描器,这样可以对一些新上线的服务上线前就进行漏洞扫描并修复漏洞。这样上线后,漏洞挖掘的门槛就高了。从 TSRC 公布的统计数据来看漏洞类型主要还是集中在 XSS/CSRF 等。

InfoQ:前一段时间 Github 似乎被黑客成功入侵了,您是否有关注这次入侵行为,能否跟大家介绍一下细节?Github 的安全系数在同类网站中算高的吗?

黑哥:对于这个事情还是有所了解的,不过这里用“入侵”这个词是不妥当的!应该说是“安全检测”,因为 Github 还给漏洞发现者提供了 USD $4,000 的奖励。具体细节漏洞发现者 Egor Homakov 已经写一篇文章并发布了,而且好像已经被翻译成中文了(编辑注:这篇《从“黑掉 Github”学 Web 安全开发》不完全是原文的翻译,而是 @左耳朵耗子 针对 Egor 的原文进行的复述和补充),有兴趣的朋友可以自己去看看。大体上是他利用了 Github 上 OAuth 的 5 个“bug”组合后完美实现了这一“入侵”,这个案例也说明了一个千古不变的道理:“千里之堤,溃于蚁穴”。另外说明在攻防粒度高度细化的时代,各种攻击漏洞组合成为突破防线的主要手段。这句话的另外一个意思就是:Github 的安全系数是比较高的。现在他们也加入到了“漏洞奖励计划”的大浪潮了,我相信在更多专业人士的帮助下,他们的网站会越来越安全!

InfoQ:您觉得用户体验和网站安全哪个更重要?如果网站的负责人非常在意用户体验,作为安全人员您建议如何与其沟通?

黑哥:又是一个非常好的问题,不过也是一个比较大的问题!如果要细说可能可以直接做一次演讲了。

这个问题不光是网站才有,对产品都有这个问题。说到底就是“业务”与“安全”的问题。终极的“用户体验”一直都是产品“业务”追求的目标,而往往在安全防御的问题上可能影响到这一目标。一个简单的例子:图片验证码主要是防御一些程序发起的恶意行为,毫无疑问这个也给“用户体验”带来了麻烦!那么怎么去衡量两者的关系呢?这个问题一直有争论,很多人都认为“安全”应该服从于“业务”,因为他们认为没有“业务”,那么“安全”也就没有意义了!

单看上去是没有破绽的,这里有一个比喻:“业务”比喻为“钱”,“安全”比喻为“保险箱”。在一个环境比较公开的场合,那么他们逻辑是“钱”都没有你就没有必要买“保险箱”了,我只是想说这样的人可能一辈子都只能是“屌丝”。换个角度,你的“钱”再多,如果你的“保险箱”连扫地的阿姨都能开……所以这个问题是没有绝对的答案的!

比较科学的方法,首先你得有“安全”意识,而不是一股脑的“脑残式”追求所谓的“用户体验”,而完全不顾安全问题。换个方式也可以说:“产品安全也是一种用户体验”!有了这种觉悟,然后你要根据你的资产,或者说用户资产去采用合适的安全保护方案。

不过在实际操作中,很可能出现一些特别针对性的矛盾问题:有个非常 nice 的用户体验,一旦实现就可能出现安全漏洞。那么怎么解决这个“矛盾”?这里提一下我个人的观点:在我看来技术的进步就是为了解决矛盾的!现有的技术水平可能没办法解决掉这个问题,那么有没有其他方式可以保障两者尽可能的平衡?当然技术的投入也是要看成本评估的。

那么我们怎么让 boss 们重视安全呢?这里推荐一下MS 推出的 SDL 流程,这个流程的第一个环节就是“教育 boss 们”,赢得 boss 的支持。要“教育”boss 们不是一件容易的事情,目前很多情况都是被“安全事件”曝光来推动的,这个是现状也没办法。不过对于一个企业安全人员来说,你首先应该尽可能的把安全问题危害科普化的详细描叙给你的 boss(因为 boss 们不一定理解安全),如果 1-2 次没效果,你可以反复多提几次,所谓“尽力而为”,一旦有对应事件出现,那么 Boss 就可能马上想到你提的各种建议:)

InfoQ:您在腾讯漏洞报告平台的排行榜上常年雄踞榜首,并获得高额奖金,您对此有何想法?

黑哥:其实奖金奖品不是我最看重的,我个人有一个常年坚持的目标:“把我的想法,尽可能都实践一把!”

谈到各大漏洞报告平台,不得不先提乌云漏洞报告平台。乌云的出现直接导致了各大甲方的觉悟,首先成立的是腾讯的 TSRC 漏洞报告平台。由于那段时间我一直在学习并思考《负责任的漏洞披露过程》,对甲方的这种平台建设有一些想法,那么我当时就参与到了 TSRC 漏洞报告活动里。在前期的交流里,我发现了很多问题和矛盾,于是我有一句名言:“甲方都需要教育”,所以我觉得应该“教育”一下,于是就在 blog 上公布了一些“争论”,当然随后我又在 blog 上陆续发布了我对甲方漏洞报告平台建设的一些“建议”,随后我们的很多建议都被 TSRC 采用,这才是我最在意的事情!

而 TSRC 的榜样在,也导致各甲方纷纷效仿成立 *SRC。由于这样的话题已经在 weibo 及 blog 上谈及过多次,还有好几次和朋友的论战,所以这里就不多提了,只再次强调一下:榜样其实是有毒的!一定要结合自己公司的一些实际情况来开展。

InfoQ:作为公认的脚本黑客 top1,能否谈谈脚本黑客的过去和未来?

黑哥:首先要说明的是“公认的脚本黑客 top1”我是万万不敢当的!只是由于一些个人学习上的经历,导致一直都在研究应用层的安全问题。过去这样的没有啥太大意义的问题这里就不提了,至于未来其实也是没谱的事情,少谈比较靠谱!只是在这里稍微提一下:有一些圈外人士认为未来是属于移动互联的,他们认为“网站”会慢慢消失,被移动 app 替代。于是他们得到一个结论,“网站”都消失那么“网站”安全行业也就不存在了!之所以说他们是“圈外”是因为他们理解的“网站”只是被浏览器渲染出来的那个界面框架而已,他们忽视了移动 app 后端的“网站”是不会消失的,与 app 沟通的数据还是很多走的 web 服务。所以他们的担心只能是“杞人忧天”。随着脚本技术发展,用脚本实现的工作越来越方便快捷,所以脚本黑客未来是光明的!

安全QConDevOps腾讯语言 & 开发