如何看待信息安全：敦科尔克大撤退

　　分布式拒绝服务攻击DDOS

　　分布式拒绝服务攻击其表现形式在于使用大量被入侵并控制的计算机对某一个特定的目标发起各种类型请求以尽可能消耗信息系统所有资源(如：带宽、磁盘空间、CPU时间)，从而导致合法用户无法获得正常服务。互联网上受控制并用于发动DDOS攻击的计算机数量从早期的数百台、数千台已经成长为数以万计、百万计的庞大的“僵尸网络”，无孔不入的计算机病毒、蠕虫、木马使得控制者隐藏在世界上任何一个角落远程控制并发起相应攻击。2004年10月。腾讯、新浪台湾、娱乐站点等数个站点被DDOS攻击并导致正常服务被迫中止。而早在2004年4月，俄罗斯黑手党也控制大量的“僵尸网络”并DDOS英国数家赌博公司的在线服务站点，并声称“一手交钱，一手开闸”。

　　于是，我们开始意识到，分布式拒绝服务攻击DDOS从单纯的娱乐或者是简单的个人恶意报复衍变成为集团化、有预谋的犯罪行为，“一切以经济利益为根本出发点”。

　　AT&T的前首席技术官CTO Ed Amoroso在一次安全会议上表明了对于DDOS的忧虑，“我们所经历的DDOS次数已经使得我们开始觉得麻木了。”试想一下，如AT&T般的电信巨头也面临着DDOS所带来的挥之不尽的麻烦，更何况大量中小型公司更会深受其害，造成巨大的损失。SANS安全研究总监Alan Paller在调查中发现“超过6000以上的各种类型组织都为类似DDOS这样的攻击勒索支付数额不等的赎金，而几乎每个在线赌博站点都曾经有过类似经历。”

　　Active-X

　　Active-X是微软所开发的用于浏览器进行一些与系统交互以实施简单控制并增强用户体验的技术。从其刚开始推向市场，几乎大家都对其颇有微词，并发现其天生存在诸多安全缺陷。尽管如此，Active-X借助微软对于浏览器的影响力以及简单易用等优势得以大范围应用，并成长成为事实上的标准。Richard.M.Smith进行的一项调查表明所有安装Windows系统的计算机中有超过半数以上内存在一个或多个具有严重缺陷甚至可以导致攻击者控制并获得系统权限的Active-X插件。微软自2002年以来所建立的安全公告板已经发布数百个关于Active-X的漏洞与相关补丁。知名的研究机构Yankee集团曾在进行一项对于Active-X的调查之后做出“Active-X休矣”的论断。从本质上来说，这正说明Active-X的安全缺陷的重要性不容被忽视。

　　密码策略

　　绝大多数信息系统以及服务的认证大都沿用传统的单因子认证手段。而另一方面，更强大功能(基于时间窗-内存快照等)的密码破解工具层出不穷，其可以在现有的PC硬件性能基础上，大大缩短破解密码的长度并提高对更为复杂密码的破解成功率。从个人角度上而言，大家都已经习惯于采用“生日、12345、9999”等之类的密码设置策略，即使采用类似“Aq42WBp”之类貌似复杂的密码也由于密码破解工具的能力逐渐强大而变得不再安全。Cain、JohnTheRipper等诸多开源密码破解工具变得愈发强大，甚至超过诸多商业密码恢复工具，更重要的是它们是免费且随时随处可以获得。OphCrack可以在数十秒之内成功恢复几乎99,9%的Windows SAM帐户密码。

　　新型的身份认证技术(如：双因子身份认证、生物识别技术、识别卡等)一定程度上抑制了钓鱼攻击、特权滥用等攻击威胁，但他们会是身份认证的救世主么?答案：不是。攻击者正在采用更为精妙的攻击手段与方法试图超越身份认证技术所构建的强大“马其诺防线”。

　　譬如中国最知名的网络游戏公司盛大网络所推出的双因子动态认证技术——盛大密宝，其采用动态电子令牌为用户提供必要的身份认证。然而这种基于时间(每60秒变化一次)的认证机制有着潜在的机制缺陷。其首先要与认证服务器本身进行时间同步服务，而每次同步并更新认证信息的时间窗可能长达一至数分钟。一个攻击者通过简单的“中间人”攻击手法截获一次认证会话，并将其人为修改成为一次失败认证会话状态返回给用户;但盛大认证服务器会将其标记为一次成功认证过程，那么中间攻击者只需要在下一次认证服务器发现其来源并不可靠并进行同步更换之前获得合法用户帐号、密码就可以实现其最直接的目的——窃取帐号、密码。事实上，来自兰州的一个攻击者正是这么去做的。其设计了木马并将其通过各种手段传播到数万台计算机上，并在此过程中插入所需要的信息返回状态，从而达到获利数百万的经济目的。除此之外，攻击者还可以在用户成功进行认证并登陆入在线银行、服务等之后，窃取相关信息(即使采用SSL加密)并进行破解恢复。

　　补丁管理

　　软件供应商的产品出现了大量的漏洞因此也导致其发布了数以千计的补丁来修复Bug或严重缺陷。通常情况下，安装补丁以前，我们的信息系统始终处于危险之中。即使是号称“安全第一，牢不可破”的Oracle在近两年以来也花费了大量的精力与开销发布补丁以修复产品缺陷。更具有讽刺意味的是，当Oracle声称其产品“牢不可破”之后，擅长于漏洞挖掘的安全专家David以及Mark Litchfield就发现了24个Oracle产品家族中的漏洞或者缺陷。而微软公司对其Windows 2000服务器以及Windows 2003服务器在在发布之后同样时间段内所出现的严重漏洞数目进行了对比性统计，结果表明：在635天内，前者出现的严重漏洞数目高达64个，而后者却有所改善，下降到27个;微软Office产品在调查过程中也出现类似结论。

　　图：Windows&Office补丁管理与漏洞改善方面的显著成效

　　这一调查结果表明一方面微软通过数年的努力而建成的补丁管理机制初见成效，另一方面其在2002年开始制定并加以贯彻的“安全开发生命周期模型Security Development Lifecycle”起到了最根本的因素。令人遗憾的是，并不是所有的公司都会像微软、Oracle等花费巨大的投入从流程、方法、人员等不同角度去改善并提高产品质量。

　　总而言之，补丁问题将愈发成为信息系统业务连续性的最严重的隐患所在，其从根本上是无法解决的。毕竟，一个“天下无贼”的信息系统“乌托邦”是不可能存在的。

　　Zero­-Day攻击

　　2005年12月27日，Windows Metafile(.WMF)文件中的一个严重缺陷被曝光，其导致几乎所有的Windows 2003 Web服务器以及Windows XP操作系统用户无论是通过浏览器、抑或是电子邮件、即时通讯工具浏览一个特定的图片之后即可导致系统被入侵。因为其利用到了Windows Graphics Rendering Engine(WGRE)一个图像渲染引擎方面的漏洞，所以几乎所有的Windows应用程序都不可避免(如：Internet Explorer、Outlook电子邮件、Windows图片和传真查看器等凡是可以可用于处理WMF文件的软件)的成为传播渠道。刚开始的几个小时小时之内，数以百计的站点利用此漏洞分发各种恶意代码;四天之后，第一个利用即时通讯IM工具传播该漏洞的蠕虫病毒被发现。接下来呢?我们都想知道接下来发生了什么?

　　六天以后，欧洲著名的安全厂商Panda检测到一个“WMF生成器”工具，非常简单易用使得任何一个稍微具有计算机知识的人通过鼠标的点击即可生成包含自定义恶意代码的WMF图片。

　　毫无疑问，WMF缺陷成为信息安全产业的“梦魇”，也成为网络犯罪的“阿拉丁神灯”。WMF漏洞使得攻击者以最为轻松的方式(浏览一张网页、邮件图片)获得大多数计算机系统(几乎所有的Windows系统)的管理权限。而到第九天，针对此WMF的补丁才姗姗来迟。比较有趣的是，早在此一漏洞所带来的攻击大规模传播一个月以前这一漏洞就被放到eBay上进行拍卖，一口价4000美金;而在拍卖消息得出之后两周，防病毒厂商才注意到该漏洞但仍未得到足够重视;直至其大规模传播爆发之后，微软才开始着手调查并发布相应补丁。

　　这是第一个WMF漏洞;那么谁能保证我们没有下一个“WMF漏洞”呢?

　　无线AP缺陷

　　世界范围内部署了数以亿万计的WAP。FBI的一项实验调查表明，在ISSA(一个国际性的信息安全组织)2005年Los Angeles会议之时，会议现场中70%以上的WAP没有任何保护措施，其允许任何用户都随意访问。而剩下的27%采用了传统的802.11 中所制定的具有严重缺陷的WAP加密协议，只有3%采取了改良的、具有增强安全特性的WPA标准来进行加密防护。

　　攻击者可以利用类似SiVus之类的无线AP漏洞扫描工具轻松构造特定的数据包并在数分钟之内破解128位的WEP密钥。之所以WPA标准还没有被正式加以普及，其根源在于设备制造商仍然大量并销售仅支持基于WAP加密协议的无线AP设备。因此我们在无线的网络世界中仍旧危机四伏。

　　来自内部的攻击

　　美国商务部统计表明，2002-2005年间，平均每年由于公司、组织或者机构内部人员、管理等方面的威胁以及缺陷所造成的直接或间接损失高达4000亿美金，而这一数字仍然呈进一步上升趋势，而其中3480亿损失则与那些具有特权的管理者密切相关。2005年Global Security Survey的调查表明，在全球Top 100的金融机构中，来自内部的威胁与攻击所造成的危害远远超过外部威胁(黑客、木马、蠕虫病毒等)所造成的危害。

　　因此，对于内部IT信息资产、用户、权限、流程等方面的管理就成为重中之重，BS7799/ISO27001等信息安全管理标准就逐渐成为管理者眼中的“救世主”。我们首先承认标准是科学的、是被实践证明行之有效的，然而在建设信息安全管理体系的过程中，诸多环节由于直接或者间接的人为因素而导致标准在每个执行的环节都大打折扣，而这些就导致标准无法真正落到实处。一方面，我们希望借助标准建立完善的PDCA(Plan、Do、Check、Action)流程，另一方面Plan方针的不确定性(取决于管理者的管理思想、管理文化、甚至性格等诸多因素)、Do行为的不可靠性(取决于各个部门的配合程度、责权利的分工明确与否等)、Check复查的有效性(取决于审计者的独立性、客观性、公证性以及检查方法的科学性与否)、Act执行(取决于人、财、物等是否有足够的预算、配置管理、影响业务连续性的致命因素等)，以上四者导致PDCA流程在很多企业内部管理中无法真正得以实现。

　　图：PDCA实施起来是相当艰难的

　　安全产品自身缺陷

　　琳琅满目的安全产品(软件、硬件)大行其道，从传统的“三大件”(防火墙、防病毒、入侵检测系统)随着技术以及需求的进一步发展而衍生出来数十种安全产品，其中除上述产品之外，还包括内容过滤产品(如：邮件过滤、员工上网行为管理等)、加密类产品(如：双因子动态身份认证、CA、PKI、生物识别、VPN等)、访问控制类产品(如：入侵防护系统IPS、统一威胁网关UTM、内网终端控制、物理隔离系统等)、安全管理类产品(如：内网资产管理、安全运维管理、内网行为管理等)、风险评估类产品(如：漏洞扫描器、渗透测试产品、自动化加固产品等)等数十类共上百种产品类别。

　　从本质上而言，所有的软件产品与硬件产品都会存在或多或少、或影响严重或轻微的bug，而对于安全产品来说，其大多处于网络的边界、终端的第一道门户以及系统的最底层防线，因此一旦缺陷被攻击者利用到(譬如对于个人计算机使用的防火墙，其本质在于重构TCP/IP协议栈以达到控制的目的，如果攻击者采用通信隐藏于http隧道技术进行协议交互与通讯，就可以轻松绕过防火墙监督;另外个人防火墙对应用程序的控制机制大多以程序进程名以及端口进行鉴别，倘若修改某一特定批处理文件以合法名称加以执行，同样也会为攻击者造成可乘之机)就会造成非常严重的影响。Norton AntiVirus 8.0版本有多个溢出漏洞可使攻击者轻松绕过其防护机制，而针对运行于虚拟机状态下的新型病毒VM.Virus更是以现有的基于签名、特征进行检测的防病毒技术所无法解决的问题。

　　手机病毒

　　手机正在成为人们最为重要的通讯与交流工具之一，而遍布世界每一个角落的移动网络更是为病毒、木马以及蠕虫病毒的传播创造了最佳的途径。由于手机操作系统的相对封闭性，手机病毒一向处于原型与研究阶段。然而当智能手机(以Symbian、Windows Mobile、Palm以及Linux为首)成为一种潮流与时尚之时，我们惊奇的发现自己的手机会用蓝牙搜索范围内所有手机并对其进行拒绝服务攻击，同时在收到一条特殊的“短信息”之后我们的手机的电池已在几秒之内耗尽所有电量，甚至手机病毒还使得我们的智能手机成为未来“手机僵尸网络”的一分子，从而成为移动网络潜在的威胁来源。

　　从技术角度上来讲，我们目前还没有完整的针对手机病毒的免疫机制。针对Symbian以及Windows Mobile的手机病毒已经多到数以百计(尽管其中大多数仅仅属于恶作剧性质)，但对于病毒“玩客”们来说，制作出攻击更为复杂的病毒仅仅是一个时间问题。因此，在一个“手机僵尸网络”中，控制者可以发出指令使得受控制手机在同一时间段同时隐蔽拨叫某一电话号码从而形成手机DDOS攻击，并进而谋求一定的经济利益，这正是某些不法之徒所希望干到的事情。我想，他们十分期待并关注着此类手机病毒的发展状况。

　　音乐CD猎手

　　音乐CD一向是音乐爱好者的必备品，他们会收藏大量的CD并跟随潮流的发展延续着对不同流行歌星的迷恋。我不属于流行一族，但对于经典的歌曲CD却仍是爱不释手。2005年10月31日，美国著名的安全软件公司Sysinternal的安全专家Mark Russinovich在进行一次安全测试时意外的发现SONY出品的一款具有DRM数字版权管理功能的音乐CD竟然隐藏有木马程序。一旦你将CD放入计算机，木马将自动在后台运行并复制自身到系统内部。木马程序创建了一个极为罕见的隐藏进程，其在你毫不知情的时候将你的隐私信息发送回SONY。“天哪!SONY，你偷走了我的名字!”我会这样想，也许我们中的很多人都会这样想。病毒作者们对于SONY创建这一隐藏进程的技术很感兴趣，因为这可以让他们将病毒藏在丝毫不起眼的地方。

　　SONY在媒体曝光其安全恶劣行径之后，并未正式道歉并给出补救解决方案。这更令人感到气愤，数日之后，SONY终于发布了“卸载”程序。然而，这一卸载程序并没有起到卸载的作用，其仅仅将其进程隐藏通讯的特性关闭，反而多了另外一个漏洞：运行该“卸载”程序的电脑将允许控制者浏览你所访问过的任何网页，并且在你的电脑上运行任何代码。大约超过50万台电脑(包括军方、政府、商业、广告等诸多行业)其在运行这一“卸载”程序之后被感染，甚至美国国防部的电脑上也检测到了这一木马程序。

　　密码的梦魇

　　《风语者》中的尼古拉斯.凯奇依旧帅得一塌糊涂，他的任务只有两个：第一，尽一切可能保护密码战士Password Warrior;第二：上述任务无法完成时就消灭密码战士。我们的密码技术自古时“结绳记事”到现在先进的密码技术可以说取得了很大的成就。然而破解密码的的技术与理论也丝毫没有停止过他们的脚步，因为人类是贪婪的、更是好奇的。

　　1999年，一些密码研究人员开发了一个小工具“DES 破解者”，其能够在56个小时以内进行2的56次方运算过程，其不仅可以在同等硬件配置下比其它同类型工具有超越若干个数量级的运算速度，这一点在破解方面是十分重要的。2004年，来自以色列技术学院的密码专家Eli Biham以及Rafi Chen声称其使用“碰撞破解”机制成功的破解了MD5以及SHA，甚至建设了一个网页入口可以从网页提交受限的密文而进一步获得明文数据。2005年1月，来自中国山东大学数学系杰出的数学家王小云、于洪波等设计了针对SHA以及MD5的“碰撞破解”优化算法其可以大大降低暴力破解的难度与工作量并尽可能快的还原密文。

　　这一切对我们来说，意味着什么?PGP是安全的么?

　　数学家、密码学家用自己的专有语言描述着密码的不安全性，他们很少会关注普通用户对于密码的担心与观察角度。显而易见的是，他们的算法将进一步影响到加密与破解两大阵营的平衡之道。

　　换而言之，我们没有看到房间中的火苗，甚至也没有看到烟雾，但是我们耳边却警种长鸣，我们必须离开，但是请排好队，千万不要跑!因为这样会造成更大的恐慌与损失。

　　即便撤退也该是如此的……