|
警鐘仍需長鳴:網站安全問題依然不容忽視
|
來源:賽迪 2007-11-12 16:44:09
|
黨的十七大已經來臨,在此期間各個組織、機構的外網、內網的網站、Web服務的安全不容忽視。一些別有用心的人往往選擇這個時期發動攻擊,以期達到制造事端、擴大影響的目的;甚至有些敏感單位的Web服務被攻擊不光產生經濟損失,更重要的是會產生嚴重的政治影響,給本部門、本單位甚至國家的聲譽造成惡劣影響,因此,十七大期間網站安全建設不容忽視。 一、上半年網絡安全狀況概述 根據CNCERT/CC今年上半年接收和處理的網絡安全事件統計可以看出,目前中國的互聯網安全實際狀況仍不容樂觀。各種網絡安全事件與去年同期相比都有明顯增加。半年時間內,CNCERT/CC 接收的網絡仿冒事件和網頁惡意代碼事件,已分別超出去年全年總數的14.6%和12.5%。內地地區被植入木馬的主機IP 遠遠超過去年全年,增幅達21 倍;內地被篡改網站數量比去年同期增加了4 倍,比去年全年增加了近16%。 從CNCERT/CC 掌握的上半年情況來看,攻擊者的攻擊目標明確,針對不同網站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點表現明顯。 對政府類和安全管理相關類網站主要采用篡改網頁的攻擊形式,以達到泄憤和炫耀的目的,也不排除放置惡意代碼的可能,導致政府類網站可能存在安全隱患。 對中小企業,尤其是以網絡為核心業務的企業,采用有組織的分布式拒絕服務攻擊(DDoS)攻擊等手段進行勒索,從而迫使企業接受相應條件,影響企業正常業務的開展。 對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號、銀行賬號、密碼等,竊取用戶的私有財產。如利用網絡釣魚(Phishing)和網址嫁接(Pharming)等對金融機構、網上交易等站點進行網絡仿冒,在線盜用用戶身份和密碼;通過惡意網頁、社交工程、電子郵件和信息系統漏洞等方式傳播惡意代碼;利用間諜軟件(spyware)和木馬程序竊取用戶的私有信息,嚴重的可導致財產損失。 上半年我國內地被植入木馬的主機數量大幅攀升的現象,反映出國內網絡安全狀況中木馬產業鏈的猖獗,是泄密、網銀賬號被竊事件頻發的重要原因。 二、近期各機構Web服務出現的問題 首先讓我們關注近期的幾起網站運維事件,都是和網站運營維護有關的。 1.某國內著名門戶網站首頁被掛馬事件 6 月14 日,某國內著名門戶網站首頁于6月14 日凌晨被“掛馬”(頁面被嵌入惡意代碼)數小時。CNCERT/CC 接到報告后,立即對事件進行了監測,發現包含該網站在內的國內多個網站,在6月15日凌晨再次被掛馬數小時,而且被掛馬網站均將用戶訪問跳轉到http://6688.89111.cn/m42.htm,導致用戶從域名89111.cn 之下多個惡意鏈接中下載惡意代碼。CNCERT/CC 立即聯系被掛馬的重要網站,告知其事件有關的詳細情況和分析,建議其做好安全防范工作。與此同時,因 89111.cn 域名注冊人所登記的信息及聯系方式都是虛假信息,CNCERT/CC 與域名注冊單位取得聯系,得到對方的積極支持和快速響應,按照國家有關規定關閉了該惡意域名。 2.北京聯眾遭分布式拒絕服務攻擊 在CNCERT/CC 的協助與支持下,北京市網監處成功破獲北京聯眾公司遭受分布式拒絕服務攻擊案。5 月11 日,北京聯眾公司向北京市網監處報案稱:該公司自4 月26日以來,托管在上海、石家莊IDC 機房的13 臺服務器分別遭受到大流量的DDoS 拒絕服務攻擊,攻擊一直從4 月26 日持續到5 月5 日,其攻擊最高流量達到瞬時700M/s,致使服務器全部癱瘓,在此服務器上運行的其經營的網絡游戲被迫停止服務,經初步估算經濟損失為3460 萬人民幣。在CNCERT/CC 的支持與配合下,北京市網監處成功獲取了犯罪團伙實施DDoS 攻擊的證據,并及時將4 名犯罪嫌疑人一舉抓獲。 除此之外,還有一些民間組織、機構報告的安全事件,以下列舉幾個: 8月9日云網主站點不可訪問,據分析可能和遭受黑客攻擊有關。 8月15到16日,國內某大型銀行的個人銀行服務出現故障。據說是“由于15日是存款利息稅下調、系統升級改造、新基金發行和拆分、養老金和工資的發放等業務集中所致”,真正原因未透漏。 國內某大型網上購書網的官方網站數據庫賬戶泄漏事件。令人感到震驚的是程序出錯頁面里面甚至把數據庫連接串和密碼都打印出來了,該網使用的是 SQL Server。 8月11日,某國內網絡安全組織發現中國某大型家電企業官方網站被掛上了木馬,經過一系列的協調和處理,終于解決。 如上的例子還有很多,網站的運維是個高精度、高復雜度的事情,機器不能解決一切問題。當然類似的事情也不止國內有,Facebook 也出現了源代碼泄漏事故。 三、政務網站面臨的問題和解決方案 根據《CNCERT/CC2007年上半年網絡安全報告》,2007 年上半年,中國內地被篡改網站的數量相比往年處于明顯上升趨勢。CNCERT/CC監測到內地被篡改網站總數達到28367 個,比去年全年增加了近16%。按月統計情況如下圖所示。
政府網站易被篡改的主要原因是網站整體安全性差,缺乏必要的經常性維護,某些政府網站被篡改后長期無人過問,還有些網站雖然在接到報告后能夠恢復,但并沒有根除安全隱患,從而遭到多次篡改。 對政務網站(運營商、政府)的維護,重點有兩個方面:一是對頁面的篡改,二是Web服務的提供,也就是保證網站的完整性和可用性。 1.完整性安全防護 作為政務工程的窗口,政務網站的防篡改是第一位重要的,而目前對網站的攻擊方式也層出不窮。據2007年發布的十大web安全漏洞稱,基于注入技術的隱碼攻擊(主要指SQL注入等類型攻擊行為)排名第二,是直接攻擊網站的最主要手段(排名第一的XSS主要是被動式攻擊,往網頁中加入惡意代碼,讓訪問者遭受攻擊)。 那么,什么是SQL注入呢?SQL注入就是利用現有應用程序,將(惡意)的SQL命令注入到后臺數據庫引擎執行的能力,這是SQL注入的標準釋義。 隨著B/S模式被廣泛的應用,用這種模式編寫應用程序的程序員也越來越多,但由于開發人員的水平和經驗參差不齊,相當一部分的開發人員在編寫代碼的時候,沒有對用戶的輸入數據或者是頁面中所攜帶的信息(如Cookie)進行必要的合法性判斷,導致了攻擊者可以提交一段數據庫查詢代碼,根據程序返回的結果,獲得一些想得到的數據。 SQL注入利用的是正常的HTTP服務端口,表面上看來和正常的Web訪問沒有區別,隱蔽性極強,不易被發現。 啟明星辰積極防御實驗室(ADLab)研究發現,SQL注入攻擊有以下顯著特點: (1)攻擊初始權限低 只要擁有internet訪問權限的人都可以發動SQL注入攻擊,甚至還可以通過web端口進行攻擊。 (2)危害、后果嚴重 SQL注入成功后,攻擊者將擁有Web的最高權限,可以修改頁面,可以修改數據,可以在網頁中添加惡意代碼實現XSS…… (3)攻擊特征不唯一 任意更改攻擊提交參數都可以實現對Web的攻擊,無法通過定義特征來實現對SQL注入的全檢測。 啟明星辰公司的天清入侵防御系統,采用基于攻擊注入手法檢測的專利技術(VSID),和傳統的產業界檢測算法(基于signature的關鍵字匹配和基于異常檢測技術的web firewall)以及學術界檢測算法(基于正常行為模型的AMNESIA和基于數字簽名技術的SQLRand)相比,其漏報率和誤報率都有顯著的降低。 2.可用性安全防護 可用性方面,政務網站是對外提供服務的接口,在保障信息完整性的情況下,盡量不影響應用的正常運營,是政務網站安全解決方案的另外一個重點。而確保網站可用性又包括兩個方面的因素,一種是正常情況下的訪問,一種是異常情況下的訪問。 在正常情況下,確保網站可用意味著訪問者可以很容易地得到所需要的服務,要求訪問時延短,天清入侵防御系統采用了包括poll、驅動無鎖、自適應CPU負載均衡等多項技術在內的性能優化算法,確保數據報的轉發時延在微秒級單位,在用戶的正常使用過程中基本感覺不到影響。 在異常情況下,天清入侵防御(IPS)系統提供了軟、硬件的雙bypass技術,在各種異常狀況下都可以將數據切換到無源通道,確保了在極端情況下的網絡可用,甚至在斷電等嚴重硬件問題情況下,也能保證網絡正常通訊。 3.實用性考慮 除了網站的完整性和可用性需求外,采用在線式設備還需要考慮產品的實用性。 天清入侵防御系統在國家級某大型網站已經成功部署,主要目的就是防御各種SQL注入攻擊行為(在滲透測試中發現存在的問題),經過近幾個月的使用,阻斷了大量來自外部地址的攻擊企圖,并確保了網站服務器的正常業務開展,得到了用戶的高度認可。 四、總結 隨著網絡不斷深入各個行業的核心應用,Web服務越來越成為各種黑客攻擊的主要窗口,國家對網絡安全的要求也越來越嚴格。各安全主管部門普遍要求各組織、機構的網絡和服務遵循“誰受益、誰負責;誰運營、誰負責”的原則,因此各個機構對于Web服務的安全性應該引起足夠重視。 在十七大期間,各個組織、機構更加應該投入人力、物力,使用比較先進的安全手段,完善安全措施,落實管理制度,確保營造一個和諧、向上的網絡環境和氛圍。 SQL注入攻擊作為深層威脅的一種,已越來越多地受到用戶的關注,如何準確、及時地判斷并防御這種危害極大的深層攻擊行為,是入侵防御系統責無旁貸的責任。這就要求入侵防御系統本身提供對這種無固定表現形式、種類繁多的攻擊行為的準確檢測。 天清入侵防御系統依托啟明星辰強大的入侵分析檢測能力,對各種深層的攻擊行為都有著優異的檢測能力。特別對SQL注入這種攻擊行為,更采用了專利技術算法,對各種SQL注入變種/變形進行精確防御,達到國際先進水平。 |