近期读了一些关于网络入侵的文章,感觉到增强网络安全是一项日常性的工作,并不是说网络设备、服务器配置好了就绝对安全了,操作系统和一些软件的漏洞是不断被发现的,比如冲击波、震荡波病毒就是利用系统漏洞,同样利用这些漏洞可以溢出得到系统管理员权限, server-U的提升权限漏洞也可以被利用。在这些漏洞未被发现前,我们觉得系统是安全的,其实还是不安全的,也许漏洞在未公布前已经被部分hacker 所知,也就是说系统和应用软件我们不知道还会存在什么漏洞,那么日常性的防护就显得尤为必要。
一、做好基础性的防护工作,服务器安装干净的操作系统,不需要的服务一律不装,多一项就多一种被入侵的可能性,打齐所有补丁,微软的操作系统当然推荐WIN2K3,性能和安全性比WIN2K都有所增强,选择一款优秀的杀毒软件,至少能对付大多数木马和病毒 的,安装好杀毒软件,设置好时间段自动上网升级,设置好帐号和权限,设置的用户尽可能的少,对用户的权限尽可能的小,密码设置要足够强壮。对于MSSQL,也要设置分配好权限,按照最小原则分配。最好禁用xp_cmdshell。有的网络有硬件防火墙,当 然好,但仅仅依靠硬件防火墙,并不能阻挡hacker的攻击,利用反向连接型的木马和其他的办法还是可以突破硬件防火墙的阻挡。WIN2K3系统自带的防火墙功能还不够强大,建议打开,但还需要安装一款优秀的软件防火墙保护系统,我一般习惯用ZA,论坛有 很多教程了。对于对互联网提供服务的服务器,软件防火墙的安全级别设置为最高,然后仅仅开放提供服务的端口,其他一律关闭,对于服务器上所有要访问网络的程序,现在防火墙都会给予提示是否允许访问,根据情况对于系统升级,杀毒软件自动升级等有必要访问外网 的程序加到防火墙允许访问列表。那么那些反向连接型的木马就会被防火墙阻止,这样至少系统多了一些安全性的保障,给hacker入侵就多一些阻碍。网络上有很多基础型的防护资料,大家可以查查相关服务器安全配置方面的资料。
二、修补所有已知的漏洞,未知的就没法修补了,所以要养成良好的习惯,就是要经常去关注。了解自己的系统,知彼知己,百战百胜。所有补丁是否打齐,比如mssql,server-U,论坛程序是否还有漏洞,每一个漏洞几乎都是致命的,系统开了哪些服务,开了哪些端口,目前开的这些服务中有没有漏洞可以被黑客应用,经常性的了解当前黑客攻击的手法和可以被利用的漏洞,检查自己的系统中是否存在这些漏洞。比如SQL注入漏洞,很多网站 都是因为这个服务器被入侵,如果我们作为网站或者服务器的管理者,我们就应该经常去关注这些技术,自己经常可以用一些安全性扫描工具检测检测,比如X- scan,snamp, nbsi,PHP注入检测工具等,或者是用当前比较流行的hacker入侵工具检测自己的系统是否存在漏洞,这得针对自己的系统开的服务去检测,发现漏洞及时修补。网络管理人员不可能对每一方面都很精通,可以请精通的人员帮助检测,当然对于公司来说,如果 系统非常重要,应该请专业的安全机构来检测,毕竟他们比较专业。
三、服务器的远程管理,相信很多人都喜欢用server自带的远程终端,我也喜欢,简洁速度快。但对于外网开放的服务器来说,就要谨慎了,要想到自己能用,那么这个端口就对外开放了,黑客也可以用,所以也要做一些防护了。一就是用证书策略来限制访问者,给 TS配置安全证书,客户端访问需要安全证书。二就是限制能够访问服务器终端服务的IP地址。三是可以在前两者的基础上再把默认的3389端口改一下。当然也可以用其他的远程管理软件,pcanywhere也不错。
四、另外一个容易忽视的环节是网络容易被薄弱的环节所攻破,服务器配置安全了,但网络存在其他不安全的机器,还是容易被攻破,“千里之堤,溃于蚁穴 ”。利用被控制的网络中的一台机器做跳板,可以对整个网络进行渗透攻击,所以安全的配置网络中的机器也很必要。说到跳板攻击,水平稍高一点的hacker攻击一般都会隐藏其真实IP,所以说如果被入侵了,再去追查的话是很难成功的。Hacker利用控制的 肉鸡,肉鸡一般都是有漏洞被完全控制的计算机,安装了一些代理程序或者黑客软件,比如DDOS攻击软件,跳板程序等,这些肉鸡就成为黑客的跳板,从而隐藏了真实IP。
五、最后想说的是即使大家经过层层防护,系统也未必就绝对安全了,但已经可以抵挡一般的hacker的攻击了。连老大微软都不能说他的系统绝对安全。系统即使只开放80端口, 如果服务方面存在漏洞的话,水平高的hacker还是可以钻进去,所以最关键的一点我认为还是关注最新漏洞,发现就要及时修补。“攻就是防,防就是攻” ,这个观点我比较赞同,我说的意思并不是要去攻击别人的网站,而是要了解别人的攻击手法,更好的做好防护。比如不知道什么叫克隆管理员账号,也许你的机器已经被入侵并被克隆了账号,可能你还不知道呢?如果知道有这种手法,也许就会更注意这方面。自己的网站 如果真的做得无漏洞可钻,hacker也就无可奈何了。
希望大家有好的思路和经验能够多探讨探讨,要做好网络安全还有很多细节需要注意,一个微小的疏忽都可能导致功亏一篑。
#p#嗅探器可能造成的危害:嗅探器能够捕获口令;
能够捕获专用的或者机密的信息;
可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限;
分析网络结构,进行网络渗透。
二 嗅探器攻击实例
Linux、Unix环境下的嗅探器有:Tcpdump、Nmap、Linuxsniffer、hunt、sniffit 等。Linsniffer是一个简单实用的嗅探器。它主要的功能特点是用来捕捉用户名和密码,它在也这方面非常出色。注:编译该软件需要所在的Linux系统上必须的网络包含文件(tvp.h、ip.h、inet.hif_t、her.h)。 虽然这个工具易于使用,但是Linsniffer需要完整的IP头文件,包括常常存储在/usr/include/net和 /usr/include/netinet的头文件,在编译前确保PATH变量包含/usr/include。
获得这个软件后,进入src目录,使用下面的命令来编译Linsniffer: $ cc linsniffer.c -o linsniffer
要运行Linsniffer,使用下面的命令:$ linsniffer
启动以后linsniffer将创建一个空文件:tcp.log来存储嗅探结果。
举例说明,在一台测试的Linux服务器中创建一个名为“goodcjh”的用户,密码为“fad”。然后在主机CJH上使用该用户来登录这台Linux服务器,并进行一些常见的用户操作。下面是进行的一次ftp过程:
|
上面是一个典型的用户操作过程。现在我们看看Linsniffer产生的嗅探结果:
|
输出的内容是很直观的。首先它记录这是从主机 CJH 到 Linux 主机 www.red.net 的 FTP 连接:主机 CJH => linux.red.net [21]。然后,Linsniffer 捕获了 goodcjh 的用户名和密码。最后,Linsniffer 记录了用户 goodcjh 使用的每一个命令:
|
可见,Linsniffer 的输出结果非常简洁,并且非常适于窃听密码及记录常见的活动。但缺点是不适合于进行更加复杂的分析。#p#嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能。嗅探器是一把双刃剑,它也有很大的危害性。嗅探器的攻击非常普遍。一个位置好的嗅探器可以捕获成千上万个口令。1994年一个最大的嗅探器攻击被发现. 这次攻击被认为是危害最大的一次,许多可以FTP,Telnet或远程登陆的主机系统都受到了危害。在这件事故(攻击者处于Rahul.net)中,嗅探器只运行18小时。在这段时间里,有几百台主机被泄密。“受攻击者包括268个站点,包括MIT、美国海军和空军、Sun、IBM、NASA、和加拿大、比利时大学一些主机……”
三 嗅探器的安全防范
1、检测嗅探器。
检测嗅探器可以采用检测混杂模式网卡的工具。由于嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作,能够检测混杂模式网卡的AntiSniff是一个工具。软件可以在http://www.l0pht.com/antisniff/下载,另外还有详细的使用说明。
证明你的网络有嗅探器有两条经验:
网络通讯丢包率非常高: 通过一些网管软件,可以看到信息包传送情况,最简单是ping命令。它会告诉你掉了百分之多少的包。如果你的网络结构正常,而又有20%-30%数据包丢失以致数据包无法顺畅的流到目的地。就有可能有人在监听,这是由于嗅探器拦截数据包导致的。
网络带宽出现反常:通过某些带宽控制器,可以实时看到目前网络带宽的分布情况,如果某台机器长时间的占用了较大的带宽,这台机器就有可能在监听。应该也可以察觉出网络通讯速度的变化。
对于SunOS、和其它BSD Unix系统可以使用lsof(该命令显示打开的文件)来检测嗅探器的存在。lsof的最初的设计目地并非为了防止嗅探器入侵,但因为在嗅探器入侵的系统中,嗅探器会打开其输出文件,并不断传送信息给该文件,这样该文件的内容就会越来越大。如果利用lsof发现有文件的内容不断的增大,我们就怀疑系统被嗅探。因为大多数嗅探器都会把截获的"TCP/IP"数据写入自己的输出文件中。这里可以用:ifconfig le0检查端口.然后用:
#/usr/sbin/lsof >test
#vi test 或 grep [打开的端口号]
检测文件大小的变化。
注意如果你确信有人接了嗅探器到自己的网络上,可以去找一些进行验证的工具。这种工具称为时域反射计量器(Time Domaio Reflectometer,TDR)。TDR对电磁波的传播和变化进行测量。将一个TDR连接到网络上,能够检测到未授权的获取网络数据的设备。不过很多中小公司没有这种价格昂贵的工具。
2、将数据隐藏,使嗅探器无法发现。
嗅探器非常难以被发现, 因为它们是被动的程序一个老练的攻击者可以轻易通过破坏日志文件来掩盖信息。它们并不会给别人留下进行核查的尾巴.。完全主动的解决方案很难找到,我们可以采用一些被动的防御措施:
安全的拓扑结构;
会话加密;
用静态的ARP或者IP-MAC对应表代替动态的。
安全的拓扑结构:
嗅探器只能在当前网络段上进行数据捕获。这就意味着,将网络分段工作进行得越细,嗅探器能够收集的信息就越少。但是,除非你的公司是一个ISP,或者资源相对不受限制,否则这样的解决方案需要很大的代价。网络分段需要昂贵的硬件设备。有三种网络设备是嗅探器不可能跨过的:交换机、路由器、网桥。我们可以通过灵活的运用这些设备来进行网络分段。大多数早期建立的内部网络都使用HUB集线器来连接多台工作站,这就为网络中数据的泛播(数据向所有工作站流通),让嗅探器能顺利地工作提供了便利。普通的嗅探器程序只是简单地进行数据的捕获,因此需要杜绝网络数据的泛播。 随着交换机的价格下降,网络改造变得可行且很必要了。不使用HUB而用交换机来连接网络,就能有效地避免数据进行泛播,也就是避免让一个工作站接收任何非与之相关的数据。 对网络进行分段,比如在交换机上设置VLAN,使得网络隔离不必要的数据传送。一般可以采用20个工作站为一组,这是一个比较合理的数字。然后,每个月人为地对每段进行检测(也可以每个月采用MD5随机地对某个段进行检测)。网络分段只适应于中小的网络。如果有一个500个工作站的网络,分布在50个以上的部门中,那么完全的分段的成本上是很高的。#p#会话加密:
会话加密提供了另外一种解决方案。不用特别地担心数据被嗅探,而是要想办法使得嗅探器不认识嗅探到的数据。这种方法的优点是明显的:即使攻击者嗅探到了数据,这些数据对他也是没有用的。S/key和其它一次性口令技术一样,使窃听帐号信息失去意义。S/key的原理是远程主机已得到一个口令(这个口令不会在不安全的网络中传输),当用户连接时会获得一个"挑战"(challenge)信息,用户将这个信息和口令经过某个算法运算,产生正确的"响应"(response)信息(如果通讯双方口令正确的话)。这种验证方式无需在网络中传输口令,而且相同的"挑战/响应"也不会出现两次。S/key可从以下网址得到:ftp://thumper.bellcore.com/pub/nmh/skey。它的缺点是所有帐号信息都存放在一台主机中,如果该主机被入侵,则会危及整个网络安全。另外配置它也不是一件简单的事情。Kerberos包括流加密rlogind和流加密telnetd等,它可以防止入侵者捕获用户在登录完成后所进行的操作。 在加密时有两个主要的问题:一个是技术问题,一个是人为问题。
技术是指加密能力是否高。例如,64位的加密就可能不够,而且并不是所有的应用程序都集成了加密支持。而且,跨平台的加密方案还比较少见,一般只在一些特殊的应用之中才有。人为问题是指,有些用户可能不喜欢加密,他们觉得这太麻烦。用户可能开始会使用加密,但他们很少能够坚持下。总之我们必须寻找一种友好的媒介-使用支持强大这样的应用程序,还要具有一定的用户友好性。使用secure shell、secure copy或者IPV6协议都可以使得信息安全的传输。传统的网络服务程序,SMTP、HTTP、FTP、POP3和Telnet等在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,嗅探器非常容易就可以截获这些口令和数据.SSH的英文全称是Secure Shell。通过使用SSH,你可以把所有传输的数据进行加密,这样"中间服务器"这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替telnet,又可以为ftp、pop、甚至ppp提供一个安全的"通道"。SSH绑定在端口22上,其连接采用协商方式使用RSA加密。身份鉴别完成之后,后面的所有流量都使用IDEA进行加密。SSH(Secure Shell)程序可以通过网络登录到远程主机并执行命令。SSH的加密隧道保护的只是中间传输的安全性,使得任何通常的嗅探工具软件无法获取发送的内容。它提供了很强的安全验证可以在不安全的网络中进行安全的通信.所以它是防范嗅探器的一种方法。
用静态的ARP或者IP-MAC对应表代替动态的ARP或者IP-MAC对应表。
该措施主要是进行渗透嗅探的防范,采用诸如ARP欺骗手段能够让入侵者在交换网络中顺利完成嗅探。网络管理员需要对各种欺骗手段进行深入了解,比如嗅探中通常使用的ARP欺骗,主要是通过欺骗进行ARP动态缓存表的修改。在重要的主机或者工作站上设置静态的ARP对应表,比如win2K系统使用arp命令设置,在交换机上设置静态的IP-MAC对应表等,防止利用欺骗手段进行嗅探的手法。
除了以上三点另外还要重视重点区域的安全防范 。这里说的重点区域,主要是针对嗅探器的放置位置而言。入侵者要让嗅探器发挥较大功效,通常会把嗅探器放置在数据交汇集中区域,比如网关、交换机、路由器等附近,以便能够捕获更多的数据。因此,对于这些区域就应该加强防范,防止在这些区域存在嗅探器。
四 防范嗅探器应用案例
1、Linux下SSH安装
在www.ssh.com,下载最新版本软件包SSH2,最好下载源程序软件包自己进行编译。
|
这一过程实际上将服务器软件包及客户端软件一起安装了,不必再次安装客户端软件包。 安装程序将SSH2软件包安装在/usr/local/bin及/usr/local/sbin下。
2、配置
SSH的配置文件在/etc/ssh2下,其中包括sshd2的主机公钥和私钥:hostkey和hostkey.pub。这两个文件通常是在安装SSH时自动生成的。你可以通过下面的命令重新来生成它们:(而ssh2_config 文件一般情形下无需修改)
|
3、启动SSH服务器
在UNIX/Linux环境下,服务器程序放置在/usr/local/sbin目录下,启动方法如下:
# sshd
# ps x
如果不希望每次重启动系统,都要手工运行启动,在rc.local中加入一行/usr/local/sbin/sshd。 #p#4、使用SSH
安装好ssh之后,我们可以很方便地在远程服务器上利用ssh获得一个shell。例如,假设我执行:
# ssh cjh@red.forge.net
首先看到系统提示输入密码,输入后我就在远程机器上获得了一个shell。从这里开始,ssh的会话过程和telnet会话相似。但SSH能够确信所有在我和服务器之间传输的数据都已经经过加密。如果你很熟悉rsh和它的选项,那么你很快就可以开始使用ssh。ssh被设计成和rsh具有相同的运作方式。一般情况下,能够用rsh作为传输端口的程序都允许用ssh来替代(例如rsync)。安全复制命令scp的用法也很简单,它的语法和cp的语法很相似。例如,要把my.php文件复制到cjh.org服务器,则我们使用如下命令:
# scp my.php cjh@cjh.org:/usr/local/apache/htdocs/
此时,我们将看到密码输入提示(正如ssh)。接下来,本地机器当前目录下的my.php文件被复制到cjh.org的/usr/local/apache/htdocs/,使用的登录名字是cjh。从使用上看,与Telnet没有什么不同之处。而且有了SSH客户端软件,如果你要上传文件,不必向以前一样再开一个FTP窗口,再次认证,然后上传文件。使用SSH客户端自带的scp工具,就可以直接将文件上传到远端服务器上。
scp命令是SSH中最方便有用的命令,如果告诉你在两台服务器之间直接传送文件,仅用scp-个命令就完全解决.你可以在一台服务器上以root身份运行:
#scp servername:/home/ftp/pub/file1./
这样就把另一台服务器上的文件/home/ftp/pub/file1直接传到本机器的当前目录下。
以上我们讲的是技术方面,对于网络的安全,管理显得格外重要。除网络管理员外其他人员禁止在网络中使用任何嗅探工具包括一些企业高级管理人员,是完全有必要的。这能从制度上明确限制一些工作站主动使用嗅探器的情况。
对于网络管理员来说更重要的是要建立安全意识,了解你的用户(系统管理员越熟悉自己的用户和用户的工作习惯,就越能快速发现不寻常的事件,而不寻常的事件往往意味着系统安全问题。)、定期检查你网络中的重点设备如服务器,交换机,路由器。最好配备一些专业工具比如前边介绍的TDR。网络管理员还要给用户提供安全服务。对用户要定期发送安全邮件,发送邮件是让用户具有安全意识。管理意识是提高安全性的另-个重要因素。如果用户的管理部门对安全要求不强烈,只靠系统管理员也不行。最好让管理部门建立一套每个人都必须遵守的安全标准,如果系统管理员在此基础再建立自己的安全规则,就强化了安全。管理有助于加强用户意识,让用户明确,信息是有价值的资产。系统管理员应当使安全保护方法对用户尽可能地简单,提供一些提高安全的工具。网络管理员要建立合理的用户痛苦量(痛苦量是指安全限制引起的抵制的函数),不能仅仅从技术上考虑问题,还要站在用户的观点上考虑。例如,我们能够想每次Macintosh用户登录时都使用S/Key吗?用户知道的关于安全的知识越多,网络安全就更有保障。
五 总结
嗅探器技术被广泛应用于网络维护和管理方面,它工作的时候就像一部被动声纳,默默的接收看来自网络的各种信息,通过对这些数据的分析,网络管理员可以深入了解网络当前的运行状况,以便找出网络中的漏洞。在网络安全日益被注意的今天.我们不但要正确使用嗅探器.还要合理防范嗅探器的危害.嗅探器能够造成很大的安全危害,主要是因为它们不容易被发现。对于一个安全性要求很严格的企业,在使用技术防范的同时安全管理的制度建设也是非常重要的。
嗅探器技术并非尖端科技,只能说是安全领域的基础课题。对嗅探器技术的研究并不要求太多底层的知识,它并不神秘。实际上我们的一些网管软件,和一些网络测试仪都使用了嗅探器技术。只是许多计算机软件供应商对其一直讳莫如深。回避这个基本事实是不明智的。了解掌握它才是关键。这也笔者的写作动机。
参考资料
The Sniffer FAQ Christopher Klaus. http:/www.netsys.com/firewalls/firewalls-9502/0320.html
Privacy and Security on nternet: http:/www.med-edu.com/internet-security.html #p#
11)他们在您演示之前就发布有关了您演示内容的信息,对吗?
是的,还有补丁。补丁在发布信息之前6个月就出来了。
12)所以他们早就知道这一问题的严重性。
即便他们真不知道,也本应知道的。
13)但思科并没有向其用户指出这一漏洞的严重性。
是的,他们没有。
14)思科在决定阻止您参加黑帽会议之前早就看到你的演示内容,对吗?
大概是6月14日。他们来亚特兰大那天。
两周前ISS告诉我说,思科想跟我谈谈。我就表示,只要思科不说“他在撒谎”之类的话,我是愿意和他们谈的。其实这也没什么大不了的。ISS信任我,让我参加黑帽会议,这很好,因为我觉得思科应该严肃看待我的演示。
(然而,事情又有了戏剧性的转变,ISS命令林恩在演示中不得提及反向工程这一事实,否则将取消这次演示。要是他不照办,就将被公司解雇。)
事态发展又转了个180度的弯。一周左右前,在公司本财季结束那天晚上,大家都兴高采烈的庆祝公司业绩又创新高。公司的首席执行官在邀请我喝啤酒谈话的时候,对我措辞非常强硬。
15)是不是因为思科威胁了ISS?
我直截了当地问过,“是不是思科在威胁你们?”他们说没有。老实说,我认为并不存在任何法律上的威胁。我觉得思科和ISS之间达成了默契,更象是“你敬我一尺,我还你一丈”。
(思科要求林恩晚一年,等新版本的IOS操作系统推出之后,再演示这一漏洞。见林恩不愿放弃原来主张,思科就威胁说要起诉林恩和黑帽会议。随后在黑帽会议的默许之下,思科从黑帽会议书籍上撤下了林恩的演讲用的幻灯片。)
16)在您演示结束之后,与联邦调查局人员见了面,有人还给了你一块challenge coin (军队中纪念挑战性任务的特殊硬币),是这样的吗?
是的,这是一个很有趣的插曲。我当时并不知道这块硬币的含义,没有好好感谢他。在我演示完后,他别着一块很显眼的徽章走到我面前说,“我要和你谈谈。就现在!”
17)他是什么部门的?
有很多部门的人旁听了我的演示。他自称是国家安全局空军特别调查办公室的,但没给我看他的证件。他们把我带至维护区,我被一群人围得严严实实。其中一人问另一人,“车子准备好没?”我听了吓一大跳,叫道“哦,我的上帝”——以为他们要带走我。他们赶紧说,“我们只是开个玩笑!哈哈,我们感谢你还来不及呢。”当时我吓的够呛,一动不动地呆坐在那里。他们都过来和我握了手。
因为事先得知我会做出导致严重后果的出格事,他们也看了我的演示。一旦明白过来我实际上是在向他们提供潜在威胁的有用信息,他们用尽一切溢美之词夸赞我。美国计算机紧急事件反应小组(CERT)还询问我是否愿意去华盛顿住一两周,帮助他们制定国家网络安全战略。
18)思科路由器新版本的操作系统现在还处于Beta版测试过程中。
它采用了更好的架构,但是安全性能却更差。这就是为什么我现在就把事情真相公诸于世,而不是加以掩盖。我认为这一漏洞是可以修复的。
现在的问题是,如果你要进行常规攻击,就必须先黑掉一台机器,然后才能控制这台机器所在的网络。而要是你能利用测试版的IOS操作系统的漏洞,那么就能控制一切。
目前没有用户给思科的路由器打补丁,因为大家都有这么个观念,认为思科的产品不会出问题。因此,除非真的发生很严重的安全事故,人们是不会去打补丁的。现在到了改变他们错误观念的时候了。思科不应该掩耳盗铃,欺骗用户并拖延时间;而应该在出现严重问题之前就直面它、正视它。
19)思科说你发现的漏洞并不严重。
我不能完全同意这一说法。是的,计算机会有漏洞,路由器也不例外——它们都会被黑。任何复杂系统都会出错,这是它们的本性。
但是我坚决反对认为路由器蠕虫之类攻击潜在威胁并不大的看法。黑客控制计算机后很难破坏其中的硬件,但是路由器就不同。
当路由器被攻击后,网络陷于瘫痪,这时你该如何给路由器打补丁?用邮寄补丁光盘的办法?这行不通,路由器可没光驱。
存在安全隐患的路由器就象互联网上的一颗颗定时炸弹,幸运的是我们现在还有足够的时间解决这一问题。我希望人们有所警觉,采取相应的行动。但与此同时,我认为人们现在有点觉醒了。情况没有你想象的那么糟糕,因为使事态无法控制的新版本尚未出炉。
#p#关于信息泄露的一个问题是,信息不可避免地会流入那些“坏家伙”的手中,这样他们就会处于有利地位。如果这真的发生了,任何现实世界里针对带有历史上发生过的不知名的漏洞的产品系统的攻击就不会留下多少证据。考虑一下,如果在社会工程技术年报中有大量的证据,相对于危机人们的安全,不留痕迹地黑某个系统就困难得多。
虽然还未证明,我同意这一看法:那些坏家伙很可能已经在漏洞信息的基础上整理他们自己的思想,或者甚至可能已经展开攻击。但是,他们的做法和我们自己的好同志的做法并不相关(不是吗?),所以,没有理由相信我们找到的漏洞和他们发现的相同(在各种不同的平台上,实在是有太多的选项)。
这意味着,当坏家伙们正嘲笑这些做秀并正在继续攻击我们的时候,我们还在已知漏洞防护上浪费时间。别忘了,我们真正应该担心的是那些未知的漏洞,不是吗?
另一方面,假设我们正在寻找的漏洞和恶意攻击者发现的漏洞相同,那么漏洞发现和透露的过程对于整个英特网来说会是一件好事,对吗?我认为不是这样的。关于透露漏洞,我们在自欺欺人,我们开发补丁,但忽略了真正的威胁——恶劣的漏洞可能还没有进入我们的视线。如果一个威胁真正存在,那么我们会很快分析它并开发出一些保护措施。
一度以来,我们知道应该怎样加强我们环境的安全:通过更有力的配置管理和监测达到表面攻击(attack-suftace)的减少。安全环境并不依赖于针对新漏洞的防护,它加强配置、隔离活动、验证可信组件,并且监测所有的活动。
许多安全供应商的小九九是,他们不相信威胁的真实性,所以自己公布了用脚本就可以破获的新漏洞。大多数漏洞都是他们发现的。但我相信威胁真正存在,不过目前发现漏洞和透露漏洞信息的过程会产生大量脚本级攻击,分散对威胁的注意力。
今天这样的大环境中,解决这个问题很重要。我真想让研究人员、供应商以及企业把所有的时间和资源都花在真正的威胁上,而不是浪费在我们自己想出来的那些让我们感觉良好的地方。
他们说,知识就是力量。显而易见,安全专业人士确实想要一点可以控制局面的感觉。这就是为什么我们抨击像思科和微软这样的大公司的原因,但是,可能事实是这样:我们对某个敌人张弓弩箭,是因为我们害怕林恩之流聪明的家伙和其他的漏洞研究人员发来的友好的机枪。我们并不真正知道他们的软件是不是“足够安全”,可以抵御真正的威胁,因为我们假定不是这样的。不要以为真有一个"绝对安全"的天堂。世间一切都是相对的,安全也不例外。
我们喜欢说服对安全不太在意的同志威胁的确存在,我们还经常讲,我们宁愿知道漏洞的存在。我也是这样的。但我们不可能知道所有的漏洞,所以我们应该以现实为基础开展行动--还有许多潜在心怀不轨的人将会发现的漏洞,不管我们按正规程序怎么做,他们都会去利用。真正的威胁你还是并不知晓。围绕这个逻辑做你的安全计划吧,你的防御将会更有力。
作者介绍:
Pete Lindstrom是滨州Malvern的分析公司Spire Security LLC的研究主管。可以发电子邮件到petelind@spiresecurity.com联系他。
