提起渗透性测试(模拟黑客进行“合法”的网络入侵测试),人们自然会想到黑客,好象做这种测试的只有真正的黑客才可以做到,但黑客通常是“虚拟网络”中的人物,与现实生活中的人很难对应,对于他们的行为感到神秘也是自然的。测试与攻击有什么不同呢?我刚从事安全研究时也很困惑,攻击是不按常理出牌的思维,遵循套路的只能是表演,不会实用,那么安全公司的专家们是如何进行渗透性测试呢?
一般来说,这种测试的过程都是半隐蔽的,不同的安全公司、不同的人做这种测试的结果差异巨大。我们最终看到的多是一些结果报告,多数的报告是“模板”式的,开头是一大堆发现的漏洞,结果里总说这有问题,那有问题,但究竟问题对用户数据安全、业务服务的具体影响?这个漏洞是否可以成为入侵的窗口?入侵者能否躲避开监控系统的眼睛,能否躲开安全管理者为他们设计的种种“陷阱”?能说明白的就非常少了。有漏洞不希奇,漏洞也分不同的级别,“虱子多了不咬”,用户看了,一般都被搞得“找不到北”。反正“安全专家”说:网络漏洞还很多,具体什么问题就不说了,怎么办呢?赶快买安全设备吧,花钱的时候别心痛,反正是国家的钱…花钱事小,安全责任重大啊…
这种报告里,渗透的“实际成果”很少,有些“吓唬”用户的意思,漏洞是否可被利用,究竟能产生多大的危害,才是用户真正想要的。当然安全公司这样做也有些无奈。一是要真正能渗透,并能取得“战果”,需要利用很多的黑客工具,绕过自己安全产品的最新跟踪技术,同时测试参与者要具备相当的“黑客实战”能力,这一点,商业化的安全公司显然是无法标准产品化的;二是真的获取了用户的机密资料,客户能接受吗?很多客户的安全测试大多是例行公事,发生了安全事件,就牵扯责任问题,问题就变得复杂了。
为了说明这种无奈,我们先看一下一般企业的网络结构图:
一般攻击来自互联网(大家最容易接受的),主要是企业的互联网门户(如网站、公共服务器等)、互联网出口、企业VPN访问网关等,都是攻击的首要位置,但实际上入侵通过企业办公区域网络接入、办公区域WLAN接入、员工移动电脑木马等内部方式更为方便、直接。
虽然安全公司与企业签定“合法”渗透协议、保密协议等,但若真的企业机密被测试者拿到,企业也非常没有面子,当然也就不是很高兴了,因此,大多数的安全公司采用了“黑盒表面”测试,黑盒就是不探明网络内部结构,不用发现机密资源的具体位置与获取方式,重要的是:表面测试不用细致分析企业内部业务流程上的安全漏洞,只在网络“表面”做攻击;所以,只要发现网络可入侵的漏洞,在报告中告之客户这个漏洞是存在的,是有可能被利用进行入侵的,基本就停住了,再往深一步的入侵,除非是用户强烈要求。
正是基于这样的想法,安全公司与用户安全管理者都很有面子,项目操作很容易标准化,双方都非常乐意接受。当然,同质化的结果就是渗透性测试的价格非常低廉,与通用的风险评估相差无几了。
最初的渗透性测试不是这样,应该说是一些黑客“从良”后的善意工作,渗透就是入侵的真实模拟。
《入侵的艺术》中记录了一个小故事:“一双袜子”
本栏目更多精彩内容:http://www.bianceng.cnhttp://www.bianceng.cn/Network/Security/
一家制作数字购物卷的公司请安全公司对自己的网络做渗透性测试。如何“入侵”呢?该公司以数字信息为生,购物卷就是钱,公司对系统安全很重视,密码系统非常完备,尝试破解是困难的。入侵者观察了商家如何兑换购物卷,因为测试协议给了他们一个商家账号(模拟用户),他们通过这个账号进入兑换系统,很快发现兑换系统有个应用漏洞,能执行入侵者的任何命令。
兑换中心的计算机与制作购物卷的公司是连通的,利用域信任关系,入侵者很容易进入到公司内部网络,并发现了制作购物卷的系统,通过商家的业务定单系统很容易给这个“造币机”下达指令。入侵者可不只是显示个用户提示符(成功登录),而是给自己制作了一张购物卷,金额是难以想象的,折合美元为19亿元。
入侵者用这张购物卷在商家的网站上订购了一双袜子,交易成功,商家不得不为这双价值19亿的袜子买单,因为购物卷是“真”的,当然,袜子也是真的…