在偶然或必然间,计算机等信息技术的快速发展与普及,出现了黑客现象。黑客自诞生之日起,便成为一个敏感、神秘而又饱受争议的身份与话题,业界对其“既恨又爱”,但无论如何,无论在中国还是美国等发达国家,黑客在信息技术以及信息安全防御技术的发展中都起到了或积极或消极的影响作用......,不可否认,黑客对“破坏性技术”的执着研究为提升信息安全技术的发展起到了重要的促进作用,因此我们需要研究并从中吸收启迪,做到可控并为我们的正向发展所用。
日前笔者采访了国内资深黑客、安全研究人员,现任杭州安恒信息技术有限公司北方大区技术总监李麒先生,就当前安全发展趋势进行了深入的沟通。
专访嘉宾介绍
李麒,信息安全专家。清华大学TBC、天津大学学士。MCSD、CCNP、CIW、CISP、CISSP、BS7799LA。通过多年从事专业信息安全方面的工作,熟悉各种网络攻击与防范技术。
网络ID:liwrml。前绿色兵团(中国最大的黑客组织)创始人之一,XFOCUS(安全焦点)论坛版主。曾接受过多家媒体的采访,并在相关技术杂志上发表过数篇原创性的技术文章。
多次参与国家级大型信息安全保卫任务。如:“第29届北京奥运会”、“六十周年国庆”、“上海世博会”、“两会”等。曾为:国务院秘书局信息化办公室安全顾问、全国政协机关网信息安全顾问、国家安全部某局安全顾问、总参某部门安全顾问、公安部某局安全顾问。
曾在信息安全行业内多家著名企业任职,如:启明星辰、神州泰岳、亿阳信通等。现为安恒信息技术有限公司北方大区技术总监。
走进黑客世界:现代黑客的三拨走向
中国有自己的黑客大会么,答案是肯定的,XCon大会——中国最专业的安全技术研讨会,吸引了众多国内外资深黑客、安全研究人员。第一届XCon大会于2002年在北京召开,慢慢演化成现在越来越专业的黑客安全大会。但与国外的黑帽大会相比,XCon大会属于后来者,起步较晚,在安全研究方面尚需深入。
当今的黑客世界呈现怎样的状态?以中国黑客发展来说,到现在为止,中国黑客已经发展了4、5代。
中国最早的黑客出现于1996年左右,第一个黑客站点叫“i.am/hack1”,是goodwell创建的,也正是后来绿色兵团的前身。从1996年到2000年这批最早的中国黑客,他们追求的是纯自由或者对技术的崇尚,没有任何其他目的。大家一起讨论技术,哪个ID最先发现新的安全问题、安全技术并发表出来,这是当时黑客所追求的,这是他们的荣耀。
从2000年到2004年又是一批黑客,属于第二代到第三代之间,包括像红客联盟,在2000年左右的黑客大战中,中国黑客义务帮助国内存在安全隐患的政府网站弥补安全漏洞。
从2004年以后到现在是第四代以及第五代黑客,这个时候黑客出现了分裂,一拨还是坚持安全技术研究,这部分人已经越来越少。还有一拨更大的黑客群体则越来越受经济利益的驱动,比如像0x557等黑客组织,他们不单纯为讨论技术而存在,更有经济利益在里面。更有一些黑客,在走网络黑社会的路线,有些利用拒绝服务攻击威胁他人,而有些则利用流氓软件捆绑,在内存里做手脚,通过导航站、导航条或所谓的插件,在内存里弹窗,每天赚取挣几十万的经济利润。这个群体还有一部分人专做木马,比如市面上常见的伯乐马、奥巴马、奥运宝马等各类游戏小马,一套20多款,卖一万块钱,他们通过建立严密的分销和代理制度——金牌、银牌、铜牌等三四级代理进行非法销售。同时还捆绑下载者一起卖,里面的后门不计其数,黑吃黑。所以,严格意义上来说这些黑客更应该称之为骇客。
黑客攻击开始从基础网络层转向Web应用层
原先黑客发起攻击都是通过网络层进行的,但黑客技术促进着信息安全技术的发展,现在基于网络层的基础安全防护措施已经很严密,防火墙、入侵防御、防病毒等安全软硬件一起建立起了非常完善的防护体系,想再从这里钻空子难度很大,对于以经济利益为目的的攻击者,从网络层发动攻击,得不偿失。
现在黑客已经从网络层攻击手段转入Web为主,传统安全体系已经无法做出有效防护。当前安全关注点就在于应用安全,迫切需要针对Web应用层提供完全的解决办法,这是现在的安全重点。
现在国内的Web安全只能算是初级起步阶段,因为目前的传统网络安全防御体系刚刚逐步完成闭环的安全周期,如:基于PDR的防御体系和纵深式防御体系的建立和完善,明确了以资产为保护核心的理念。而又要向Web安全转化和发展是需要一个过程的。说白了就是刚做好网络层防御工作,就发现黑客技术又变了,变的以Web应用为主的攻击方式,这就需要继续加快信息安全建设的步伐,在Web应用安全方面进行大力的投入。当然不能够摒弃否定原来安全架构的建设,最好是加大Web应用安全方面防护措施投入的同时,结合原来的网络层安全防御体系,才能够达到理想的安全防护效果。但毕竟,信息安全都是相对安全,没有绝对安全的概念,我们只能是把安全威胁和风险降低到可以接受的范围内。
中国与外国安全防护的差距
以日本的信息安全为例,当日本需要进行某方面的信息安全建设时,日本的相关主管部门首先会建立相关标准,然后各需求公司会按照标准进行安全建设。而目前国内则是完全相反,各需求单位、公司会先进行相关安全建设,然后再去与国家相关标准靠拢,或者寻求其他途径解决标准问题。
另外,现在国外更加注重安全度量——Security Metrics,会对安全数据进行统计,形成图表,让安全可见、可视,直观体现安全的价值所在,看到安全建设的效果。
最后,Web应用安全也是当前国外的安全防护主要方向。比如强调对于SQL注入、XSS跨站等攻击的防护。
软件漏洞将成为今后黑客利用重点
从最早1988年莫里斯蠕虫开始、2003年爆发冲击波病毒,到今年大兴其道的网络钓鱼、挂马、社交工程学攻击。可以看到病毒发展史是,从最早感染单机电脑,比如引导区、扇区转化成蠕虫性质,基于网络大规模传播性质,像一个交叉线一样。以前是单独的病毒体制,病毒和蠕虫不是一个概念,病毒是不断的复制自己,蠕虫是利用系统本身的漏洞进行传播。而现在发展成两者融合一起,新一代的攻击技术出现了,病毒技术加蠕虫技术既利用系统漏洞攻击进入系统,还通过受感染系统迅速传播、不断复制,像SQL Slammer病毒就是利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击和传播,蠕虫加病毒的方式现在最为可怕。
另外,软件漏洞会成为今后的重点。以前黑客攻击主要利用系统自身的安全漏洞,而现在利用软件漏洞进行攻击的越来越多。比如,黑客可以利用Microsoft Office组件的问题,能够在Word里嵌入一段代码,当打开Word文件后,代码也将自动执行。也就是说,当你打开文件在看内容的同时,主机很可能已被黑客控制了。同样的问题还出现在:Realplayer播放器、Adobe PDF阅读软件等。另外,黑客与微软之间的“漏洞PK补丁”战争,使得可以利用的系统漏洞愈发少见,这使攻击者的目标开始转向诸如Flash、千千静听、暴风影音这类常用软件暗藏漏洞的挖掘利用。所以由于软件漏洞所引发的安全问题是非常值得重点关注的。尤其是涉密人员和单位要时刻警惕,不要随意打开陌生邮件或未知不可信任的文件。
安全向来都是相对的,没有绝对的安全。比如Windows7,Windows7从某种程度来说是很安全,比如做好主机安全策略、日常使用规范、加防护软件等等,短时间内它是安全的,但是仍然面临很多风险。现在突破Windows7的攻击手段越来越多,目前有些木马就能突破Windows7的UAC防护。但攻击永远是防不胜防的。
从应用安全到数据安全
对于普通用户、网友来说,他们最关心的是自己的网银账号、网游账号、电子邮箱账号......等各类个人账号、密码、隐私是否会被盗,自己的电脑是否会感染木马病毒,个人如果解决这类问题的话,实际很简单,只要安装好常用的安全防护软件就可以,如:360。定期对系统进行扫描和检查,发现问题及时修补。
企业在安全需求上则不同,企业所需要的安全防护更广泛,比如采用Web应用防火墙,对企业的B/S应用系统进行安全防护;采用Web应用安全扫描器,对企业的网站系统进行定期扫描,发现问题,解决问题;采用数据库审计系统,对企业的核心数据库进行审计和记录,发现蛛丝马迹,谁在什么时间做了什么,有据可查等。
另外,安全管理是极为重要的部分,也是最难去做的部分,因为安全设备之间还没有统一的标准。各家不一样,接口不统一。
现在有些用户希望在建立大的安全管理中心同时,结合后台运维或者自己有一套运营系统。这是一个很好的理念:人、技术、流程、标准、运维,再结合动态防御,形成大的安全防护体系,同时建设安全管理中心,提高安全服务水平,从而能够达到安全状态可视化、可运营化。但实现起来依然困难重重,这也是目前安全的瓶颈之一。
三分技术七分管理
再好的技术和产品也要看如何使用、怎样使用,安全向来是三分技术、七分管理。购买再全的安全设备,但如果没有很好的安全意识、没有很好的安全管理制度、体系、相关规定,包括人员方面的建设等,而仅仅进行了安全设备的罗列和部署,实际上等于将安全设备都扔在一边不用是一个道理,那整体安全水平还是很低的。
当前的安全将会逐步以应用安全、Web安全为主,慢慢发展起来。而最重要的是:加强人们的安全意识是当前最为紧迫的问题。
原文链接:http://tech.ccidnet.com/art/3885/20100920/2194869_1.html