2011年的互联网信息安全攻击事件,除了常见的针对操作系统的漏洞攻击,针对金融机构的钓鱼网站攻击之外、还包括以日本索尼千万级用户和国内CSDN超过600万用户密码泄露为代表的针对互联网用户的安全事件。这些安全事件的发生,其本质也离不开对各种安全漏洞或者是0day漏洞的依赖,这也为安全漏洞的挖掘分析提供了参考。2012年,以基础设施的漏洞安全、云安全、社交网络的信息泄露、移动智能终端的安全以及APT高持续性攻击为代表的关键词汇,将成为信息安全领域的研究热点。
1、 基础设施安全漏洞
此类以微软和苹果为代表,涉及到操作系统、浏览器类等。这一部分基础设施类的应用程序研究重点有三大部分:
1)以微软为代表的操作系统类的产品安全漏洞:2011年微软共发布了接近100个安全补丁,修复的包括操作系统内核、Office系列办公软件、IE浏览器等近200多个安全漏洞;
2)非微软系的操作系统和浏览器安全漏洞:如Mozilla公司的Firefox、谷歌的chrome浏览器以及苹果的Safari等,这些浏览器已经占据超过40%的市场份额,是除微软之外另一个不可忽视的部分。2011年苹果公司也发布了数十个针对苹果MAC OS操作系统和Safari浏览器的安全漏洞,仅在2011年7月份就发布了多个针对Safari浏览器安全漏洞,如CVE-2011-0218/0221/0222/0225 /0233/0234等,通过这些安全漏洞容易诱使用户访问网页并被植入恶意代码;
3)以Oracle数据库及Adobe为代表的典型应用程序安全漏洞:仅在2011年第四季度,甲骨文就发布了57个Oracle关键补丁更新,涉及到多个Oracle数据库版本和中间件,其中有22个是远程登录漏洞,最高级别的补丁为Solaris操作系统更新,其一旦被黑客利用将造成数据库被远程控制的巨大危害。而黑客利用Adobe的flash安全漏洞,也成功的实施了影响巨大的RSA安全攻击事件。考虑到这些应用程序的基础设施类的定位,2012年这仍然是安全研究领域的重中之重。
2、 云计算环境下的安全风险
无论是大型云计算服务商的公有云或是企业的私有云建设,云安全始终是整体建设方案中不可缺少的部分,尤其对于公有云服务而言,用户对于自身的数据在云中安全性的担忧正在阻碍云计算的发展。2012年,针对云计算环境下的三类安全风险,仍将继续存在并成为研究重点。
1)虚拟化软件厂商各种底层应用程序的安全漏洞。典型代表如VMware、Citrix和微软的虚拟化应用程序ESX/XEN/Hyper-V,这些应用程序的安全漏洞将影响到主机的安全,另外还包括以vCenter为代表的虚拟机管理程序,因为其覆盖了整个虚拟架构下的多个虚拟机管理,一旦其安全漏洞被利用将可能导致整个虚拟架构不能正常工作。2011年,VMware和微软都公告了多个安全漏洞,如VMware ESX的lsassd服务存在远程拒绝服务安全漏洞(CVE-2011-1786),vCenter Orchestrator存在远程代码执行漏洞(CVE-2010-1870)等;
2)承载在虚拟机之上的多种应用程序的安全漏洞。这些应用程序是云服务交付的核心组成,包括WEB前端的应用程序、各种中间件应用程序及数据库程序等。这些应用程序本身,即使在传统网络安全环境下,仍然会因为编程技术的缺陷而存在多个安全漏洞;在云计算环境下,这些安全漏洞仍然会继续存在,典型如各种WEB会话控制漏洞、会话劫持漏洞及各种注入攻击漏洞。同时为了适应或使用虚拟化环境下的各种API管理接口,也可能导致一些新的安全漏洞。2011年德国某大学爆出亚马逊WEB服务存在多个安全漏洞,攻击者通过XML签名封装攻击获取了很多客户帐号的管理员权限,从而可以随意创建或者删除客户的镜像文件,同时他们也发现亚马逊云服务存在多个XSS跨站脚本的安全漏洞。类似的问题在各大云计算服务商的环境中应该是普遍存在的;
3)用户身份认证授权管理系统的安全漏洞。在所有的云服务包括每个云服务的管理界面,都需要针对用户的身份管理、认证、授权和审计,确保“合法”的用户访问正确的服务器,在这种情况下,薄弱的用户验证机制,或者是单因素的用户密码验证很可能产生安全隐患。同时,针对公有云服务而言,按需的自助服务是其重要的特征,而这意味着云服务商需要提供一个自助服务管理门户,便于用户进行身份认证及访问权限管理。此时,认证管理系统本身的安全漏洞将导致各种未经授权的“合法“访问。一旦发生这种未经授权访问,黑客完全可以借助HTTPS加密等手段,逃避传统安全防护系统的检查,实现对用户后台数据的恶意访问。
3、 社交网络的信息泄露安全
2011年,从索尼超过千万级别用户的个人信息和信用卡信息泄露,到年底国内以CSDN为代表的超过600万互联网用户的账号密码泄露,信息安全泄露在这一年成为了网民关注的焦点。数量庞大的网民一夜之间发现互联网的安全风险就在自己身边。黑客产业链也认识到大规模互联网用户信息的价值,除了常规的SQL注入等手段实现对企业关键数据库的信息窃取之外,针对社交网络或游戏类服务商保存的用户私密信息的窃取,将成为2012年的黑客兴趣所在。在黑客的眼中,社交网络的账号信息和用户的信用卡一样具备吸引力,黑客产业链中甚至不乏专门活跃在各种论坛中进行社交网络账号信息交易的罪犯,只要获取了规模的用户私密信息,就可以价值最大化的谋取经济利益。尤其是社交网络集聚了相互信任的亲朋好友,如果黑客成功登陆了你的社交网络账号,便可以轻易的对用户的好友实现经济欺诈。从技术实现的角度,黑客第一步仍然需要通过诸如SQL注入等方式突破社交网络服务商的关键数据库并获取完全读取权限。因此针对知名社交网络服务商的关键数据库应用的安全漏洞分析和挖掘,应该重点关注。
4、 移动智能终端的安全
移动互联网的市场正在快速扩大,以苹果和谷歌为代表的移动操作系统智能终端也在快速流行。根据Gartner预测,截至目前全球已经有超过4亿的智能终端互联网用户,而国内三大运营商的3G智能终端互联网用户也已经达到千万级别。如此庞大的用户规模势必带来潜在的互联网安全风险,如手机被植入恶意代码导致进行恶意流量下载,恶意电话拨号产生高额电话费,或者是通过窃取用户手机聊天工具和网上支付的机密信息获取经济利益,从而对移动用户的互联网安全产生严重危害。
从另外一个角度看,现阶段移动智能终端大量的特色应用,如苹果或安卓应用商店,苹果的icloud云共享服务,客观上更加刺激了黑客对移动互联网安全的兴趣。黑客可以通过发布带有恶意代码的应用程序侵入用户智能终端,一旦拿到用户在苹果云中的ID和登录密码后,将轻易窃取到用户在云中共享的各种数据并从中牟利。2011年3月份,由于发现了恶意应用,Google被迫从其安卓应用商店下架了大约50个应用。同时苹果在2011年也发布了数十个危害严重的涉及到iPhone和IPad的安全漏洞。2012年针对移动智能终端操作系统的安全漏洞分析、以及针对移动应用商店应用程序的恶意代码检测,仍然是安全研究的工作重点。
5、 APT高持续性安全攻击
APT(Advanced Persistent Threat),顾名思义就是一种高级持续性攻击,这种攻击的攻击者有明确的攻击目标,攻击行为通常持续较长的时间,部分攻击可能存在数天或者是数月。在设定攻击目标后,黑客往往通过多种手段包括社会工程学的方式,逐步获取目标组织内部的傀儡机权限并作为跳板,在多个不同的时间段轮番进行攻击。在这个过程中,包括零日漏洞、钓鱼垃圾邮件、SQL注入等技术手段常常被利用,入侵之后,黑客往往通过压缩或SSL加密等技术手段将数据传送到后端,以避开企业内部的常规安全防护系统的检查。典型攻击如2011年3月,RSA公司部分SecureID技术和重要客户的信息被窃取,导致很多使用RSA SecureID作为认证凭证的客户网络,如洛克希德马丁公司,遭到攻击且资料被盗。在这次攻击事件中,黑客向RSA的部分员工发送了暗藏Adobe flash 0day漏洞(CVE-2011-0609)的电子邮件,有员工点击该Email并导致其机器被注入恶意代码,从而使得远程攻击主机通过指令控制该傀儡机并入侵RSA的开发服务器(Staging Server)。预计在2012年,该类型的安全攻击将持续存在并更加具有目的性,针对APT的安全研究将为企业的攻击检测和防护提供参考。
各安全研究机构,在紧密围绕上述几个领域关键词的基础上,结合自身在各领域内的技术积累情况,针对重点系统应用进行安全分析,提前掌握高危安全漏洞隐患,必将提升信息安全产业的风险防范能力。