隨著網(wǎng)絡(luò)安全內(nèi)涵不斷擴展����,信息安全對抗已經(jīng)進入新的階段���,既有國家層面的網(wǎng)絡(luò)安全空間對抗,也有組織間的APT(高級持續(xù)威脅)攻擊與反APT攻擊之間的對抗����。而作為攻防對抗的主體,“黑帽子”與“白帽子”之間的較量從沒有停止����。
隨著網(wǎng)絡(luò)安全內(nèi)涵不斷擴展,信息安全對抗已經(jīng)進入新的階段�����,既有國家層面的網(wǎng)絡(luò)安全空間對抗�,也有組織間的APT(高級持續(xù)威脅)攻擊與反APT攻擊之間的對抗�。而作為攻防對抗的主體,“黑帽子”與“白帽子”之間的較量從沒有停止�����。
平凡的白帽子和數(shù)據(jù)中心的夜
深夜,還是在數(shù)據(jù)中心機房�����,唐楠熟練地運用WVS�����、NetSparker等各種漏洞檢測工具掃描著每臺服務(wù)器主機�。6個小時過去了,最終他發(fā)現(xiàn)了238個安全漏洞��。其中�����,高危漏洞100個���,中危漏洞23個��,低危漏洞73個�,而其他的敏感信息還有42條����。那么����,拿到這些漏洞之后�,唐楠準備干什么?
“如果黑帽子拿到這些漏洞就麻煩了,它們會立即利用網(wǎng)絡(luò)��、主機���、應(yīng)用系統(tǒng)中的漏洞缺陷展開攻擊��,篡改網(wǎng)頁�、注入木馬��、盜取信息����,或是長期潛伏下來,展開‘橫向移動(APT攻擊中的重要階段)’����,最終盜取用戶的核心機密。” 唐楠對發(fā)現(xiàn)的數(shù)百個漏洞并沒有任何喜悅之情,卻是十分擔心��。
曾作為核心技術(shù)成員��,唐楠參與了中美黑客大戰(zhàn)��、中日黑客大戰(zhàn)這些有影響力的黑客大戰(zhàn)�。他還是國內(nèi)第一批通過CCSP(思科認證網(wǎng)絡(luò)安全專家認證)���,擁有VPN專家證書�����、IDS入侵檢測專家證書�、防火墻專家證書��、信息安全專家證書��、IOS專家證書的信息安全專家�����。隨著國內(nèi)信息安全產(chǎn)業(yè)的快速崛起�����, 唐楠帶著這頂“白帽子”,選擇加入了浪潮��。
而我們之前看到的漏洞掃描��,正是浪潮“151計劃”的一部分���。浪潮的“151計劃”涵蓋工程師培訓�����、主機安全知識普及和客戶免費體驗幾個方面���,將面向100個重點城市培訓并認證培訓500名 ISCE(浪潮主機安全)認證工程師,并為1000名用戶的數(shù)據(jù)中心提供免費漏掃及測試�����,出具專業(yè)報告����,協(xié)助用戶落實信息安全等級保護工作。唐楠掃描到這些漏洞信息會被整理為用戶“看得懂”的檢測報告���,并幫助用戶最終化解潛在危險�。
浪潮151,一次有組織的白帽行動嗎?
在黑客的世界中���,黑帽子和白帽子的稱呼分別代表兩種對立的角色——以網(wǎng)絡(luò)信息牟利的惡棍和保護網(wǎng)絡(luò)安全的英雄��。他們看不見對方,只能在一次次過招時才能感受到對方的存在�����。那么��,浪潮主推的151計劃�,是一次有組織的白帽行動嗎?
“從形式上看,在漏洞掃描這一部分很相似�����,漏洞是雙方攻防的焦點�。但從整體流程和最終實現(xiàn)的效果上看,浪潮‘151計劃’不限于提交漏洞信息這樣簡單��。告知用戶漏洞的存在只是第一步����,最終目的是從實質(zhì)上解決信安問題�����。” 唐楠指出了“151計劃”和“白帽行動”的不同之處����,還介紹了用戶看到“238個安全漏洞”之后的故事�����。
238個安全漏洞��,黑客真的進得來嗎�����?
浪潮“151”計劃覆蓋的1000名重點客戶中����,很多都是政府行業(yè)的用戶。而這次用戶所涉及的系統(tǒng)有社保系統(tǒng)���、戶籍查詢系統(tǒng)等�,涉及了百姓民生。如果這些漏洞被“黑帽子”利用�,極有可能發(fā)生個人身份證信息、社保參保信息�、房屋產(chǎn)權(quán)信息、個人聯(lián)系方式泄露的情況�。而這些信息將淪為地下黑市明碼標價的商品。
第二天����,唐楠和信息安全事業(yè)部的工程師提前40分鐘趕到了用戶的大會議室���,但是里面已經(jīng)坐滿了人��,不僅有技術(shù)人員��、主管領(lǐng)導���,連“一把手”也來了。由此可以看出用戶對漏洞細節(jié)的重視程度�,但如果設(shè)身處地的分析用戶所處的行業(yè)背景,以及曾經(jīng)遭遇黑客攻擊的情況�����,就不難理解客戶‘為何上心’了。“當我在大屏幕上展開這份漏洞掃描報告時�����,238這個數(shù)字確實讓用戶大吃一驚��。臺下開始有人開始竊竊私語����,嘈雜聲隨著領(lǐng)導的一聲咳嗽停止了。但由于不太可能將所有漏洞都展開說��,我重點對風險級別達到3級�,黑客可以直接獲取主機控制權(quán)的高危漏洞進行了說明。”唐楠詳細介紹了第二天的情況�。
接下來,為了讓用戶可以感受到這些漏洞的危害��,同時也是“一把手”的要求����,“我利用高危漏洞中的Cross site scripting(跨站腳本漏洞),全面展示了黑客可以收集數(shù)據(jù)的情況��。這個漏洞可以將JavaScript���、VBScript�、ActiveX、HTML或Flash脆弱的應(yīng)用程序來欺騙用戶����,攻擊者可以竊取Cookie會話接管賬戶、模擬用戶的細節(jié)�。最后,我在用戶的Web服務(wù)器主頁上修改了個‘逗號’!”
這個操作很嚇人��,不過被修改的“逗號”卻展現(xiàn)了一名白帽子基本技能����,驗證黑客“進得來”可能性。但這些都不是關(guān)鍵��。
“防得住”才是浪潮“151計劃”的最終目的
唐楠前面介紹過���,浪潮151計劃與普通白帽子行為的區(qū)別在“防得住”。“在現(xiàn)場���,我和同事一起給客戶提出了差異性的安全解決方案�,包括:Web服務(wù)器的安全部署���、虛擬化應(yīng)用分層部署���、數(shù)據(jù)庫主機訪問權(quán)限控制和漏洞修補�、應(yīng)用程序進行監(jiān)控保護��,以及利用浪潮SSR訪問控制的“三權(quán)分立”技術(shù)對關(guān)鍵文件及數(shù)據(jù)進行分權(quán)管理����。”
漏洞掃描、模擬入侵��、現(xiàn)場解決����,這三部曲下來,用戶充分肯定了浪潮151計劃的意義���,并對唐楠 高深莫測的網(wǎng)絡(luò)安全技術(shù)高度認可���。在后期,用戶不僅試用了相關(guān)安全產(chǎn)品����,同時還在唐楠的帶領(lǐng)下��,針對WVS����、NetSparker等各種漏洞檢測工具和主機安全管理流程進行了培訓和考核��。
“處于防御姿態(tài)的白帽子黑客在與黑帽子黑客的較量中��,贏一次不能算贏�����,輸一次就永遠輸了�����。但是���,由于151計劃中的任務(wù)還很多,我們不可能長期駐守在一個用戶的機房里����,因此,把這些‘防得住’的意識�����、方法、手段�����、經(jīng)驗���、工具留給他們����,最終起到效果�����。而這就是我的工作�����。” 這是唐楠在采訪最后談到的�����,而他正是參加過黑客大戰(zhàn)、在浪潮扎根的一名最普通的白帽子��。
