Tag Archives: 腾讯

时代变啦： 在WEB旧时代好多站点我们告诫用户你只上你信任的站点，不要上人家发给你的站点，上面可能有挂马。这时候用 户只关心站点，或者你用QQ发一个URL他会标注安全的站点，可能普通用户看见打了勾肯定是安全的。普通用户主要依赖于防范病毒的产品保护来自不可信站点 的攻击。但是在新的时代，安全的站点也不能保证你的安全，因为你通过Web2.0的方式，内容是由很多不可信的用户提供的。所以，用户还要要关心站点的安 全和历史安全信誉。虽然是一个正规的大站点，但是如果连续不断地被挂马，对于这样的站点，用户就应该认为它是不可信的。另外在复杂的体系结构中已不能依赖 原先的保护技术，因为很难防御所有入侵和0DAY，防御动态攻击的内容。  Windows底层和漏洞挖掘方面的专家方兴就现今Web2.0领域的安全问题与解决方法与到场嘉宾进行分享。 以下为方兴发言实录： 方兴：先做个自我介绍，我叫方兴，以前主要关注的领域是操作系统安全漏洞的挖掘，但是现在我给大家做Web2.0的演讲，实际我是抱着学习的态度，因为腾讯公司作为一个网络，在WEB方面的研究应该比我更多一些。首先我们来预览一下今天讲的主要内容。今天WEB时代的安全与发展风险，相对于以前WEB1.0的时代增加了哪些问题。其次我们来看待它的新的安全需求。最后我们来看它的整个安全发展情况。 为什么我这个题目叫新WEB时代而不用 Web2.0呢？因为Web2.0只是一个开始，只是个时代发展的序幕，它最终的目的是要发展成为取代现代客户端计算的模式。以Web2.0为主要的运用成为了一种趋势。WEB运用逐渐向传统的应用领域渗透，比如我们经常去的Google这家网站。它最终的发展目标就是要把INTERNET变成为数据处理和储存的中心，网络取代传统的OS成为应用的中心：网络既计算机。 这里是一些统计数据（图），关于Web2.0目前的发展趋势。80%以上的基于网络的公司都投资在Web2.0当中来进行开发。在2007年，30%的客户都基于商业上的应用技术。预计到2008年，基于服务器服务构架的SOA会逐步朝着这种模式发展。在当前，安全是WEB向这方面发展的主要障碍之一，因为成为数据和存储处理中心，将会带来很大的安全风险。 在新的WEB时代存在一些什么样的主要特征呢？这些特征又会给我们带来什么样的安全风险？首先，它跟传统的我们以前的WEB时代存在的区别：第一、处理和数据控制集中化，因为它最终目的是把所有的网络计算核心从客户端拿到网络端上。而以后客户机只扮演纯粹的浏览界面的角色，所有的核心数据、核心的处理全部都在网络端。第二、它的内容来源控制分散化，这是当前我们在Web2.0当中看到的最大趋势，以前的WEB1.0是以我为主，比如新浪作为一个新闻中心，我发布了，作为受众来说是被动接受，以前 WEB1.0是核心控制的，但是在Web2.0我们发现草根阶级的应用上来了，它的各种内容不再依赖于核心端来发送，而是依赖于用户主动提供，比如你的博客，你个人提供的各种内容取代了以前核心控制端发布的内容。从数据来源上看它是分散化的。第三、应用网络化。网络应用正逐步蚕食掉现在桌面的应用，而用网络的方式来实现。在这一点上面，以前Google在这方面的表现是最具竞争性的，它想取代微软作为IT行业的霸主，因为作为微软来说它核心的 Windows操作系统已经占有了不可动摇的地位，想要动摇它的地位，只有把所有的应用都逐步换成网络模式，用户就不再需要你的OS，不再需要你的操作系统，他就能真正地从微软的手上取代它的霸主地位，这是它的策略。第四、内容聚合化，因为以前是单一的站点，但是随着未来的发展，信息是逐步交叉的，在 Web2.0上更多地要对内容进行聚合，对不同内容信息来丰富页面，提供更强大的功能。这些特征都将带来新的安全风险。 在处理和数据控制集中化，比如我们的 Gmail，随着Gmail，网络硬盘提供的数据越来越多，都是直接存在网络上，你的操作全部都是放在上面，它处理和数据控制形成了集中化。从需求因素来考虑，首先是数据和处理要集中化，成为计算中心。但是这样会导致一些问题，第一是敏感和隐私数据集中存在，比如以前大家上WEB Mail，商务信件都放在本机。但是现在用Gmail都懒得删除，反正用10G的硬盘，但是你会发现越来越多的敏感信息都放在网络，一旦你相关的邮件信息被黑客攻破，他们就会获得你的很敏感的商业信息。第二是应用越来越依赖网络，一旦网络出现故障，比如台海地震，中国很多的靠进出口加以贸易就会出现损失。再就是大量的海量数据会导致WEB服务器端构架复杂化。 从内容来源控制的分散化，它主要表现在博客、维客和播客上，需求性因素是站点要给用户提供个性化的内容、满足用户的表达和传播需求。它会导致用户和内容海量膨胀，比如新浪有几百万的博客，有几千万用户在上面，每天更新的博客文章数据都是海量增长的。但是，因为它开放了这种平台，导致用户可以在受信的平台上面放置恶意的内容，比钓鱼、木马。用户会认为新浪一个很好的公司，他这个平台上的数据都是可信的，肯定不会做这些事情，根本就不会想到它上面依然可能由于用户提交的内容而存在木马等恶意内容。 从应用网络化的表现，主要表现在 WEBOS，WEB OFFICE等。它需求性的因素是因为网络应用要逐步取代传统的桌面，它要有能力提供越来越多的应用以及应用开发接口。网络最后要取代传统的OS，成为计算中心的话，我们去观察一下以前Windows操作系统为什么能程度一代霸主，因为它提供的很多开发接口，海量增长的应用使得OS极大的满足了用户的需求，用户可以去编写自己或许客户定制需要的程序，未来相信网络要逐步取代的话也会出现这种提供开发接口的平台，允许你在网络平台上编写应用，最后再组合起来。这样会导致比如引入新的技术，比如AJAX技术，对会话状态的依赖，以前WEB1.0对会话状态并不是很依赖。但是网络的应用就要求你本身具备这些复杂会话状态的跟踪和管理。 再就是WEB的应用逻辑会越来越复杂化。无论是服务器还是客户端的代码都会复杂化。另外我们看到浏览器的功能越来越复杂，互相嵌入性的操作越来越多。另外是WEB服务器构架也复杂化。因为网络的后台需要包括数据库等相关所依赖的技术来支持，它会变得很复杂。 内容的聚合化表现最多的就是搜索引擎以及 RSS，需求性的因素是网络需要更多的互动，使其关联与互操作。比如搜索引擎会自动搜集网络上的很多内容，RSS则直接嵌入内容。为了保证访问性还采用了一些CACHE方式，这就导致攻击者可以采用内容聚合来推广他的恶意页面，同时使得数据感染性增强。 我们来着重看一下这四点导致的安全风险。数据保密要求增高之后，敏感隐私数据泄露途径增多，以前可能只存在你的机器上，现在存在服务器上，可以在你的通讯途中被窃取，你保存数据的服务器被攻击，或者是其它的各种方式，都可能导致你的数据损失。另外，你无法保证服务的提供商不利用你的敏感和和隐私数据。这当中最常见的就是朋友圈、MSN朋友圈、QQ朋友圈，他要求你提交用户和口令向你的好友发广告，实际上就利用了里的敏感信息来做非法的事情。 数据依赖会导致安全风险放大，可能影响海量用户，比如信用卡的泄露，信用卡一被泄露都是几百万、上千万的客户受到损害。另外就是DOS攻击和意外事件也会导致大量损失，因为越来越依赖网络的时候，它的拒绝服务攻击的厉害程度，包括整个商务、商业上面的应用影响都会增加。 从内容来源控制分散化带来的安全风险主要是内容不可控性增加，因为恶意客户可以方便的借助受信平台发起攻击，而你没办法进行检测。而且众多的用户提交内容检测困难。另外就是用户不可控性增加，虽然在你上面注册的ID，但是对海量用户的存在进行追查是非常困难的。 应用网络化带来的安全风险。因为应用网络本身就会带来数据的集中化，导致互操作性增加，多域应用，外部内容来源增加，比如BASECAMP是帮助企业做调度和任务管理的Web2.0，但是我们就发现它上面存在不过滤上传内容，你直接可以在里面加上脚本代码发起攻击。用户间的互影响性增加，大家都知道使MYSPACE蠕虫，通过一个用户的版本可以瞬间传递给所有的平台上的用户。再就是程序复杂度增加，以前的WEB应用逻辑大家都知道相对简单，但是随着未来的发展，它肯定要增加越来越多的复杂程序逻辑，才能满足把网络中心变成网络及计算的理念。而WEB应用存在的最大问题是：第一，WEB网络应用未得到广泛的安全测试，因为它大多都是小的厂商，相对来说像微软这种巨无霸能一家完全控制得WEB应用提供商目前是不存在的。比如我们以前说微软的安全很差，但是微软很庞大，所有的技术都是用它，一旦它有决心来改正这个问题，它可以用很多资源把安全作的恨号。Vista用了几年时间就把安全级别提到很高，在2007年，黑客发布的能确定影响到vista的攻击代码只有3个，而XP下面的数据则是30多个。但是对于WEB来说不存在这样的情况，WEB应用的厂商太多。再就是它的开发缺乏安全过程，都是小团队开发，做得好一点的也只是用用一点安全编程的规则去检查代码。另外，Web2.0还是在不断发展的技术，它为了满足前面提到的把计算到网络化，它要不断地采用新技术，增加各种动态性应用的技术。这些新技术会带来新的安全弱点。另外，动态性的增加代码，也会引入很多新的困难。包括对攻击代码的检测，利用时间的动态性、应用的动态性。以前的对恶意页面的反病毒检测，都没办法实时动态跟踪检测，利用这些新技术的动态性，会对检测技术提出很大的挑战。 再一个是浏览器的安全模型会越来越复杂，它涉及到众多的插件，像Flash的as脚本，FLASH是支持脚本操作的，但是由于一经被编译，攻击者可以把恶意脚本放在Flash里导致无法检测。还有跨站和域的安全问题，包括特定的像URL欺骗的问题，这都是我们常规的方法难以解决的安全性问题。引进的新的技术带来的复杂度，会增加安全检测的复杂度，大家都知道，AJAX在页面当中是不用刷新页面，通过AJAX通道动态去获得后台的内容。如果攻击者在运行当中通过AJAX获得恶意内容，然后再对你进行攻击。我们现在有的各种检测技术，特征方面的检测方法都很难检测到这种方式。 这是基于Web2.0复杂的架构（图），在这个图中我们可以看到，WEB2.0的体系结构比WEB1.0复杂很多，而且可以预见：未来为了支持更多的网络应用，会更加复杂。 在浏览器端增加了AJAX、RIA、FLASH的支持，在结构的数据传递上，现在可以做出更加复杂的数据进行传递。在结构上面以前是普通的参数传递，现在可以支持各种RPC的调用以及复杂的数据结构。 从内容聚合带来的安全风险，第一、恶意叶面扩散能力增加，可以利用搜索和RSS把恶意内容嵌入到一个非常有名的RSS或者很前的排名，增加它的传播能力。攻击者还可以利用关键字或者一些恶意技术来获得排名提升能力，比如使用“艳照门”照片提升受害者访问量，使得更多的被攻击者受到感染。有些RSS或其他直接聚合内容，使得这个RSS自身就被感染携带了攻击能力，访问这个RSS的用户也会受到攻击。 聚合导致资源来自多个不同域，控制和检测都存在比较大的困难。另外这个对商业站点的影响性也会加大，我们经常在一些搜索引擎的推广上发现有挂马的现象，它对这些搜索引擎的访问推广站点的商业客户影响比较大，而给这些搜索引擎的商业模式会造成影响。还有是它的感染性和隐蔽性变得很强，大家知道搜索引擎和RSS里的CACHE的功能，一个恶意页面被感染 CACHE，即使原始恶意内容页面被拿下后，利用CACHE的页面依然可以攻击很多用户，很多时候大家都会发现页面访问不到，但是感兴趣的时候还是会打开 CACHE。另一个，攻击者或许可以用这个方式来隐藏自己，用一些比较敏感的、比较受欢迎的关键字，被搜索CACHE之后再把自己蔽掉，利用CACHE去发起攻击，就很难抓捕到这种攻击者。 还有一些其它的问题，第一是流氓越来越多，恶意软件越来越基于WEB进行传播，恶意站点，钓鱼站点越来越多。说到钓鱼站点前几天还看了一个新闻就有一个骗子，他就给很多手机上发一条信息我叫王伟，我的帐号是XX，给我汇钱，结果一个月不到还有人给他汇了八十多万，这就说明就有这么傻的人在，这是没有办法解决的。所以利用钓鱼依然能骗到很多这样的用户。基于网络的这种钓鱼方式成本越来越低，并且越来越容易操作，总有上当受骗的。 第二是流氓成本越来越低，收入越来越高，这是没有办法的，道德的水准跟收入水准成反比。再一个，WEB的经济模式带来的流氓同流化非常严重，也就是说我在另一个群里做站点，他们就谈到，现在你要做站点的推广，你不去跟软件进行绑定，做得再好也没办法获得比较高的流量。所以很多站点的推广全部选择了流氓，这也是我们现在整个安全行业里很大的问题。另一个是利用社会工程发起的攻击会越来越多，鉴别这种社会工程的欺骗比较困难。 前面第一章谈到了目前Web2.0的发展和需求上我们面临的很多问题。接下来我们来看一下它的安全需求。分析安全需求之前我们应该对体系与技术的变化进行一些了解，才能从中看到一些变化。 … Continue reading →