透析“后门”事件:攻防不对称致威胁持续
来源:CNET 更新时间:2012-04-14

   上世纪九十年代,中美撞机事件发生后,一场规模更大、牵涉面更广的中美黑客战争,逾越浩渺的太平洋,在网络上展开,信息安全问题开始引起全社会的关注。从信息安全市场的发展看,在我国推进信息化建设的几十年,用户安全意识也在逐渐增强,只是,攻与防的角色变换速度实在太快,信息安全事件仍然频频爆发。对此,有业内专家打了个形象比喻:“信息安全工作就像扫地雷,很多时候,只有等它炸了,你才知道威胁在哪儿,自己的弱点又在哪儿。”

  近年来,信息安全事件发生的频率越来越高,“炸”出来的威力和造成的伤害也不断加大。特别是今年春节期间,PuTTY、WinSCP等软件汉化版被发现含有后门程序代码,旨在窃取服务器帐号、口令等信息,受影响的用户可能涉及政府、军工、能源、金融、电信等国家命脉系统,给国民经济和社会发展埋下了巨大的安全隐患。

  面对后门,传统防范手段疲于应付

  一段小小的“后门”代码,能掀起多大的风浪?1月25日,有网友发现PuTTY软件汉化版可能含有“后门”,但没有引起多少人的重视;同月30日,部分技术人员跟进分析,将“后门”旨在窃取AIX、HP-UX、Solaris等大型商用服务器管理员信息的攻击行为公之于众;31日,来自互联网的消息显示,上万服务器IP、账号、密码等信息遭到泄露,可能涉及政府、军工、能源、金融、电信等国家重要基础设施建设领域,引起震动。事实上,含有“后门”的软件版本已经流转了半年,受到“后门”影响的服务器数量很可能远远高于已公布的数据。

  从“后门”代码的执行过程可以看出,当用户使用受影响的软件登陆服务器时,“后门”将把服务器IP、ROOT帐号、密码、连接端口等信息发送到指定的服务器。通过这些信息,攻击者可以远程登陆目标服务器并掌握其完全控制权,对服务器上的数据、业务系统进行添加、删除等操作,从而给用户带来难以估量的损失。

  “传统的信息安全产品及解决方案,如杀毒软件、防火墙等,已经完全没有办法封堵和防范这种特别危险的攻击方式。”有安全专家分析指出,首先,杀毒软件是根据病毒特征码进行查杀的,即无法阻止新的后门程序。而目前,服务器管理员使用的工具种类繁多,除了已出现问题的PuTTY、WinSCP等软件汉化版外,还有FTP、VPN等等,攻击者完全可以在其他工具汉化版上植入新的后门程序,从而躲过杀毒软件的查杀。其次,目前提出的杀毒软件解决方案更多是在用户端封堵后门,而在服务器端却无能为力,这是因为,此次后门程序并没有在服务器端运行,而是只负责窃取用户的账户、密码、服务器IP等信息。

  “说白了,此次后门程序只是负责"刺探军情",真正对用户造成实质损失的,是根据窃取的关键信息对服务器发起的攻击行为。而在服务器防护方面,防火墙、入侵检测等安全产品,对以正常密码方式登录、操作的行为将无任何防范,无疑使服务器上的业务系统、重要数据等直接暴露在攻击者面前,让其为所欲为。”这名安全专家表示,PuTTY等软件的使用范围覆盖所有的小型机,例如AIX、HP-UX、Solaris等大型商用服务器,此外还有linux服务器。“目前,我们国家的政府、军工、能源、电信、金融、交通等骨干核心行业当中大量使用着这类服务器,这些服务器上承载着大量的核心业务、核心数据等重要IT资产,一旦"失守",将给国家经济、社会生活等带来灾难性的损失。”

  攻防失衡,国家信息安全如何保障?

  事实上,除了“PuTTY后门”事件,还有数据泄密、大型网站被黑、“震网”病毒等等,每一次信息安全事件的爆发,都给国内用户造成了严重的打击。究其原因,就在于国内信息系统在安全防护方面的脆弱性,已经难以适应攻击技术与安全风险迅速提升的国际信息安全形势。在去年举办的一场信息安全论坛上,有资深安全专家指出,一些国外黑客已经从制造病毒、网页挂马等阶段转向攻击CA证书机构,进而利用证书发动中间人攻击、网络钓鱼等攻击,“如果电脑上的证书受到控制,访问假冒网站时就不再报警,整个互联网诚信体系将全部崩溃。”

  另一方面,在竞争全球化的大趋势下,网络攻防大战中出现的“国家身影”越来越浓厚。以此次“PuTTY后门”事件为例,经过对后门程序代码进行分析,发现攻击者指定接收泄密信息的服务器来自美国,与提供受影响软件下载服务并在百度上做竞价排名的网站IP相同。据安全专家介绍,维基解密网披露的信息显示,一家为美国政府提供反入侵、APT研究等服务的安全机构同时在进行网络信息战的研究,在该机构推出的一项计划里,其开发出来的高级木马“没有进程、没有端口,并能躲过关于API的检查”,具有很强的隐蔽性和危害性。更重要的是,该机构还拥有对整个云安全基础架构平台的打击能力,这无疑给当前正在着力推进云计算和应用的政府机构、厂商、行业用户等拔了一盆冷水。

  为了加强国内信息安全防御能力,我国推出了一系列政策措施,例如信息安全等级保护工作、信息安全风险评估等,增强政府、军工、能源、金融、电信等行业开展信息安全建设的积极性并为其提供标准依据,加快信息安全防护水平的提升步伐。在用户方面,经过一次次信息安全事件的“洗礼”,用户安全意识不断增强,其信息系统上部署的安全产品如防火墙、IPS、IDS等也越来越多,但是安全事件仍然层出不穷。对此,安全专家表示,信息安全是一项系统工程,需要从多个层面进行安全防护,而传统的安全产品主要面向网络层,操作系统层面的安全解决方案非常缺乏。“越来越多的攻击技术、手段等向系统核心层倾斜,而很多安全厂商仍然专注于外围的网络层防护,国内信息安全状况非常不容乐观。”

  说到底,正是国内安全防御体系与国际安全威胁的不对称,构成了悬挂在用户心头上的“达摩利斯剑”。那么,在攻防失衡的不利局面下,如何才能为国家信息安全提供可靠保障,进而支撑我国信息化建设高速发展?

  重筑防线,安全操作系统成重心

  信息化建设是一把“双刃剑”,在给政府、军工、金融、电信、能源等各领域转型升级带来巨大帮助的同时,也埋下了很多安全隐患。纵观我国信息技术与应用的发展,在信息化建设高速发展、取得显著成就的背后,信息系统在安全防护方面的脆弱性也长期存在,形成了巨大的反差。国信安标委信息安全专家、公安部信息安全顾问、博士生导师吉增瑞教授曾经指出,“信息技术是为信息的使用提供便利的,而信息安全则给信息的使用提供保护。信息安全始于计算机安全,随着计算机网络应用领域的不断拓展,网络成为人们获取信息的重要途径,通过网络进行的攻击和破坏也使信息安全问题日趋严重,网络安全就成了人们谈论信息安全的主要话题。但是信息安全最核心的,还是计算机安全,还是操作系统安全,因为数据就存储在计算机中,在操作系统的管理和控制下进行操作和处理,自然也就成了攻击的主要目标。由于多种原因,目前我国以计算机操作系统为核心的安全防护措施还是"短板",需要业界有识之士努力为之奋斗!”

  据了解,国内普遍使用的商用操作系统如AIX、HP-UX、Solaris、Windows Server、Linux Server等均来自海外,而且由于发达国家对核心技术出口的限制,B1级以上操作系统不能对我国出口,无形中给国内信息安全留下了更大的安全隐患。在操作系统的安全防护上,主要通过安全子系统(SSOOS)来实现,因此需通过自主可控的安全技术对操作系统安全子系统(SSOOS)进行重构和扩充,以确保操作系统控制真正掌握在中国人的手里。

  业内专家指出,早在1999年,我国就推出了《计算机信息系统安全保护GB17859-1999》,对操作系统安全性提出了明确的要求。近几年,我国更是进一步颁布了国家标准《GB/T2027-2006信息安全技术 操作系统安全技术要求》,对操作系统的各项安全指标、技术要点等做了详实的规定。可以说,在操作系统安全防护方面,我国已经拥有了充足的政策、标准支撑。当前更需要的是信息安全厂商加强自主创新,研发出拥有自主知识产权的安全技术、产品及解决方案,以满足国家标准对安全操作系统的全部要求,从而使国家、用户能够防御类似“PuTTY后门”事件带来的安全威胁。