党的十七大已经来临,在此期间各个组织、机构的外网、内网的网站、Web服务的安全不容忽视。一些别有用心的人往往选择这个时期发动攻击,以期达到制造事端、扩大影响的目的;甚至有些敏感单位的Web服务被攻击不光产生经济损失,更重要的是会产生严重的政治影响,给本部门、本单位甚至国家的声誉造成恶劣影响,因此,十七大期间网站安全建设不容忽视。
一、上半年网络安全状况概述
根据CNCERT/CC今年上半年接收和处理的网络安全事件统计可以看出,目前中国的互联网安全实际状况仍不容乐观。各种网络安全事件与去年同期相比都有明显增加。半年时间内,CNCERT/CC 接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。内地地区被植入木马的主机IP 远远超过去年全年,增幅达21 倍;内地被篡改网站数量比去年同期增加了4 倍,比去年全年增加了近16%。
从CNCERT/CC 掌握的上半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。
对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,以达到泄愤和炫耀的目的,也不排除放置恶意代码的可能,导致政府类网站可能存在安全隐患。
对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)攻击等手段进行勒索,从而迫使企业接受相应条件,影响企业正常业务的开展。
对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。如利用网络钓鱼(Phishing)和网址嫁接(Pharming)等对金融机构、网上交易等站点进行网络仿冒,在线盗用用户身份和密码;通过恶意网页、社交工程、电子邮件和信息系统漏洞等方式传播恶意代码;利用间谍软件(spyware)和木马程序窃取用户的私有信息,严重的可导致财产损失。
上半年我国内地被植入木马的主机数量大幅攀升的现象,反映出国内网络安全状况中木马产业链的猖獗,是泄密、网银账号被窃事件频发的重要原因。
二、近期各机构Web服务出现的问题
首先让我们关注近期的几起网站运维事件,都是和网站运营维护有关的。
1. 某国内著名门户网站首页被挂马事件
6 月14 日,某国内著名门户网站首页于6月14 日凌晨被“挂马”(页面被嵌入恶意代码)数小时。CNCERT/CC 接到报告后,立即对事件进行了监测,发现包含该网站在内的国内多个网站,在6 月15 日凌晨再次被挂马数小时,而且被挂马网站均将用户访问跳转到http://6688.89111.cn/m42.htm,导致用户从域名89111.cn 之下多个恶意链接中下载恶意代码。CNCERT/CC 立即联系被挂马的重要网站,告知其事件有关的详细情况和分析,建议其做好安全防范工作。与此同时,因 89111.cn 域名注册人所登记的信息及联系方式都是虚假信息,CNCERT/CC 与域名注册单位取得联系,得到对方的积极支持和快速响应,按照国家有关规定关闭了该恶意域名。
2. 北京联众遭分布式拒绝服务攻击
在CNCERT/CC 的协助与支持下,北京市网监处成功破获北京联众公司遭受分布式拒绝服务攻击案。5 月11 日,北京联众公司向北京市网监处报案称:该公司自4 月26日以来,托管在上海、石家庄IDC 机房的13 台服务器分别遭受到大流量的DDoS 拒绝服务攻击,攻击一直从4 月26 日持续到5 月5 日,其攻击最高流量达到瞬时700M/s,致使服务器全部瘫痪,在此服务器上运行的其经营的网络游戏被迫停止服务,经初步估算经济损失为3460 万人民币。在CNCERT/CC 的支持与配合下,北京市网监处成功获取了犯罪团伙实施DDoS 攻击的证据,并及时将4 名犯罪嫌疑人一举抓获。
除此之外,还有一些民间组织、机构报告的安全事件,以下列举几个:
8月9日云网主站点不可访问,据分析可能和遭受黑客攻击有关。
8月15到16日,国内某大型银行的个人银行服务出现故障。据说是“由于15日是存款利息税下调、系统升级改造、新基金发行和拆分、养老金和工资的发放等业务集中所致”,真正原因未透漏。
国内某大型网上购书网的官方网站数据库账户泄漏事件。令人感到震惊的是程序出错页面里面甚至把数据库连接串和密码都打印出来了,该网使用的是 SQL Server。
8月11日,某国内网络安全组织发现中国某大型家电企业官方网站被挂上了木马,经过一系列的协调和处理,终于解决。
如上的例子还有很多,网站的运维是个高精度、高复杂度的事情,机器不能解决一切问题。当然类似的事情也不止国内有,Facebook 也出现了源代码泄漏事故。
三、政务网站面临的问题和解决方案
根据《CNCERT/CC2007年上半年网络安全报告》,2007 年上半年,中国内地被篡改网站的数量相比往年处于明显上升趋势。CNCERT/CC监测到内地被篡改网站总数达到28367 个,比去年全年增加了近16%。按月统计情况如下图所示。
政府网站易被篡改的主要原因是网站整体安全性差,缺乏必要的经常性维护,某些政府网站被篡改后长期无人过问,还有些网站虽然在接到报告后能够恢复,但并没有根除安全隐患,从而遭到多次篡改。
对政务网站(运营商、政府)的维护,重点有两个方面:一是对页面的篡改,二是Web服务的提供,也就是保证网站的完整性和可用性。
1. 完整性安全防护
作为政务工程的窗口,政务网站的防篡改是第一位重要的,而目前对网站的攻击方式也层出不穷。据2007年发布的十大web安全漏洞称,基于注入技术的隐码攻击(主要指SQL注入等类型攻击行为)排名第二,是直接攻击网站的最主要手段(排名第一的XSS主要是被动式攻击,往网页中加入恶意代码,让访问者遭受攻击)。
那么,什么是SQL注入呢?SQL注入就是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,这是SQL注入的标准释义。
随着B/S模式被广泛的应用,用这种模式编写应用程序的程序员也越来越多,但由于开发人员的水平和经验参差不齐,相当一部分的开发人员在编写代码的时候,没有对用户的输入数据或者是页面中所携带的信息(如Cookie)进行必要的合法性判断,导致了攻击者可以提交一段数据库查询代码,根据程序返回的结果,获得一些想得到的数据。
SQL注入利用的是正常的HTTP服务端口,表面上看来和正常的Web访问没有区别,隐蔽性极强,不易被发现。
启明星辰积极防御实验室(ADLab)研究发现,SQL注入攻击有以下显著特点:
(1) 攻击初始权限低
只要拥有internet访问权限的人都可以发动SQL注入攻击,甚至还可以通过web端口进行攻击。
(2) 危害、后果严重
SQL注入成功后,攻击者将拥有Web的最高权限,可以修改页面,可以修改数据,可以在网页中添加恶意代码实现XSS……
(3) 攻击特征不唯一
任意更改攻击提交参数都可以实现对Web的攻击,无法通过定义特征来实现对SQL注入的全检测。
启明星辰公司的天清入侵防御系统,采用基于攻击注入手法检测的专利技术(VSID),和传统的产业界检测算法(基于signature的关键字匹配和基于异常检测技术的web firewall)以及学术界检测算法(基于正常行为模型的AMNESIA和基于数字签名技术的SQLRand)相比,其漏报率和误报率都有显著的降低。
2. 可用性安全防护
可用性方面,政务网站是对外提供服务的接口,在保障信息完整性的情况下,尽量不影响应用的正常运营,是政务网站安全解决方案的另外一个重点。而确保网站可用性又包括两个方面的因素,一种是正常情况下的访问,一种是异常情况下的访问。
在正常情况下,确保网站可用意味着访问者可以很容易地得到所需要的服务,要求访问时延短,天清入侵防御系统采用了包括poll、驱动无锁、自适应CPU负载均衡等多项技术在内的性能优化算法,确保数据报的转发时延在微秒级单位,在用户的正常使用过程中基本感觉不到影响。
在异常情况下,天清入侵防御(IPS)系统提供了软、硬件的双bypass技术,在各种异常状况下都可以将数据切换到无源通道,确保了在极端情况下的网络可用,甚至在断电等严重硬件问题情况下,也能保证网络正常通讯。
3. 实用性考虑
除了网站的完整性和可用性需求外,采用在线式设备还需要考虑产品的实用性。
天清入侵防御系统在国家级某大型网站已经成功部署,主要目的就是防御各种SQL注入攻击行为(在渗透测试中发现存在的问题),经过近几个月的使用,阻断了大量来自外部地址的攻击企图,并确保了网站服务器的正常业务开展,得到了用户的高度认可。
四、总结
随着网络不断深入各个行业的核心应用,Web服务越来越成为各种黑客攻击的主要窗口,国家对网络安全的要求也越来越严格。各安全主管部门普遍要求各组织、机构的网络和服务遵循“谁受益、谁负责;谁运营、谁负责”的原则,因此各个机构对于Web服务的安全性应该引起足够重视。
在十七大期间,各个组织、机构更加应该投入人力、物力,使用比较先进的安全手段,完善安全措施,落实管理制度,确保营造一个和谐、向上的网络环境和氛围。
SQL注入攻击作为深层威胁的一种,已越来越多地受到用户的关注,如何准确、及时地判断并防御这种危害极大的深层攻击行为,是入侵防御系统责无旁贷的责任。这就要求入侵防御系统本身提供对这种无固定表现形式、种类繁多的攻击行为的准确检测。
天清入侵防御系统依托启明星辰强大的入侵分析检测能力,对各种深层的攻击行为都有着优异的检测能力。特别对SQL注入这种攻击行为,更采用了专利技术算法,对各种SQL注入变种/变形进行精确防御,达到国际先进水平。