西西河

主题:【原创】网络安全的故事(一) -- 代码ABC

共:💬219 🌺1998 🌵1
分页树展主题 · 全看首页 上页
/ 15
下页 末页
    • 家园 有段时间我的口头禅是

      没有人感兴趣的系统就是最安全的系统。那段时间被安全组的人烦得恨不得跟他们说把系统的网线统统拔掉然后锁进铁柜里面就最安全了,可惜这不现实。

      其实绝对安全的系统是没有的,但有目的地针对特定的风险做出有效的防护措施,并定期备份扫描才是效率最高的。牺牲系统的可用性甚至是可管理性去追求高安全并不可取。

    • 家园 【原创】网络安全的故事(二)

      这个帖子讲什么确实让我感到有点为难,倒不是有什么敏感技术的问题。网络上的黑客教程比我这个丰富多了。为难的原因是题目起得不好。在发生安全事件的时候,管理员的第一责任是保护自己的系统,切断攻击来源。而不是追踪黑客并把他/她干掉,因此像电影中双方比赛敲键盘,最后把对方机器烧掉的事情,在现实中是不会发生的。因此想把一个专业的技术问题讲成“故事”,基本上是给自己找不痛快。

      管理员对付黑客的手段不是键盘,而是日志和备份。有人反对,不是还有防火墙;还有入侵检测系统;还有入侵保护系统;还有……是的,这些的确是有力的手段,但是这些东西都有一个大家很熟悉的免责条款——本产品的能阻止黑客的攻击,但是不保证所有黑客的攻击都能阻止,并且也不保证被阻止的都是黑客的攻击。所以倒霉的事情总有可能发生,为减少这些倒霉事可能带来的损失,备份是必要的。备份还可以对付其他意外事件,如火灾、水灾、地震、恐怖袭击(某安全教材摘录),总之备份是系统的第二条命,管理员的穿越工具,谁说这不是有力手段呢?

      那么日志呢?日志是一切呈堂证据,管理员通过审核日志可以发现攻击事件,进一步发掘则可以了解黑客的操作手法,进而发现系统的漏洞,亡羊补牢。不过,在日志中发现攻击事实的时候,管理员总感觉被人当面扇了一巴掌。本人在2002年底就被人扇过一次,日志显示当时系统的来宾帐号(Guest)被升级为管理员帐号,同时在眼皮底下看着某人用这个账号登录服务器留下木马。为找出人家是怎么办到的,恢复系统后打开所有日志记录和网络监控,等了差不多48小时,当黑客第二次攻击时从记录下的攻击过程发现是微软SQL Server的漏洞,检查微软的安全公告牌,显示差不多半年前已经有一个对应的补丁。于是满怀羞愧地打上补丁。一个月后这世界上其他SQL Server管理员有大半都给扇了个满天星斗,那天一个利用SQL Server这个漏洞的蠕虫几乎将大半互联网给整趴下了。

      回想起来,这算一件比较幸运的事情,第一有人提前了一个多月在我这里动了手脚,第二此人嚣张地在我面前演示了第二次,第三,也是最重要的,此人的攻击再日志中留下了明显的痕迹,所以同样是半吊子的我可以比较轻易地在日志中发现问题。不幸的是,当蠕虫大爆发的时候由于网络瘫痪,在外边看来我们的服务器还是和断了没什么区别。

      对于黑客来说,渗透不是最难的事情,最难的是不留下痕迹。使用肉鸡就是其中一个重要手段(后面还要提到)。在手工审核日志的系统中,由于人工处理能力有个极限,更重要的人是有惰性的,所以这个问题不难解决。其次打开太多的日志记录会影响系统的性能,管理员的日志记录也不会太细。事实上,上述事件中我日常的日志只记录比较明显的安全事件,所以在第一次攻击后,我只知道被攻击了,并不清楚攻击的方式以及漏洞在哪。必须增加日志记录的细节,以及网络实时监控才了解攻击模式。因此一个简单的方法就可以骗过大多数管理员,就是使用大量虚假的攻击记录麻痹管理员,或饱和掉系统的日志记录,然后再实施真正的攻击。此乃三十六计中混水摸鱼和趁火打劫两计的网络版。

      那么有没有自动分析日志,自动发现其中异常,自动报警并且能自动处理的设备呢?

      答案是——有的。这就是入侵检测系统(IDS)和入侵保护系统(IPS),这些设备就像24小时在线的管理员,它们分析所有的网络通信,所有的系统操作,所有的用户操作,从中发现异常模式,并实时地进行处理,比如报警或切断攻击连接。事实上它们是专用的日志处理机器,其日志记录的细节要比一般的管理员打开的日志要更精细。当然这些设备价格非常昂贵,以至于大多数老板觉得还是找个半吊子的管理员更为合算。

      所以,大家现在应该明白日志和备份才是保证网络安全的两大武器,像IDS和IPS不过是日志的升级版罢了。

      嗯,这次租个吉祥物?

      关键词(Tags): #网络安全
      • 家园 说的好啊,说的好

        SQL的worm事件,我记得。

        当年也管着一些系统,记得半夜12点时,网络断了。我第一反应是给Telecom Carrier 打电话,结果人先问我,你有SQL吗,我说,我有SQL和你们的网络断了有关系吗?结果被无情嘲笑了:哈哈,SQL的worm让小半个美国都瘫痪了。

        第二天把补丁打上,就好了。

        做系统挺烦地,我当年从没有休过连续超过一周的假。一天24小时,不知道什么时候就出事了。

      • 家园 关于国内黑客个人多说几句

        读完前辈文章,斗胆多说几句,不对请前辈指正。国内现在黑客圈子基本已经分工很明确,有漏洞挖掘者负责研究各种漏洞,攻击手负责入侵取得数据或者进行某些操作,销赃负责倒卖数据获取利益。而且国内入侵小组完全不比国外逊色,他们有专门的开发人员和专业的翻译和数据分析人员为攻击者渗透。至于他们的工具,我所知道木马已经发展到MBR的级别,基本普通的格式化重装已经没办法对付了,至于bios木马也不是没有,普通的对抗手段基本很难找出行踪。木马智能华也是趋势,比如安装后立即切断杀毒软件的上传渠道,使用协议封装来伪装自己的控制包,一些智能木马更会侦查用户有上网行为才对外发送数据。作为企业安全对抗这些攻击基本是非常困难,外面现成的IDS/IPS基本没法用,个人曾经操作过macfee的IPS设备,误杀太多自动阻断基本没法开,受不了业务部门压力。只好旁路成IDS用,结果每天数据直接把人淹死也没发现啥。后来实在无法只好自己去定做,投入大量人力物力还没解决很彻底。大公司尚且如此,小型企业更是等死。

        通宝推:Levelworm,
        • 家园 对了,哪位大牛知道哪里能找到修改MBR的资料

          谢谢

        • 家园 多少年前就重装系统也不行了吧!

          好像04还是01就烂大街了?还是我错了?

        • 家园 我曾经想写一篇长文关于国内网络安全方面的情况

          但是怕给自己惹麻烦。。。

          你说的那个是rootkit,BIOS rootkit, PCI ROM rootkit ACPI rootkit.

          前几年美国这边有几个人对这个东西搞了不少研究.

          PCI的 http://www.blackhat.com/presentations/bh-dc-07/Heasman/Paper/bh-dc-07-Heasman-WP.pdf

          ACPI的 http://www.blackhat.com/presentations/bh-federal-06/BH-Fed-06-Heasman.pdf

          很巧的是我和搞这个东西的几个人吃过饭,打过交道.确实很牛.

          爽啊,挣钱大大地,而且还是不需要洗钱的钱.

          在中国搞网络安全这块,其实挺艰难的,一般的企业不重视安全,所以白钱不好捞。黑钱是上船容易,下船难。

          如果要讲网络安全这块,最早应该从印尼排华开始,龚蔚,然后是绿色兵团,绿盟,红客,然后就是乱七八糟,乱后分裂,解散,走向地下或者洗白。

          BTW,陈盈豪,貌似也混的很一般。

          这个行当投入产出比不好算啊。

          • 家园 热烈欢迎MALL兄开坑!!!
          • 家园 作为一个曾经做过网络安全的表示,这个行业的确是一桶浆糊

            对于客户来说,安全公司就是:

            你用我的服务(或产品),不代表你就安全了,也不代表我们来帮你做所有的安全管理工作,我更不代表我为你的安全承担责任,那我付那么多钱找你来干什么呢?

            防火墙:有用吗?没有用吗?

            IDS:用了和没用一个样

            IPS:也许有用,但没法用

            权限管理:人事部的大姐们表示太复杂,不打算用。

            好了,你告诉我你能干啥

            对于安全公司来说就是:

            你只是买我的产品(或服务),但是却要我做ABCD等等五花八门的服务,这些根本不是我的事情,另外还有我承担这个成本、那个责任,也不想想看你才付多少钱(你不知道高水平有责任心的安全员得多少薪水吗?还相当不好管)。

          • 家园 wushi走出了另外一条路

            http://www.forbes.com/2010/07/14/apple-microsoft-security-technology-wu-shi.html

            team509

            http://www.team509.com/

            这个家伙确实很牛:一个人找的bug是他们整个团队找出的bug的两倍:

            "

            "Perhaps Apple should hire Wu Shi to help them, since apparently he can find more than twice the bugs their whole security team can find," fellow security researcher Charlie Miller told Forbes at the time.

            "

            他们靠给Apple,MS这些产品找security bug,然后这些公司给点小钱. 去年就靠这个外快过百万了.具体*百万嘿嘿,就不知道了.

            总比盗号有保障啊.

            而且reputation建立起来后,还给你给这个,那个公司当咨询去,那挣钱也是刚刚的.

        • 家园 Where did they get the tech?

          Seems to be quite advanced. MBR level, bios level...where did they get the technology? Just curious, since surely it's very difficult to find such information on the Internet.

          Sorry I cannot type Chinese, sigh.

分页树展主题 · 全看首页 上页
/ 15
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河