"拖庫"正當紅——瑞星2011年度企業安全報告
報告概要
2011年,中國企業面臨的安全風險開始變得多樣化,并向高風險方向發展。以CSDN、天涯等一批著名網站遭遇"拖庫"攻擊為標志,國內企業(尤其是存儲了用戶資料的企業)面臨極大的安全風險,包括網游、網購等行業因為安全措施不到位而造成用戶資料泄漏的情況時有發生,給整個行業帶來嚴重的信任危機。
從警方公布的數據和案例來看,各地針對企業的惡性黑客攻擊均呈現上升勢頭,單單在北京,2011年警方就偵破網絡違法犯罪案件2600余起,打掉各類犯罪團伙15個,抓獲犯罪嫌疑人2600余人。其中,百合網遭競爭對手雇傭黑客攻擊案、兩黑客攻擊最高檢網站案等是其中影響力比較大的案例。
根據瑞星公司提供的數據,2011年,有199,665個網站曾被成功入侵(以頁面計算),教育科研網站、網游相關網站和政府網站,是最容易被攻擊植入木馬的三種類型,分別占總體數量的31%、19%和15%。
2011年,幾乎所有互聯公司都曾遭遇了滲透測試、漏洞掃描、內網結構分析等安全事件,其中被黑客成功獲取一定權限的公司,占總體比例的80%以上。根據瑞星公司進行的抽樣測試,在訪問量超過1萬IP/日的網站中,存在10個以上嚴重漏洞的占75%,這些網站十分容易遭到黑客攻擊。
在傳統企業領域,絕大多數企業內網曾發生過安全事故,其中遇到惡意代碼(病毒和木馬等)侵入的比例占50%以上,黑客攻擊和滲透占35%,釣魚網站攻擊和其它形式安全事件占10%。
根據統計,中國企業遭到攻擊的IP地址,至少有65%來自國外,其中美國、日本、韓國是攻擊IP三大來源地。在所有受攻擊的企業和單位中,諸如國家機關、涉密單位、科研院校、金融單位等涉及國家機密和資金安全的企業和單位,遭到黑客攻擊的技術含量、攻擊頻率都遠高于普通企業。
國內企業的惡性競爭,已經延伸到了黑客領域。以百合網遭攻擊為例(百合網自稱是其合作網站遭攻擊,而非百合網自身),是其競爭對手直接雇傭黑客發動DDOS攻擊,導致遭攻擊網站無法正常訪問。
自動工控系統、打印機等智能設備成為黑客攻擊企業的新途徑,自從"超級工廠"病毒之后,關于黑客和病毒對于自動工控系統的威脅一直在持續發酵,由于這些系統傳統上屬于和互聯網隔絕的部分,很少在安全上投入關注,所以一旦出現安全問題,就會變得不可收拾。
國內企業的"鴕鳥"心態給自身的安全帶來嚴重隱患。從目前的情況來看,國內安全行業、白帽安全人員在給相關企業報告安全漏洞時,很少遇到負責任的反饋,有的甚至因為收到漏洞警告而惡言相向。這樣一來,安全行業與企業之間無法形成良性互動,導致整體安全形勢與國外相比有很大差距。
國內企業安全概況
進入2011年以來,國內多個行業發生較為嚴重的安全事件。包括互聯網行業的密碼泄漏(拖庫攻擊)、網游行業遭到針對服務器的掛馬攻擊、教育科研網站遇到的"黑鏈攻擊"等等,均給相關行業帶來嚴重影響。
互聯網行業的密碼泄漏由于關系到數千萬普通網民的切身利益,使得該事件的影響在廣大網民中持續發酵,而且由于個人資料屬于基礎性的攻擊利用材料,黑客利用這些資料可以進行社會工程攻擊探測、詐騙、網絡釣魚等不良活動,其帶來的危害,還需要進一步觀察。
?? 
針對網游公司服務器的攻擊也成為2011年企業風險的重要部分。2011年12月,北京警方偵破一起黑客通過篡改網游服務器數據,非法盜取千萬游戲幣案件,抓獲并刑事拘留犯罪嫌疑人6名,追繳贓款820余萬元。類似情況,在網游行業多次發生。
教育科研類網站也是黑客窺測的主要對象,這些網站通常不存儲用戶資料、密碼等黑客感興趣的東西,但他們的硬件條件普遍較好,而且在搜索引擎中擁有較高的"權重",因此黑客攻擊這類網站通常是為了在服務器上植入"黑鏈",幫助其他網站提高搜索權重,在搜索引擎中擁有較好的位置,或者是直接在上面儲存非法信息供人瀏覽。
對于國內少量的高等級、涉密網絡和單位來講,2011年是更加危險的一年。來自國外IP的攻擊有增無減,而包括數據庫、自動工控系統、移動終端設備等爆出的安全問題,也使這些單位面臨嚴重的安全風險。
?? 
根據瑞星公司的估算,2011年針對高等級涉密網絡的攻擊至少50萬次,其中60%的攻擊IP地址來自國外,美國、日本、韓國是排行最前的三個攻擊來源地。但由于黑客攻擊通常采取代理服務器的方式,這只能說黑客通過上述三國的服務器對國內企業進行了攻擊,黑客國籍和攻擊目的不能通過簡單技術手段探知。
企業網站和內網安全狀況不容樂觀
在瑞星檢測過的高等級涉密網絡中,常見的安全問題包括XSS漏洞、文件讀寫權限不規范、泄漏敏感信息、弱口令等。尤其是弱口令和泄漏敏感信息,在90%以上的企業局域網中廣泛存在。
?? 
即使在保密等級比較高的網絡中,仍然有許多基本安全保護措施未得到貫徹執行,在抽樣調查中,有45%的主機系統未及時彌補高風險補丁,70%以上的內部網存在弱口令(可被黑客輕易猜解),未安裝防火墻,不能防范黑客攻擊等問題。
針對目前國內企業所共有的安全危險,瑞星提出以下一些解決方法和改進措施:
1、解決SQL注入和XSS漏洞的方法:
所謂SQL注入,就是通過把SQL命令插入到WEB表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令,導致攻擊者可以利用該漏洞將腳本木馬程序上傳到服務器上進而獲取到webshell。解決方法可以在程序中添加安全代碼,禁止輸入一些危險字符。XSS漏洞同樣需要對輸入進行過濾。
2、需要構建一套整體安全運營監控體系,及時有效發現黑客的入侵行為,對于安全事件能做到事前預防事后分析,檢測服務器對于入侵,滲透等行為缺乏強有力的主動性觀測手段,處于被動的安全防護階段,缺乏對全網關鍵核心服務器、網絡設備、安全設備的的關聯分析。
3、在服務器上運行的程序,應該更改其默認后臺頁面名稱,如發現疑似相關或相似漏洞入侵后,要及時更改后臺管理員密碼。
4、不定時更改管理員密碼,并且密碼長度應該八位以上字母、數字、特征字符混合的強度密碼。定時查看系統日志,遇到可疑日志應該及時處理對應的程序或策略。
5、安裝防范ARP攻擊的軟件。
6、殺毒軟件與防火墻定時更新。
7、內網所有機器定期更新系統補丁。
8、盡量避免相同的密碼可以登陸多臺主機的情況發生,最好使用一臺主機一個密碼。
黑鏈成為黑客的生財之道
2011年里,以"黑鏈"方式賺取非法收入,成為黑客的"生財之道"。2011年1月,兩名黑客因為攻擊最高檢察院網站,并在其中添加黑鏈代碼而被提起公訴。檢方指控,兩名黑客范某和文某通過后門程序進入最高檢反瀆職侵權廳網站后臺,在網頁源代碼中添加黑鏈代碼,為其他網站提升搜索排名率,從中牟利。二人還用同樣手段,先后侵入長沙質量技術監督局、撫順政務公開網等8家政務網和3家企業網網站后臺,添加黑鏈代碼,非法獲利6000余元。
根據瑞星公司的監測,教育科研類網站、政府網站、媒體日報類網站成為"黑鏈"猖獗的重災區,這些網站的安全防護程度很低,但他們本身的品牌、網站權值、知名度都相當高,甚至被選入百度新聞新聞源、谷歌新聞源,當他們被黑客攻陷后,黑客在其服務器上加入黑鏈代碼,當用戶在搜索引擎中搜索時,就可能被引導到這些網站上,進而受騙。
詳解"拖庫"攻擊
2011年12月,天涯、CSDN等一批著名網站數據庫連續外泄,數千萬網民的賬號、密碼等個人資料被公開,形成了2011年末影響整個互聯網的安全大事件,給本已脆弱的互聯網安全造成了巨大沖擊。由于此次密碼外泄發生在網站服務器端,用戶在遇到這樣的安全問題時幾乎束手無策。
那么,"拖庫"攻擊是如何實施的,網站管理員應該注意哪些問題,"拖庫"攻擊有什么危害?本報告將對"拖庫"攻擊及其影響進行深入分析。
(1)什么是"拖庫"攻擊?
"拖庫"本來是數據庫領域的術語,指從數據庫中導出數據。到了黑客攻擊泛濫的今天,它被用來指網站遭到入侵后,黑客竊取其數據庫。
"拖庫"的通常步驟為:第一,黑客對目標網站進行掃描,查找其存在的漏洞,常見漏洞包括SQL注入、文件上傳漏洞等。
第二,通過該漏洞在網站服務器上建立"后門(webshell)",通過該后門獲取服務器操作系統的權限。
第三,利用系統權限直接下載備份數據庫,或查找數據庫鏈接,將其導出到本地。
(2)"拖庫"攻擊的危害
企業分為多種類型,"拖庫"成功之后,黑客會對數據庫進行深加工處理,根據其實用程度、透露信息的多少出售給相關需求方,各種數據的利用方式是不同的(下面談到的企業,僅是為了舉例所用,并非真實遭到黑客攻擊)。
媒體型互聯網站
CSDN、新浪均屬于這一類,他們主要提供新聞資訊,用戶在注冊其賬戶時很少透露個人資料。如果遭到拖庫攻擊,泄漏的是郵箱賬戶和密碼的組合。這樣的數據庫,黑客通常會利用其猜測其它網站的密碼,或者收集郵箱賬戶做成數據庫,賣給垃圾郵件發送者。
SNS互聯網站
天涯、人人、微博都屬于這一類。SNS網站會有較多的個人信息,除了常用郵箱賬戶、密碼之外,還會有常用的QQ號、手機號、家庭住址、教育信息(同學關系)等。黑客可以利用這些資料進行網絡詐騙、網絡釣魚、"QQ借錢詐騙"等。例如,當用戶在某個SNS網站拿到了某個用戶的社會關系,可以向其同學、好友等發送QQ消息,"我的支付寶里沒錢了,你幫我買張手機卡吧"。這種詐騙的成功率會比沒拿到資料之前提高若干倍。
電商網站
這些網站的數據庫主要包含了用戶的購買行為、住址、手機號、支付賬號等信息,主要用于網絡詐騙、網絡營銷等。黑客可以攻擊大型網站,將那些具有購買能力、經常購物的用戶資料出售給其競爭對手。
根據相關數據,使用通常的廣告方式,電商網站獲取一個新用戶的成本高達百余元。而購買這些黑客出售的資料,獲取每個新用戶的成本就會降低數十倍,甚至近百倍。而且這些灰色交易通常私下進行,被竊網站很難在短時間內發現。
旅行、酒店類網站
這些網站的數據更加全面,由于我國的酒店業要求身份證登記,所以一旦數據庫外泄,會造成幾乎所有的個人隱私曝光。例如,黑客可以根據客人訂購的房間類型,推算其經濟實力,進而對其進行網絡詐騙;通過客人行程的變化、日程及所屬公司,推算其公司運營機密等,這些都會帶來嚴重后果。這些網站屬于傳統行業,相對來講利潤率較低,在安全上的投入不足,這就給用戶帶來更大的隱患。
銀行、證券類網站
與上述企業一樣,他們同樣也掌握很多用戶的信息,同樣可能被拖庫攻擊。但有一點不同的是,銀行和證券類網站屬于安全等級較高的類型,他們一旦出現安全漏洞,在短時間內就會被黑客瘋狂利用,造成巨大的金額損失。此前,某國家級銀行曾經在手機驗證流程上出現問題,在短短幾個月就有數千萬用戶資金被竊,損失慘重。
企業內網拖庫
這是一類專門針對企業內部網絡數據庫的攻擊,盡管有些單位采用了"核心業務與互聯網物理隔離"的方式預防黑客攻擊,但該網在有些情況下對公眾有限度開放,尤其是帶有WIFI節點的網絡,極其容易遭到黑客通過WIFI接入企業內網,竊取內網數據庫。
2011年9月,福州某三甲醫院發現,每隔一個月左右,醫院內部信息系統的數據庫就會留下"統方"痕跡,各種藥品每月的實際處方量情況,被醫院外部的人所掌握。后來,醫院值守的工作人員發現,醫院的數據庫又出現異常情況,通過軟件定位,發現異常端口的位置位于其中一座大樓的一層。工作人員立即趕到,把正在竊取醫院數據的兩名黑客抓住,黑客隨即被扭送到派出所。據了解,一家三甲醫院一個月的"統方",最高可以賣到數十萬元。
(3)黑客"拖庫"攻擊的常用方法
根據瑞星互聯網攻防實驗室的統計,目前針對服務器端的黑客攻擊,主要分為漏洞利用、弱口令及默認配置利用、遠程運維風險、內部運營疏忽等。
1、漏洞利用是最容易出問題的大類。由于Web應用的開放性,Web應用程序越來越多,其帶來的安全漏洞必然會隨之增加,而且這些漏洞通過傳統的網絡安全設備無法識別,使得企業即使配置了傳統的防火墻等設備,也無法阻止黑客針對這些漏洞的攻擊。
2、弱口令和默認配置帶來的危險。由于安全涉及到的軟硬件設備非常龐大,包括操作系統、數據庫、應用程序、路由器、移動終端等等,幾乎所有的部分都可能有默認密碼、默認賬戶權限等,如果安裝部署的時候未改動,這些默認密碼和設置就會被黑客利用,進而發動攻擊。
3、遠程運維風險。事實上,很多企業、網站都會給員工開通遠程維護權限,比如網絡編輯可以在家里發布文章、網絡管理員可以遠程維護服務器,由于在遠程維護中涉及到多個環節,根本沒辦法做到像公司環境下那樣的安全。例如,家里使用的PC經常會上不同的網站,可能被木馬入侵,而公司里只允許安裝商業程序的PC相對而言就會好很多。在這種情況下,遠程運維就會存在一定風險。
4、內部運營風險。這包括內部員工的權限分配疏忽、不適當地服務器維護制度、數據庫備份被濫用等等。事實上,CSDN外泄的數據庫,就是因為未曾加密的數據庫備份被放在服務器上,使得黑客可以進行直接下載。
(4)如何預防"拖庫"攻擊
針對上述風險,瑞星認為,應對企業傳統安全產品、流程及運營進行全方位改造,以適應越來越惡劣的安全形勢。
1、企業安全涉及多個部分,包括操作系統、數據庫、WEB應用等軟件,也包括服務器、路由器、網關等硬件,在部署如此龐雜繁復的IT系統時,應把安全作為首要考慮因素,尤其是網商、支付等涉及到大量普通用戶的行業,更應該強調安全和效率的和諧統一,在兩者發生沖突時,應把安全放在第一位。
2、安全管理的動態化和長期化。作為整個系統中最薄弱的環節,應用安全是最需要網絡管理者關注的部分。尤其是目前漏洞、攻擊方法層出不窮,以往每個月定時打補丁、查漏洞的方式已經不適應目前的安全需要,網絡管理者應該把安全管理作為一種動態的行為,從系統建設開始生命周期,風險評估、安全加固、風險審計應該貫穿于整個過程中。
3、利用自動化工具來提升安全檢測效率。在這方面,瑞星提供了許多簡單有效的解決方案。2011年12月,瑞星公司發布了國內首個網站密碼保護方案--"瑞星網站密碼安全檢測系統"。此系統可對網站密碼庫的安全性進行深度檢測,掃描包括SQL注入、弱口令、XSS跨站攻擊等弱點,并給出專業的分析報告和修復建議,幫助網站保護用戶密碼庫。
4、在關鍵業務模塊和核心領域,應做專業安全風險檢測。在關鍵業務啟動前,可以先由專業團隊進行滲透性攻擊測試,根據測試結果優化安全管理流程,對于容錯性、安全風險等做出全面評估和修改。#p#
企業應采取的防護建議
對于企業信息安全的保護,應當從企業安全流程和安全產品兩方面共同著力。一方面,信息安全不再是分散的、技術上的簡單概念,還應該與企業管理、基礎建設、應急處理等宏觀設計統一起來;另一方面,安全廠商需要進一步思考在如何將自身各項產品線進行長期規劃、有機結合,從而針對不同行業、不同規模、不同安全級別的企事業及政府單位,量身定制完整的安全解決方案。
除了使用質量良好的軟硬件系統之外,有些共通的防護措施和思路,值得所有企業參考和借鑒:
(1)安全風險評估
企業應對自己的信息資產作安全風險評估,了解自身所面臨的安全威脅,主要來自外部,還是來自企業內部?對企業威脅最大的攻擊方式,是竊取資料,是用戶無法訪問自己的網站,還是用戶容易訪問到被仿冒的網站?
(2)針對急迫的問題迅速擬定執行解決方案
進行了風險評估之后,應該在短時間內針對急迫的問題迅速擬定執行解決方案,由公司整體組織和進行。由于有些安全風險無法在內部自行消除,所以需要求助于外部力量。比如:有的公司名字和品牌在搜索引擎上搜索,排在前列的都是仿冒的釣魚網站,這時候就需要公司的市場部門去與相關公司溝通,針對用戶發布安全警示等等。
(3)根據不同行業特性規劃安全風險對策
安全風險對策應根據不同行業的特性來規劃,例如:網游企業面臨的危險,主要是DDOS攻擊和用戶資料失竊;IM軟件除了盜號風險之外,還有傳送惡意文件、詐騙鏈接等等問題。這些都可以通過流程來彌補和減弱影響,有的網游在用戶進行裝備交易時設定條件,對爭議進行人工審核,這樣就可以降低盜號帶來的影響。
(4)建立嚴格的權限管理體系和資料審核機制
很多企業的安全風險因素來自內部,離職員工的惡意入侵,低權限員工試圖獲取超越權限的資料等等,這些都需要內部建立嚴格的權限管理體系和資料審核機制,單純依靠安全軟硬件無法徹底消除類似風險。
目前,包括瑞星在內的安全廠商都會提供專業的安全風險評估、協助制定安全流程和規則等服務,如用戶遇到自己無法解決的安全問題時,可向專業廠商求助。#p#
總結
2011年,CSDN、天涯等網站發生的"泄密門",給國內企業安全敲響了警鐘。像這樣的專業網站在用戶資料管理、安全流程上都存在種種問題,其余企業的安全防護水平可想而知。這既給行業帶來壓力,同時也給企業的發展帶來巨大的動力,正是因為存在問題,企業們才需要向著更好的方向去努力。
除了"拖庫"這樣顯而易見的攻擊之外,針對iPad、安卓等智能終端的攻擊,針對各種工控系統的攻擊,針對涉密網絡的攻擊也層出不窮地出現,盡管目前尚未出現"泄密門"那樣影響巨大的案例,但只要我們放松警惕,威脅就出現在懈怠之中。
最后,我們也看到目前國內的安全形勢不容樂觀,大多數企業對于漏洞和威脅并不重視,只要不出現問題就萬事大吉;很多安全研究者因為不能通過正當途徑獲取利益,不得不靠灰色收入牟取利益;這樣就使整個行業進入"有問題的企業不肯花錢,寧肯花錢搞定媒體,導致安全研究不賺錢,不賺錢的廠商無法提供更好的產品和服務,致使有問題的企業問題越來越多,最終安全炸彈被引爆"的惡性循環。
瑞星呼吁國內所有的安全廠商、企業和安全研究者,大家應該把精力放在共同對付安全威脅上,對于白帽研究者提供的漏洞和建議應給予足夠的重視,對利用安全漏洞進行攻擊和謀取不當利益的行為給以堅決反擊,只有大家共同努力,才能把安全做到更好。
