從藍(lán)瘦“想哭”到 SELinux 看操作系統(tǒng)安全何在
最近一周,來(lái)自網(wǎng)絡(luò)的“想哭”勒索病毒(Wannacry Ransomware)在世界各地同時(shí)上演了一部綁匪大片,臺(tái)詞華麗,演技出色,當(dāng)仁不讓地新晉世界第一網(wǎng)紅。全球各國(guó)除了默默忙于兩彈一星足不出戶的朝鮮外,無(wú)不為之動(dòng)容。一時(shí)間,包括“想哭”病毒在內(nèi)的各種病毒的各種傳聞也火爆網(wǎng)絡(luò),我們并不準(zhǔn)備跟風(fēng)刷屏,只是打算本著實(shí)事求是的精神,科學(xué)的探討一下如何與它們和睦相處、談笑風(fēng)生。
“想哭”病毒的前世今生
首先,讓我們先簡(jiǎn)要回顧一下主角“想哭”病毒的前世今生。
“想哭”病毒是基于網(wǎng)絡(luò)攻擊框架二次開(kāi)發(fā)的結(jié)果,它利用了 NSA(美國(guó)國(guó)家安全局)的前輩們留下的非物質(zhì)文化遺產(chǎn):永恒之藍(lán)(ETERNAL BLUE) 模塊,針對(duì) Windows SMB 服務(wù)的實(shí)現(xiàn)漏洞植入惡意代碼,再結(jié)合自己的創(chuàng)新:加密用戶文件和顯示勒索聲明,一代網(wǎng)紅勒索病毒由此誕生。從病毒本身的設(shè)計(jì)流程來(lái)看,似乎并不需要高深的編碼技巧或深厚的理論根基,然而這也恰恰是這一事件中最值得我們警惕的地方:NSA 泄漏的攻擊模塊遠(yuǎn)不止永恒之藍(lán)一種,借助已有攻擊框架進(jìn)行二次開(kāi)發(fā)的難度又如此之低,所以,可以預(yù)期,一大波未知的病毒正在來(lái)襲的路上。
是不是細(xì)思極恐?所謂“知彼知己,百戰(zhàn)不殆(die)”,要想不 die,先要充分了解對(duì)手,所以接下來(lái)我們進(jìn)一步了解一下什么是病毒?病毒是如何以危險(xiǎn)方式危害公共安全的?又是怎樣進(jìn)入我們的系統(tǒng)的?
病毒是什么,其實(shí)是老生常談了,經(jīng)常關(guān)注醫(yī)療衛(wèi)生領(lǐng)域的朋友都知道:
病毒由一段基因與蛋白質(zhì)構(gòu)成,自身不能實(shí)現(xiàn)新陳代謝,通過(guò)適當(dāng)?shù)耐緩角秩胨拗黧w內(nèi),通過(guò)宿主細(xì)胞的代謝系統(tǒng)實(shí)現(xiàn)復(fù)制傳播。
跑題了?好吧,不要在意這些細(xì)節(jié),我們改幾個(gè)字就能用了:
病毒由一段可執(zhí)行代碼與數(shù)據(jù)構(gòu)成,自身不能在裸機(jī)上運(yùn)行,通過(guò)適當(dāng)?shù)耐緩角秩胨拗鞑僮飨到y(tǒng),通過(guò)宿主系統(tǒng)中的存儲(chǔ)和網(wǎng)絡(luò)實(shí)現(xiàn)復(fù)制傳播。
Wirth 教授教導(dǎo)我們:
算法+數(shù)據(jù)結(jié)構(gòu)=程序,
病毒=代碼+數(shù)據(jù)=算法+數(shù)據(jù)結(jié)構(gòu)=程序
沒(méi)錯(cuò),病毒就是一類(lèi)特殊的計(jì)算機(jī)程序,廣義上稱(chēng)為惡意軟件。與自然界病毒的最大不同之處在于,它們不是純天然的,而是 100% 人工打造。通常它們懷著對(duì)人類(lèi)的深深的惡意來(lái)到世上,行為各不相同,有的在你的屏幕上畫(huà)個(gè)圈圈詛咒你,有的會(huì)竊取你設(shè)備中的隱私照片,還有的會(huì)眨眼間轉(zhuǎn)走你銀行卡上的購(gòu)房首付款......顯然,它們的目標(biāo)還是很一致的:危害人類(lèi)設(shè)備,破壞世界和平。
又扯遠(yuǎn)了,我們接著來(lái)看病毒是如何入侵操作系統(tǒng)的。病毒的入侵無(wú)外乎兩個(gè)途徑:主動(dòng)和被動(dòng)。所謂主動(dòng)是針對(duì)目標(biāo)系統(tǒng)嘗試發(fā)起掃描和攻擊,一般是遠(yuǎn)程發(fā)起,當(dāng)發(fā)現(xiàn)了自己能吃定的漏洞之后,就通過(guò)各種陰險(xiǎn)手段(其實(shí)技術(shù)實(shí)現(xiàn)上大多還是很優(yōu)雅的)攫取系統(tǒng)權(quán)限,進(jìn)而將惡意代碼注入宿主系統(tǒng)中伺機(jī)作惡,對(duì)此沒(méi)什么概念的小伙伴可以自行腦補(bǔ)一下《異形》中的人類(lèi)被寄生的過(guò)程。
病毒入侵的另一種方式,我們稱(chēng)之為被動(dòng)方式。這種方式并不需要系統(tǒng)存在漏洞或缺陷,需要的是用戶的經(jīng)驗(yàn)、常識(shí)或智商存在缺陷。它們通過(guò)各種偽裝誘騙用戶去打開(kāi)或運(yùn)行自己,包括形形色色讓你心動(dòng)的郵件、鏈接、不明來(lái)源的安裝程序等等,一旦獲得機(jī)會(huì)運(yùn)行,它們會(huì)悄無(wú)聲息的在你的系統(tǒng)中安營(yíng)扎寨、留下多道后門(mén),然后為所欲為,這類(lèi)病毒又被形象地稱(chēng)為(特洛伊)木馬。
如何應(yīng)對(duì)各種病毒威脅
了解了病毒的來(lái)龍去脈之后,我們就可以開(kāi)始討論如何應(yīng)對(duì)各種病毒層出不窮的威脅了。
對(duì)于大多數(shù)用戶,良好的使用習(xí)慣是第一位的。堡壘往往從內(nèi)部被攻克,再安全的操作系統(tǒng),再?gòu)?qiáng)大的安全機(jī)制,都難以阻止用戶自我毀滅的腳步。良好的使用習(xí)慣中最重要的,是安全更新,安全更新,安全更新!為什么呢?這要先談一下操作系統(tǒng)漏洞的由來(lái)。
漏洞實(shí)際是軟件缺陷的一種,也就是俗稱(chēng)的 bug,是由于軟件開(kāi)發(fā)人員的疏忽而導(dǎo)致程序沒(méi)有按照預(yù)期的方式運(yùn)行。軟件缺陷多種多樣,有些很呆,有些很萌,也并不都會(huì)對(duì)系統(tǒng)安全構(gòu)成威脅。那些僥幸逃脫開(kāi)發(fā)和測(cè)試人員的輪番圍剿,隨著軟件的發(fā)布散落人間的軟件缺陷,一旦被黑客們發(fā)現(xiàn)、策反,并借助自己在系統(tǒng)內(nèi)部的有利位置,披著合法軟件的外衣,做出送人頭、坑隊(duì)友的惡劣行徑時(shí),就成為軟件系統(tǒng)的公敵:漏洞。越是龐大和復(fù)雜的軟件越容易產(chǎn)生漏洞,不幸的是操作系統(tǒng)就是一類(lèi)極其龐大而復(fù)雜的軟件系統(tǒng)。
雖然操作系統(tǒng)漏洞常常難以完全避免,然而某個(gè)漏洞一旦被發(fā)現(xiàn),開(kāi)發(fā)廠商都會(huì)在第一時(shí)間發(fā)布安全更新對(duì)問(wèn)題進(jìn)行修復(fù)。以這次勒索病毒為例,針對(duì)被利用的 SMB 服務(wù)漏洞,事實(shí)上早在一個(gè)月前微軟就公布了漏洞警告和補(bǔ)丁,提供了安全更新,那些開(kāi)啟自動(dòng)更新并及時(shí)修復(fù)了漏洞的用戶,他們可以用省下的三個(gè)比特幣吃著火鍋唱著歌,完全不用擔(dān)心綁匪。所以請(qǐng)劃重點(diǎn):操作系統(tǒng)安全更新非常重要,不論個(gè)人用戶、企業(yè)用戶還是系統(tǒng)管理員,不論服務(wù)器,桌面還是移動(dòng)終端,不論 Windows,Linux 還是 MacOS,都應(yīng)該盡可能及時(shí)地從操作系統(tǒng)廠商處獲取安全更新。
其次,殺毒軟件也可以起到一定的安全增強(qiáng)的作用,多數(shù)殺毒軟件可以借助病毒庫(kù)對(duì)已有病毒的特征進(jìn)行分析比對(duì),一旦發(fā)現(xiàn)用戶即將運(yùn)行的程序中含有病毒或惡意程序,會(huì)及時(shí)提醒用戶,或者自動(dòng)清除。因此,殺毒軟件可以在很大程度上防御已知的、以被動(dòng)方式入侵系統(tǒng)的病毒。
那么,積極地安全更新、安裝殺毒軟件就可以解決所有病毒威脅了么?
很不幸,事實(shí)并非如此。安全更新和殺毒軟件之于病毒威脅正如強(qiáng)身健體之于疾病隱患,可以大幅降低幾率,卻難以完全避免。為什么?這要從零日(0-day)漏洞說(shuō)起。
零日漏洞,聽(tīng)起來(lái)就很霸氣的一個(gè)名字,仿佛給人一種世界末日的感覺(jué)。它并不是指具體的某個(gè)或某類(lèi)漏洞,而是指被黑客發(fā)現(xiàn)后立刻用來(lái)發(fā)起攻擊的漏洞,這些漏洞尚未公開(kāi),用戶不知道,軟件廠商也不了解,應(yīng)對(duì)時(shí)間為零。所以,這類(lèi)漏洞沒(méi)有檢測(cè)工具,沒(méi)有修復(fù)方法,傳統(tǒng)被動(dòng)升級(jí)防御、病毒特征比對(duì)的方式毫無(wú)用處,一旦被用來(lái)發(fā)起攻擊,普通系統(tǒng)是毫無(wú)招架能力的。那么有沒(méi)有可以防御零日漏洞的安全的操作系統(tǒng)呢?
安全的操作系統(tǒng)與 SELinux
一提到安全的操作系統(tǒng),總會(huì)涌現(xiàn)出很多真知灼見(jiàn),最膾炙人口的莫過(guò)于:
“所有操作系統(tǒng)都有漏洞,所以沒(méi)有絕對(duì)安全的操作系統(tǒng);所以 Windows 也好,Linux 也好,MacOS 也好,都一樣不安全。”
說(shuō)的好有道理,我竟無(wú)言以對(duì),因?yàn)榍鞍刖渚褪菍?duì)本文前半部分的總結(jié),理論正確,邏輯自洽,沒(méi)什么可黑的。后半句的邏輯卻似乎有點(diǎn)燒腦,如果它成立的話,我們不妨試著推廣一下,比如:
“任何物質(zhì)都是有毒性的,沒(méi)有什么是絕對(duì)無(wú)毒的。砒霜吃了會(huì)中毒,水喝多了也會(huì)中毒,所以砒霜和水一樣不安全。”
毒理學(xué)有句名言:一切談毒性不談劑量的行為都是耍流氓。同樣,任何談操作系統(tǒng)安全不談體系架構(gòu)的行為也是耍流氓。所以面對(duì)這種耍流氓的行為,接下來(lái)我們要嚴(yán)肅的談一談操作系統(tǒng)的安全體系架構(gòu)。
多年前,永恒之藍(lán)的始作蛹者 NSA 為了防御自家系統(tǒng),開(kāi)發(fā)了一套安全框架,多年后這套框架被貢獻(xiàn)給了 Linux 內(nèi)核,這就是 SELinux。作為造成這次世界性災(zāi)難的幕后大 boss,NSA 為自己定制的 SELinux 又是怎樣的一套防具呢?
SELinux 全稱(chēng) Security Enhanced Linux ,是針對(duì) Linux 的全面安全增強(qiáng),相比一般的發(fā)現(xiàn)漏洞-修復(fù)漏洞這種被動(dòng)挨打的模式,SELinux 具備主動(dòng)防御能力,可以抵御包括零日漏洞在內(nèi)的多種攻擊。
那么 SELinux 是如何做到的呢?
訪問(wèn)控制是操作系統(tǒng)安全體系中的最核心最關(guān)鍵的機(jī)制,它決定了系統(tǒng)中什么樣的資源可以被哪些用戶以什么樣的方式來(lái)訪問(wèn),也就是說(shuō)普通用戶能做什么,入侵者能做什么,應(yīng)用軟件能做什么,惡意軟件能做什么,都是訪問(wèn)控制系統(tǒng)決定的。SELinux 的核心訪問(wèn)機(jī)制是強(qiáng)制訪問(wèn)控制(Mandatory Access Control),簡(jiǎn)稱(chēng) MAC,SELinux 的安全特性是建立在 MAC 基礎(chǔ)之上的。那么 MAC 何德何能,堪負(fù)如此重任?
說(shuō)到 MAC 強(qiáng)制訪問(wèn)控制就不得不說(shuō)它的前輩自主訪問(wèn)控制(Discretionary Access Control),簡(jiǎn)稱(chēng) DAC。傳統(tǒng)的操作系統(tǒng),Windows、MacOS、以及包括早期 Linux 在內(nèi)的各種Unix的系統(tǒng)權(quán)限管理都是采用的自主訪問(wèn)控制,自主訪問(wèn)控制將用戶(或用戶組)簡(jiǎn)化為一個(gè)標(biāo)識(shí),系統(tǒng)中的資源(比如文件)都會(huì)帶上用戶標(biāo)識(shí)和對(duì)應(yīng)的訪問(wèn)權(quán)限信息,通過(guò)這種方式賦予不同用戶不同的訪問(wèn)權(quán)限,操作系統(tǒng)通過(guò)對(duì)用戶標(biāo)識(shí)的比對(duì)和權(quán)限信息決定一個(gè)用戶是否能訪問(wèn)某個(gè)資源。打個(gè)比方,你認(rèn)為你家里的東西是只屬于你的,在 DAC 看來(lái),只要能進(jìn)屋的人都對(duì)這個(gè)屋子里的東西擁有權(quán)限,那么你自己開(kāi)門(mén)進(jìn)屋睡覺(jué)也好,小偷撬門(mén)進(jìn)去拿走金銀細(xì)軟也好,都是合法的。
在操作系統(tǒng)中也是如此,幾乎所有操作系統(tǒng)中都有一個(gè)身影,叫管理員,Administrator 也好,root 也好,都是一群在系統(tǒng)中權(quán)力無(wú)限大,對(duì)任何資源都有完全訪問(wèn)權(quán)限的家伙。多數(shù)系統(tǒng)服務(wù)是以管理員權(quán)限運(yùn)行的,如果它們存在漏洞,被劫持去做一些它們本不該做的事情的時(shí)候,DAC 是不會(huì)阻攔的,因?yàn)樗鼰o(wú)法區(qū)分某個(gè)動(dòng)作是程序正常行為還是惡意行為。在它眼里,身份就是權(quán)力的象征,只要認(rèn)可了你的管理員身份,你說(shuō)什么都是對(duì)的,你做什么都是合法的。
那么 MAC 機(jī)制又是怎樣的呢?與 DAC 中的混沌不同,MAC 是一個(gè)充滿秩序的世界,一個(gè)一舉一動(dòng)要提出申請(qǐng)的世界。在 MAC 中,一切訪問(wèn)計(jì)劃都要事先寫(xiě)入安全策略,沒(méi)有明確的策略允許的任何訪問(wèn)都會(huì)被禁止。在上個(gè)例子中,作為家中的主人,你需要能夠在家睡覺(jué),也是需要明確制定計(jì)劃的,你需要添加的安全策略看起來(lái)是這樣的:
- 定義資源類(lèi)型: 床
- 定義安全域: 休息
- 定義角色: 主人
- 訪問(wèn)規(guī)則: 允許 主人 休息時(shí) 使用床
如果系統(tǒng)對(duì)于你家中的資源訪問(wèn)只添加了這一條安全策略,那么你仍然可以安心的在家睡覺(jué),小偷無(wú)論用何種方式進(jìn)入你家都將寸步難行,接觸任何東西的行為都會(huì)被禁止,并且一切被禁止的行為嘗試都將被另一套完善的監(jiān)控系統(tǒng):審計(jì)日志記錄在案。
明白了這個(gè)例子,回到操作系統(tǒng)中我們就很容易看懂 MAC 是如何防范系統(tǒng)帶來(lái)的安全威脅的:假設(shè)我們有一個(gè)存在緩沖區(qū)溢出漏洞的文件共享服務(wù),與多數(shù)系統(tǒng)服務(wù)一樣使用管理員權(quán)限運(yùn)行。攻擊者通過(guò)精心構(gòu)建一個(gè)特殊的數(shù)據(jù)包發(fā)送給服務(wù)器,使存在漏洞服務(wù)器正常的執(zhí)行流程被劫持,轉(zhuǎn)而執(zhí)行修改管理員密碼的操作。在 DAC 控制下的傳統(tǒng)操作系統(tǒng)中,一旦攻擊生效,那么管理員密碼會(huì)被這個(gè)平時(shí)八竿子打不著的文件服務(wù)器修改,攻擊者隨后可以很容易的登錄進(jìn)入系統(tǒng)。而在 MAC 系統(tǒng)中,文件服務(wù)器的可訪問(wèn)的文件是嚴(yán)格受限的,安全策略類(lèi)似于:
- 允許 系統(tǒng)管理員角色 運(yùn)行文件服務(wù)器 該進(jìn)程允許訪問(wèn)被共享文件。
安全策略的定義了該服務(wù)可以訪問(wèn)的所有資源,攻擊者在攻擊了文件服務(wù)器后,希望修改管理員密碼,它需要訪問(wèn)的是 SAM 或 passwd 等的密碼管理文件,由于文件服務(wù)器進(jìn)程僅被策略僅允許訪問(wèn)需要被共享的文件,因此對(duì)密碼管理文件的操作將被拒絕,攻擊失效。這種情況下最壞的情形是,攻擊者可能非法訪問(wèn)共享文件,因?yàn)樗栽诎踩呗栽试S范圍內(nèi)。盡管如此,一個(gè)系統(tǒng)級(jí)的安全漏洞對(duì)整個(gè)操作系統(tǒng)的影響被限制在了非常小的范圍內(nèi)。
通過(guò)細(xì)粒度的劃分訪問(wèn)權(quán)限,將所有應(yīng)用和服務(wù)的訪問(wèn)限制在最小范圍內(nèi),這就是強(qiáng)制訪問(wèn)控制保護(hù)系統(tǒng)不受已知及未知漏洞攻擊的原理。
其實(shí) MAC 和 DAC 并不是水火不容的,在包括 SELinux 在內(nèi)的多數(shù)安全框架中,它們是共同生效的,所有的資源(或者準(zhǔn)確的說(shuō)叫客體)訪問(wèn)請(qǐng)求首先要經(jīng)過(guò) DAC 權(quán)限判定,驗(yàn)證通過(guò)之后再進(jìn)一步進(jìn)行 MAC 的安全策略判定,只有同時(shí)符合自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制規(guī)則后才能獲得訪問(wèn)權(quán)限。
SELinux 中,有三大類(lèi) MAC 策略模型,分別是 TE(類(lèi)型增強(qiáng)),RBAC(角色訪問(wèn)控制)以及 MLS(多級(jí)別安全),每一類(lèi)模型都針對(duì)系統(tǒng)已有服務(wù)和應(yīng)用提供了大量安全策略。一個(gè)使用了 SELinux 的典型的服務(wù)器操作系統(tǒng)環(huán)境,內(nèi)核中會(huì)包含 10 萬(wàn)條以上的安全策略。
計(jì)算機(jī)信息系統(tǒng)的安全等級(jí)
了解了 SELinux 及其強(qiáng)制訪問(wèn)框架后,看到攻防兩端都造詣深厚的 NSA,你可能會(huì)驚嘆于矛尖盾厚的美國(guó)在信息安全領(lǐng)域的強(qiáng)大的實(shí)力。然而我國(guó)在這個(gè)陸上有東風(fēng),海上有航母,天空有北斗的時(shí)代,在信息安全這樣重要的領(lǐng)域當(dāng)然不會(huì)碌碌無(wú)為。我國(guó)很早就對(duì)信息安全領(lǐng)域展開(kāi)了全面的研究,公安部對(duì)信息安全的各個(gè)領(lǐng)域提出了一些列標(biāo)準(zhǔn),最早在 GB 17859-1999 標(biāo)準(zhǔn)中就根據(jù)需求將計(jì)算機(jī)信息系統(tǒng)的安全級(jí)別由低到高,劃分為 1-5 共五個(gè)等級(jí)。在 GB/T 20272-2006 中更進(jìn)一步對(duì)操作系統(tǒng)安全技術(shù)提出了具體要求。
從國(guó)標(biāo)安全第三級(jí)開(kāi)始要求操作系統(tǒng)提供強(qiáng)制訪問(wèn)控制,除了要實(shí)現(xiàn) SELinux 中的各類(lèi)安全模型架構(gòu)外,還根據(jù)最小特權(quán)原則開(kāi)創(chuàng)性的引入三權(quán)分立的概念,將普通操作系統(tǒng)中權(quán)限不受控制的管理員根據(jù)職責(zé)分解為系統(tǒng)管理員,安全管理員,審計(jì)管理員三個(gè)角色。
系統(tǒng)管理員負(fù)責(zé)“行政”體系,也就是系統(tǒng)中的配置管理,類(lèi)似網(wǎng)絡(luò)配置、服務(wù)啟停(安全服務(wù)除外)、設(shè)備管理等等;安全管理員負(fù)責(zé)“立法”,負(fù)責(zé)安全策略制定、加載以及安全服務(wù)的開(kāi)啟;審計(jì)管理員的職責(zé)類(lèi)似“司法”,制定違規(guī)訪問(wèn)的記錄,安全服務(wù)的關(guān)閉。三個(gè)角色的權(quán)限之間互相制約,從而避免了惡意入侵者通過(guò)獲取管理員權(quán)限對(duì)操作系統(tǒng)的全面控制。同時(shí)標(biāo)準(zhǔn)還對(duì)用戶數(shù)據(jù)的私密性、完整性提出了嚴(yán)格的保護(hù)要求,要求操作系統(tǒng)通過(guò)安全標(biāo)簽保障用戶數(shù)據(jù)不被非法讀取和篡改。
國(guó)標(biāo)安全四級(jí)除了在訪問(wèn)控制和數(shù)據(jù)保護(hù)上提出更為嚴(yán)格要求之外,還要求設(shè)計(jì)者對(duì)操作系統(tǒng)的安全策略模型、安全功能模塊進(jìn)行形式化驗(yàn)證,并進(jìn)行隱蔽信道分析,對(duì)系統(tǒng)抵御攻擊能力進(jìn)行評(píng)估,也是目前已有操作系統(tǒng)能達(dá)到的最高安全等級(jí)。目前普華、凝思等國(guó)產(chǎn)操作系統(tǒng)廠商已經(jīng)開(kāi)發(fā)出了符合國(guó)標(biāo)安全四級(jí)的安全操作系統(tǒng),提供了遠(yuǎn)高于普通 SELinux 的底層安全保護(hù)。
結(jié)語(yǔ)
信息安全是全方位的,盡管病毒與惡意入侵并非只針對(duì)操作系統(tǒng),單一從操作系統(tǒng)層面無(wú)法解決所有的安全問(wèn)題,然而作為所有上層應(yīng)用的最底層軟件支撐,操作系統(tǒng)卻在最終執(zhí)行層面承載著一切上層軟件的安全機(jī)制,脫離操作系統(tǒng)構(gòu)建的安全體系,如同沙灘上的城堡,即使再堅(jiān)固也將最終失去根基。
