返回 登录
0

漏洞战争: 软件漏洞发展趋势

◆ ◆ ◆引言

近几年,在电脑上的软件漏洞分析与利用技术已经发展得相当成熟,很多技术也被黑产所利用,但也正因为如此,它极大地推进软件漏洞领域的发展,比如微软在IE上新增了许多安全机制(延迟释放、隔离堆、控制流防护等),大大地提升了IE浏览器的安全性。外部曝光的各大APT攻击事件也将持续存在,用的不一定是0day,也可能是一些旧漏洞的综合利用,加上社工及其他高级渗透技术进行长期潜伏以收集目标信息。

笔者个人认为APT并不是一项新技术或新概念,它只是对过去一些长期潜伏渗透的综合行为所作的概念总结。也就是说,在APT一词出现前,这类APT攻击行为就一直存在,只是刚好有人取此名词,后来被炒火了。特别是国外著名安全厂商FireEye的出现,更大程度地推动了APT概念的发展,因为FireEye每次都能及时地爆光外部正在利用的0day,以及各种APT攻击事件,甚至是各国之间的间谍行动。也正因为如此,后面很长一段时间,流行给各种漏洞或APT攻击事件取个特殊的名称,比如“心脏出血”、“红色十月行动”、“雪人行动”……(在站点https://github.com/ kbandla/APTnotes可以看到从2006年至今的各类APT攻击事件资料)。

当然,在此期间也有不少厂商为炒作漏洞,将危害一般或者低危的漏洞炒作成很严重的漏洞,以混淆视听,笔者就曾多次在安全应急事件中遇到此类情况。

下面,我们将看到未来的软件漏洞可能面临哪些新挑战。

笔者认为未来的软件漏洞领域主要存在以下新挑战,本文将一一介绍。

● 移动终端漏洞

● 云计算平台漏洞

● 物联网漏洞

移动终端漏洞发展趋势

移动互联网时代早已到来,以智能手机为主的移动终端也逐渐被黑客所关注,针对移动终端的漏洞和病毒正在呈倍增长,发展迅猛。面对日趋增长的安全威胁,最受影响的主要移动终端系统是Android与iOS,这也是当前用户量最多的两大移动操作系统。移动终端系统的风险除本身系统的安全性外,安装在系统上的其他应用也是引发风险的关键点。

根据CVE漏洞库(http://web.nvd.nist.gov/view/vuln/statistics)中Android与iOS系统漏洞数量的情况,绘制出Android系统漏洞和iOS系统漏洞的统计图,分别如下图所示,这里不包括第三方应用的漏洞统计。从统计图看,Android系统漏洞呈“山”字形发展,在2012年达到顶峰,这3年有下降趋势,一方面跟Android系统所加入的一些新安全机制有关,另一方面跟它的开放性有关,这为许多安全研究者提供了更多的利用资源,虽然如此,但Android系统所带来的安全风险将持续存在。实际上,Android系统漏洞应该不止这些,因为Linux内核漏洞也会影响到Android,部分漏洞可能未在统计数据范围内。再回头看下iOS系统漏洞情况,其漏洞数量基本保持持续上升的趋势,2015年已经达到历史最高。由于iOS的封闭性,导致iOS安全研究者相对较少,这几年关于它的安全书籍和文章逐渐增加,使得更多安全人员加入iOS安全研究的行列,其被挖掘出来的漏洞也跟着有上升的趋势。

图片描述

CVE漏洞库中关于Android系统漏洞的统计图 (注:Linux内核漏洞未在统计范围内,但它也会影响Android系统的安全性,因此实际的Android漏洞数量会更多)

图片描述

CVE漏洞库中关于iOS系统漏洞的统计图

对于Android平台,特别是容易影响第三方应用的通用型漏洞,更容易被黑产所关注和利用,比如WebView漏洞、图片解析库等,未来也会有更多的病毒使用系统漏洞以扩大其危害和传播量。由于手机便携,很多个人隐私信息会直接保存在上面,而且随着移动支付的兴起,通过攻陷手机往往可以拿到很多有价值的信息,比如个人隐私、金融交易密码等,然后再拿来变售个人资料,对窃取的金融账号进行洗钱。另外,一些安全厂商可能也会购买Root提权漏洞,以应用到他们自主开发的Android Root工具中,帮助用户扩展手机使用权限,以使用很多原本无法使用的软件。

对于iOS平台,越狱一直是个热门的话题,在越狱中使用的漏洞也是非常有价值的,一个越狱漏洞可能卖到50多万美元。一方面是由于iOS安全的门槛相对Android要高很多,而且研究人员也比Android少;另一方面,由于越狱后所能带来的额外利益非常大,找赞助商打广告也是轻而易举的事,可谓名利双收。因此,一个越狱漏洞是完全值那个价位的,将来随着越狱难度的增加,黑市的价格也肯定会跟着上升,但实际上要实现完美越狱都需要多个漏洞组合。

由于智能手机平台上的应用经常也会嵌入WebView组件以支持网页浏览,所以手机应用也会涉及Web攻防,这就要求移动终端漏洞分析人员的知识面更全面,最好具备二进制与Web攻防的能力,才能更全面地分析和评估移动终端应用。

云计算平台漏洞发展趋势

云计算平台可以为用户提供“云”上的服务,这里的“云”可以理解为网络或互联网,用户可以在云上运行自己的程序,同时享受云所提供的服务和资源,不必使用自己的电脑来运行开发的程序,节约软硬件成本。国内的云平台主要有阿里云、腾讯云、新浪SAE、百度云、盛大云等,国外的有Google GAE、亚马逊AWS、微软Azure等。

根据服务对象的不同,可以简单地将云计算平台分为私有云、公有云和混合云,公有云是为外部用户提供云服务的平台,私有云一般是企业内部专用的云平台,而混合云包含公有云和私有云。从云计算平台构建结构来分,可以分为如下图所示的结构(源自:百度百科)。

图片描述

云计算平台架构

● SaaS(软件即服务):为消费者提供应用软件。

● PaaS(平台即服务):为消费者提供系统平台,比如Windows、Linux等操作系统,以及相应的管理支撑软件、开发工具、安全系统等。

● IaaS(基础设施即服务):为消费者提供服务器、存储设备、网络通信设备,以及其他IT基础设施资源。 如果黑客要攻击云平台,那么其最终的目的一般都是为了拿到底层数据中心里的存储数据,因此云安全的本质其实就是数据安全。根据前面的架构分层,可以呈现出不同的漏洞攻击特征。

● SaaS层:传统的Web漏洞、软件漏洞都可能会出现,而此层的漏洞风险更大,也是外部最容易触及到的,从目前多数云平台的入侵情况看,Web漏洞导致的直接危害会更多。

● PaaS层:Web服务器漏洞,主机安全问题,比如系统提权漏洞。

● IaaS层:网络攻击、虚拟机漏洞、数据存储缺陷等。 综合来看,笔者认为当前及未来的主要云安全问题会集中在虚拟机漏洞、Web漏洞、数据安全等方向上,主要有以下原因。

(1)云平台上一般是多个用户共用一台服务器,如果利用虚拟机漏洞逃逸出去,进而控制主系统,那么攻击者就可能窃取他人的数据并执行其他恶意的越权操作。

(2)Web漏洞相对其他类型的漏洞门槛会低一些,也是外部最容易接触到的层面,此处若发生安全问题可能直接导致服务器被入侵,危害严重。

(3)数据加密往往是最后一道防线,即使服务器被入侵,若采用较为坚固的数据加密方案,可以大大地提高免受破解的功能,而若对敏感数据未做加密或采用不安全的加密方式,则破解出数据只是时间问题。

正因为这些安全问题,所以现在许多云平台自身或者第三方安全厂商会提供一些云安全产品,比如云WAF(如腾讯的“门神”)、云漏洞扫描器(如腾讯云提供的云安全漏洞扫描服务)、主机入侵防御系统(如腾讯的“洋葱”)、数据加密系统(如腾讯的“铁将军”)、DDOS防御系统(如腾讯的“宙斯盾”)等。在此也可以预见未来会有更多的云安全问题出现,相应的云安全产品也是逐渐增多。

物联网漏洞发展趋势

物联网(Internet of things,简称IoT),通俗来讲,就是将物体接入互联网所组成的网络,使得物与物,人与物能够进行交互,以便进行智能化管理,比如窗帘,传统上它只是个静态物体,但如果将其接入网络,人们可以直接通过移动终端(手机、平板电脑等)进行控制,实现远程拉窗帘的动作。所以物联网的诞生,势必将改变人们未来的生活。现在物联网才刚刚起步,很多产品做得可能还不够实用,也可能有些只是炒作概念而诞生的产品,但物联网是未来发展的趋势,相信未来会更好。

由于物联网的介入,使得传统互联网能够从虚拟世界影响到物理世界,那么如果物联网产品存在安全问题,那就有可能直接影响到个人财产安全,甚至人身安全。如果读者有关注过外部报道的关于心脏起搏器、胰岛素泵(注射胰岛素的设备,当注入过量时可导致患者昏迷)被黑客入侵的事,相信就很容易理解。再举个大家经常在电影上看见的场景,比如《窃听风云》中的片段,故事背景如下。

男主角为了进入警察局的档案室偷取资料,通过黑客技术黑入警察局的监控系统,将监控视频替换为无人状态,以隐藏潜入者的行踪,防止被警察发现。

相信在许多黑客题材的电影或电视剧里,经常会看到类似的场景。但是这毕竟是电影里的场景,在现实生活中是否真的存在,技术上是否能够实现呢?答案是肯定的。

图片描述

《窃听风云》电影片段:通过篡改监控视频隐藏行踪

腾讯安全应急响应中心(TSRC)的monster同学就曾对百度出品的一款智能摄像头进行研究,发现其存在严重漏洞,利用漏洞能够篡改监控视频,重现类似《窃听风云》里的电影场景。

图片描述

TSRC的同学为记者演示如何破解智能门锁

经过一段时间的研究,我们发现一些当前流行的智能设备都存在安全漏洞,包括智能门锁、智能插座、智能摄像头、移动POS机……很多跟用户财产安全挂钩较紧的智能设备都普遍存在安全问题,总结起来可能有以下几方面原因。

● 智能设备领域刚刚起步,业界对智能设备安全的经验积累不足。

● 许多创业公司把主要精力投入到业务量上,而忽略对安全的重视。

● 业界缺乏统一技术标准,在通信协议、安全体系设计等诸多方面都参差不齐,导致一些隐患的存在。 每一个智能设备漏洞所能造成的危害,主要依赖于它所支持的功能及应用场景。再列举几个此前TSRC的同学研究发现的智能设备漏洞,比如智能门锁被破解后,就可能被入室盗窃,直接危害个人财产安全。

图片描述

TSRC的同学为记者演示如何破解智能门锁

比如某移动POS机存在被劫持盗刷的漏洞,只要用存在漏洞的POS机刷过漏洞,攻击者可在无用户密码、无用户银行卡的情况下,直接窃取用户银行卡上的钱。

利用移动POS机漏洞盗刷银行卡

图片描述

刚刚兴起的车联网也是被曝光存在许多安全问题,比如在2014年GeekPwn智能硬件破解大赛上,Keen团队就现场演示破解特斯拉的场景,通过手机实现远程控制特斯,只需手触屏幕上汽车的几个关键位置,就可以实现打开车门、后备箱、让正向行驶的汽车突然倒车,甚至熄火失控。

图片描述

图 GeekPwn大会上破解特斯拉的现场

在2015年GeekPwn的开场项目中,腾讯安全平台部的gmxp同学利用一系列漏洞成功演示劫持一架正在飞行的大疆精灵3代无人机,夺取了这台无人机的控制权,成功完成无人机的劫持。GeekPwn结束后,组委会立即将漏洞通知给官方,而大疆也很快完成了漏洞的修复。后来,在中央电视台举办的3·15晚会上报道了此次的无人机劫持。

图片描述

中央电视台3·15晚会报道的无人机劫持

以上几个实例只是冰山一角,但它涵盖了人们日常的住、行、金融消费等活动。随着智能设备的普及和功能的多向化,人们的衣、食、住、行已经逐渐被覆盖,比如已经出现的智能内衣(衣)、智能筷子(食)等,甚至一些涉及人体健康的生物医学智能设备也逐渐出现,特别是像心脏起搏器、胰岛素泵等医疗设备,倘若出现安全漏洞,可能直接危害生命。

总结

本文主要就未来软件漏洞发展趋势进行探讨,可能面临移动终端、云计算平台、物联网等三大新领域的挑战,并列举出一些可能存在的风险点,以及一些目前已曝光的安全漏洞。相信未来还会有更大的安全漏洞被曝光,而一些新兴领域的安全问题,可能直接危害到用户的金融支付安全,甚至人身安全,相对传统安全问题,其导致的危害被扩大化。因此,提供对这些新兴领域进行预先性研究是很有必要的,只有掌握相应的原理、分析方法、潜在攻击面,在问题爆发后才能够自如应对,避免被打得措手不及。

相 关 图 书

图片描述

《漏洞战争:软件漏洞分析精要》

系统、全面、深入!

业内名家一致好评推荐!

结合众多经典漏洞,深度剖析漏洞攻防实战!

林桠泉 著

2016年7月出版

◎ 系统讲解软件漏洞分析与利用所需的各类工具、理论技术和实战方法

◎ 根据不同软件漏洞类型划分,并加入Android 平台上的漏洞分析与利用

◎ 以经典漏洞为例,以分享漏洞分析技巧和工具为主,对漏洞的成因、利用及修复方法进行详细讲解

本文选自:链接内容

图片描述

评论