【编者按】国家战略层面的重视与投入,云计算与大数据等技术的深入,“互联网+”驱动下私有云、混合云和公有云的发展,使得安全——软件安全、云计算安全、移动安全、物联网安全、大数据安全等,正在从某一技术领域应用演变为多企业间的全面行动。这也是2015年千人安全大会在北京频办的根本原因。高速发展的背后,是网络安全边界正在被无限拓宽且变得日益复杂的现状。我们可以看到,传统的固定边界在新信息攻防形式下 逐渐无效,Design for Failure、攻击面控制、纵深防御、实时安全情报感知等新安全体系建设开始崭露头角,更多企业的安全实践已经“从0到1”。为此,我们策划了程序员电子刊的《安全•实践》(15日出刊)封面选题,其中有安全产业的观察,安全人才流动性的分析,架构师设计中的常见安全误区的解读,大型私有云安全体系的剖析,也有多家典型互联网公司安全实践的经验总结,更有手机安全 、攻击平台等热点技术的追踪。本篇为其中一篇。安全的世界这么大,呈现出来的只是其中很小一部分,更多的价值实践,有待我们的共同分享。
自然世界中,先天有缺陷的生物总是容易被细菌病毒入侵,而健壮的生物更能抵抗细菌病毒的攻击,计算机系统也是一样,若有先天的架构设计安全缺陷,那么在面临网络攻击的时候,就更容易被入侵或者破坏,甚至因为设计架构的原因,有些漏洞完全没有办法修复!本文将讲述架构设计中需要避免出现的安全误区,以帮助我们研发人员设计出更安全健壮的软件架构。本文的举例既有硬件架构,也有软件架构,还有基础架构等等不同的架构,但其中原理适用于所有的架构设计。下文将从兼容性设计误区,降低成本设计误区,数据和代码不分离的设计误区,封闭设计的误区,黑名单设计的误区,没有将安全列为设计目标之一的误区,总共6个方面来探讨设计安全误区的问题。
兼容性越好的架构越能适应未来变化的需要,所以架构设计者会非常关注架构的兼容性设计,但是有些兼容性设计会带来严重的安全漏洞,这些安全漏洞甚至无法以简单的漏洞补丁方式修复。
以苹果的USB-C接口设计为案例。USB-C这个接口不仅用来实现供电、还用于支持鼠标,键盘等设备的数据传输,起到了简化设计结构,方便用户的目的。谷歌新款Chromebook Pixel也内置了USB-C接口,预示着业界对于MacBook的USB-C接口设计基本上是一致认可的。不过,安全专家却认为这是一个很糟糕的设计。在2014年的黑帽技术大会上,安全专家演示了一次针对USB-C接口的攻击,只要将特制的U盘插入使用USB-C接口的苹果计算机,攻击者无需在做任何操作,就可以将后门或是病毒自动植入苹果计算机,使计算机可以被攻击者远程控制或是通过病毒自动破坏计算机内的文件,非常可怕。更悲剧的还在后面,苹果一直都没有办法修复该漏洞,为什么呢?这得从这个漏洞的利用方式说起,上文说到攻击需要特制的U盘,安全专家改变了U盘的硬件和软件结构和内容,当U盘插入USB-C接口的苹果计算机时,电脑会识别U盘为一个键盘,再利用U盘中的芯片和存储的攻击代码,就可以伪装成键盘向主机发送控制命令,从而完全控制主机,无论使用者是否开启自动播放,都可以成功。所以漏洞的关键在于U盘和键盘等设备可以共用同一类接口与计算机交互,在计算机系统上没有办法区分伪装成键盘的U盘和真实的键盘,这样若不改变USB-C接口可以兼容U盘,键盘等各种硬件的设计,他们就不能修复该漏洞,而若要修复该漏洞就必须推翻原来的设计,让USB接口不再兼容键盘,鼠标等输入硬件,输入类硬件仍然使用原来的PS/2接口或其它不同的接口。
苹果的USB-C接口设计产生了一个必须推翻自己才能修复的漏洞, 所以说这是一个糟糕的设计。对于软硬件的兼容性设计,第一,一定要注意兼容的对象是否为同一类,不同类的对象最好不要强容,苹果这个设计就没有将控制指令的输入设备(键盘)与数据输入设备(U盘)这两类对象区分对待,导致了这个越权漏洞的产生;第二,兼容性设计者需要确保鉴权机制能够识别不同的对象输入,对不同的对象输入走不同的处理,避免出现控制指令输入设备可以伪装数据输入设备,代码可以伪装成数据输入的漏洞,借用一句经典的话——“圈子不同,不要强容”。
架构设计者也会非常关注架构的成本,能以最少的成本实现系统是体现设计者水平的重要标志,所以架构设计者的设计总有降低软硬件成本的倾向,这种倾向本没有错,但如果在错误的地方降了成本,给系统带来极大的安全风险,就得不偿失了。
例如下面这个因为降成本设计导致服务器无法防范CC攻击的场景。很多设计者会将每台服务器的负载率设定得非常高,高达50%-70%,希望减少服务器的部署以降低成本,但是在正常业务场景下就有这么高的负载,被CC攻击的时候会很容易被瘫痪,安全专家也没有办法在服务器上实施安全策略以防御攻击。CC(Challenge Collapsar)是一种HTTP层的DDos攻击,它通过发送大量HTTP层的请求,以达到让被攻击的目标网站瘫痪的目的。Challenge Collapsar的中文意思是挑战黑洞,大家可能会觉得它的名字有点怪,这里涉及攻击命名者与一个防火墙产品的纠葛,黑洞是一款知名的防火墙产品,意思很明显了,命名者想说黑洞防火墙也防不住他的这种攻击。目前国内领先的几家DDos清洗设备安全厂商可以基于特征防御一些普通的CC攻击,但是对于一些没有数据段特征,并且有大量代理IP的CC攻击仍然没有办法。这个时候防御的重点战场就必须转移到服务器上来了,通过业务服务器上更多业务场景的数据,以及更容易编程实现复杂的安全策略优势来检测攻击请求,举个例子,比如我们通常业务场景下,来自河南省的访问量很少,而攻击的时候该省的访问量上升10倍,我们可以对该省的访问量丢掉80%,从而防御攻击,并且最大限度的降低对业务的影响。
所以设计时保证一定的服务器冗余,能够降低攻击开始阶段系统就被攻击到瘫痪的概率,也为DDos安全专家的安全防御策略提供计算资源。如果有条件的话,最好是把业务部署在云上,这样被攻击的时候可以动态增加服务器数量,既能节省成本也能保障攻击的时候能够有效的防护。
数据和代码不分离意味着数据可以被当成代码执行,而数据是可以由用户(攻击者)自己定义的,也就是说用户(攻击者)可以自定义在系统上执行的代码,那么攻击者可以构造木马代码,作为数据输入给系统,系统执行这些木马代码后,系统就会被攻击者控制,这样的设计将给系统带来极大的风险。我们的系统开发过程中其实有不少这样的案例,下面我们先看看一个设计导致的上传攻击漏洞的案例。
例如一个导致上传攻击漏洞的设计案例,先简单描述一下上传攻击的原理,大部分应用系统都有上传图片或文件的功能,攻击者利用这些功能上传一个网页木马,如果存放上传文件的目录有执行脚本的权限,那么攻击者就可以直接得到一个WebShell,进而控制Web服务器。这个漏洞有两个必要条件,一是可以上传木马,二是存放上传文件的目录具备执行脚本的权限。上传是业务的功能需要,即便有做各种安全过滤,限制木马上传,但也有各种绕过过滤的攻击方法,比较难以限制。所以漏洞的关键就在上传的目录是否具备执行脚本的权限上,很多设计者会基于降低成本的考虑,将存储上传文件的位置与Web应用程序放在同一服务器,甚至同一目录下,这样上传的目录也和Web应用程序一样具备执行脚本的权限,从而导致系统产生了一个高危上传漏洞。
而如果将存储上传文件的位置设计在另一台只具备存储功能的文件服务器或数据库上,与Web应用服务器分开,这样即使木马被上传进来,也因为文件服务器不能执行脚本而没有办法实施攻击。
架构师设计通常会遵循对扩展开放,对修改封闭的设计原则。对于修改封闭,就是说外部可以调用系统的接口使用系统的功能,但是看不到系统内部实现的代码,也不能对内部实现的代码进行修改。这常常给设计者一种错觉,认为外部使用者不知道系统内部是怎么实现的,不知道存在的安全缺陷,从而放心大胆的在内部留下许多安全隐患,最常见的就是使用私有加密算法。
设计者常会直观的认为私有算法拥有算法的秘密性,所以安全性要比公开常用加密算法更高些。但其实私有算法的秘密性也是很难保障的首先,中国有句古语——“天下没有不透风的墙”,指不定什么时候你的算法就会通过队友泄露出去,如果你觉得这个说法太虚了,举个实际的例子,开发人员都喜欢用GitHub,指不定哪个猪队友(有可能是自己)就会把你的算法全部上传到GitHub,黑客会放过这么好的机会吗?当然不会,乌云上这些漏洞案例比比皆是。其次,如果算法没有泄露,黑客就不知道你的算法了吗?当然不是,黑客可以通过很多数学推导的方式,把加密的算法推导出来,例如加密算法的公式通常如下所示:
y= F(x) 其中F是加密算法,y是密文,x是明文
但只要有足够多的 x,y 就可以推导出 F,比如下面一组【x,y】的数据:
x=[0 0.9375 1.8750 2.8125 3.7500 4.6875 5.6250 6.5625 7.5000
8.4375 9.3750 10.3125 11.2500 12.1875 13.1250 14.0625 15.0000];
y=[0.000000E+000 8.789063E-003 3.515625E-002 7.910156E-002
1.406250E-001 2.197266E-001 3.164063E-001 4.306641E-001
5.625000E-0017.119141E-001 8.789063E-001 1.063477E+000
1.265625E+000 1.485352E+000 1.722656E+000 1.977539E+000 2.250000E+000];
通过matlab的最小二乘法就可以计算出F的公式如下:
加密算法是这样,其它的设计也是这样,黑客总是可以通过各种方法收集到攻击目标的大量信息,要知道攻击的第一步就是情报收集。所以,使用私有加密算法并不能保证加密算法的私密性,对安全性提升也微乎其微。再加上私有算法的数学复杂性难以达到和公开常用算法的一样水平(比如RSA算法利用的就是“将两个大素数相乘十分容易,但是想要对其乘积进行因式分解却极其困难”的数学原理), 在算法的实现上也不如公开常用算法一样久经考验,因此即便封装了的私有加密算法也是不能使用的,加密应该用公开常用的加密算法,用密钥秘密性而不是算法的秘密性来保障安全。
所以,通过此类通过封闭设计隐藏软件的实现,从而隐藏一些安全隐患是非常不可取的!官方机构对此类行为也有过明确的意见,反对采用执行或者实现的秘密性来保障产品的安全,美国国家标准与技术研究所(NIST)明文表示:“系统的安全性不应该依赖于执行或其部件的秘密性。软件的设计应该假设是开放的——用户和黑客都知道软件是怎么样实现的,而且即便知道软件的实现也不会危害产品的安全,通过密钥或者鉴权因子就能保障产品数据的安全。
通常设计者都会知道需要防御sql注入和XSS攻击等安全问题,但是在选择防御的方案时常常走入一些误区, 他们通常会选择用过滤的方法去防御sql注入和XSS攻击等攻击,这种类似黑名单的防御方式简单方便,修改量小,而且他们认为这样黑客已经攻不进来了。他们低估了黑客们的智慧和毅力,事实证明凡是采用过滤方式防御sql注入和xss的产品,无一不被绕成狗的。
乌云上这种被绕过的案例比比皆是,目前还没有看到有一个不被绕过的硬件防火墙,云WAF或主机端的防护产品,即便最新宣称“永别了SQL注入”的SQLChop也很快在乌云被爆出存在绕过的漏洞, 笔者也赞同SQLChop的用数据分析检测SQL注入的思路把防护水平提高了一个等级,但即便这样也依然逃脱不了被绕过的命运。这些如此专业的安全厂商设计的产品都难逃被绕过的命运,那我们自己的研发人员自己在服务器上开发和部署的SQL注入和XSS攻击过滤功能,是不是会被绕得更惨呢?答案是肯定的。所以对SQL注入漏洞应该用参数化查询的方式来解决,XSS漏洞应该用对输出进行编码的方式来解决,过滤的方法只能作为临时方案用来辅助做深度防御,而绝不能单独作为防御攻击的安全解决方案。
相比以上误区,大部分设计最大的误区就是没有将安全列为设计的目标之一,这才是产生以上所有设计安全问题的根源。产生这样误区的主要原因有两个,第一,架构师或设计者真心不觉得有人有能力和有耐心去攻击他们的产品。我在与架构师的沟通中,听到最多的一句话就是“不可能!”,不管是最优秀互联网企业的架构师,还是最优秀传统企业的架构师都是这样。架构师或设计者们通常以自己的知识去判断是否能被攻击,但是大部分的架构师和设计者都不具备一定深度的安全知识,所以常常作出错误的判断。黑客是最具极客精神的群体,为挖掘一个漏洞连续调试12小时,持续攻坚一个星期都不是什么稀奇的事情,所以在这样一个群体面前,绝不能以己度人,听从靠谱安全架构师的意见会更安全。第二,存在安全漏洞并不一定立即发生安全事故。安全问题大多数情况下都只是风险,它转化为安全事故一般有一段时间,而且很多情况下即便发生了安全事故,一些安全力量薄弱的公司甚至不能检测和感知到,所以表面的一片“和谐”给了我们的设计者一种错觉,不需要做安全的设计,产品给我的需求都做不完,哪有时间”浪费”人力的做安全设计和开发!
所以各种遗留下来的安全隐患积累到一定程度,或者被某个导火索事件引起安全事故的大爆发,导致企业的经营遭受重创!不管是架构师等研发人员,还是安全人员都不应该让企业走到这一步绝境,而应该在产品设计之初就避免出现严重的设计安全问题,为保障产品的安全水平打下基础。(编辑/郭雪梅)