后門、漏洞與木馬雜談
引子
很久不寫技術文章了,這次決定寫一下,起源于在微博上和@np就是p @奧卡姆剃刀對后門的討論,他們都是在IT各自領域深有建樹的專家,但是發現他們對于IT安全的理解,卻和我們這些專業從事安全領域的技術人員的角度和認識,存在著巨大的鴻溝。這是怎么了?我覺得作為安全領域的技術人員,是有義務向IT領域的技術人員,做相關安全的普及,換奧卡姆剃刀的話就是,【IT安全最大的問題不是普通公眾對IT安全的不理解,而是信息專業者但非安全領域者,他們對安全的似是而非的理解】。
但是為了寫清楚這些問題,我粗粗列了個綱要,發現要寫的相關的東西非常多,而且要面對非安全領域的人員,如何深入淺出把問題講透徹,是個很傷腦筋的問題,但既然說出來了,我還是盡力而為吧。前面先講個真實案例,目的是想讓這些信息領域的人理解安全的視角和他們視角的差異。
2001年,我還沒進入安全領域但已經對安全感興趣開始研究了,最早研究的是WINDOWS的身份認證體系,一個月后,我寫了一個小工具,任何我們內網的其他用戶的WINDOWS的主機,我都能直接用他們身份遠程用,可以獲得用戶設立的共享目錄訪問權,如果恰巧登陸用戶是管理員用戶(大多數都如此),就可以通過\\A\C$獲得所有磁盤讀寫權和遠程安裝權限,當時我給一個對WINDOWS認證體系有研究的同事演示拿到他主機的控制權后,他認為不可思議,我怎么能從算法上破解了WINDOWS認證算法?當我把我的方法告訴他后,他說從來沒有想到過原來攻擊者是可以這樣發起攻擊的。
WINDOWS的遠程共享登錄機制如下:
A要登陸B機,輸入后,其實是A主機通過SMB協議向B發送登錄請求
B返回一條挑戰C’給A主機
A主機根據當前用戶名N’,用用戶口令的散列M’(如果此當前用戶登陸失敗,會跳出用戶口令提示框,根據用戶輸入的用戶N’和口令計算M’),再配合挑戰C’生成新的散列M1’,將N’,M1’發送回B主機
B主機SMB內核查找本機是否有同樣用戶名N’的用戶,查找N’用戶的散列P’,再配合挑戰C’生成新的散列M2’,檢查M2’和M1’是否一致,一致認證通過生成令牌,不一致拒絕。
這是認證算法體系非常知名的挑戰認證體系,可以有效保證AB之間都獲取不了對方的真實散列但可以實現登陸認證。我不是數學研究者,這些散列算法不是我的知識領域能夠突破的障礙,那如何能達到自己的目的呢。我想到如果一個用戶打開郵件或瀏覽網頁里,如果包含這樣的資源,會直接向B發起SMB的會話請求,且默認就是以當前用戶和散列自動發起,直到失敗才會跳出對話框,OK,我馬上就知道如何實現這個突破的,假設A是攻擊目標,B是自己的主機。給A發一封包含資源的郵件或吸引他打開一個包含網頁,這樣A主機會向B主機發來一個SMB認證申請,等待B主機回應挑戰,B主機先不回應,同時B主機也去向A主機發起的SMB認證申請,A主機回答B主機一個挑戰C’,B主機把此挑戰又作為A主機向B主機申請挑戰的回應,這個時候,A主機就會用他用戶N’的散列M’和C’來計算M1’發送給B主機,然后B主機以同樣N’和M1’回答A主機,于是,B主機在無需知道M’的前提下,利用系統本身功能和協議自身的機制,用A機N’用戶的身份登陸A機。只要兩個主機有獨立IP打開SMB許可,也可以遠程發起攻擊,無論他密碼設定多強,這個散列計算算法再強,也無法解決的問題。
后來,我看到了國外安全研究人員2001同年也發布了SMB中繼攻擊演示,其實和我這個就是一個道理,這種問題存在了多年之后的2008年,微軟通過策略簡單限制過一下AB直接互連申請SMB的情況,但其實攻擊者如果有2臺主機B/C,B接受A的SMB請求,C發送A SMB請求,就能突破這個限制。
當然做密碼算法的人會指出:有很多可以解決這類問題的認證協議,而且一些關鍵主機使用了這樣的體系,但事實是,到現在為止,大多數的計算機依舊輕易可實施此類攻擊,即使使用了這樣體系的主機,攻擊者搞定工作人員的普通主機,再利用工作人員自身的權限獲得這類關鍵主機的核心數據,2011年RSA令牌種子失竊案正是如此,攻擊者通過一個NDAY漏洞的郵件搞定了RSA的HR的主機,再用HR身份發帶當時FLASH 0DAY的業務郵件給財務總監搞定財務總監主機,再用財務總監身份搞定有RSA令牌種子服務器權限的管理人員主機,以此獲取了RSA令牌的種子,然后破解了美國最大軍火承包商洛克馬丁公司的RSA令牌身份認證系統竊取機密。
我們做安全的,每天都接觸和了解著如上我們IT體系如此脆弱的事實,并且知道隨著IT發展,我們越來越多重要的東西都依賴于這樣一個脆弱的環境,因此充滿了恐懼;或許他們都只是風險(技術可行)還沒有成為大規模的事實(攻擊者實施意愿,其實在我看來攻擊事實已經夠多了,只是出于危害感知、攻擊取證以及攻擊者控制而非破壞意圖沒有浮出水面而已),但是當醫療的心臟起搏器、汽車的控制系統、你家的煤氣管道、高鐵的自控系統都開始依賴于這些脆弱的IT系統時,未來的人類社會,是否能夠承受的起這樣的風險事實。#p#
安全研究者的安全視角
要理解安全研究者的視角,就需要脫離開單純從加密這個視角思維來看待安全,而要從結合計算機體系角度來看待安全,這個角度看待,其實更容易理解我們安全研究者的視角,其實本質不應該如此嗎?
計算機體系是基于代碼邏輯控制,處理信息和對外控制的系統,雖然核心資產主要落腳在信息(控制系統不一定落在這里),但信息只是被動體,運算與控制才是是主動體。控制失手,信息亦失手,很多信息領域的談it安全,只側重信息角度,以為加密是安全的全部至少大部,但我觀點正好相反,基于計算機控制的安全問題才是it安全核心。它很難靠加密體系解決。因為在計算機體系下,信息是參與條件,處理對象,處理結果。信息很難在控制處理的過程中保持加密狀態,信息對控制必須無密化,攻擊者拿到了控制,自然獲得控制處理過程里的信息和篡改流經的信息。加密保障的是信息在存儲,認證,傳輸中的安全,但難以保安全障控制處理中的信息安全
因此IT系統的安全,未結合計算機體系的控制視角而只是從數學加密體系的信息視角看待,是導致我們當前安全體系如此脆弱的一個重大原因。
◆從計算機架構角度看安全
我們現在通用的計算機體系,都來自馮諾伊曼。馮諾伊曼體系的關鍵特點如下
(1)把計算機要執行的指令和要處理的數據都采用二進制表示(指令也是數據,數據也可以當指令)
(2)把要執行的指令和要處理的數據按照順序編成程序存儲到計算機內部讓它自動執行。(數據和控制體系、指令混雜,數據可以影響指令和控制)
(3)程序依據程序員代碼設定的邏輯,接受外部的輸入進行計算,并對結果進行輸出(程序的行為取決程序員編碼邏輯與外部輸入數據驅動的分支路徑選擇)
在馮諾伊曼體系下,我們可以看到安全相關的特性
1)指令也是數據,數據也可以當指令:意味著指令是可以被數據篡改(病毒感染)、外部數據可以做指令植入(木馬植入、數據區執行、程序自修改)
2)數據和控制體系、指令混雜:意味著數據區域的紊亂越界可以影響控制與指令(數據處理邊界缺乏檢查越界可以導致代碼執行的安全問題)
3)程序的行為取決程序員編碼邏輯與外部輸入數據驅動的分支路徑選擇:意味著程序員可以依據自己的主觀意志實現功能與邏輯(后門)、輸入者通過數據觸發特定分支也是可能(后門、業務邏輯漏洞)
可以看到,基于馮諾伊曼體系下的計算機體系的基礎架構里,就天然決定了安全漏洞、木馬、后門這些安全問題是難以根除的。通過漏洞、后門,攻擊者可以完全獲得控制代碼執行和程序行為,通過木馬可以長期控制系統行為,通過業務邏輯漏洞可以獲得攻擊者特定的業務目的,這些安全問題,最多只能用加密來部分緩解但無法根本解決。加密保護針對的是信息,因此比較適合的領域是存儲數據、傳輸數據、登錄認證這些領域,但并非計算機的執行與控制這個領域。
◆從操作系統角度看安全
操作系統是管理和控制計算機硬件與軟件資源的計算機程序,操作系統是用戶和計算機的接口,同時也是計算機硬件和其他軟件的接口。
操作系統會配合CPU的體系結構實現了權限分層,一般分為2層:用戶層與內核層。用戶層對其他軟件和用戶提供支持,內核層為OS核心、硬件驅動、基礎的關鍵核心任務。這些權限實體的劃分,也沒有具體的標準,除了OS自己配置好后,也來自于管理權限用戶的授權。
操作系統實現了多用戶下的認證、授權與訪問控制體系。這個體系是在計算機基礎架構上一個重要的安全舉措,極大地提升了系統的安全性,但這套體系是基于用戶權限和資源受信和控制的,他針對的是操作系統可以鑒別的用戶實體而非程序實體以及外部數據提供者實體。針對程序實體的授權,是由用戶判定授權的,但是程序本身是一個非常復雜的權限體系,他的代碼邏輯來自開發者/廠商,數據驅動邏輯來自外部數據提供者的(很多應用還支持外部用戶提供可執行的腳本,如瀏覽器之類),但是一旦授權后,代表的卻是用戶的信用,這要求用戶對自己完全不可控制的開發者/廠商和外部數據提供者的信用做背書。用戶其實根本無法鑒別程序的全部邏輯分支是否符合自身安全需要,代碼與邏輯是否足夠安全可以抵御外部數據提供者的攻擊,很多用戶其實連自己的安全需求都是不明確的,這種情況下,通過用戶鑒別來給程序授權,以防止程序和外部數據提供者的惡意攻擊的機制,基本為零。這是當前后門、木馬、漏洞能夠輕易繞過權限機制的一個本質性因素。
◆總結
計算機體系下程序行為實質由代碼和外部數據決定,代碼數據可混雜,決定了后門(代碼觸發行為),漏洞(數據觸發行為)的基礎。而os基于用戶權限的授權體系無法甄別程序行為與用戶行為授權意愿,這是后門漏洞木馬得以突破acl獲得控制權的本原。不從這些基礎上,讓it人員清楚我們說的安全與他們傳統理解的信息安全也就是數據安全的區別,想讓他們從我們視角來看安全,可能很難。
其實傳統安全也一樣,比如瞎子國里所有管理者都是眼瞎的長官(用戶)必須依賴貼身秘書(廠商提供的硬件與軟件,實質是程序代碼)和工作實施人員(外部數據提供者)來讀絕密文件并處理相關工作,但秘書和工作實施人員其他時間做什么的都無法監督和控制,甚至無法鑒別今天來的和昨天來的秘書是不是同一個人,再強的加密,再好的對高級長官的權限控制,都擋不住安全問題。
可悲的是計算機領域的現實安全問題,正如上面的情形,但是很多安全研究者、IT信息從業者者往往只認為,解決好對對每位瞎子長官的身份認證、信息存儲和傳送加密,以及對每位瞎子長官權限的控制管理就能解決所有的安全問題。絲毫就沒意識到所有瞎子長官依賴的秘書和工作人員這里的問題。
這個論述不是用來否定加密體系的作用,是要闡述解決數據安全為主的加密體系和解決控制安全為主的現有安全對抗體系是計算機安全里并重的東西。前者已有理論和很多應用并走到大多數攻擊者前面,但后者,攻擊者遠遠走到我們的前面。我們的很多高級安全專家,信息從業人員,還有學校教材,對安全理解有太多誤區和偏差,偏偏他們認為自己對安全的認識很透徹深入,認為搞安全的不就是加密和權限控制這些已有很好方法與成果的玩意就能解決,不理解安全實際面臨的復雜性和緊迫性。#p#
攻擊者視角
攻擊者為什么會發起攻擊呢?不外乎利益與成本的驅動,攻擊者的利益是什么呢?不外乎:
◆國家利益(政治軍事情報):不得不承認,隨著IT系統的廣泛部署和深入滲透,IT系統形成的數字空間有著巨大的國家利益存在。美國發布的網絡空間行動戰略(http://wenku.baidu.com/view/cad24e7c168884868762d6d4.html)將網絡安全上升到國家安全,并將其列為陸海空太空之后的第五空間,成立網絡戰爭司令部,部署攻擊部隊和防御部隊(如果IT系統已經很安全,有必要嗎?),下面是部分內容節選,翻譯全文參考鏈接:
•美國關鍵基礎設施的安全和有效運作,依賴網絡空間、工業控制系統和信息技術,但它們卻極易遭到破壞和非法侵入。……,我們確信,大量針對國防部網絡系統的惡意行動尚未被發現。
•實施惡意網絡行為的門檻低,其中包括黑客工具隨處可得,意味著由個人或小團體組成的網絡行為體一旦下定決心,可能會對美國防部與美國家和經濟安全造成重大破壞。小型技術可產生與其規模不成比例的效果;潛在敵手不必因試圖對美國家安全構成重大威脅而制造價值不菲的武器系統。
•美國防部重點關注于網絡威脅的諸多核心環節;這些環節包括外部威脅行為體、內部人員威脅、供應鏈脆弱性以及美國防部行動能力所面臨的威脅。
•軟件與硬件在被整合為操作系統之前就有遭惡意篡改的風險。用于美國內的信息技術產品大多在國外生產與組裝。國防部依賴國外生產與研發的信息產品,在有關設計、制造、服務、銷售、使用等環節的風險管理上構成挑戰。
•將網絡空間視為一個行動領域,則是國防部有關國家安全使命的關鍵性組織概念。這使國防部得以在網絡空間進行組織、訓練和裝備,如同我們在陸、海、空、天所采取的行動,以支撐國家安全利益。
•國防部長已將擔負網絡空間任務的職責賦予美軍戰略司令部、其他作戰司令部以及各軍事部門。
•積極的網絡防御要求美國防部能夠同步、實時地發現、監測、分析,以及降低網絡攻擊威脅。
•由于未必能阻止全部網絡攻擊,美國防部將繼續改進其網絡傳感器,以監測和減輕針對美國防部網絡系統的惡意行為。
•加強國防部購買的所有軟、硬件系統的安全措施,不允許留有能被滲透的漏洞,也不允許保留測試系統模型,這包括從改進核武器指揮控制系統,到更新文字處理軟件。上述原則將成為國防部可信賴的防衛系統和供應鏈風險降低戰略的一部分,
•國防部將開發重新思考網絡空間技術基礎的革命性技術。為此,國防部將與處于領先地位的科研機構展開合作,以發展安全的、抵御惡意活動能力更強的新網絡空間能力。
◆經濟利益:這么多有價值的資產可以通過攻擊獲取,其間的經濟利益不言自明。看下美國網絡司令部在國會聽證會上的數字空間導致的損失評估(http://www.fas.org/irp/congress/2012_cr/cispa.html )是每年3000億美金的損失,達到美國GDP的2%,這是什么概念?如果考慮IT資產在所有資產的比例情況,這個比例會是多大?如果我們的IT體系已經足夠安全健壯,會是這樣觸目驚心嗎?
◆心理利益:這個是比較少的情況,但不排除部分攻擊技術技藝高超者為了顯示自己的能力或報復社會,或者提出自己的政治觀念而發起攻擊,比如匿名者。
當然,攻擊者不是沒有成本的,主要成本有:
◆技術成本:發起攻擊者需要付出技術的成本,包括漏洞挖掘成本、漏洞利用研究成本、安全防御技術對抗研究成本、木馬或后門研發成本。如果是針對密碼對抗,可能還有數學研究、加密破解計算的技術成本。
◆實施成本:信息收集成本、攻擊實施成本、入侵控制與竊取實施與對抗成本。
◆時間與機會成本,暴露成本:攻擊者如果入侵失敗,或者入侵被發現,有時間與機會成本。同時可能防御者防御更嚴密,另外入侵被發現可能導致攻擊者研究的0DAY漏洞、特種木馬或苦心植入的后門被曝光。
◆附加成本:針對后門,可能會影響產品的穩定性與性能。
◆懲罰成本:如果后門被發現了,會影響商譽、導致產品被市場清除、被受害者追責。入侵被發現了可能會引來取證和法律外交追責。如果很容易檢測取證追責體系有效,這個成本就很高。但是如果不容易檢測,也難取證,就更難追責了,懲罰成本的風險較低,就難以通過懲罰成本阻嚇攻擊者。
◆心理成本:攻擊者部分成員可能會有心理成本。
攻擊者目前對抗的核心在哪里?
從美國暴露的損失來看,針對IT系統的攻擊如此泛濫(當然很多IT領域的人覺得很安全,其實是很多事情沒有曝光而已,借用美國NAS的前任局長的一句話:世界上只有2類人,一類知道自己被黑了,一類不知道自己被黑了,參考http://www.reuters.com/article/2013/05/16/us-cyber-summit-hackers-idUSBRE94F18620130516),但是從曝光的攻擊案例中,大部分是針對程序實現安全漏洞和缺陷,配合木馬發起的(后門由于在早期不留痕跡,而且很多類型后門無法指正,所有還沒有確鑿的案例),少量是針對密碼實現過程的缺陷發起的(比如加密從數學上沒問題,但實現時,真隨機數如何產生?導致的CPU負載和時間會泄露信息,內存信息泄露,密鑰使用存儲等,這些地方都可以讓理論完美的算法失效),極少有針對密碼算法的缺陷發起的(我印象中中只知道一例,火焰病毒是利用了微軟證書機制的碰撞算法弱點發起的,有其他案例的可以補充)。
從這些案例中可以看出,針對IT系統的控制層保護的缺失(后門控制、漏洞導致的失去控制、木馬植入)以及實現(非安全設計、非安全開發、加密和認證算法實現缺陷)發起的攻擊是目前攻擊者核心關注的領域,針對加密算法數學層面的攻擊,也是存在但比較少的,當然攻擊拿到加密的東西通過破解算法或暴力計算來搞的很多。#p#
引子里的例子的分析
分析下引子里的例子的問題本質,大家往往認為這是協議的問題。當然這是一個協議問題,這個攻擊是一個變形的自己人攻擊,但是傳統的中間人要劫持鏈路,但是這個不需要(當然釣魚類中間人無需劫持鏈路,但成功與否取決對方上當否)。傳統的中間人要被動等待受害者發起登錄,這個也不需要。原因在于:
1.這個協議考慮客戶端服務器單向認證為主,用于對等主機間認證,就避免不了b用a自己的挑戰問題去問a自己,即使加上ab互聯限制(增加主機成abc或更多,就比如多人可以互相提問,b不知道a問題的答案,但可以問c,c把問題提回a,就知道答案),甚至匹配限制最近發出挑戰和收到挑戰是否一致也解決不了問題(攻擊者可以擴展資源為b1,b2,b3.....,c1,c2,c3.....來混淆比較)
2.為什么自動以當前用戶嘗試登錄?如果用戶已經是有b權限的帳號登錄了a,就可以少輸用戶名與口令。同時,win一些域的管理服務肯定也基于這個認證機制,改了兼容問題會很大。
3.再和郵件或網頁這種可以由外部發起的數據組合起來,只要用戶使用,系統很難識別嵌入外部資源行為是用戶授權還是非授權,知曉還是不知曉(攻擊可以偽裝成一般用戶無感,除非專業用戶仔細分析),就完成了整個無縫的攻擊。
可以看到,除了協議自己的問題,協議實現的問題,兼容性和方便性,行為驅動行為的授權鑒定困難(這個是典型數據驅動系統行為的案例),這些,都是當前it安全較大的問題。這些看起來不起眼的小問題,組合一起,就成了自動快捷的殺器。
