绿盟科技李陆：重要行业信息系统安全风险分析

        7月4日消息，2012年中国计算机网络安全年会在西安举行，北京神州绿盟科技有限公司李陆发表了题为“重要行业信息系统安全风险分析”的演讲。

    以下为演讲实录：

　　大家好，我是来自绿盟科技广西分公司的李陆，今天要给大家讲的是重要行业信息系统安全风险分析，为了做好这个PPT，我也是尽力的把我在公司所严重的几个方向，尽量概括到这个PPT里面去，说一下自我介绍，爱生活，爱工作，爱家庭，爱老婆，爱远很，也爱宅在家等。我想下花几分钟的时间，回顾一下近几年发生的信息安全的事件，我总结一下当前对几个行业威胁比较大的行业，主要是能源、运营商、金融和政府，我们所面对的一些问题，我们已经发现了很多APT的供给，运营商里面规定的是一些黑色产业，在金融业里面，我们所面对的一个威胁是脱控。从去年大家很多知道，我们比较大的网站，包括电子商务，包括一些论坛、数据库，都被黑客给暴光出来，据了解，整个这一块，每一年的黑色产业的收益将近在十多个亿，检查了几个统计，在这几个类型的数据库，在网上下载下来以后，有一些网站对密码做了一个简要统计，把它分成三种类型，一种是普通青年，一个是文艺青年，一个是IT青年，大家可以看到，这些网站没有对密码进行加密，而造成一个非常严重的信息泄露事件，目前黑色产业链基本上来说已经非常成熟，而且已经形成一条规模产业，黑客将数据库下载以后，卖给专业团队进行洗钱，或者是进行营销、诈骗，我们信息无形当中就被暴露了，这是说比较有意思的事情，有一天我去了一个商场，去购买一个东西，然后他要我留下一个联系方式，我害怕自己的信息被泄露，我就留下了一个假名，我不久我就收到了一个短信是房产的信息，然后我知道我的信息是在哪个渠道被泄露了。APT是最近也是近年来吵的比较热门的话题，什么叫APT，它是高级的可持续性的攻击，我们知道伊朗的核电站，一些重要的系统被西方国家，通过网络进行控制，APT有几个特点，周密完善且目标明确的信息搜集，不计成本的购买漏洞，第三是多周方式渗透，不单是从网络，也有可能是从人，或者是其他的我们所牵扯到了一些，另外一个特点是长期、持续。一个是极光行动，一个是夜龙供给，一个是比较热门的，就是伊朗核电站的病毒。我们来讲一下金融很也比较新鲜的一个东西，我们知道通过这几年，有人可以通过更直接的方法获取信息，我发现支付终端机实际上存在一些威胁，可能会导致一定的数据泄露，会受到威胁，我做了一个这个行业的简单的漏洞分布的统计，这个统计是指6月19日的一个漏洞，银行是53，证券是13，总共加起来是68个。终端机安全，这个非常流行，经常可以在一些网络上面看到国外的黑客，那么终端机的安全到底如何，这里给大家简单介绍一下，国内的终端机分为两种类型，一种叫做限制类的终端机，一种是非限制的终端机，限制类的终端机在安全上是比较好的，而出现的问题比较多的都是非限制性的终端机，国内对终端机有这样两个行业，这里重点讲的是金融，我们目前见到的终端机，包括ATM机，大部分都是XBT操作系统。在结果上我把它分成了三种类型，一种是数字型，数字型是只提供基本的数字，一种是字母型，它叫混合型，一种是无键盘型，这种比较见的多的是手机，它可以有很多输入的地方。另外一个是键盘，键盘分成两种，一种是触摸板的非标准型键盘，它是屏蔽了很多快捷键，这个在国内的开发中，可以在查询终端机上面可以看到这类的键盘。另外一种叫做数字加密码盘，这种是非常常见的，所有的存取款机，都用的是这种。那么ATM机上面，通常都会运行一些保护的程序，首先他屏蔽了我们一些常用的功能键，保持自身程序始终处于所有程序前端，并且保持全屏，出去程序出错或结果自动艘屏并自动重启程序。只能允许访问自身域名，含子域名，及内网资源，这种都会被劫持，那么帮助方法有几种，第一种方法是对多媒体的终端机，上面有很多的查询功能，以及还有很多多媒体的宣传，有一部分是Flash，我们触摸在一个屏幕上按压几分钟，或者将这个控件拖拉到其他的地方的时候，有一些问题，一种是输入错误字符触发弹窗，在输入这些东西的时候，我们可以通过输入一些比较特殊的字符，会有一定程度上，这个程度是80%左右，会跳出输入法的帮助提示通过这个帮助窗口，就可以超过，其他的绕过的方法比较特殊，也不太常用。另外一个是第三方交互，是比较常见的，由于可以通过键盘进行输入，我们可以用几种方式，一种是打印，我们可以寻找页面上的终端机里面的这些程序，利用打印，直接点打印以后，就会调处一个截面，另外一个就是证书，很多地方都提供了证书，比如在U盾里面。我们可以通过第三方组件、控件调用绕过这个。第四和第五点都是比较新鲜的，通常我做这个调研的时候，我都会在百度上搜索电子文件联系的方式，在测试的过程中寻找它的这个页面，然后点击文件，之后会弹出一个窗口出来。跨站这个终端机有当地银行，或者是当地的一些交互，比如股票、证券这些。通常情况来说，由于是地方开发，没有对安全性过度的考虑，所以会出现一些问题。

　　另外一个是畸形数据与架构的问题，这里比较严重的是我有一个问题，实际上在系统的条件上，我们有一个突破口，就是它旁边的多媒体资助查询机，它旁边非限制类的终端机跟限制类的终端机是一个网络里面的，我们一般入侵就可以通过APC的方式，去渗透到限制类的终端机里面去，限制类的终端机他的售后方式有以下三种，一种是畸形数据的提交，限制ATM机输入是非常少，我们有一种方式，一种方式是我们如果是触摸屏的话，我们可以以用手选择一段文字，把这一段文字拖延入到输入框里面去，然后我们点击提交，就是终端机的应用提示。另外是我们输入超常的数据，有些终端机它允许这些输入，正常情况下来说，应该必须要有一位数字小数点，比如说0.1，或者是1.2这种，但是有些极端机没有做这种，我们可以在别的地方输入超常的，我测试左边的这张图片，它是一个一体机，我当时输入了接近50个小时点，提交以后程序出现崩溃。另外一种是通过非先进终端入侵现金终端，终端机在出钞口和读卡器是最容易出问题的地方，我们这里是没有插卡时候，ATM机的键盘是不能使用的，我们一定要插卡以后，就是ATM机里面的程序会检测所有的信息，他会检测一个是读卡器，一个是触屏，一个是出钞口，一旦检查是错误，会显示ATM机不可用。本身ATM自身架构存在很多的问题，人为操作本身就会出现很多问题。在这个过程中速度快的话，可以尝试把出钞口卡住，会造成问题。

　　另外一个重要的信息系统就是我们的工业。那么针对生产相关的工业系统分布如下，一个是电力系统，一共是38个，一个是城市设施系统，5个，煤矿生产有3个，先进制造有2个。刚先面已经提到过，也是这几年出现的事件，它对伊朗核试验影响非常严重。10人以上死亡或者是50人以上重伤，另外一个是恩5000万以上的直接经济损失，系统类型主要是数据采集与监控，一种是分布式控制系统，一种是可编辑操作系统。振动SCADA应用层的简单基线检查，漏洞怎么样去补，我研究了这个SCADA，我们跟当地的部门做了一些法文之后，让各地相关的企业上到我们这个机构里面来，做了一个统计，对几个比较著名的开发的程序做了一个简单测试，我们发现SCADA这种控制系统主要漏洞还是web漏洞，常见的漏洞还是SQL注入，那么它就是一个页面，通过页面我们可以进行数据的输入，另外一个是后台的页面，还有一个是上传漏洞，因为这类型的SCADA，它通常跟生产系统是相关的，虽然说SCADA系统有协议，我们一旦有这个系统，我们就可以通过很多方式控制这个协议对其他的系统进行攻击。以前我发布了一个针对某个电力公司系统的一个漏洞的上报，也是通过上传漏洞的方式，对整个生产造成严重的影响。另外一个是我们知道在电力里面，存在很多的电站，他的机房有一个简单的防御，我们在测试里对这个进行破解和复制，然后可以毫无阻拦进入一个核心的节点，我们测试过程中主要存在的一些安全问题是无人职守厂战、中心厂房监控盲点、第三方维护人员、路过的人，这个其实对我们系统威胁都是很大的。

　　另外一个是运营商，也就是中国电信，中国移动，中国连通，广电网络。那么其实针对电信的话，对DDOS的这一块，我们公司的几个同事研究了一个方式，用ATP的方式，ATP协议呢，ATP服务器默认保存，最后链接它的AT，有一个命令，当你向ATP发送这个命令的时候，它会发送一个包，这个包非常大，那么我们往ATP分送这包之后，他会发送比较大的包会来，这个包大概是原始包的300-500倍。我们可以想想，如果我们在发包情况下，我们就可以达到3-5G的流量，我们在做测试的过程中，效果是非常明显。另外一个是业务逻辑问题，有几个比较重要的平台，就是CRM、4A的平台，我们发现重要的业务平台外网可以直接访问，这个是一个非常大的隐患，黑客可以利用帐号对某一块进行攻击，进行洗钱，如果我们注意的话，就不会出现这些问题。

　　另外是政府，国外一个网站系统，叫ZONE-H.ORG，我6月19日简单查了一下，国外的黑客组织攻击，政府漏洞的分布截止到6月19日，其中涉及单位，中央直属机关也16个漏洞等。

　　由于时间的关系，我就讲到这里。感谢我们的同事，我们公司支持我们，谢谢大家。

   （附主持人点评） 其实政府问题我觉得分析很多，这里我提出来一个小问题，国外对这个闹的很凶，但是我们国内没有。国内真正很多很大的问题媒体并没有什么报告，只是把国外的问题进行放大，大家国内没有。下面欢迎阿里巴巴的吴瀚清演讲，他最近在做云这方面的一些东西，大家欢迎。

(本文不涉密)
责任编辑：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。