您现在的位置是:首页 > IT基础架构 > 网络与安全 >
绿盟科技李陆:重要行业信息系统安全风险分析
摘要 7月4日消息,2012年中国计算机网络安全年会在西安举行,北京神州绿盟科技有限公司李陆发表了题为“重要行业信息系统安全风险分析”的演讲。...
北京神州绿盟科技有限公司李陆 |
以下为演讲实录:
大家好,我是来自绿盟科技广西分公司的李陆,今天要给大家讲的是重要行业信息系统安全风险分析,为了做好这个PPT,我也是尽力的把我在公司所严重的几个方向,尽量概括到这个PPT里面去,说一下自我介绍,爱生活,爱工作,爱家庭,爱老婆,爱远很,也爱宅在家等。我想下花几分钟的时间,回顾一下近几年发生的信息安全的事件,我总结一下当前对几个行业威胁比较大的行业,主要是能源、运营商、金融和政府,我们所面对的一些问题,我们已经发现了很多APT的供给,运营商里面规定的是一些黑色产业,在金融业里面,我们所面对的一个威胁是脱控。从去年大家很多知道,我们比较大的网站,包括电子商务,包括一些论坛、数据库,都被黑客给暴光出来,据了解,整个这一块,每一年的黑色产业的收益将近在十多个亿,检查了几个统计,在这几个类型的数据库,在网上下载下来以后,有一些网站对密码做了一个简要统计,把它分成三种类型,一种是普通青年,一个是文艺青年,一个是IT青年,大家可以看到,这些网站没有对密码进行加密,而造成一个非常严重的信息泄露事件,目前黑色产业链基本上来说已经非常成熟,而且已经形成一条规模产业,黑客将数据库下载以后,卖给专业团队进行洗钱,或者是进行营销、诈骗,我们信息无形当中就被暴露了,这是说比较有意思的事情,有一天我去了一个商场,去购买一个东西,然后他要我留下一个联系方式,我害怕自己的信息被泄露,我就留下了一个假名,我不久我就收到了一个短信是房产的信息,然后我知道我的信息是在哪个渠道被泄露了。APT是最近也是近年来吵的比较热门的话题,什么叫APT,它是高级的可持续性的攻击,我们知道伊朗的核电站,一些重要的系统被西方国家,通过网络进行控制,APT有几个特点,周密完善且目标明确的信息搜集,不计成本的购买漏洞,第三是多周方式渗透,不单是从网络,也有可能是从人,或者是其他的我们所牵扯到了一些,另外一个特点是长期、持续。一个是极光行动,一个是夜龙供给,一个是比较热门的,就是伊朗核电站的病毒。我们来讲一下金融很也比较新鲜的一个东西,我们知道通过这几年,有人可以通过更直接的方法获取信息,我发现支付终端机实际上存在一些威胁,可能会导致一定的数据泄露,会受到威胁,我做了一个这个行业的简单的漏洞分布的统计,这个统计是指6月19日的一个漏洞,银行是53,证券是13,总共加起来是68个。终端机安全,这个非常流行,经常可以在一些网络上面看到国外的黑客,那么终端机的安全到底如何,这里给大家简单介绍一下,国内的终端机分为两种类型,一种叫做限制类的终端机,一种是非限制的终端机,限制类的终端机在安全上是比较好的,而出现的问题比较多的都是非限制性的终端机,国内对终端机有这样两个行业,这里重点讲的是金融,我们目前见到的终端机,包括ATM机,大部分都是XBT操作系统。在结果上我把它分成了三种类型,一种是数字型,数字型是只提供基本的数字,一种是字母型,它叫混合型,一种是无键盘型,这种比较见的多的是手机,它可以有很多输入的地方。另外一个是键盘,键盘分成两种,一种是触摸板的非标准型键盘,它是屏蔽了很多快捷键,这个在国内的开发中,可以在查询终端机上面可以看到这类的键盘。另外一种叫做数字加密码盘,这种是非常常见的,所有的存取款机,都用的是这种。那么ATM机上面,通常都会运行一些保护的程序,首先他屏蔽了我们一些常用的功能键,保持自身程序始终处于所有程序前端,并且保持全屏,出去程序出错或结果自动艘屏并自动重启程序。只能允许访问自身域名,含子域名,及内网资源,这种都会被劫持,那么帮助方法有几种,第一种方法是对多媒体的终端机,上面有很多的查询功能,以及还有很多多媒体的宣传,有一部分是Flash,我们触摸在一个屏幕上按压几分钟,或者将这个控件拖拉到其他的地方的时候,有一些问题,一种是输入错误字符触发弹窗,在输入这些东西的时候,我们可以通过输入一些比较特殊的字符,会有一定程度上,这个程度是80%左右,会跳出输入法的帮助提示通过这个帮助窗口,就可以超过,其他的绕过的方法比较特殊,也不太常用。另外一个是第三方交互,是比较常见的,由于可以通过键盘进行输入,我们可以用几种方式,一种是打印,我们可以寻找页面上的终端机里面的这些程序,利用打印,直接点打印以后,就会调处一个截面,另外一个就是证书,很多地方都提供了证书,比如在U盾里面。我们可以通过第三方组件、控件调用绕过这个。第四和第五点都是比较新鲜的,通常我做这个调研的时候,我都会在百度上搜索电子文件联系的方式,在测试的过程中寻找它的这个页面,然后点击文件,之后会弹出一个窗口出来。跨站这个终端机有当地银行,或者是当地的一些交互,比如股票、证券这些。通常情况来说,由于是地方开发,没有对安全性过度的考虑,所以会出现一些问题。
另外一个是畸形数据与架构的问题,这里比较严重的是我有一个问题,实际上在系统的条件上,我们有一个突破口,就是它旁边的多媒体资助查询机,它旁边非限制类的终端机跟限制类的终端机是一个网络里面的,我们一般入侵就可以通过APC的方式,去渗透到限制类的终端机里面去,限制类的终端机他的售后方式有以下三种,一种是畸形数据的提交,限制ATM机输入是非常少,我们有一种方式,一种方式是我们如果是触摸屏的话,我们可以以用手选择一段文字,把这一段文字拖延入到输入框里面去,然后我们点击提交,就是终端机的应用提示。另外是我们输入超常的数据,有些终端机它允许这些输入,正常情况下来说,应该必须要有一位数字小数点,比如说0.1,或者是1.2这种,但是有些极端机没有做这种,我们可以在别的地方输入超常的,我测试左边的这张图片,它是一个一体机,我当时输入了接近50个小时点,提交以后程序出现崩溃。另外一种是通过非先进终端入侵现金终端,终端机在出钞口和读卡器是最容易出问题的地方,我们这里是没有插卡时候,ATM机的键盘是不能使用的,我们一定要插卡以后,就是ATM机里面的程序会检测所有的信息,他会检测一个是读卡器,一个是触屏,一个是出钞口,一旦检查是错误,会显示ATM机不可用。本身ATM自身架构存在很多的问题,人为操作本身就会出现很多问题。在这个过程中速度快的话,可以尝试把出钞口卡住,会造成问题。
另外一个重要的信息系统就是我们的工业。那么针对生产相关的工业系统分布如下,一个是电力系统,一共是38个,一个是城市设施系统,5个,煤矿生产有3个,先进制造有2个。刚先面已经提到过,也是这几年出现的事件,它对伊朗核试验影响非常严重。10人以上死亡或者是50人以上重伤,另外一个是恩5000万以上的直接经济损失,系统类型主要是数据采集与监控,一种是分布式控制系统,一种是可编辑操作系统。振动SCADA应用层的简单基线检查,漏洞怎么样去补,我研究了这个SCADA,我们跟当地的部门做了一些法文之后,让各地相关的企业上到我们这个机构里面来,做了一个统计,对几个比较著名的开发的程序做了一个简单测试,我们发现SCADA这种控制系统主要漏洞还是web漏洞,常见的漏洞还是SQL注入,那么它就是一个页面,通过页面我们可以进行数据的输入,另外一个是后台的页面,还有一个是上传漏洞,因为这类型的SCADA,它通常跟生产系统是相关的,虽然说SCADA系统有协议,我们一旦有这个系统,我们就可以通过很多方式控制这个协议对其他的系统进行攻击。以前我发布了一个针对某个电力公司系统的一个漏洞的上报,也是通过上传漏洞的方式,对整个生产造成严重的影响。另外一个是我们知道在电力里面,存在很多的电站,他的机房有一个简单的防御,我们在测试里对这个进行破解和复制,然后可以毫无阻拦进入一个核心的节点,我们测试过程中主要存在的一些安全问题是无人职守厂战、中心厂房监控盲点、第三方维护人员、路过的人,这个其实对我们系统威胁都是很大的。
另外一个是运营商,也就是中国电信,中国移动,中国连通,广电网络。那么其实针对电信的话,对DDOS的这一块,我们公司的几个同事研究了一个方式,用ATP的方式,ATP协议呢,ATP服务器默认保存,最后链接它的AT,有一个命令,当你向ATP发送这个命令的时候,它会发送一个包,这个包非常大,那么我们往ATP分送这包之后,他会发送比较大的包会来,这个包大概是原始包的300-500倍。我们可以想想,如果我们在发包情况下,我们就可以达到3-5G的流量,我们在做测试的过程中,效果是非常明显。另外一个是业务逻辑问题,有几个比较重要的平台,就是CRM、4A的平台,我们发现重要的业务平台外网可以直接访问,这个是一个非常大的隐患,黑客可以利用帐号对某一块进行攻击,进行洗钱,如果我们注意的话,就不会出现这些问题。
另外是政府,国外一个网站系统,叫ZONE-H.ORG,我6月19日简单查了一下,国外的黑客组织攻击,政府漏洞的分布截止到6月19日,其中涉及单位,中央直属机关也16个漏洞等。
由于时间的关系,我就讲到这里。感谢我们的同事,我们公司支持我们,谢谢大家。
(附主持人点评) 其实政府问题我觉得分析很多,这里我提出来一个小问题,国外对这个闹的很凶,但是我们国内没有。国内真正很多很大的问题媒体并没有什么报告,只是把国外的问题进行放大,大家国内没有。下面欢迎阿里巴巴的吴瀚清演讲,他最近在做云这方面的一些东西,大家欢迎。
(本文不涉密)
责任编辑: