作者:金飞、周辛酉、陈玉奇
出版社:人民邮电出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
软件定义安全及可编程对抗系统实战试读:
前言
信息安全是非常特殊的行业,在其他行业领域,多数情况下是领导型厂商代表行业的技术制高点,引领行业的发展方向,但信息安全行业的顶尖技术很多时候掌握在黑客手上,他们握有新的攻击技法,不断用独特的视角反复审视信息安全的基础架构,寻找新的攻击机会。而安全厂商正在竭尽全力地跟随和追赶新的攻击手段,为被攻击目标提供补救或加固的方案、产品及服务。这就是信息安全行业中攻防博弈的真实写照,永远都是先有矛后有盾。所以,信息安全厂商能在多大程度上跟上黑客的节奏,是衡量其技术能力的重要标准。
信息安全行业的另外一个重要趋势是企业小型化,掌握最先进防御技术的公司,从传统视角来看规模都非常小,比如美国的Shape Security公司。这些公司在一些细分的安全防御场景中颇有技术建树,能够解决非常具体和有针对性的安全问题。这种类型的公司如雨后春笋般地冒出来,它们要么是在短期之内获得巨大的风险投资,要么就是被较大的安全公司以高价收购,其活跃程度远远超过传统的安全厂商。
再者,安全行业正在走进场景防御的阶段,任何不落地到场景中的安全技术都是纸上谈兵。以网络为重心的安全防御已经成为明日黄花,攻击应用场景和商业模式已经越来越普遍。未来的信息安全将进入以用户行为分析为基础,以软件定义安全和可编程防御架构为实现技术,通过运营商和实体数据中心防御体系的联动,抵御机器和人混合攻击的SecurityaaS的时代。
威胁就在当下,攻击从未如此犀利!信息安全行业现在如火如荼,国家对信息安全的发展非常关切,媒体上关于信息安全案件的介绍也屡见不鲜,IT从业人员往往也能随口说出多家安全公司的名字。但是,即使这样,就可以说了解信息安全行业了吗?其实还远远不够,俗语云“一花一世界,一树一菩提”,让我们看看信息安全世界的全貌吧!
这就是信息安全在世界范围内的全景图,其中的每一个图标都代表一家公司,而且这里面有非常多的创新公司,它们绝大多数拿到了非常丰厚的风险投资,而且在各自的信息安全细分领域内经营得风生水起。这才是信息安全的魅力所在。
软件定义安全是未来的行业趋势和发展方向,在对抗场景中会有非常多的表现形式和支持技术。本书依托F5公司的安全理念和技术路线,重新定义了可编程防御系统,并使用大量详实的案例和多场景安全架构,进一步证明软件定义安全理论的优势和现实意义:可以使得防御架构更加灵活,能够应对越来越高频变化的攻击脚本。本书内容
第1章,“攻击技术的发展现状及趋势”,讲述了新的攻击技法和发展方向,以帮助大家重新认知信息安全。
第2章,“软件定义安全与安全生态和正确认知”,介绍了软件定义安全的概念、发展历程及相关的安全生态。
第3章,“F5的安全属性”,讲述了F5公司在安全领域内的积累和底层架构。
第4章,“F5的安全产品体系及应用场景”,逐一讲解F5的安全产品体系及每一种产品的具体应用场景。
第5章,“F5可编程生态”,详细介绍了F5可编程知识体系和F5可编程生态环境。
第6章,“F5可编程的安全应用场景”,介绍了F5可编程技术在不同对抗场景中的实际应用。
第7章,“F5安全架构”,全面细致地剖析了F5公司诸多的安全架构。
第8章,“应用案例分享”,分享了作者在金融和通信等行业的一些成功应用案例,希望可以起到抛砖引玉的作用。
第9章,“信息安全的销售之道”,介绍了信息安全领域的销售人员会用到的一些方法,以及作者从业多年以来的一些体会。
第10章,“技术文档:6天跟我学iRules”,介绍了iRules的相关知识和使用技巧。阅读前提
为了能更好地理解本书,读者需要具有网络、编程、安全方面的基础知识;如果具有一定的实际IT运维和信息安全对抗经验,则会对本书讲述的安全架构有更深刻的感悟。本书读者
如果你是一位架构师,一位网络工程师,一位应用开发人员,一位传统安全产品的运维人员,你会越来越深刻地体会到,单一的技能已经无法应对现在面向场景的信息安全对抗,比如BDDoS(行为DDoS,Behavior DDoS)、薅羊毛攻击等。如果你想知道如何应对这些威胁,那么本书非常适合你——SecDevOps是本书的主旨。资源与支持
本书由异步社区出品,社区(https://www.epubit.com/)为您提供相关资源和后续服务。提交勘误
作者和编辑尽最大努力来确保书中内容的准确性,但难免会存在疏漏。欢迎您将发现的问题反馈给我们,帮助我们提升图书的质量。
当您发现错误时,请登录异步社区,按书名搜索,进入本书页面,点击“提交勘误”,输入勘误信息,点击“提交”按钮即可。本书的作者和编辑会对您提交的勘误进行审核,确认并接受后,您将获赠异步社区的100积分。积分可用于在异步社区兑换优惠券、样书或奖品。与我们联系
我们的联系邮箱是contact@epubit.com.cn。
如果您对本书有任何疑问或建议,请您发邮件给我们,并请在邮件标题中注明本书书名,以便我们更高效地做出反馈。
如果您有兴趣出版图书、录制教学视频,或者参与图书翻译、技术审校等工作,可以发邮件给我们;有意出版图书的作者也可以到异步社区在线提交投稿(直接访问www.epubit.com/selfpublish/submission即可)。
如果您是学校、培训机构或企业,想批量购买本书或异步社区出版的其他图书,也可以发邮件给我们。
如果您在网上发现有针对异步社区出品图书的各种形式的盗版行为,包括对图书全部或部分内容的非授权传播,请您将怀疑有侵权行为的链接发邮件给我们。您的这一举动是对作者权益的保护,也是我们持续为您提供有价值的内容的动力之源。关于异步社区和异步图书“异步社区”是人民邮电出版社旗下IT专业图书社区,致力于出版精品IT技术图书和相关学习产品,为作译者提供优质出版服务。异步社区创办于2015年8月,提供大量精品IT技术图书和电子书,以及高品质技术文章和视频课程。更多详情请访问异步社区官网https://www.epubit.com。“异步图书”是由异步社区编辑团队策划出版的精品IT专业图书的品牌,依托于人民邮电出版社近30年的计算机图书出版积累和专业编辑团队,相关图书在封面上印有异步图书的LOGO。异步图书的出版领域包括软件开发、大数据、AI、测试、前端、网络技术等。异步社区微信服务号第1章 攻击技术的发展现状及趋势
中国古语,知己知彼,百战不殆。但是真实的世界真的是你认为的样子吗?我们是否生活在一个经过修饰或伪装的世界里?也许可以这样阐述,这个世界里有一小部分人可以看到完全不一样的世界,如同黑客帝国里生活在锡安(Zion)而非母体(Matrix)中的人类(见图1-1)。图1-1 真实的世界1.1 真实还是幻象:暗网1.1.1 何为“暗网”
网络是层级划的,分为表层网络(Surface Web)和深网(Deep Web),如图1-2所示。图1-2 网络层级
表层网络主要由我们日常接触的一些应用构成,例如Google、Facebook、Twitter、Hotmail、WeChat之类的应用。再往下就是暗网(Dark Web)、幻影网络(Shadow Web)、马里亚纳网络(Marianas Web)。
表层网络最大的特点是信息查重率很高,相同的信息会在很多网站主机中同时存在。相比之下深网里的情况会非常不同,暗网的规模是表层网络的400~500倍,大约有100亿条不查重的数据。常规的搜索引擎和浏览器无法访问到这些信息,必须通过特殊的软件或网关才能做到,其中最具代表性的是洋葱浏览器(Tor Browser)。表层网络和深网的对比关系如图1-3所示。图1-3 表层网络和深网的对比
为什么会有这么多的网站不能被搜索引擎找到并收录呢?这就要讲一下搜索引擎的工作原理。搜索引擎是靠网站根目录的robots.txt文件引导爬虫程序进行信息检索的。例如,www.bing.com的robots.txt文件就是下面的内容。User-agent: msnbot-media Disallow: /Allow: /shopping/$Allow: /shopping$Allow: /th?User-agent: TwitterbotDisallow: User-agent: *Disallow: /account/Disallow: /bfp/searchDisallow: /bing-site-safetyDisallow: /blogs/search/Disallow: /entities/searchDisallow: /fd/Disallow: /historyDisallow: /hotels/searchDisallow: /images?Disallow: /images/search?Disallow: /images/search/?……
robots.txt文件主要告诉搜索引擎可以访问或不能访问哪些目录,如果某些网站不设置robots.xt文件,则意味着搜索引擎用常规方式不能收录该网站的信息并对外提供检索服务。这样一来,能找到这些网站并访问的人就会非常有限,甚至只有预先知道的人才能访问。而暗网里的绝大多数网站都属于这种类型。
需要强调的一点是,搜索引擎公司的浏览器工具栏(Tool Bar)或浏览器产品也会具有地址和信息收录的功能,这两个信息来源对于搜索引擎公司来说,与爬虫一样重要。这就能解释为什么在某些搜索引擎受限的地区,搜索引擎公司仍可以获得大量信息。基于浏览器获取信息是行业潜规则,区别在于做的程度和实现手段的高低。1.1.2 洋葱浏览器
要访问底层网络资源,需要使用特殊的浏览器软件,其中最具代表性的是洋葱浏览器(Tor Browser)。洋葱浏览器是本着访问者不可能被追溯的宗旨而设计的,目的在于充分保护访问者的个人隐私。
在最初版本的洋葱浏览器中,提供了三个中间路由跳转节点,即从用户通过洋葱浏览器访问暗网服务器时,会在途中建立三个节点的动态路由,以确保路径的不可追溯性。洋葱浏览器后来发展到提供5000个中间路由跳转节点。至此,如果想获取最终用户的相关信息将变得异常困难。所以洋葱网络也叫匿名者网络。
而且随着Tor用户数量的增加,洋葱网络的路由复杂度呈几何级数增大,而且在一个Timeout时间节拍后,所有的路由都会重新设定,这也使得完全不可能通过路径复原实现终端追溯,这也是洋葱路由的真正可怕之处。
洋葱网络也具有两面性,匿名者有可能是用户,也有可能是攻击者。洋葱网络在保护终端隐私不被获取的同时,也为攻击者提供了更多的有利条件。事实也是如此,现在很多网络犯罪的真实控制者也大量使用洋葱浏览器进行伪装和逃避打击。从本质上来讲,技术本身没有好坏之分,关键在于用技术实现的目的是什么,以及是否违背了人类社会的共识。1.1.3 “丝绸之路”
洋葱浏览器的设计者罗斯·乌布利希后来还创建了“丝绸之路”网站并将其上线运营。同时,基于比特币的支付体系也初步完成。
匿名者网络加虚拟货币最终也没让乌布利希逃脱法律的制裁,2013年10月,他在毫无察觉的情况下被捕。尽管乌布利希锒铛入狱,但“丝绸之路”似乎并没有终结,到目前为止“丝绸之路”3.1版本依然可以正常运转,不知道背后到底隐藏着多少不为人知的故事。1.1.4 暗网体系
暗网是一个由软件、网络资源、私有协议构成的一个服务体系,并对用户提供诸多服务。如果比较同一类型的表层网络应用和暗网应用,则会发现暗网应用更加简洁高效,它们去除了很多商业元素,而且聚焦于提供服务这件事情,因此很少出现功能叠加的应用场景。
暗网本身是一种信息获取和分享的途径,表层网络加暗网代表一种客观认知互联网的视角,没有好与坏,只是一种存在形式。两者进行对抗的前提是,双方具有相当的信息量、技术手段和视野,而实际上暗网对我们来说只是一个客观且必要的补充,这也是它最大的价值。1.2 IoT安全?TB DDoS时代来临1.2.1 IoT的脆弱性
IoT这个概念第一次提出是在2008年。十年间,IoT为我们提供了越来越便捷的生活体验,也让全球走进空前的“现代化”,如图1-4所示。图1-4 物联网“现代化”
但是,IoT也暴露出很多可以被黑客利用的弱点。IoT安全吗?不,IoT很脆弱(见图1-5)!那么IoT设备可以给我们带来哪些威胁呢?
针对IoT发起的攻击主要分为三类:远程控制、信息获取、破坏服务。通过远程控制技术,黑客可以控制家电、汽车、便携胰岛泵、心脏起搏器等设备。可以通过个人手环、车辆信息和IP摄像头获得大量个人信息,如位置和影像资料。同时,外部信号可以干扰心脏起搏器、车辆发动机和智能家电的正常工作。由此可见,IoT给信息安全带来的挑战已经非常明显。图1-5 物联网的脆弱性
从时间轴来看,IoT的弱点也是逐步暴露和发现的,如图1-6所示。图1-6 物联网弱点挖掘时间轴
遭到破解和攻击的设备,2008年主要是无线路由器,2012年则是安装有Android系统的智能电视机,2013年开始转向摄像头,到了2016年,已经有来自70家厂商的摄像头及外围设备被破解。通过Shodan搜索引擎在线查找到的具有漏洞的设备高达28万台。
什么是Shodan?人们普遍认为Google是最强劲的搜索引擎,而Shodan则是互联网上最可怕的搜索引擎。Shodan真正令人惧怕的能力是,可以找到几乎所有和互联网相关联的设备。而且Shodan找到的这些设备几乎都没有足够的安全措施,可被人随意访问。与Google不同的是,Shodan不是在网上搜索网址,不是获取数据,而是直接寻找可以被控制的所有联网设备。Shodan可以说是一款黑暗版的Google,一刻不停地在寻找着所有和互联网关联的服务器、摄像头、打印机、路由器等。Shodan每个月会在大约5亿台服务器上日夜不停地搜集信息,而且搜集到的信息量极其惊人——连接到互联网的红绿灯、安全摄像头、家庭自动化设备以及加热系统等都会被轻易找到。曾经有一位用户使用Shodan发现了一个水上公园的控制系统、一个加油站,甚至一个酒店的葡萄酒冷却器。还有研究人员借助于Shodan定位到了核电站的指挥和控制系统及一个粒子回旋加速器。Rapid7公司的首席安全官HD Moore曾表示:“你可以用一个默认密码登录近乎一半的互联网设备。就安全而言,这是一个巨大的失误。”
在互联网上还可以查到几乎涵盖了所有设备厂商的默认口令列表。
根据F5 Labs发布的IoT安全分析报告,在遭受暴力破解扫描IoT的世界Top 10国家和地区报告中,无论是在过去的30天内还是6个月内,中国都排名第一。由此可见IoT设备在中国具有广泛的部署数量,而且大多数IoT设备的安全状况堪忧。更重要的是,攻击者已经开始把IoT设备作为重要的资源加以控制,所以才会存在如此巨大的扫描行为。
前面提到的心脏起搏器被远程控制的说法不是危言耸听,而是有事实依据的。事件的主人公叫巴纳比·杰克(1977年12月22日—2013年7月25日),是一位新西兰的黑客、程序员和计算机安全专家。是的,你没有看错,杰克已经不在人世。2013年7月25日的下午,我在位于硅谷的F5公司总部开会时,收到了当地运营商推送的公共信息,称杰克被发现死于旧金山Nob Hill的公寓中,而且经过警方尸检已排除谋杀的可能。而杰克原计划在两天后的7月27日,在Black Hat 2013大会上演示如何入侵心脏除颤器和心脏起搏器。他已经研究出一种方法,可以在距离目标15米左右的范围内侵入心脏起搏器,并让起搏器释放出足以致人死亡的830V电压,达到杀害佩戴心脏起搏器人员的目的。他的上一次壮举是在2010年7月28日的Black Hat 2010大会上,成功地演示了入侵安装有两种不同系统的ATM取款机,当场让ATM取款机吐出钱,他将其称之为“jackpotting”。他的表演让所有在场的同行无不惊诧地表示:智能真的不可靠!
据统计,2006年在美国大约有35万个心脏起搏器和12.3万个IDC(植入式心脏除颤器)被植入患者体内。2006年是一个特别重要的年份,因为在这一年FDA(美国食品药品监督管理局)批准了完全基于无线连接控制的医疗设备的临床应用。如今已有300万个心脏起搏器和170万个心脏除颤器处于使用状态。如果杰克的入侵技术被公开,则可以让黑客轻而易举地杀死植入了心脏起搏器和心脏除颤器的人员。1.2.2 Botnet+IoT核爆级别攻击架构
通常,DDoS攻击是通过僵尸网络(Botnet)实施的。僵尸网络的攻击节点在之前主要是个人电脑。作为攻击节点的个人电脑对黑客来说有一个问题,就是稳定性不好,个人电脑的用户很可能会通过各种操作来摆脱僵尸网络的控制。因此在实施每一次DDoS攻击之前,僵尸网络都要集中补充“肉鸡”数量,已确保攻击效果。但是,伴随着大量IoT摄像头的广泛应用,IP摄像头已经开始取代个人电脑成为僵尸网络攻击节点的主要组成部分。为什么IP摄像头会取代个人电脑成为新的“肉鸡”?有以下几点原因。首先,IP摄像头没有终端防御系统,它不能像电脑一样安装本地防火墙或杀毒软件。其次,IP摄像头的同质性高且部署数量巨大,一旦发现某一品牌的设备存在硬件漏洞,并研发出针对性的蠕虫病毒,就可以迅速传播。再次,IP摄像头的设备生命周期长且稳定。最后,也是最重要的原因,IoT替代个人电脑成为攻击节点,也让攻击的成本急剧降低。目前要组织一天TB级别的间歇性DDoS流量,只需要花费数万元人民币。
成本永远是攻击和防御的核心和焦点,哪一方在成本方面占有优势,就意味着能占据更多的主动,有更大的胜算战胜对手。而IP摄像头结合僵尸网络,几乎是核爆级别的攻击体系,可以瞬间形成巨大的DDoS流量。可以这样说,IoT让DDoS进入TB级时代。
另一个有趣的概念是僵尸网络分为Bad Bot和Good Bot,这说明并不是所有的Bot都是用来攻击的。同时也存在BotnetaaS(僵尸网络即服务),用户可以直接购买服务,从而节省了搭建基础架构的时间开销和成本开销。BotnetaaS在本质上可以认为是AttackaaS(攻击即服务)。1.2.3 TB时代来临
美国第一个TB级DDoS案例发生在2016年,OVH公司成为美国第一个遭受TB级DDoS的目标,而且很多流量都是IoT设备造成的。IP摄像头也因第一次成为非常可怕的对手而被世界认知。IP摄像头再也不是安静的守望者,很可能瞬间变成洪水猛兽,并无往不胜。1.2.4 虚拟世界的911
2016年10月,Mirai僵尸网络针对域名服务商Dyn发起了DDoS攻击,而且峰值速率达到1.2Tbit/s,这造成了美国互联网大面积的瘫痪,导致很多著名的网站无法正常提供服务。更要命的是,整个感染时间仅为短短的11天。同时,Mirai还感染了177个国家和地区的IoT设备。
相较于以个人电脑为攻击节点的传统僵尸网络,Mirai僵尸网络的扩散速度要更为惊人,如图1-7所示。图1-7 Mirai僵尸网络的扩散速度
Mirai僵尸网络高明的地方是具备自防御和攻击两个主要功能,因此攻击性更强。图1-8是Mirai自防御相关的内容。图1-8 Mirai自防御功能1.2.5 威胁将至
美国的网络防御技术是相当强的,但即使这样一个严加防范的网络依然在很短的时间内就被攻陷,如果换成其他国家,后果可能会更加严重。
图1-9所示为IDG对全球DDoS流量样本的分析。图1-9 DDoS攻击分类统计
从中可以看到,占比最大的是混合流量。混合流量的特点是同时会有网络层和应用层的攻击流量发生,第一秒打ICMP Flood,下一秒就可能是Slow Post或HTTP Flood。混合流量挑战的是用户是否具有完备的防御架构,而单一品种的攻击流量挑战的则是用户某一款安全设备的处理能力。另外,如果你正遭受混合流量的攻击,基本上意味着你正遭受机器人的脚本攻击,因为只有程序才能实现如此高频的攻击种类切换——机器人攻击的时代已经来临。那么,网络层攻击和应用层攻击的区别在哪里?
网络层攻击的主要目的是卸载掉具有Bypass功能的网络防御设备,应用层攻击的目标是获取有价值的数据或劫持用户的商业模式或资源。两种攻击相互配合可以隐藏攻击者的意图,让受害者产生误判。现在的网络层攻击可以识别防御设备的品牌,并根据该品牌设备的防御原理和弱点,实现极具针对性的打击,瞬间可以让目标设备Bypass。1.3 浏览器攻击1.3.1 横空出世的新威胁
浏览器是最常用的应用,是我们每天工作和生活都离不开的工具。但据2016年McAfee Labs的报告,浏览器以36%的占比,成为最容易遭受攻击的对象(见图1-10),之后才是大家耳熟能详的暴力破解、DoS和SSL等。浏览器成为最重要的网络安全威胁,你是否会觉得诧异?图1-10 Top 7网络攻击类型
而从Kaspersky Lab的研究报告来看,则得到更惊人的数据(见图1-11)。图1-11 企业用户遭受攻击的类型分布图
从企业级用户的视角来分析,基于浏览器的攻击高达58%。为什么浏览器成为越来越多的攻击入口,攻击者能使用浏览器能做哪些事情呢?● 屏幕抓取(Frame Grabber);● 键盘记录器(Key Logger)(基于JavaScript脚本);● 数据挖掘(Data Miner);● 浏览器中间人攻击(MITB);● 钓鱼攻击(Phisher);● 恶意的数据窃取(Malicious Data Theft);● 获取cockie和访问历史记录;● 个人信息获取和追溯;● 引诱安装插件或工具栏,从而获取信息。1.3.2 坏人在哪里
攻击者是如何在浏览器位置获取敏感信息并实施攻击的呢?请看图1-12。
攻击者从原来的中间人攻击(Man in the Middle Attack)变成浏览器中间人(Man in the Browser,MITB)攻击后,就避开了SSL的困扰。因为在浏览器内所有未经过特殊处理的参数都会以明文形式存在,因此相较于在链路上获取相应信息,会更容易。攻击位置的转变也使得攻击的成本急剧降低。趋利避害,浏览器中间人攻击也成为流行的攻击方式。安全经济学是攻击和防御都需要遵循的法则,攻击和防御都在追求最优化的投入产出比,在成本因素上获得主动权之后,就可以给对方造成更大的成本开销,迫使对方尽早耗尽资源,将其攻陷。图1-12 浏览器中间人攻击
浏览器中间人攻击的日渐流行,也离不开另外另一个技术因素——JavaScript。JavaScript的大量使用让攻击变得“润物无声”。通过在浏览器的内部进行设置,可以禁止或允许JavaScript脚本的执行。但是考虑到下面将要提到的客观原因,绝大多数用户只能无奈地允许浏览器支持外部脚本。
全球绝大部分的网站采用JavaScript脚本来辅助页面显示和功能实现。如果禁用外部脚本,则意味着这些网站将无法正常运行。这绝对是一个投鼠忌器和需要妥协的问题。所以在绝大部分的时间和场景里,我们只能允许浏览器支持JavaScript脚本的运行。但是越来越多的恶意脚本开始成为显著的威胁,这是一个必须面对和解决的问题。
同时需要强调一点,Java和JavaScript没有关系,JavaScript不是Java系统中的一员。单独存在的JavaScript文件的运行效果我们都会很熟悉,例如预报天气的小程序。
MITB攻击并不是现在才有的技术,这种攻击由来已久,它原来不被人重视的根本原因是基于浏览器的应用多半是新闻类的应用,没有很高的价值。但是伴随银行业务的Web化,浏览器环境中的高价值应用越来越多,这种攻击方式才得到广泛的关注和应用。1.3.3 Dyer木马剖析
2015年开始,一种名为Dyre的网银木马席卷全球,给银行带来了巨大的损失。Dyre完全采用MITB方式对银行用户进行攻击,并在获取客户信息后实施进一步的攻击。Dyre的工作原理如图1-13所示。
Dyre通过监控浏览器的send方法,把用户引导至假的银行界面对用户进行欺骗,在获得用户的账户信息之后实施进一步的资金侵占。
图1-13中提到的C&C Server(Command and Control Server,命令和控制服务器)是一种专门作为攻击代理和控制的代理服务,类似于我们访问互联网的HTTP代理服务器,但它的目的是攻击,而非浏览信息。如果攻击者没有很好地擦除C&C Server上的痕迹,安全研究员就可以根据这些历史记录和留痕,分析出攻击者曾经攻击过哪些目标和使用过哪些手法。图1-13 Dyre工作原理1.3.4 验证弱点
如何验证从浏览器获得用户的有价值信息呢?可以通过本地调试和引用外部脚本的方式来验证。首先来看本地调试的方式。使用Firefox浏览器打开eBay的网站,输入用户名和口令。现在的浏览器都支持调试功能,打开调试功能的方法也非常简单,右键单击窗口后选择Inspect Element就可以进入调试界面。
进入调试模式后,会看到非常多的详细信息(见图1-14和图1-15)。软件开发人员的技术水平在此一览无余,书写严谨的代码让人肃然起敬,而随意和不严谨的代码仿佛散发着强烈的“化学信息”。图1-14 找到口令单行编辑器对应的页面脚本位置图1-15 找到口令对应的参数名称name=“pass”
在图1-14和图1-15中可以看到从页面输入口令的功能、页面内的脚本描述信息、name= pass等信息。点击“控制台”选项卡,进入命令行状态,输入document.forms[0].pass.value,然后按回车键(见图1-16)。图1-16 输入JavaScript指令
浏览器会直接显示在页面中输入的明文口令,如图1-17所示。图1-17 得到页面输入的口令参数值
可见,通过在浏览器本地输入JavaScript指令,可以直接获取页面输入的任何参数值。
现在来看如何通过引用外部脚本的方式来验证。通过浏览器调用一个部署在公有云的外部JavaScript脚本Hack Tools,该脚本集成了很多攻击功能,例如偷页面口令、基于脚本实现键盘记录器等内容。Hack Tools的主界面如图1-18所示。图1-18 Hack Tools主界面
在图1-18的左侧是脚本Hack Tools运行之后产生的页面。单击Steal Password按钮时,脚本会自动定位到应用中和口令相关的输入位置,并标红含有输入内容的单行编辑器。当用鼠标点击标红的单行编辑器后,出现如图1-19所示的内容。图1-19 使用Hack Tools中的Steal Password功能获取页面输入口令参数值
Hack Tools脚本可以直接得到页面输入的口令明文。可以看到口令值和本地命令行状态的结果一致。然后单击Start Keylogger按钮,脚本将自动定位到页面中可以进行输入的位置,并标红所有单行编辑器,如图1-20所示。图1-20 定位到可进行输入的单行编辑器位置
接下来在用户名单行编辑器内,继续输入1234567890abcdefgh,会发现脚本窗口会同步得到所有在应用页面输入的数值,同时本地防御体系没有告警和感知,其内容如图1-21所示。图1-21 Hack Tools同步得到输入的所有数值
通过外部脚本可以实现非常容易的信息获取和记录,针对这种基于浏览器的攻击,行业内只有非常少的厂商能够提供解决方案,这是一种非常犀利的攻击,是信息安全未来的发展方向。
浏览器攻击是一种很新的攻击类型,所有行业都没针对这种攻击进行相应的防范,这是普遍客观事实,而非任何一个企业的个例。从来都是先有矛后有盾,这就是安全的世界。
之前,终端的MAC地址或IMEI(International Mobile Equipment Identification Number,国际移动设备识别码)是唯一的,如果攻击者更换了设备,则需要重新追踪。那么,有什么方法可以实现终端追溯呢?一种全新的思路是借助于浏览器留痕来实现追溯。
其实,人们在使用移动终端一段时间后,都会在终端设备上留下操作痕迹,比如cookie、浏览器历史记录、保存在浏览器中的用户名和口令等信息。根据不同的权重分类统计这些信息,可以获悉留痕在每个分析项中的具体情况,再用分析项的内容进行交集统计,或许你的留痕就是那个独一无二的存在。如果你的行为留痕是独一无二的,追溯系统就可以唯一定位并追溯到你。各位读者可以尝试访问https://amiunique.org/fp链接,看自己是否是独一无二的(见图1-22)。图1-22 测试设备是否可被追溯
可以看到,几乎所有的被检测者都是唯一的。一般来说,只要有人使用个人账户登录过移动设备,追溯系统都可以精确定位到,除非是完全没有使用账户信息登录过的新设备(此时它们具有相同的基础信息)。
思路的创新一日千里,没有做不到,只有想不到。技术只是想法的支撑。那么,如何唯一地识别一台设备的详细分类信息呢,请看图1-23。
在详细分类信息中,Cookies enabled占79.30%,Use of local
试读结束[说明:试读内容隐藏了图片]