在2011年的岁末发生的密码泄露事件引暴信息安全话题。根据国家互联网应急中心(CNCERT)统计,截至12月29日,CNCERT通过公开渠道获得疑似泄露的数据库有26个,涉及帐号、密码2.78亿条。其中,具有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。
2011年12月28日,工业和信息化部发布通告称,用户信息泄露事件严重侵害了互联网用户的合法权益,危害互联网安全。工信部对窃取和泄露用户信息的行为表示强烈谴责。同时,要求各互联网站要开展全面的安全自查。
网站伤不起
大量网站泄密事件的曝光,反映了网站安全防护的薄弱,很多网站甚至采用了明文密码存储或不安全的MD5加密存储。网站处于互联网这样一个相对开放的环境中,网站整体安全防护中的任何一点漏洞或不足都可能在网络上被迅速放大和利用,从而导致网站安全事件层出不穷。
天融信高级安全顾问吕延辉认为,在缺乏整体防护措施或安全意识不够的情况下安全事件的发生只是“时间问题”。实际上,国内网站竞争激烈,很多企业都把大部分精力放在了发展业务上,在安全防护上投入很少或无力投入。没有一种技术或产品能够解决所有安全问题,在有限投入情况下,安全的防护水平必然也是有限的,安全风险或隐患的存在也成为了一种必然。
在东软网络安全资深咨询顾问仝磊看来,此次泄密事件可以说是必然会发生的,只是发生这件事情的对象存在一定的偶然性而已。目前,国内对于信息安全的重视不够,无论是个人还是组织,均是如此。对信息安全意识不足,发生安全事故是迟早的事。从另一方面看,如果能借此提高大家的信息安全保护意识,长远来看或许是件好事。
资深安全顾问张百川表示,许多网站设计之初就只考虑业务而不考虑安全。在试运行期间只要功能满足就验收通过。在网站的规划、设计、实施、运维、废弃等五个阶段没有一个安全的考虑。这样“凑合”用的系统,安全性显而易见。
一位资深的安全应急工程师告诉记者:“很多企业根本没有重视过信息安全,出了安全问题才想办法解决,而且在解决上只考虑掩盖,而不是从根本上考虑解决。”同时,他向记者举例,目前国内电子商务公司里有安全部门的很少,有些公司就算设立安全部门也不过1-2个人,没权力没资源根本没法实现信息安全。
有专家指出,目前国内企业和机构普遍存在对信息安全的认识不足、安全设备零或少投入、制度的缺失、流程的不完善、权限分配不合理等问题。一位网警向记者表示,很多因黑客攻击而报案的网站基本上无安全投入或者没有相应的防护措施。
应用漏洞引发的血案
此次密码泄露事件让网站安全成为了大众的关注焦点。赛门铁克资深首席信息安全技术顾问林育民分析后表示,此次“泄密门”以网站应用安全漏洞导致外泄的可能性最高。
根据安全公司给CSDN提供的审计报告,此次CSDN资料泄露事件暴露出该网站的四个安全问题:第一是开源系统等第三方系统存在漏洞,导致CSDN系统存在安全风险;其次是应用程序存在跨站脚本漏洞;第三,网站存在大量系统后台认证漏洞,如安全等级较弱的口令等;第四,一些已经停用但还在线上的老系统由于安全级别低,泄露了大量信息。
通过网站应用安全漏洞而导致数据泄密的事件还在继续发生,在2012年新年伊始,新浪爱问被发现存在SQL注入漏洞,利用漏洞可读取爱问数据库的内容,包括明文密码在内的7000多万新浪用户信息。有安全人士通过SQL注入对著名魔术师刘谦的账号和密码进行尝试性攻击并取得成功,刘谦得知此事后在微博上连呼“太恐怖”。
SQL注入攻击本身就是对数据库进行一系列SQL语句的查询,黑客可以执行一个SQL查询来实现绕过身份验证或者操纵数据。通过SQL注入攻击,黑客可以轻松地敲入一些SQL语句登录进网站、对隐秘数据进行查询等等。而这一切都可以在浏览器中进行。不止一位安全工程师向记者调侃:“不怕流氓会武术,就怕黑客会注入。”可见SQL注入的危害性和代表性。
但此次密码泄露事件涉及的众多网站,并不单纯是因为SQL注入攻击而失守。根据知道创宇公司对500万个网站检测后得出结论,SQL注入和XSS跨站攻击已经成为黑客主流攻击网站的手段。
防范之道
SQL通用防注入系统的作者Neeao认为,此次密码泄露事件大部分是因为网站出现安全问题而导致数据库被攻击。网站程序开发初期就应该考虑安全问题,同时应该严格把控代码的上线管理流程,所有代码规范管理。
明朝万达总裁王志海指出,全员的安全意识培训特别是技术开发和服务人员的安全意识是必要的,只要让大家牢牢树立信息安全防范意识,彻底排除侥幸心理,并融入到具体的开发和服务工作中,才能减少类似事件的发生。
专注于Web安全的团队80sec成员宋申雷以木桶比喻网站安全体系。他表示,以新浪爱问存在SQL注入为例,就是关联业务出现安全问题导致安全体系出现短板。目前,多数网站系统存在漏洞是由于业务部门不重视安全,没有产品上线和测试的安全流程所致。
记者在咨询多位安全工程师后归纳网站应用安全问题的原因主要有两个方面:一方面是代码的安全问题,SQL注入漏和XSS都是利用了Web页面的编写不完善,所以每一个漏洞所利用和针对的弱点都不尽相同。所以,不可能以单一特征来概括,这和开发人员对于安全的理解程度有关,应该通过加强开发人员的安全意识来避免。另外一方面是由于服务器配置原因造成,如目录遍历、备份文件直接可通过Web下载,IIS写权限等,这部分主要与服务器运维人员有关。应该建立健全的服务器配置管理流程,并严格执行。
此外,很多企业为方便工作,应用系统的用户账号和口令存在很明显的规则性。仝磊向记者介绍了一个因黑客摸清了业务系统生成默认账号密码的规律而被入侵的案例。仝磊建议,如果用户能够定期变更默认用户账号密码生成的规律,其损失就会大大减小,发生恶意事件的几率也会大大降低。
除了防范网站应用安全外,还要加强对数据库的审计,可对数据库操作的有完整记录并能够对外部的数据库未授权访问行为有效阻断。
据了解,目前多家安全公司如绿盟科技、启明星辰、安恒科技、安全宝等已启动提供免费的网站安全体检的服务,可帮助技术力量相对薄弱的企业掌握网站的安全状况。
【编辑推荐】