資深黑客談：安全趨勢正在向應用層發展

在偶然或必然間，計算機等資訊技術的快速發展與普及，出現了黑客現象。黑客自誕生之日起，便成為一個敏感、神秘而又飽受争議的身份與話題，業界對其“既恨又愛”，但無論如何，無論在中國還是美國等發達國家，黑客在資訊技術以及資訊安全防禦技術的發展中都起到了或積極或消極的影響作用......，不可否認，黑客對“破壞性技術”的執着研究為提升資訊安全技術的發展起到了重要的促進作用，是以我們需要研究并從中吸收啟迪，做到可控并為我們的正向發展所用。

日前筆者采訪了國内資深黑客、安全研究人員，現任杭州安恒資訊技術有限公司北方大區技術總監李麒先生，就目前安全發展趨勢進行了深入的溝通。

專訪嘉賓介紹

李麒，資訊安全專家。清華大學TBC、天津大學學士。MCSD、CCNP、CIW、CISP、CISSP、BS7799LA。通過多年從事專業資訊安全方面的工作，熟悉各種網絡攻擊與防範技術。

網絡ID：liwrml。前綠色兵團(中國最大的黑客組織)創始人之一，XFOCUS(安全焦點)論壇版主。曾接受過多家媒體的采訪，并在相關技術雜志上發表過數篇原創性的技術文章。

多次參與國家級大型資訊安全保衛任務。如：“第29屆北京奧運會”、“六十周年國慶”、“上海世博會”、“兩會”等。曾為：國務院秘書局資訊化辦公室安全顧問、全國政協機關網資訊安全顧問、國家安全部某局安全顧問、總參某部門安全顧問、公安部某局安全顧問。

曾在資訊安全行業内多家著名企業任職，如：啟明星辰、神州泰嶽、億陽信通等。現為安恒資訊技術有限公司北方大區技術總監。

走進黑客世界：現代黑客的三撥走向

中國有自己的黑客大會麼，答案是肯定的，XCon大會——中國最專業的安全技術研讨會，吸引了衆多國内外資深黑客、安全研究人員。第一屆XCon大會于2002年在北京召開，慢慢演化成現在越來越專業的黑客安全大會。但與國外的黑帽大會相比，XCon大會屬于後來者，起步較晚，在安全研究方面尚需深入。

當今的黑客世界呈現怎樣的狀态？以中國黑客發展來說，到現在為止，中國黑客已經發展了4、5代。

中國最早的黑客出現于1996年左右，第一個黑客站點叫“i.am/hack1”，是goodwell建立的，也正是後來綠色兵團的前身。從1996年到2000年這批最早的中國黑客，他們追求的是純自由或者對技術的崇尚，沒有任何其他目的。大家一起讨論技術，哪個ID最先發現新的安全問題、安全技術并發表出來，這是當時黑客所追求的，這是他們的榮耀。

從2000年到2004年又是一批黑客，屬于第二代到第三代之間，包括像紅客聯盟，在2000年左右的黑客大戰中，中國黑客義務幫助國記憶體在安全隐患的政府網站彌補安全漏洞。

從2004年以後到現在是第四代以及第五代黑客，這個時候黑客出現了分裂，一撥還是堅持安全技術研究，這部分人已經越來越少。還有一撥更大的黑客群體則越來越受經濟利益的驅動，比如像0x557等黑客組織，他們不單純為讨論技術而存在，更有經濟利益在裡面。更有一些黑客，在走網絡黑社會的路線，有些利用拒絕服務攻擊威脅他人，而有些則利用流氓軟體捆綁，在記憶體裡做手腳，通過導航站、導覽列或所謂的插件，在記憶體裡彈窗，每天賺取掙幾十萬的經濟利潤。這個群體還有一部分人專做木馬，比如市面上常見的伯樂馬、奧巴馬、奧運寶馬等各類遊戲小馬，一套20多款，賣一萬塊錢，他們通過建立嚴密的分銷和代理制度——金牌、銀牌、銅牌等三四級代理進行非法銷售。同時還捆綁下載下傳者一起賣，裡面的後門不計其數，黑吃黑。是以，嚴格意義上來說這些黑客更應該稱之為駭客。

黑客攻擊開始從基礎網絡層轉向Web應用層

原先黑客發起攻擊都是通過網絡層進行的，但黑客技術促進着資訊安全技術的發展，現在基于網絡層的基礎安全防護措施已經很嚴密，防火牆、入侵防禦、防病毒等安全軟硬體一起建立起了非常完善的防護體系，想再從這裡鑽空子難度很大，對于以經濟利益為目的的攻擊者，從網絡層發動攻擊，得不償失。

現在黑客已經從網絡層攻擊手段轉入Web為主，傳統安全體系已經無法做出有效防護。目前安全關注點就在于應用安全，迫切需要針對Web應用層提供完全的解決辦法，這是現在的安全重點。

現在國内的Web安全隻能算是初級起步階段，因為目前的傳統網絡安全防禦體系剛剛逐漸完成閉環的安全周期，如：基于PDR的防禦體系和縱深式防禦體系的建立和完善，明确了以資産為保護核心的理念。而又要向Web安全轉化和發展是需要一個過程的。說白了就是剛做好網絡層防禦工作，就發現黑客技術又變了，變的以Web應用為主的攻擊方式，這就需要繼續加快資訊安全建設的步伐，在Web應用安全方面進行大力的投入。當然不能夠摒棄否定原來安全架構的建設，最好是加大Web應用安全方面防護措施投入的同時，結合原來的網絡層安全防禦體系，才能夠達到理想的安全防護效果。但畢竟，資訊安全都是相對安全，沒有絕對安全的概念，我們隻能是把安全威脅和風險降低到可以接受的範圍内。

中國與外國安全防護的差距

以日本的資訊安全為例，當日本需要進行某方面的資訊安全建設時，日本的相關主管部門首先會建立相關标準，然後各需求公司會按照标準進行安全建設。而目前國内則是完全相反，各需求機關、公司會先進行相關安全建設，然後再去與國家相關标準靠攏，或者尋求其他途徑解決标準問題。

另外，現在國外更加注重安全度量——Security Metrics，會對安全資料進行統計，形成圖表，讓安全可見、可視，直覺展現安全的價值所在，看到安全建設的效果。

最後，Web應用安全也是目前國外的安全防護主要方向。比如強調對于SQL注入、XSS跨站等攻擊的防護。

軟體漏洞将成為今後黑客利用重點

從最早1988年莫裡斯蠕蟲開始、2003年爆發疾風病毒，到今年大興其道的網絡釣魚、挂馬、社交工程學攻擊。可以看到病毒發展史是，從最早感染單機電腦，比如引導區、扇區轉化成蠕蟲性質，基于網絡大規模傳播性質，像一個交叉線一樣。以前是單獨的病毒體制，病毒和蠕蟲不是一個概念，病毒是不斷的複制自己，蠕蟲是利用系統本身的漏洞進行傳播。而現在發展成兩者融合一起，新一代的攻擊技術出現了，病毒技術加蠕蟲技術既利用系統漏洞攻擊進入系統，還通過受感染系統迅速傳播、不斷複制，像SQL Slammer病毒就是利用SQL SERVER 2000的解析端口1434的緩沖區溢出漏洞對其服務進行攻擊和傳播，蠕蟲加病毒的方式現在最為可怕。

另外，軟體漏洞會成為今後的重點。以前黑客攻擊主要利用系統自身的安全漏洞，而現在利用軟體漏洞進行攻擊的越來越多。比如，黑客可以利用Microsoft Office元件的問題，能夠在Word裡嵌入一段代碼，當打開Word檔案後，代碼也将自動執行。也就是說，當你打開檔案在看内容的同時，主機很可能已被黑客控制了。同樣的問題還出現在：Realplayer播放器、Adobe PDF閱讀軟體等。另外，黑客與微軟之間的“漏洞PK更新檔”戰争，使得可以利用的系統漏洞愈發少見，這使攻擊者的目标開始轉向諸如Flash、千千靜聽、暴風影音這類常用軟體暗藏漏洞的挖掘利用。是以由于軟體漏洞所引發的安全問題是非常值得重點關注的。尤其是涉密人員和機關要時刻警惕，不要随意打開陌生郵件或未知不可信任的檔案。

安全向來都是相對的，沒有絕對的安全。比如Windows7，Windows7從某種程度來說是很安全，比如做好主機安全政策、日常使用規範、加防護軟體等等，短時間内它是安全的，但是仍然面臨很多風險。現在突破Windows7的攻擊手段越來越多，目前有些木馬就能突破Windows7的UAC防護。但攻擊永遠是防不勝防的。

從應用安全到資料安全

對于普通使用者、網友來說，他們最關心的是自己的網銀賬号、網遊賬号、電子郵箱賬号......等各類個人賬号、密碼、隐私是否會被盜，自己的電腦是否會感染木馬病毒，個人如果解決這類問題的話，實際很簡單，隻要安裝好常用的安全防護軟體就可以，如：360。定期對系統進行掃描和檢查，發現問題及時修補。

企業在安全需求上則不同，企業所需要的安全防護更廣泛，比如采用Web應用防火牆，對企業的B/S應用系統進行安全防護；采用Web應用安全掃描器，對企業的網站系統進行定期掃描，發現問題，解決問題；采用資料庫審計系統，對企業的核心資料庫進行審計和記錄，發現蛛絲馬迹，誰在什麼時間做了什麼，有據可查等。

另外，安全管理是極為重要的部分，也是最難去做的部分，因為安全裝置之間還沒有統一的标準。各家不一樣，接口不統一。

現在有些使用者希望在建立大的安全管理中心同時，結合背景運維或者自己有一套營運系統。這是一個很好的理念：人、技術、流程、标準、運維，再結合動态防禦，形成大的安全防護體系，同時建設安全管理中心，提高安全服務水準，進而能夠達到安全狀态可視化、可營運化。但實作起來依然困難重重，這也是目前安全的瓶頸之一。

三分技術七分管理

再好的技術和産品也要看如何使用、怎樣使用，安全向來是三分技術、七分管理。購買再全的安全裝置，但如果沒有很好的安全意識、沒有很好的安全管理制度、體系、相關規定，包括人員方面的建設等，而僅僅進行了安全裝置的羅列和部署，實際上等于将安全裝置都扔在一邊不用是一個道理，那整體安全水準還是很低的。

目前的安全将會逐漸以應用安全、Web安全為主，慢慢發展起來。而最重要的是：加強人們的安全意識是目前最為緊迫的問題。