4. 信息篡改
信息篡改破坏了信息的完整性,是入侵者攻击目的的一种。信息篡改主要有两种形式:信息传输中的篡改和信息存储时的篡改。信息传输中的篡改主要发生在在线的交易过程中对交易信息的篡改,将导致交易双方的严重经济损失;网络设备控制信息的篡改,可能导致网络工作异常、甚至导致信息传输途径的更改以至于失密。这种攻击行为的防范主要依靠信息交换双方对信息的加密和数字签名以及强验证方式来实现。信息存储时的篡改是最为常见的攻击方式,往往表现在对关键业务服务器上数据的更改,导致业务无法正常运行;对一些关键文件的篡改,比如针对网站主页的篡改,会导致被攻击者形象的损失和潜在的经济损失。比如一家在线交易单位如果网页被篡改,其后果可能会导致大量客户的流失,即使入侵行为没有危及到关键的交易数据。另外一种最具威胁的攻击手段是对可执行程序的篡改。入侵者通过对系统原有的可执行文件的篡改能够达到很多破坏目的。比如通过非法修改证券交易系统或者银行业务系统的程序以获取暴利;通过篡改某些关键应用程序导致系统无法正常运行。但是最常见的篡改目的是:通过篡改一些管理员或者用户经常使用的应用程序,使其在运行的时候除了执行正常的操作之外,同时运行一个入侵者放置的木马程序。这样,对管理员或者用户来说好像系统运行一切正常,但是却在不知不觉中运行了木马程序,导致后门洞开。这种入侵的后果是非常严重的,将可能导致严重的信息泄密。关于木马后门植入后的防御,本文将在后面详述。
信息篡改的实现方式相对比较简单。入侵者能够首先通过远程攻击方式获得系统的一定权限,然后对文件或数据进行简单的替换或者更改;内部人员更加具有先天性的优势,甚至能够在自己的账号的权力范围之内对关键的信息进行恣意的篡改。排除系统本身存在的安全漏洞以后,造成信息篡改安全威胁的主要原因在于系统对信息控制粒度过于粗放,以及没有制定良好的安全策略。
eTrust Access Control的解决方法就是从根本入手,大大细化了对资源的控制粒度。不管是UNIX还是Windows服务器操作系统,对文件和目录的安全许可权限都是非常有限的。但是通过eTrust Access Control就能够使文件和目录的许可控制大大增强。如图所示,许可类型除了读、写、执行外,还额外添加了删除、重命名、模式更改、属主更改、时间更新、ACL更改、创建、更改目录等8项许可,为管理员提供了充分的授权空间,能够按照最贴切的方式对各个账户进行资源的授权,防止授权过大造成的内部安全隐患。同时,同样一个账户采用不同的应用程序访问资源也有可能获得不同级别的访问许可,这给某些行业的特殊需求提供了极大的便利。
有了文件许可的细化控制能够极大地减少由于授权原因造成的信息篡改事件。但是为了彻底杜绝对关键信息的篡改,eTrust Access Control还提供了数字签名的功能,能够对普通文件、数据文件以及可执行文件特别是入侵者攻击的首要目标--UNIX中的suid和sgid类型的程序进行完整性校验。如果普通文件和数据文件发生了意外更改,eTrust Access Control将会报警;如果可执行文件发生了意外更改,eTrust Access Control将会自动拒绝这个可执行文件的执行,并且同时报警。这样,即使非法入侵者对目标文件进行了篡改,其目的也很难得逞。当然,如果实现利用eTrust Access Control的文件保护功能对这些关键的文件进行了保护,入侵者是无法达到非法篡改的目的的。
5. 木马后门
特洛伊木马(以下简称木马),英文叫做"Trojan horse",其名称取自古希腊的特洛伊木马攻城故事,相信大家都已经耳熟能详了。正是这种古老的攻城方式却成为了现在令人色变的网络入侵方式。引用一段业内人士对感染木马的计算机的描述如下:"一旦你的电脑被它控制,则通常表现为突然蓝屏死机;CD-ROM莫名其妙地自己弹出;鼠标左右键功能颠倒或者失灵或文件被删除;时而死机,时而又重新启动;在没有执行什么操作的时候,却在拼命读写硬盘;系统莫明其妙地对软驱进行搜索;没有运行大的程序,而系统的速度越来越慢,系统资源占用很多;用CTRL+ALT+DEL调出任务表,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多等等。"当然在这些表面现象之下,计算机里面的所有信息都已经洞开了,甚至用户所有的键盘击打都被记录,屏幕的显示都能够被入侵者看得一清二楚。对于一般的个人用户,木马方式的入侵可能是受到的入侵方式里最为普遍的。当您浏览一些个人网站忽然被要求下载一些看似有用的程序的时候,当收到一个声称附件是一个好玩的软件的时候,甚至当邮件的附件好像是一个web网站的联接的时候(请注意后缀是URL的.com还是可执行程序的.com),您都在面临木马入侵的威胁。
对于个人用户来讲,由于计算机上一般不会存放非常重要的信息,所以即使被植入了木马以后也一般不会造成非常大的损失。但是服务器就不同了。服务器是信息财富储存和业务运作的平台,一旦驻留了木马程序,造成的后果是不堪设想的。而且有时候明明知道服务器上有木马程序,但是由于木马程序高超的隐蔽性,管理员也很难发现木马的踪迹。服务器驻留木马程序可能造成的危害是多方面的:首先,服务器本地存储的信息的保密性、完整性都受到了极大的危害。入侵者能够操纵木马程序恣意地对信息进行破坏。其次,基于安全性最低的木桶原理,一台计算机被远程控制就是整个网络被完全入侵的前兆。入侵者能够利用被入侵计算机正常享有的网络权限对网络资源进行扫描和探测,相当于一个内部人员对网络的攻击行为。另外,通过分析近年来的网络安全事件我们可以发现,当入侵者无法达到信息窃取和破坏的目的的时候,往往会采取极端措施,就是广为人知的分布式拒绝服务攻击(DDoS,Distribute Deny of Service)。Yahoo!就曾经是这种攻击方式的受害者之一。其基本措施就是入侵者首先在Internet中寻找合适的傀儡计算机。其标准就是首先系统能够被攻破并且植入攻击程序,其次该系统需要具有比较大的Internet带宽资源。当入侵者具备了数量合适的傀儡计算机后(具体数量需要以及被攻击方的带宽资源和服务器资源而定,一般在十几台,多则可能到上百台),就会在合适的时机同时启动傀儡计算机上的攻击程序对目标发起连续不断的数据轰炸,造成被攻击方服务器资源耗尽或者带宽耗尽。这种攻击方式的发起者不需要太多的技术力量就能够轻松地将被攻击者的服务停止,属于Internet上最为恶毒的攻击方式之一。DDoS攻击一旦发起,防御是非常困难的。主要的方式是对服务器作协议栈的优化,避免服务器资源过早耗尽;在网络设备作分流和优先级处理,尽可能地减少对网络有效带宽的占用;在网络的入口处部署具有防范DDoS攻击功能的防火墙或者专用的硬件设备,做入侵的的截断和终止等等。但是由于网络结构的复杂性,特别是在线交易的实时性,这些方法和手段都不能从根本上解决问题。对于入侵者的源追踪目前也成为了防范DDoS攻击方法的研究方向之一,试图通过对入侵者的绳之以法起到威慑作用,从而控制DDoS愈演愈烈的趋势。
但是,这些都是比较被动的防范措施。等到入侵发生的时候再部署防范措施,损失就是不可避免的了。一个好的防范措施需要将入侵在开始之前就化解,其关键点在于排除攻击赖以发生的种种因素。
从上节我们知道,eTrust Access Control能够防止通过文件篡改的形式传入的木马。对于其它方式植入的木马,比如管理员无意中执行的携带木马的程序,eTrust Access Control同样具有良好的防范措施。
首先,eTrust Access Control具有的程序访问控制列表(PACL)功能使得同样一个用户访问同样的资源的时候,如果采用不同的应用程序访问,将会得到不同的权限。也就是说,对于一些重要的资源,我们可以采用eTrust Access Control这种功能限定不同应用程序的访问权限,只允许已知的合法的应用程序访问这些资源。这样,即使入侵者在被攻击的服务器上运行了木马程序,但是木马程序需要窃取关键信息的时候必须要经过eTrust Access Control的安全验证。由于PACL中没有定义木马程序的访问权限,按照默认权限是不能够访问的,由此就起到了对木马信息窃取的防范。
另外,计算机一旦连结上了网络就融入了一个整体,需要对整体的安全性负责任。通过上文的分析我们已经发现,木马不仅仅会窃取本地信息,更严重的是入侵者能够通过本地计算机对网络中的其它计算机发起入侵,如DDoS攻击行为。美国政府法律规定由于某台计算机的安全问题直接导致的其它联网计算机的入侵事件,这台具有安全问题的计算机的所有人是需要负责任的。目前其它国家也正在陆续出台相关的规定。所以,在网络上仅仅采取明哲保身的自保策略是不够的。为了避免被植入木马的服务器成为入侵者的跳板和傀儡,eTrust Access Control还具备了网络访问控制的作用。网络访问控制规则不仅仅能够定义哪些人能够在什么时间从哪里访问本机的哪些服务,而且更为重要的是,它还能够定义从本机能够发出什么类型的网络连接。这样,凡是不符合规则的连结将不能够从本机发出。举例来说,在红色代码泛滥的时候,许多运行IIS服务的服务器感染病毒后会在网络中进行大范围的扫描,发现TCP 80端口开放的潜在受攻击者。但是Web服务器的这种行为明显地是非常异常的行为。所以通过在eTrust Access Control中定义外出连结的类型,能够从根本上避免由木马发起的外部攻击行为,特别是避免成为DDoS攻击的傀儡。
更为重要的一点是,eTrust Access Control提供了TCSEC B1级别的安全加固方式,从目前操作系统普遍采用的自主性的访问控制(C2安全级别)上升到了强制性的访问控制(MAC)。具有这种安全级别保护的操作系统,从根本上对于木马和后门是免疫的。
6. 进程中止
在很多关键业务环境中,肯定都会有几种比较重要的服务在运行。比如一个电子商务
