2014：威脅“泛化”的年代漏洞頻發

編者按：從4月份被稱為3年來最嚴重的“心臟出血”漏洞出現，到9月更嚴重的漏洞“破殼”而出，再到外設與與智能硬件的“一切連接不可靠”，都似乎在說明2014年的APT攻擊事件充滿不尋常的漏洞利用技巧。關鍵漏洞的巨大能量和未知變數，已經在迫使我們去尋覓一個新的安全模型或思維。由此可見，威脅泛化的年代，網絡強國建設的漏洞有必要涵蓋包括思維模式在內的更廣范圍。

早在一年前，在我們試圖給出2014年的威脅預言時，給出了“Malware/Other”這個詞，並把對應的中文名稱為“泛化”。而2014年的安全漏洞與惡意代碼的走向，儼然“一座座火山噴發，一個個神話破滅”，展開了威脅無所不在的泛化圖景。

一、 嚴重漏洞頻發

2014年4月7日，發生了被稱為3年來最嚴重的漏洞Heartbleed（心臟出血）漏洞，這個漏洞存在於開源密碼技術庫OpenSSL，該漏洞會導致內存越界，攻擊者可以遠程讀取存在漏洞版本的OpenSSL服務器內存中64K的數據，從而可以被用於獲取內存中的用戶名、密碼、個人相關信息以及服務器証書私鑰等敏感信息。由於OpenSSL使用非常廣泛，因此這個漏洞影響到了包括Google、Facebook、Yahoo以及國內BAT在內的大型互聯網廠商，以及大大小小的網銀、電商、網絡支付、電子郵件等各種網絡服務廠商和機構。

漏洞存在於OpenSSL中已有兩年之久，並后被谷歌研究員尼爾•梅塔（Neel Mehta）與網絡安全公司Codenomicon的研究員發現，他們通知了OpenSSL組織進行漏洞修補工作。漏洞公告發布時已發布了修補漏洞的新版本OpenSSL 1.0.1g，同時Google也比業界更早的修補了漏洞。而漏洞公布后，網絡攻擊者們也開始瘋狂地獲取數據，有人開玩笑的說，為了存放通過Heartbleed獲取的數據，導致了硬盤價格的上漲。雖然言過其實，但其利用價值可見一斑。而當我們回看類似事件時，Codenomicon等一些新銳公司為了提高知名度不負責任的發布POC，也是威脅“泛化”的重要原因。

而到了9月，則再次曝光了比“心臟出血”更嚴重的漏洞——“Bash Shellshock”（破殼），由於GNU Bash更廣泛的存在，導致其所威脅到的不僅僅是服務器系統，也包括了網絡設備、網絡交換設備、防火牆等網絡安全設備，也包括攝像頭、IP電話等很多採用Linux剪裁定制的系統。經過研究發現，這個漏洞已經存在了近20年。而另一個致命的問題是，由於GNU Bash的分布蔓延極廣，幾乎是無法完全定位修復的﹔而且由於Bash靈活的語法，導致解析程序極為復雜，因此在幾次修補方法公布后，都隨即被發現了新的問題，從而使“破殼”演化了一系列的漏洞。

再之后一場持續的DDoS攻擊，嚴重影響到了國內DNS體系的運行，而大量發起攻擊的節點則是攝像頭等在網智能設備，而經跟蹤分析相關僵尸網絡，其正是利用了“破殼”擴展獲取了大量的節點。

其實在一些國產操作系統上，我們也同樣發現了“破殼”漏洞的存在，理順國產系統的借鑒、繼承關系，及時聯動地漏洞修補，對於依托開源體系發展的國產操作系統領域來說，依托開源軟件的偽閉源系統，其實比開源軟件本身有著更大的漏洞威脅。

此外，HTTPS作為安全認証和加密通訊的重要基礎協議，在這一年被反復提起，微軟SERVER的SSL實現也被發現存在問題，而多家網銀亦都被暴露出不正確的代碼實現。

二、 外設與與智能硬件

2014年前，還沒有更多的目光關注到外設的安全之上，人們對“連接不可靠”的認知更多來自網絡端。而2014年7月BlackHat演講題目的公開，預告了柏林SRLabs的安全研究人員JakobLell和獨立安全研究人員Karsten Nohl將在8月7日展示“BadUSB”的攻擊思路后，關於USB一系列的攻擊傳說，就這樣被呈現出來。

“BadUSB”利用了USB接口具有極大的通用性，以及可以用來連接存儲、鍵盤、鼠標、打印機等很多外設的特點，通過使用控制器芯片模擬其他外設，可以在U盤等形態的掩蓋下發動攻擊。而這種“非正常的使用方式”已經超出了規劃者的安全想象，從而使這種攻擊極難防范，同時這種威脅的有效性和隱蔽性，遠非軟件層面的“Autorun”問題可比，也遠非類似修正一個系統自動運行通告的配置所能防御。而如果在之前已經考慮了1394火線、PCMCIA、PCEXPRESS等接口的問題，就會讓人們深刻意識到“一切連接均不可靠”。

在斯諾登爆料出的“NSA的ANT裝備列表”中，部分專家推測其中的COTTONMOUTH (水蝮蛇)的系列裝備看起來已經使用了類似攻擊方法（當然對此也有分歧，因為從其有限的描述上無法証實這點），相關裝備列裝的時間早在2008~2009年間。而2008年，也是安天在XCon上演示USB攻擊打印機的那一年，現在我們可以公開謎底了，當年沒有人猜對結果的、通過打印機實現遠控終端的演示，其實就是採用了今天看起來已經非常簡單的“BadUSB”的思路。

而2014年全年各種智能設備的安全問題“則如同秋天的熟蘋果般紛紛墜落”，2014年10月著名極客嘉年華活動GeekPwn就展示了一個未來智能設備可能受到威脅的途徑和預言，在現場Show和PWN的環節則演示了包括了電動汽車、智能手環、智能電視、智能插座、智能馬桶、智能燈泡等等智能產品的各方面安全問題。

三、 APT在繼續

見証APT攻擊，正在成為安全工作者的常態。而其中的威脅和漏洞利用，亦能看到很多有趣的技巧。

在Havex攻擊中，WordPress漏洞被攻擊者用於構成竊密回傳的體制，這種思路非常巧妙，它使C&C Server不再是那些“生僻”域名或者IP，並使在過去幾年被証明為非常有效的域名信譽，也不再像那些在BLOG系統上張貼Base64編碼的攻擊顯得那樣奇葩。而網絡上存在著大量具有類似漏洞的WordPress主機，從而也使攻擊會有很好的掩蓋。

而SandWorm及其使用的CVE-2014-4114漏洞，基本上使微軟建立的內存安全機制統統失效，其原因在於其本質上並不是一個溢出，而是一個執行邏輯漏洞，相反則是類似UAC這樣的應用安全策略可能會有一定作用。盡管並不是第一個漏洞使用這樣的技巧，但在微軟溢出保護機制日臻成熟的時候，也許未來會看到更多另辟蹊徑的攻擊方法。而SandWorm給人留下深刻印象的另一個原因，是其在微軟修補前將這個漏洞曝光，從而引發了大量利用這個漏洞的攻擊行為，起到了“撒豆止驥”的效果，以保証正牌的攻擊者“金蟬脫殼”。2014年的APT攻擊事件，似乎必須要提及索尼被攻擊的事件。但當一個攻擊以敲詐式的警告於前，而以破壞硬盤數據為結尾的時候，它還是一種APT麼？也許與Michael在《Why Stuxnet Isn't APT》那種質疑一樣，索尼事件也許是一種作戰行動。

同時，我們還要再次強調， APT不是一個純技術行為，而是具有明確戰術甚至戰略目標的體系化攻擊行為。因此，不要幻想任何的單點技術手段可以解決問題。

四、 “幻像”破滅與安全觀的重建

2014年，威脅泛化的年代，是一個打破幻像的時代。例如之前所謂的開源安全神話，當少數開源安全論者還在堅持著“開源是全世界一起做一個系統，閉源是少數人做一個系統”的時候，社區因安全能力不平衡所帶來薄弱環節的影響正在凸顯。Heartbleed就在最常見的OpenSSL中展示了“燈下黑”的結果，並提醒業界這正是達成安全所需要聚合的安全專業性、研究能力以及配套的安全成本。而另一方面，心臟出血后這場針對開源系統安全普查的業內聯合行動，或許可以被看成一場災難的“進步補償（恩格斯語）”。這種活動讓開源體系真的從全域威脅的角度獲得了審視。而Wirelurker（破界），同樣讓iOS的安全神話破滅。

2014年，關鍵漏洞再度展示了“一覽眾山小”的巨大能量，其讓原有的那些漏洞數量的比對和哪種系統更安全的空泛討論完全失去了意義，關鍵漏洞給攻防雙方都帶來了很大的不確定性和偶然性，信息攻防強弱之能力可能在瞬間被一個關鍵漏洞拉平。

泛化的年代是一個盲目的時代，當新威脅被反復強化，我們很容易被吸引而目光游移，我們很容易完全去關注新威脅，而不去分析我們的基礎和家底，而后者同樣重要。比如在Heartbleed中，同樣令人值得思考的問題是研究者們同時注意到，國內網站的HTTPS使用比率很底，大量網站依然採用HTTP，包括有著名的網站（包括手機端）居然採用明文登陸協議，安全措施只是口令計算了一個Hash而已。這實際上是中國和發達國家在安全基礎意識和能力上的代差。

而今年同樣流行著對“老三樣”——即“防火牆”、“反病毒”、“打補丁”的口誅筆伐。這種聲討被用於支撐去尋覓一個新的安全模型或思維。但實際上，在中國更多政企用戶中更真實的情況是大量防火牆被採購后，被束之高閣，從未被安裝和加電﹔內網反病毒產品的病毒庫幾月到半年才升級一次，而“打補丁”更被視為有可能影響業務穩定性的危險舉動。我們現有的安全問題更多的是來自“老三樣”不管用，還是沒有真正重視和有效使用？

從互聯網安全服務規范到IT治理能力，我們在安全上有很多課要補，我們並非已經建立了充分夯實的體系，可以把目光充分轉移去審視新威脅，而是需要同時面對新舊兩種挑戰。而如果我們漠視這些現狀，就會催生不切實際的誤判，特別是開始膜拜和憧憬所謂一勞永逸改變安全現狀的“永動機”，而忘記了安全的本質就是永無休止的對抗與改進。

泛化的年代亦可能是一個麻木的時代，比“心臟出血”更為嚴重的“破殼”漏洞卻難以得到更多來自國內媒體的關注，原因竟然是很多人認為 “心臟出血沒有造成那麼大的影響”。當一些主流網站（包括電商）的內存數據被以T為計的獲取時，我們實在無法想象，還有什麼是更大的影響。隻有大面積斷網、大量的后台數據被直接公開才算重大影響嗎？這是一種何其落后的安全判斷標准，這種思維定式足以使人在即將噴發的火山口上載歌載舞。

威脅泛化出現的原因，首先是信息化大發展注定使其無所不在，而很多的陷阱、隱患和錯誤的思維在不斷的被繼承，這是威脅泛化注定的土壤﹔其次是攻擊能力的普及化，正如Bruce Schneier在《The State of Incident Response》所說“正在發生而且真正重要的趨勢是：越來越多戰爭中的戰術行為被應用於更廣泛的網絡空間環境中。”，這為加速威脅泛化提供了工具彈藥﹔而地下黑產的蓬勃發展，追名逐利日益無底線，也成為威脅泛化的持續動力。

泛化的年代，讓很多人重新萌生了計劃經濟式的預設情節，對安全的恐慌，導致很多關於“不設計好安全就不要發展的觀點”重新浮出水面。這些觀點忽略了需求的剛性，認為通過沙盤推演和標准設定能解決很多問題。

在威脅泛化的年代，更多人會想到K.K的《失控》，而一位我十分尊重的老師告訴我，在他的案頭有兩本書，一本是《失控》，而另一本是來自比爾.蓋茨的《未來之路》，他說“從目前來看，對於一個未來的高技術的世界，前者帶給人們的焦慮和恐慌遠勝於后者曾帶給人們的憧憬，但想一想，蒸汽機、電器機、原子能、基因技術……哪一項巨大的技術進步不曾帶給人類巨大的、仿佛毗鄰懸崖邊緣的焦灼？但這一切盡管亦曾被用於破壞、犯罪和戰爭，但最終我們的世界始終是變得更文明、發達和美好。”

安全的存在意義從來都是用於保障應用價值，而不是用來限制應用價值，更不是用來捆住發展的手腳。而今天，盡管我們面對種種安全危機，以及伴生的對未來的種種焦慮，但我們一直堅信發展、進步才是最大的安全。

安全工作者要做實干者，而非預言家，也許這一選擇更適用於“滄海橫流”的時代。

（感謝我的同事Angel Li及業內友人Joe對本文的貢獻）

（文章來源：中國信息安全）