尽管在 2017 年 9 月的 Equifax 遭受黑客攻击后引发了冲击波,但是业界在保护产品方面仍然有很长的路要走。一个需要关注的关键领域是占据现代应用程序整个代码库 60%-80% 的开源组件。让我们来了解一下如何检测易受攻击的开源组件并确保产品的安全性。
去年 9 月,当围绕着信用评级机构 Equifax 被黑客攻击的新闻流传开来时,世界上大部分的人才突然知道开源漏洞这个概念。攻击者利用了 Apache Struts2 开源组件的一个漏洞,窃取了大约 1.479 亿人的身份信息,其中大部分是美国人。
从表面上看,该公司没有意识到其 web 应用程序中正在使用易受攻击的开源组件,并且没有及时打上补丁以避免受到攻击。
尽管像 Heartbleed 这样的黑客攻击在短时间内吸引了大众的注意力,但是在本次攻击中被窃取信息的数量和质量范围引起了公众更多的关注。
这也给组织敲响了一次警钟,他们有更大的责任来保护那些用于保卫其用户数据的代码,即使这些代码不是他们编写的也应如此。这些代码通常以开源组件的形式出现,可以免费试用,并被开发者出于及时向市场交付产品的目而广泛采用。开发人员依赖开源组件提供的有用功能,如果不使用开源组件的话,他们就得自己编写。据报道,开源组件的使用在不断增长,Gartner 预计,在我们知道并喜爱的大多数产品中开源代码占据了 80%。
然而,尽管有这些漏洞,但是开源组件的安全性仍然被太多公司忽视,他们没有意识到这种威胁的规模,甚至没有意识到他们真正使用的开源组件的数量。
缺乏关注的主要原因之一似乎是,这些组织无视开源漏洞是什么、它们是如何被发现的以及他们应该怎样保护自己和客户。
回到最基本的问题:什么是开源漏洞
开源中的漏洞和专有产品中的漏洞类似。这些代码要么是编写出错导致黑客可以加以利用的,要么是允许黑客以开发人员不希望的方式执行有害的操作。
在某些情况下,可以利用开源漏洞发起拒绝服务攻击(denial of service,简称 DoS)并使服务下线,而其他更严重的漏洞则可能允许黑客进行远程访问,让他们拥有进入系统的“钥匙”。
然而,开源代码和专有代码之间的相似之处仅此而已。内部代码是由一组开发人员遵循其组织集中指导编写出来的,而开源代码高度分散于编写、修复和维护项目的社区成员中。
集中控制系统和分布式系统常常被称为大教堂(Cathedral)和集市(Bazaar)。开源代码没有一个独立组织的中心设计来规划其逻辑,并且缺乏标准化的系统来解决新特性的添加和修复事宜,它们遵循的是一个不同的、通常更松散的规则集,使得它们更加难以管理。
对于组织来说,涉足这个混乱的领域是很复杂的且难以掌控的,但是对于黑客们来说,开源代码缺乏集中控制则是个福音。很多时候,开发人员会从像 GitHub 等网站上的众多存储库中获取源代码,而不会去检查组件是否存在任何已知漏洞。更糟糕的是,很少有人会在其代码库或产品中跟踪开源代码的解决方案。
因此,就像我们在 Equifax 的案例中看到的那样,他们并不知道他们正在依赖易受攻击的代码,而且根本不知道这些漏洞的存在,因此也无法为其打补丁。跟很多开发代码的组织一样,Equifax 可能一直在用某个工具测试他们应用程序中的代码,但是,很明显,他们没有一个为分析开源组件而构建的工具。
开源代码的漏洞是怎么找到的?谁在寻找这些漏洞?
静态应用程序安全测试(Static Application Security Testing,简称 SAST)或动态应用程序安全测试(Dynamic Application Security Testing,简称 DAST)这样的安全工具知道如何与专有代码良好协作。它们采用组织内编写代码的逻辑,使用一组像白名单(Whitelist)这样的规则来查找代码中可能被攻击者入侵的潜在缺陷。
然而,由于开源组件是按照不同的方式搭建的,因此这些工具对于查找漏洞来说用处不大。相反,我们要依靠大量的研究人员和社区成员,他们会花费时间在整个代码中查找漏洞。他们沉浸于代码之中,对代码进行细致检查、尝试各种可能会使程序出错的理论、编写攻击代码,目的就是让应用程序失去保护自己的能力。
尽管他们确实会利用一些自动化工具去找出代码中那些容易找到的漏洞,但是,这个测试过程是一项漫长而艰巨的任务。据估计,研究人员可能平均要花 3 个月的时间才能找到一个漏洞。
从本质上讲,开源软件是个活生生的、有生命力的实体,由一群开发人员维护,他们贡献自己的时间以构建更好的项目。为了使项目更加健壮,很多社区成员自己花时间来寻找漏洞,当他们发现可能被对社会不满者、罪犯甚至在有些情况下是国家行为者利用的代码时,会提醒项目管理人员。很多这样的研究人员出于对开源代码的热爱和尊敬,为了帮助代码更安全做出了自己的贡献。
然后,那些赏金猎人(用了最好听的方式来称呼他们)为了那些冷冰冰的现金奖励而寻找漏洞。最近几年,一个迷你行业正在兴起,帮助黑客们改邪归正,允许他们利用自己邪恶的本领来做好事。很多像微软这样的大型组织已经为白帽黑客设立了漏洞赏金计划,以用于报告漏洞并获得报酬。
HackerOne 和 Bugcrowd 是为各家公司甚至美国政府运营这些漏洞赏金计划的两大巨头。为了避免错失其中的乐趣,在开源社区里也有一些 bug 赏金倡议,它们得到了一些主要参与者的支持。
早在 2014 年,Linux 基金会(Linux Foundation)为了应对 Heartbleed 漏洞而建立核心基础架构联盟(Core Infrastructure Initiative)计划。他们成功地引进了微软、英特尔、谷歌、IBM、亚马逊、VMware 和许多其他的行业领导者,募集了 3 百多万美元赏金。另一个众所周知的开源计划是非营利性 bug 悬赏项目(Internet Bug Bounty,简称 IBB)倡议,获得了脸书、福特基金会(Ford Foundation)以及最重要的 GitHub 的支持,每一家都提供了 10 万美元以支付研究人员。
暴露开源漏洞之后的响应
当研究人员最终在项目中发现漏洞时,会通知相关各方以启动一系列操作。
研究人员首先要做的是,把他们的发现发送给受美国政府支持的非营利 MITRE 公司,该公司是维护通用漏洞披露平台(Common Vulnerabilities and Exposures,简称 CVE)漏洞注册的机构。然后,MITRE 的工作人员将分析漏洞以确认,并提供关于漏洞的信息。这通常包括严重性评级,漏洞如何被利用的细节,最好还要有到修补程序的链接以便于修复该漏洞。在这个阶段,漏洞会得到一个 ID。其中包括被报告的年份和唯一的 ID 号码。比如,用于攻击 Equifax 的 Apache Struts2 漏洞被标识为 CVE-2017-5638。
MITRE 维护的 CVE 系统的组织化程度还远远不够,因此,漏洞信息会在国家漏洞数据库(NATional Vulnerability>
卡巴斯基检测到的威胁或漏洞怎么清理
安装杀毒软件特别是新版本的杀毒软件一定是要在安装好杀毒软件后再安装游戏播放器等程序,也有可能是你的电脑装的是vista系统,其实吧vista系统虽然好看但是漏洞却是层出不穷,包括软硬件的兼容方面,还是暴露出很多的问题的。 出现有威胁的漏洞你应该打开电脑自带的自动更新程序,在开始菜单打开控制面板----安全中心---自动更新---启用,电脑会自动检测出来,你也可以利用360安全卫士或者你下载一个金山清理专家,这两个程序里面都有扫描漏洞的功能,扫描出漏洞后点下载并修复它们就会自动为你下载安装漏洞,如果没有检测出来那可就要小心了,说不定你需要重新安装卡巴斯基列出来的所有的软件,当然一般不会,因为卡巴斯基也有检测漏洞的功能,但是遗憾的是没有漏洞修补的功能。
XP的系统漏洞怎么修复
1.你可以设置自动更新,如果有系统漏洞它会自动下载并提示你安装的,而且是正版下载的;2.安装个360安全卫士,不仅可以快速检查系统漏洞,下载更新并自动安装,而且可以查杀恶意软件等,很好用!
如何扫描对方系统漏洞?
现在,扫描的方法很多,可以使用Ping、网路邻居、SuperScan、NMAP、NC等命令和工具进行远程计算机的扫描,其中SuperScan的扫描速度非常快,而NMAP的扫描非常的专业,不但误报很少,而且还可以扫描到很多的信息,包括系统漏洞、共享密码、开启服务等等。 我们要针对这些扫描进行防范,首先我们要禁止ICMP的回应,当对方进行扫描的时候,由于无法得到ICMP的回应,扫描器会把存在的计算机误认为主机不存在,从而达到保护自己的目的。 现在很多的防火墙都有禁止ICMP的设置,而Windows XP SP2自带的防火墙也包括该功能。 另外,通过其他专业的防火墙软件不但可以拦截来自局域网的各种扫描入侵,从软件的日志中,我们还可以查看到数据包的来源和入侵方式等。 这里以天网防火墙为例,为大家进行讲解。 运行天网防火墙,点击操作界面中的“IP规则管理”命令,弹出“自定义IP规则”窗口。 去掉“允许局域网的机器用ping命令探测”选项,最后点击“保存规则”按钮进行保存即可。
发表评论