天藉着烽火臺系列寫一篇關於網頁防篡改的文章,因爲小編平日裏與客戶交流發現,目前網頁的篡改問題仍然是客戶最爲頭疼的網絡安全問題之一。而提到“防篡改”,大多數人第一時間想到的是“防篡改系統”。而小編要說的是:
“防篡改系統”≠“防篡改”
防篡改系統的前世今生
防篡改系統發展至今共經歷了四代技術(每代技術各家叫法不同,但原理基本相同),而這四代技術在不同的年代都解決了一定的問題,但同時也因爲暴露的缺陷而不斷更迭。
第一代技術:時間輪詢技術
這是早期使用的技術,顧名思義,其是採用定時循環掃描,且每次掃描均從頭到尾進行。
該機制有兩大問題:
1、現在的網站少則幾千個文件,大則幾萬,幾十萬個文件,輪詢機制不僅需要耗費大量的時間,還會大大影響服務器性能。
2、因爲存在掃描的間隙,所以會存在 “盲區”,這段時間內外部的訪問均是被篡改的頁面,“盲區”的時長由網站文件數量、磁盤性能、CPU性能等衆多客觀因素來決定。
第二代技術:事件觸發技術
該技術以穩定、可靠、佔用資源極少著稱,其原理是利用操作系統的文件系統或驅動程序接口,在網頁文件的被修改時進行合法性檢查,對於非法操作進行報警和恢復。
可以看出,該技術是典型的“後發制人”,即非法篡改已經發生後纔可進行恢復,其存在兩大問題:
1、如果採取“連續篡改”的攻擊方式,由於是篡改後程序才進行檢查和恢復,則同樣會存在一個系統延遲的時間間隔,而連續篡改往往利用自動化腳本每秒上千次篡改,這會導致大衆訪問的一直是篡改後網站。
2、目錄監控的安全性受制於防篡改監控進程的安全性,如果監控進程被強行終止,則防篡改功能就立刻消失,網站目錄就又面臨被篡改的危險。
第三代技術:核心內嵌技術
核心內嵌技術即數字水印技術,最初先將網頁內容採取非對稱加密存放,在外來訪問請求時將經過加密驗證過的,進行解密對外發布,若未經過驗證,則拒絕對外發布,調用備份網站文件進行驗證解密後對外發布。
這樣即使黑客成功對內容進行了修改,也不能對外發布。表面看上去,這種技術非常完善,但沒有100%的安全,此類方式同樣存在問題:
1、市面上“數字水印”的密碼學算法,無一例外地使用 MD5散列算法,該散列算法在2004年被我國密碼學家山東大學的王小云教授攻破,使得僞造出具有相同數字水印而內容截然不同的文件立刻成爲了現實。目前,包括MD5在內多種密碼學算法在網絡中基本成爲“公開的祕密”。當“數字水印”技術使用一個已被攻破的脆弱算法時,其安全性也就轟然倒塌了。
2、“數字水印”技術在計算大於100KB大小的文件“指紋”時,其速度將隨着文件的增大而逐步下降到讓人無法忍受的地步,因此大多數產品都會默認設置一個超過xxx KB的文件不進行數字水印檢查規則。關於這項安全隱患,讀者可以隨便找個10MB以上的文件放入網站目錄中,然後再訪問該文件,如果發現文件可以訪問或者下載,即可證明當前使用的防篡改產品存在該安全隱患。
3、數字水印屬於模塊化功能,需插入web服務軟件中,這種缺陷導致一旦計算水印散列模塊被卸載,防篡改能力隨即消失。
第四代技術:文件過濾驅動技術
文件過濾驅動技術是目前主流防篡改廠商所採用的技術,通常與事件觸發技術配合使用。其原理是採用操作系統底層文件過濾驅動技術,攔截與分析IRP流,對所有受保護的網站目錄的寫操作都立即截斷,且整個文件複製過程爲毫秒級,使得公衆無法看到被篡改頁面,其運行性能和檢測實時性都達到很高的水準。
這種方式的確大大增大了黑客篡改的難度,但仍然做不到100%安全,隨手在互聯網上搜索,就會發現其仍然有很多缺陷:
1、基於實際應用中各種複雜環境與因素的考慮,操作系統的設計者在系統內核底層設計了多種可以讀寫文件的方式,相關數據流不單單是走文件過濾驅動這一條線。網絡上大家常用的各種“文件粉碎機”強制刪除頑固文件就是基於相關原理的。(繞過代碼網上即可找到,在這裏不做展示了)
2、文件路徑表示除了正常的方式之外,還可以用DOS8.3文件路徑表示法,當文件名的長度超過8個字符時,就可以用DOS8.3路徑表示。
我相信未來還會不斷有新的防篡改技術誕生,但大家應該能夠發現,一味的從防禦角度出發解決網頁篡改問題猶如“管中窺豹”,黑客永運可以通過嘗試,發現技術缺陷,而防禦技術的更新永遠落後於攻擊。
防篡改“魔力三角”
中醫有句俗話是“治病先看病”,在網絡安全中同樣適用。網頁發生篡改就像感冒發燒,症狀是發燒,但根本問題卻是身體內部出現了問題。而篡改則是網站存在風險。而發現風險則是從根本上解決網頁篡改問題的第一步。
而漏洞則是最爲常見的風險。很多客戶都說部署了漏掃產品,但漏洞掃描類似於醫生的“望、聞、問、切”,醫生會觀察身體的各類反應,從而進行準確的診斷。漏洞掃描也要覆蓋網站或業務系統的各個部分,其中要包括系統漏洞、Web漏洞、中間件及數據庫漏洞,這樣才能不存在短板。
第二個風險是弱口令,誰也不想黑客通過口令簡簡單單的控制了網站甚至是服務器,那麼再多的防護設備也無計可施。
發現了病症所在,就要“對症下藥”進行風險控制。做完風險控制後纔是防禦。防禦也應該分爲兩個部分,以Kill Chain模型來看,防篡改僅僅是針對攻擊最後一步的防禦,而完成一次攻擊還需要很多環節,在這些環節之中,同樣需要檢測及防禦設備,這也就是國內普遍應用的縱深防禦理念。
任何事物都有兩面性,同樣也沒有絕對的安全。
無論是風險控制還是縱深防禦,其本質都是在增加黑客的攻擊成本。但安全還有一種思路,叫做態勢感知。即使黑客通過各種手段突破了層層防護,我們還可以做的是第一時間發現攻擊,比如有組織黑客常用的Webshell,即俗稱的網站後門。黑客組織往往前期在網站中植入了Webshell,然後伺機而動。對於解決防篡改,Webshell的檢測尤爲重要。再進一步,如果繞過了防篡改系統,發生了篡改,仍然要有外部的發現機制,從而第一時間進行手工恢復,甚至是自動關閉,事後再進行溯源,防止再次發生。
從上可以總結出新型的安全方法論應該是:以風險控制爲先,多角度檢查風險情況,降低系統遭受攻擊的可能性。然後基於Kill Chain模型,在攻擊過程中採用縱深防禦理念進行安全防護。最後,要具備態勢感知能力,在攻擊發生後第一時間響應並處置。
盛邦安全基於對Web領域多年的積累,以及新型安全方法論,提出了防篡改“魔力三角”方案。
通過烽火臺-網站監控預警系統(RAYSaaS)對網站進行事前的風險檢測,發現網站的系統漏洞、Web漏洞、中間件及數據庫漏洞,同時可檢測網站所存在弱口令問題;7*24小時的實時監測,能夠及時發現Webshell,並確保發生篡改攻擊後能夠第一時間發現並告警。
通過銳御-Web應用防火牆(RAYWAF)對網站進行安全防護,阻斷黑客對目標的探測、工具的傳輸、漏洞的利用、控制等攻擊過程。同時集成了威脅情報能力,大幅提升對於高級攻擊的檢測發現能力。
通過銳鎖-網頁防篡改系統(RAYLOCK)的文件過濾驅動技術+事件觸發技術,來加強對於篡改攻擊的阻斷及事後恢復。
網絡安全永遠是人與人的較量,盛邦安全願與各位在安全的道路上共同前行。
