目前還有哪些懸而未解或是非常棘手的互聯網安全難題?
請剖析一下為什麼這些問題這麼難解決,目前比較好的解決方案是什麼,這些方案有什麼不完善的地方。
我開個頭:
1. DDOS
2. 釣魚欺詐網站
。。。。。。
我一直覺得是那些和人性掛鉤的點,很難很難解決,比如:
1. 你提到的釣魚欺詐識別,由於安全聯盟業務需求,我和管家團隊,百度團隊等相關研發人員交流,技術層面識別這些就很麻煩,也許某些細類可以很好識別採用一些演算法,但是還是有很大一片難以解決,這個時候只能引入人力來對抗了(比如安全聯盟搞了個民間鑒定團),釣魚欺詐是某類人的智慧在裡面,高級點的就更難識別,甚至人力也非常難,比如XSS的高級釣魚攻擊,很多安全人士都會中招;
2. 還有所謂的凈化互聯網,打擊色情網站,這個更是難上加難,雖然感覺有成效,實際上色情行業的發達程度還是非常高;
3. 輿情,想遏制想監管也都是大麻煩,畢竟這是人性PK了,上升到這個層面的就沒辦法了,只能平衡,而無法解決;
4. 用戶隱私,又是一個麻煩的,為了業務速度而忽視安全架構的太多了,懶,僥倖心態,人性暴露無遺;
5. 太多了,舉例不完,總結就是:有人性缺點在裡面的,都非常麻煩;
我上面說的安全包括了網路安全與信息安全…
我們要做的就是保持平衡。:)收到大風邀請很久了,這個問題提得很狠,所以其實不好回答。
範圍: 互聯網安全領域
限定條件: 懸而未解、棘手
首先懸而未解,如果特指技術領域,我覺得在科學前沿應該有一些吧,但自己不是這塊料,就不說了。
而棘手,我是這麼理解的: 當防禦成本極高、而攻擊成本相對較低,但造成的影響較大 時,這些問題就會給人棘手的感覺。
舉個例子,為什麼大風會在提問的時候說到DDOS。
因為在幾年前,攻擊者可以輕易的搜集到大量的傀儡肉雞,製造幾個G的流量甚至幾十個G的流量太輕鬆了,而企業和IDC簽約的成本,每M的流量費用都要省著花,平時都是按照業務的峰值適當冗餘的,一般每個IP也就100M、1G,了不起了。
能租的起獨家10G以上的互聯網企業有多少,我不知道(騰訊、阿里、優酷之類的肯定行,但是其它公司呢?大家捫心自問對比一下)
於是,攻擊者輕鬆輸入個指令,幾十G的流量過來,而防禦呢?
企業需要聯繫IDC機房,IDC聯繫ISP,ISP在更高資源的層面(比如骨幹網路)做ACL,或者清洗,這一個協調的成本極高。
於是,大家都會知道DDOS處理起來很難,很棘手,如果老闆異想天開的說要抓攻擊者,是不是更棘手了? (可能有些牛逼轟轟的人會搬出很早很早以前邪惡八進位論壇上的一篇文章,說如何如何查路由上一跳,偽造源IP但根據TTL啥的也能逐漸定位,是否切實有效先不說,我們就談談這得需要什麼樣的成本吧。)
而DDOS造成的後果大家又都很清楚,業務直接中斷,對有些公司來說,主營互聯網業務就是印鈔機啊,印鈔機不轉了,這損失又無法在法律意義上做為直接損失。
所以,DDOS是一個棘手的事,那是否就無解呢?
其實也不是,阿里做的一件事,其實我覺得是目前看到的最佳方案 : 阿里有錢,能攢足夠的帶寬,然後你們中小網站都放我這裡來吧,我整它幾百個G的帶寬放著,攻擊者要完全打垮我們的成本就提升了。現在可以每天微博晒晒又有個人打了60多個G的DNS,沒事了。。
至於追查攻擊者這事,咱先不談了吧。
OK,基於上述思路,
我認為,其實對於無力承擔防護成本的一切互聯網企業,它們遇到的所有傳統問題,都是棘手的。哪怕簡單如SQL注入、數據備份、病毒防護、內網安全 ,大家已經有成熟技術方案的問題,在這些地方都是棘手的。
如果一定要追溯到特定的技術領域,大風提到的DDOS(原因已陳述)、欺詐(因為攻擊者面向的是用戶本身,有時候甚至不一定經過你的技術服務,比如盜QQ不一定通過QQ聊天信息發送給你)、文檔安全(就是很多做防水牆之類解決方案的,其實也是個偽命題)、監控與隱私(又希望控制,又不希望被知道,這本身就是個矛盾體)、 文件安全(網頁、或者從網頁下載的文件,是,AV可以掃描下,掃描就靠譜么?)、後門檢測(想想yuange他們要討論如何長期隱蔽潛伏的話題就覺得心寒,其實有APT的味道?) ……
現在腦子裡這些知識沒體系化,
但是我相信,如果有同學按照「防護成本高、攻擊成本低、影響大」這個規則來羅列,一定比我列舉得全面得多,分類也會趨於合理。
所有利用人性弱點的都是無解的,譬如釣魚,譬如社工,譬如社工庫等等。
但我覺得題主應該問的不是這個問題點。你如果是想看看趁著年輕你能搞定什麼的話。
就去搞漏洞的自挖掘吧,這是個很有趣可以探險的領域。首先感謝這麼多知友熱心地提出了不少難題。我嘗試對這些問題的解決方案作一回答,並對其效果按照是否懸而未決做個分類,以期提供後來者批評指正並給出更好答案的思路。
&1、殭屍網路
難題成因:
第一是由於種馬太簡單,肉雞太多,第二是由於我國在這方面的法律尚不完善,其危害性難以評估,端掉也難以定罪,降低了違法的機會成本,降低公安的執行積極性,所以不管用它來做DDOS還是其他,大家只能是自掃門前雪,傷不了根基。
解決方法:
假設有組織使用一個殭屍網路攻擊某大型企業造成網路中斷50分鐘估值帶來30萬元人民幣的直接損失,那麼企業和公安或許就會有動力去把這個殭屍網路端掉了。從技術上來講要溯源不是不能,跳板也好,偽造IP也好,畢竟運營商是國家控制的,歸根結底是投入的問題。
不足之處:
真的不是幾個企業或一個安全協會或一地公安能解決的。抓人也要看對方反偵察水平。
2、移動Application安全或移動釣魚
難題成因:
其實任何一個互聯網安全問題放到移動領域來都可能會成為一個大問題。移動互聯網是當今發展的大趨勢,即使是較傳統保守的金融領域也需要涉足移動領域來拓寬業務、保持鮮活。這就帶來移動業務的迅猛發展。但是互聯網安全都沒跟上,更毋須論移動安全意識了。移動業務的普及程度之高,移動開發、移動用戶安全意識之低,這本身已經是懸若霄壤。君不見網上銀行一向非常可信賴,超級網銀剛推出就出事。
移動互聯網比互聯網天生擁有至簡的特點,至高無上的用戶體驗更易於虛假信息的隱蔽,對用戶甄別信息源帶來了極大困難。簡訊釣魚、互聯網釣魚、郵箱釣魚,若用戶具備安全意識想查源地址,反而十分麻煩。
至簡的用戶體驗+至差的安全意識,二維碼植後門就是一個耳熟能詳的例子。
可怕的是,這還不算完。也許除了iphone和小米,所有機器都是刷機才可能用得爽,我沒有ios越獄和android獲取root許可權的用戶數據,但是我憑個人經驗認為,想root的普通用戶太多了,而幫別人root的中等用戶以彰顯自身技術實力為主,增進交流為輔,是不會提醒普通用戶安全風險的。不懂還刷機,我不知道,移動終端,有沒有肉雞的概念?
解決辦法:
也許只有鮮血的教訓才能帶來變革(誤)。
對了,即使作用微乎其微,我還是要提一句,一定不要在本地APP上存敏感數據,必須落到伺服器。移動APP要反彙編比逆向個程序要容易太多了,那些發布在有root許可權的android上的APP尤為如此。
不足之處:
植根於成因里的不足蔓延得都要溢出來了啊。
3、用戶隱私
難題成因:
第一,用戶隱私到底值多少錢,誰也說不好。泄露了,又如何?企業在乎「可能會對企業聲譽產生負面影響」的比例或許跟上市比例差不多。360就相信,抓住低端用戶,就是抓住95%的市場,你那10%的人批評我,我向我的低端用戶闢謠就夠了,你自己看5%的人邊批評我還邊得用我呢,官司輸贏都是我提升知名度爭奪市場的手段,又不會讓我下架。第二,自我保護意識淡薄。13億中國人,有沒有0.1‰知道,在交出自己的身份證複印件時,應當在複印件上寫明用途如「本身份證複印件僅用於辦理中國銀行信用卡/2013年8月31日」?5億網民,自己都不關心自己的隱私,覺得「我沒什麼好監聽」的人大把大把,不知道稜鏡事件曝光後,有多少人感覺「聽到了件新鮮事」?
解決辦法:
工信部已發布了《信息安全技術公共及商用服務信息系統個人信息保護指南》,明確了目的明確、最少夠用、公開告知、個人同意、質量保證、安全保障、誠信履行、責任明確八項原則。並於今年起開始實施。這八項原則非常靠譜,一旦有了法律條文作為依據,以後就該走向光明了。
不足之處:
這則《指南》還只是「意見徵求稿」,誰說它是法律條文被強制力保障了。。。。。而且,發布出來無法實施無法監管的條文多了去了,我也不知道這則《指南》是會走向康庄大道還是石沉大海。
-----------------------------------------------------------------------------------------------------------------------------------!&>
&4、DOS
解決辦法:
a.運營商流量清洗;
b.採購反DOS/DDOS的交換機設備;
c.部署監控,及時發現異常流量;
d.提高伺服器性能,提高帶寬,做好集群負載和冗餘,比誰先掛。合法DDOS的沒什麼好說的,換個角度講,你伺服器只能承載1000TPS,10台集群就敢發布吸引十萬用戶的促銷,還搞個準點開搶,那不是找死就是耍流氓。
不足之處:
DOS好搞,DDOS真不好搞。
5、網站釣魚、DNS劫持
解決辦法:
a.依賴於網安和運營商,可以做到釣魚網站發布出來的24小時之內關閉,DNS劫持發生的24小時內處理。
不足之處:
a.如果註冊國外運營商,事情就要麻煩很多,可以關閉網站,但是很難抓人,也就無法根絕。
b.DNS劫持發生在四級城市時處理效率就低很多。如果DNS劫持發生在個人無線熱點,那就一點兒辦法也沒有(我發布個AP,讓人連無線上網,然後搞個本地web伺服器,在AP上做幾個DNS劫持,查都查不到)
c.網安不是免費提供這個服務的。
6、企業不重視框架/開發安全、系統安全、操作安全,企業任由漏洞存在,不修補漏洞,不進行升級
解決辦法:
制定安全策略、標準、基線、指導,構建安全體系,
不使用開源框架,使用自己編寫/封裝的框架,
對代碼進行安全評審和代碼漏洞掃描(需求夾帶都能揪出來,何況後門),
對主機的安全配置和漏洞進行檢查,許可權、密碼等要符合安全基線,實施補丁評估,定期更新必要部分的補丁,
對互聯網出口進行集中管控,防火牆符合最小夠用,部署DMZ,部署入侵檢測。
等等。
不足之處:
影響生產效率。
7、企業機密外泄
解決方法:DLP、上網行為管理等。
不足之處:影響員工體驗。
----------------在這裡有必要說明一下風險控制的價值。4567都是問題,但不是無解的問題,解決思路我一筆帶過了。那企業為什麼不解決這些問題任由存在?因為企業的目的就是賺錢,解決問題都需要成本,如果投入的成本高於解決問題帶來的效益,那麼企業不應該做這項控制。只有當一個企業渡過了爭奪市場的生存初期,希望可持續發展,注重企業聲譽時,才會考慮做風險控制,而且風控評估結果是效益大於成本投入(或因監管部門要求必須實施),那麼企業才會去解決這些問題。或者是你做安全廠商的,做了安全加固產品才能賣得好。除此以外,企業還活不下來呢就想著給用戶提供安全保護,即使我是做安全的也不指望這麼好的事---------------------------------------------------!&>
&8、色情暴力
色情暴力本身不危害互聯網完整性、可用性、保密性。而是色情暴力往往伴隨著惡意代碼,所以有較大可能不安全。舉個不正確的例子,1024就安全得很啊。
9、大數據下的用戶隱私
在大數據下面,每個用戶的行為都被收集,但是,大數據是不關心某一個用戶的行為的,它收集大數據,是為了分析趨勢,做預測,我認為大數據不涉及用戶隱私問題。這裡要提醒的是,請不要給簡單的數據挖掘也冠以大數據的名目。
----------------------------------------------------------------------------------------------------------------------------------!&>
大數據時代的社會工程學,手握13億數據真的很無解.
從單一的安全隱患來說其實沒什麼難題而言,我覺得以現在的狀況整合安全還存在一些問題,代碼編寫規範,網路安全,系統安全,運維安全意識素質。如何做到產品本身安全而且所處環境安全並且把這整合管理監控在這中間可能會總結出你想要的
DNS 協議缺陷
數據泄露
關於釣魚欺詐網站
我的一點想法是:關鍵字匹配白名單驗證(利用自然語言處理 匹配白名單)
至於DDOS, 無解...
至少7層協議DOS 無解
技術層面的問題大家說的差不多了,個人認為在互聯網公司中(也包括其他吧,就不一一列舉了),安全規則與開發行為的耦合(或者內聚吧,不知道怎麼表達更嚴謹)沒有上升到應有的高度。由於業務需求,很多產品匆忙上線,沒有時間嚴格遵循安全開發的流程進行,當然這是冠冕堂皇的說法,實際上大部分開發人員根本不知道他們所犯下的錯誤將會帶來什麼後果。在我從事乙方工作的兩年中,所接觸到的開發工程師裡面,能聽明白「跨站腳本攻擊」這個短語的開發工程師,不超過5個人。所以技術層面上的問題總有一天會解決,能讓意識深入人心,我卻看不到還有多少路需要走。
釣魚欺詐看上去服務端從釣魚頁面關鍵詞、頁面模版,域名以及IP等入手尋找特性;加上客戶端的URL收集之類的
下面是我的一些看法
* 應用場景分析
對於釣魚類我覺得應該進行應用場景的分析,分析正常的場景下會出現那些情況然後只進行這種操作
* 加強域名合作商的合作對於新出現的釣魚域名及時監控,並且可以嘗試提供域名禁用之類的合作。
有必要和各個域名合作商合作以便獲取到最新的域名信息然後進行後台監控域名下生成的url的安全性
推薦閱讀:
※Web 攻擊在整個網路攻擊體系中的地位和作用是怎樣的?
※現在的 SSL 加密技術,預計多少年以後會被輕易破解?
※如何看待小米論壇被拖庫?
※家用路由器會遭受攻擊嗎?
※為什麼密碼的驗證方式一直沒有得到突破?