央視網站「被黑」的技術性分析

 

央視網站「被黑」的技術性分析

 

Jack zhai

虎年春節剛過，就收到消息，央視網站又「被黑」了，央視網站(www.CCTV.com)號稱「國家網絡電視臺」，是互聯網上的「中央電視臺」，但好象是建成這幾年「幾乎」沒有「消停」過。我在Google上搜索了一下，有關它的消息還真很多。我簡單地總結了一下：2010年2月15日，網站首頁變成一歐洲女人的「走光」照片；2010年1月29日，「星播單」上赫然是幾個×××的導航連接；2008年12月1日，音樂頻道的首頁是一個自稱「小波」的***改成到此一遊的記念…(照片這裏就不貼了，有興趣的人能夠在網上找，固然這也沒有什麼值得有興趣的)

對於央視網站安全管理，咱很差評論，只是就網站的技術性問題，作一些分析，但願能給其餘網站管理者們一個提示(純屬我的觀點，僅供技術探討之用，歡迎批評指正)。

 

網站連續被黑的現象應該不常見，而且每次持續的時間都超過2個多小時，也就是說，從有人發現到恢復的時間是比較長的，從網上發帖子的時間上看，從用戶訪問時發現被黑，到網站迴應，到網站恢復，有不少值得商榷的地方。我分析可能有下面幾方面的緣由：

一、網站應急團隊處理能力不足：

信息時代的傳播速度是每秒上億次，尤爲是在春節期間，2個小時，訪問量有多少，不太好估計，應該不會少吧。咱們知道，網站的網頁被黑，恢復起來應該是比較容易的事情，它不一樣於網站被***癱瘓、蠕蟲氾濫，被黑的網頁很明確，容易修復(即便不恢復原狀，也能夠先摘除不雅圖片)，因此容許有這樣長的響應時間，顯然是應急響應人員的反應速度太慢，或者是應急響應的流程「太複雜」。這如果在航天飛機上，或者高速鐵路上，這樣的響應速度，估計就不須要再響應了。

二、對網站應用運行狀態的監控能力遠不到位：

網站是互聯網的「前沿」，是與各類***較量的「一線」，***不會等咱們有了防禦他的手段纔來「送死」，進攻永遠都是出其不意。所以，網站安全中防禦技術是創建高一些的***門檻，監控能力纔是安全體系的要點。

咱們前面說的應急響應能力有兩個方面很關鍵，一是「強悍」的團隊(不能說央視沒有錢維護高水平的隊伍)，二是有效的工具。對網站動態不能隨時掌握，應急響應就成了「瞎子」。從網站被黑的過程看，央視網站有網絡層面的管理平臺，卻沒有應用級別的監控平臺，也就是說對網頁的動態狀況的瞭解是被動的(用戶體驗後告訴網站)。

也許你會說，央視網站有上萬個網頁，不可能徹底監控；而且動態的網頁佔多數(用戶請求時動態生成，不一樣用戶送出的頁面可能不一樣)，沒有辦法監控…我從技術角度分析一下，這個觀點是站不住腳的：

Ø 央視網站是中央電視臺網上門戶，公衆效應很是強，***對他感興趣是天然的，***它不只能夠提升***自身的聲譽，並且網站公衆訪問量大，也是***傳播的最佳選擇。但咱們知道，公衆影響力的大小與網頁的「深淺」有關，換句話說，首頁與各頻道首頁的安全意義是不一樣的，對這些首頁的監控與全部網頁監控來比，顯然不是一個概念。

Ø 網站新聞的發佈是有嚴格發佈審批系統的，也就是說，對首頁等主要新聞網頁的修改只有這個發佈系統纔有權限，***只有得到了這個發佈系統的權限，才能夠篡改那些頁面，我能夠斷言：他們對發佈系統根本沒有有效監控(如在線管理員ID、註冊終端位置、修改欄目權限…)，審計系統是否完備也很難知曉(有審計起碼能夠過後追查***的***線路)。

Ø 對於互動欄目的監控，如博客、BBS等，用戶能夠上傳信息，但這種發佈系統應該有審覈、過濾的技術手段，不少網站還設有「版主」進行人工審查(審查後纔可被看到)，發現不良信息隨時能夠刪除，刪除時間以秒計算。若說帖子數量多，審查有難度，這種說法也是不通的，由於目前技術主要是依靠自動過濾技術(關鍵詞過濾、信息歸類算法等)，而且大部分「版主」都是「天然」的外部人，數量根本不受限制。

Ø 還有一種說法：央視網站的這幾回被***，***都是先獲取系統權限後，經過「合法」手段進行的網頁篡改，傳統的網頁防篡改技術幾乎成了擺設，應用監控也沒法發現這些「合理」的篡改。其實，目前網站流行的「爬蟲」技術，有兩個用途是你們共知的：一是搜索引擎用來更新信息；二是模擬用戶訪問網頁的用戶體驗(訪問時間、界面流暢性等)；另一個用途常被你們忽視，就是查看網頁是否被掛***，或是否被篡改。對於首頁等重要網頁的基本框架被修改發現是比較容易的，央視春節此次的被黑就是這種狀況，有監控起碼應該不比用戶發現的晚。

三、網站的安全管理者玩忽職守：

咱們說：安全管理者就象捧着一個「花瓶」，時刻緊張着纔對。能在這麼短的時間內「連續」被黑，我估計有下面的因素：

Ø 網站管理者每次恢復，根本沒有分析******的途徑，對***利用的漏洞也沒有「亡羊補牢」，大門還在繼續敞開，一個***走進來，千百個***跟進來…

Ø 網站內可能已經隱藏了多個***，或安裝了系統級的「後門」，工做人員前門補上，他們後邊繼續「打開」…

簡單地說：就是每次在恢復網站的後續工做中，沒有人跟蹤分析******線路，頭痛醫頭，腳痛醫腳，快速給領導提交一份本身沒責任的報告是最重要的…

 

對網站安全的建議：

從對央視網站「被黑」緣由的分析中，也給咱們提出這樣一個問題：網站安全防禦與通常內部網絡安全防禦有多少的不一樣，因爲網站的特殊性，應該注意下面幾個方面：

一、             防禦上關注系統漏洞的防禦和應用漏洞的防禦並重，尤爲是對SQL注入、XSS、***的防禦，Web的漏洞多於系統漏洞是目前不爭的事實，對網關安全產品的選擇是須要與業務自己特性進行綜合考慮的。

二、             創建網站監控平臺是必要的。快速響應的前提是監控到位。網站的公衆效應要求網站的恢復響應時間應該在10分鐘以內(公衆反應時間：這個時間內人經常懷疑是鏈路差錯問題)。監控應該是網絡與應用並重，而網站的管理者更爲關心的是應用的動態信息。

三、             創建「密罐」是必要的。公衆網站是你們關注的焦點，也是新***技術的實驗場，徹底依靠現有的防禦技術顯然是不足的，經過「密罐」技術，與專業安全公司互動，能夠提早發現***的嗅探、掃描與***試探，可爲新***技術發動提早預警。

四、要有強壯的恢復能力。監控是發現，恢復是結果。恢復技術不侷限於被動的從新覆蓋，恢復中遭遇正在「篡改」或還未離開的***，在網站監控反應能力提升到3分鐘之內，就可能成爲現實，「刺刀見紅」的搏擊戰是免不了的，對網站的控制能力體如今監控響應速度與定位技術上。