漏洞戰爭：軟件漏洞發展趨勢

時間 2019-11-11

標籤漏洞戰爭軟件發展趨勢简体版

原文原文鏈接

◆ ◆ ◆引言git

近幾年，在電腦上的軟件漏洞分析與利用技術已經發展得至關成熟，不少技術也被黑產所利用，但也正由於如此，它極大地推動軟件漏洞領域的發展，好比微軟在IE上新增了許多安全機制（延遲釋放、隔離堆、控制流防禦等），大大地提高了IE瀏覽器的安全性。外部曝光的各大APT攻擊事件也將持續存在，用的不必定是0day，也多是一些舊漏洞的綜合利用，加上社工及其餘高級滲透技術進行長期潛伏以收集目標信息。github

筆者我的認爲APT並非一項新技術或新概念，它只是對過去一些長期潛伏滲透的綜合行爲所做的概念總結。也就是說，在APT一詞出現前，這類APT攻擊行爲就一直存在，只是恰好有人取此名詞，後來被炒火了。特別是國外著名安全廠商FireEye的出現，更大程度地推進了APT概念的發展，由於FireEye每次都能及時地爆光外部正在利用的0day，以及各類APT攻擊事件，甚至是各國之間的間諜行動。也正由於如此，後面很長一段時間，流行給各類漏洞或APT攻擊事件取個特殊的名稱，好比「心臟出血」、「紅色十月行動」、「雪人行動」……（在站點https://github.com/ kbandla/APTnotes能夠看到從2006年至今的各種APT攻擊事件資料）。web

固然，在此期間也有很多廠商爲炒做漏洞，將危害通常或者低危的漏洞炒做成很嚴重的漏洞，以混淆視聽，筆者就曾屢次在安全應急事件中遇到此類狀況。瀏覽器

下面，咱們將看到將來的軟件漏洞可能面臨哪些新挑戰。安全

筆者認爲將來的軟件漏洞領域主要存在如下新挑戰，本文將一一介紹。服務器

● 移動終端漏洞網絡

● 雲計算平臺漏洞架構

● 物聯網漏洞工具

移動終端漏洞發展趨勢開發工具

移動互聯網時代早已到來，以智能手機爲主的移動終端也逐漸被黑客所關注，針對移動終端的漏洞和病毒正在呈倍增加，發展迅猛。面對日趨增加的安全威脅，最受影響的主要移動終端系統是Android與iOS，這也是當前用戶量最多的兩大移動操做系統。移動終端系統的風險除自己系統的安全性外，安裝在系統上的其餘應用也是引起風險的關鍵點。

根據CVE漏洞庫（http://web.nvd.nist.gov/view/...）中Android與iOS系統漏洞數量的狀況，繪製出Android系統漏洞和iOS系統漏洞的統計圖，分別以下圖所示，這裏不包括第三方應用的漏洞統計。從統計圖看，Android系統漏洞呈「山」字形發展，在2012年達到頂峯，這3年有降低趨勢，一方面跟Android系統所加入的一些新安全機制有關，另外一方面跟它的開放性有關，這爲許多安全研究者提供了更多的利用資源，雖然如此，但Android系統所帶來的安全風險將持續存在。實際上，Android系統漏洞應該不止這些，由於Linux內核漏洞也會影響到Android，部分漏洞可能未在統計數據範圍內。再回頭看下iOS系統漏洞狀況，其漏洞數量基本保持持續上升的趨勢，2015年已經達到歷史最高。因爲iOS的封閉性，致使iOS安全研究者相對較少，這幾年關於它的安全書籍和文章逐漸增長，使得更多安全人員加入iOS安全研究的行列，其被挖掘出來的漏洞也跟着有上升的趨勢。

CVE漏洞庫中關於Android系統漏洞的統計圖（注：Linux內核漏洞未在統計範圍內，但它也會影響Android系統的安全性，所以實際的Android漏洞數量會更多）

CVE漏洞庫中關於iOS系統漏洞的統計圖

對於Android平臺，特別是容易影響第三方應用的通用型漏洞，更容易被黑產所關注和利用，好比WebView漏洞、圖片解析庫等，將來也會有更多的病毒使用系統漏洞以擴大其危害和傳播量。因爲手機便攜，不少我的隱私信息會直接保存在上面，並且隨着移動支付的興起，經過攻陷手機每每能夠拿到不少有價值的信息，好比我的隱私、金融交易密碼等，而後再拿來變售我的資料，對竊取的金融帳號進行洗錢。另外，一些安全廠商可能也會購買Root提權漏洞，以應用到他們自主開發的Android Root工具中，幫助用戶擴展手機使用權限，以使用不少本來沒法使用的軟件。

對於iOS平臺，越獄一直是個熱門的話題，在越獄中使用的漏洞也是很是有價值的，一個越獄漏洞可能賣到50多萬美圓。一方面是因爲iOS安全的門檻相對Android要高不少，並且研究人員也比Android少；另外一方面，因爲越獄後所能帶來的額外利益很是大，找贊助商打廣告也是垂手可得的事，可謂名利雙收。所以，一個越獄漏洞是徹底值那個價位的，未來隨着越獄難度的增長，黑市的價格也確定會跟着上升，但實際上要實現完美越獄都須要多個漏洞組合。

因爲智能手機平臺上的應用常常也會嵌入WebView組件以支持網頁瀏覽，因此手機應用也會涉及Web攻防，這就要求移動終端漏洞分析人員的知識面更全面，最好具有二進制與Web攻防的能力，才能更全面地分析和評估移動終端應用。

雲計算平臺漏洞發展趨勢

雲計算平臺能夠爲用戶提供「雲」上的服務，這裏的「雲」能夠理解爲網絡或互聯網，用戶能夠在雲上運行本身的程序，同時享受雲所提供的服務和資源，沒必要使用本身的電腦來運行開發的程序，節約軟硬件成本。國內的雲平臺主要有阿里雲、騰訊雲、新浪SAE、百度雲、盛大雲等，國外的有Google GAE、亞馬遜AWS、微軟Azure等。

根據服務對象的不一樣，能夠簡單地將雲計算平臺分爲私有云、公有云和混合雲，公有云是爲外部用戶提供雲服務的平臺，私有云通常是企業內部專用的雲平臺，而混合雲包含公有云和私有云。從雲計算平臺構建結構來分，能夠分爲以下圖所示的結構（源自：百度百科）。

雲計算平臺架構

● SaaS（軟件即服務）：爲消費者提供應用軟件。

● PaaS（平臺即服務）：爲消費者提供系統平臺，好比Windows、Linux等操做系統，以及相應的管理支撐軟件、開發工具、安全系統等。

● IaaS（基礎設施即服務）：爲消費者提供服務器、存儲設備、網絡通訊設備，以及其餘IT基礎設施資源。若是黑客要攻擊雲平臺，那麼其最終的目的通常都是爲了拿到底層數據中內心的存儲數據，所以雲安全的本質其實就是數據安全。根據前面的架構分層，能夠呈現出不一樣的漏洞攻擊特徵。

● SaaS層：傳統的Web漏洞、軟件漏洞均可能會出現，而此層的漏洞風險更大，也是外部最容易觸及到的，從目前多數雲平臺的入侵狀況看，Web漏洞致使的直接危害會更多。

● PaaS層：Web服務器漏洞，主機安全問題，好比系統提權漏洞。

● IaaS層：網絡攻擊、虛擬機漏洞、數據存儲缺陷等。綜合來看，筆者認爲當前及將來的主要雲安全問題會集中在虛擬機漏洞、Web漏洞、數據安全等方向上，主要有如下緣由。

（1）雲平臺上通常是多個用戶共用一臺服務器，若是利用虛擬機漏洞逃逸出去，進而控制主系統，那麼攻擊者就可能竊取他人的數據並執行其餘惡意的越權操做。

（2）Web漏洞相對其餘類型的漏洞門檻會低一些，也是外部最容易接觸到的層面，此處若發生安全問題可能直接致使服務器被入侵，危害嚴重。

（3）數據加密每每是最後一道防線，即便服務器被入侵，若採用較爲堅固的數據加密方案，能夠大大地提升免受破解的功能，而若對敏感數據未作加密或採用不安全的加密方式，則破解出數據只是時間問題。

正由於這些安全問題，因此如今許多雲平臺自身或者第三方安全廠商會提供一些雲安全產品，好比雲WAF（如騰訊的「門神」）、雲漏洞掃描器（如騰訊雲提供的雲安全漏洞掃描服務）、主機入侵防護系統（如騰訊的「洋蔥」）、數據加密系統（如騰訊的「鐵將軍」）、DDOS防護系統（如騰訊的「宙斯盾」）等。在此也能夠預見將來會有更多的雲安全問題出現，相應的雲安全產品也是逐漸增多。

物聯網漏洞發展趨勢

物聯網（Internet of things，簡稱IoT），通俗來說，就是將物體接入互聯網所組成的網絡，使得物與物，人與物可以進行交互，以便進行智能化管理，好比窗簾，傳統上它只是個靜態物體，但若是將其接入網絡，人們能夠直接經過移動終端（手機、平板電腦等）進行控制，實現遠程拉窗簾的動做。因此物聯網的誕生，勢必將改變人們將來的生活。如今物聯網纔剛剛起步，不少產品作得可能還不夠實用，也可能有些只是炒做概念而誕生的產品，但物聯網是將來發展的趨勢，相信將來會更好。

因爲物聯網的介入，使得傳統互聯網可以從虛擬世界影響到物理世界，那麼若是物聯網產品存在安全問題，那就有可能直接影響到我的財產安全，甚至人身安全。若是讀者有關注過外部報道的關於心臟起搏器、胰島素泵（注射胰島素的設備，當注入過量時可致使患者昏迷）被黑客入侵的事，相信就很容易理解。再舉個你們常常在電影上看見的場景，好比《竊聽風雲》中的片斷，故事背景以下。

男主角爲了進入警察局的檔案室偷取資料，經過黑客技術黑入警察局的監控系統，將監控視頻替換爲無人狀態，以隱藏潛入者的行蹤，防止被警察發現。

相信在許多黑客題材的電影或電視劇裏，常常會看到相似的場景。可是這畢竟是電影裏的場景，在現實生活中是否真的存在，技術上是否可以實現呢？答案是確定的。

《竊聽風雲》電影片斷：經過篡改監控視頻隱藏行蹤

騰訊安全應急響應中心（TSRC）的monster同窗就曾對百度出品的一款智能攝像頭進行研究，發現其存在嚴重漏洞，利用漏洞可以篡改監控視頻，重現相似《竊聽風雲》裏的電影場景。

TSRC的同窗爲記者演示如何破解智能門鎖

通過一段時間的研究，咱們發現一些當前流行的智能設備都存在安全漏洞，包括智能門鎖、智能插座、智能攝像頭、移動POS機……不少跟用戶財產安全掛鉤較緊的智能設備都廣泛存在安全問題，總結起來可能有如下幾方面緣由。

● 智能設備領域剛剛起步，業界對智能設備安全的經驗積累不足。

● 許多創業公司把主要精力投入到業務量上，而忽略對安全的重視。

● 業界缺少統一技術標準，在通訊協議、安全體系設計等諸多方面都良莠不齊，致使一些隱患的存在。每個智能設備漏洞所能形成的危害，主要依賴於它所支持的功能及應用場景。再列舉幾個此前TSRC的同窗研究發現的智能設備漏洞，好比智能門鎖被破解後，就可能被入室盜竊，直接危害我的財產安全。

TSRC的同窗爲記者演示如何破解智能門鎖

好比某移動POS機存在被劫持盜刷的漏洞，只要用存在漏洞的POS機刷過漏洞，攻擊者可在無用戶密碼、無用戶銀行卡的狀況下，直接竊取用戶銀行卡上的錢。

利用移動POS機漏洞盜刷銀行卡

剛剛興起的車聯網也是被曝光存在許多安全問題，好比在2014年GeekPwn智能硬件破解大賽上，Keen團隊就現場演示破解特斯拉的場景，經過手機實現遠程控制特斯，只需手觸屏幕上汽車的幾個關鍵位置，就能夠實現打開車門、後備箱、讓正向行駛的汽車忽然倒車，甚至熄火失控。

圖 GeekPwn大會上破解特斯拉的現場

在2015年GeekPwn的開場項目中，騰訊安全平臺部的gmxp同窗利用一系列漏洞成功演示劫持一架正在飛行的大疆精靈3代無人機，奪取了這臺無人機的控制權，成功完成無人機的劫持。GeekPwn結束後，組委會當即將漏洞通知給官方，而大疆也很快完成了漏洞的修復。後來，在中央電視臺舉辦的3·15晚會上報道了這次的無人機劫持。

中央電視臺3·15晚會報道的無人機劫持

以上幾個實例只是冰山一角，但它涵蓋了人們平常的住、行、金融消費等活動。隨着智能設備的普及和功能的多向化，人們的衣、食、住、行已經逐漸被覆蓋，好比已經出現的智能內衣（衣）、智能筷子（食）等，甚至一些涉及人體健康的生物醫學智能設備也逐漸出現，特別是像心臟起搏器、胰島素泵等醫療設備，假若出現安全漏洞，可能直接危害生命。

總結

本文主要就將來軟件漏洞發展趨勢進行探討，可能面臨移動終端、雲計算平臺、物聯網等三大新領域的挑戰，並列舉出一些可能存在的風險點，以及一些目前已曝光的安全漏洞。相信將來還會有更大的安全漏洞被曝光，而一些新興領域的安全問題，可能直接危害到用戶的金融支付安全，甚至人身安全，相對傳統安全問題，其致使的危害被擴大化。所以，提供對這些新興領域進行預先性研究是頗有必要的，只有掌握相應的原理、分析方法、潛在攻擊面，在問題爆發後纔可以自如應對，避免被打得措手不及。

相關圖書