2月25下午,CSDN(微博)在北京麗亭華苑酒店舉行了TUP第二十期活動(dòng)——互聯(lián)網(wǎng)安全。本次活動(dòng)邀請(qǐng)了眾多安全界專家,安天實(shí)驗(yàn)室反病毒引擎研發(fā)中心經(jīng)理童志明,安恒信息安全服務(wù)部門經(jīng)理劉志樂(lè),C/C++/ASM程序員,xsign成員張亞一和pr0zel windows安全研究員李敏怡。他們將在本次演講中以大量實(shí)例演示,闡明互聯(lián)網(wǎng)安全的安全防御與漏洞補(bǔ)殺、分析用戶身份認(rèn)證等亟需解決的問(wèn)題所在。
安天實(shí)驗(yàn)室反病毒引擎研發(fā)中心經(jīng)理童志明在活動(dòng)中發(fā)表《Web應(yīng)用開(kāi)發(fā)中的安全算法使用策略》主題演講。
童志明演講中表示,在當(dāng)前0day橫行,幾乎沒(méi)有網(wǎng)站和應(yīng)用可以絕對(duì)保證自己數(shù)據(jù)庫(kù)系統(tǒng)的安全的情況下,如何合理的利用現(xiàn)有的安全算法,可以獲得更多安全的保障,是我們需要討論的問(wèn)題。
通過(guò)對(duì)APM實(shí)現(xiàn)的展開(kāi)進(jìn)行深入的討論,讓目前還在明文保存密碼的網(wǎng)站和使用相關(guān)算法策略并不合理(比如那些聯(lián)合使用HASH或者加入單一SALT的情況)的網(wǎng)站,能夠了解如何科學(xué)使用這些數(shù)學(xué)方法,降低安全應(yīng)用的門檻;我們也希望打消那些中小網(wǎng)站試圖自己研究一個(gè)算法的努力。放棄這些已經(jīng)被經(jīng)過(guò)理論和實(shí)踐檢驗(yàn)過(guò)的算法實(shí)現(xiàn),而徒耗心力和人月,是不值得的。
以下是演講實(shí)錄:
在過(guò)去十余年間,我們中國(guó)的外部應(yīng)用開(kāi)發(fā)飛速的發(fā)展,開(kāi)發(fā)者憑借自身的勤奮和沖擊力,奠定了現(xiàn)有的格局。因?yàn)槲覀兛焖俚谋寂苓^(guò)程當(dāng)中,也可能遺落了一些東西,比如說(shuō)安全。
我們站在安全工程師這個(gè)角度來(lái)講,在泄密門事件發(fā)生以后,我們迅速推出了一個(gè)開(kāi)源的項(xiàng)目叫APM。實(shí)際上來(lái)講,我們是利用了現(xiàn)有的流行開(kāi)源包并沒(méi)有開(kāi)發(fā)自己的算法,當(dāng)然完成了對(duì)RSA一個(gè)外圍封裝。通過(guò)這個(gè)的實(shí)現(xiàn),給網(wǎng)站開(kāi)發(fā)者一些應(yīng)用算法相對(duì)合理的一個(gè)范例。當(dāng)然可能大家也希望自己去實(shí)現(xiàn)更精彩的代碼,我們只是希望讓更多的開(kāi)發(fā)者了解安全實(shí)際上來(lái)講并不是神秘的,一樣有大量的資源可以借鑒。
今天演講的內(nèi)容有幾個(gè)方面,一方面是背景介紹,就是關(guān)于我演講內(nèi)容的一些名詞解釋。另一方面,就是關(guān)于去年大家都知道的泄密門事件。另外就是我們所面臨的威脅都有哪些,在這里我粗略地給出了一些我們現(xiàn)在面臨哪些威脅這么一個(gè)說(shuō)明,包括在泄密門事件以后有很多的開(kāi)發(fā)者或者是已經(jīng)在實(shí)現(xiàn)、應(yīng)用的算法,然后還有一些各種各樣的聲音。另外就是關(guān)于安全算法的使用策略問(wèn)題。
首先是背景介紹。我們看一下幾個(gè)名詞,第一個(gè)名詞就是HASH。HASH我們也有人叫散列,簡(jiǎn)單的說(shuō)就是將一種任意長(zhǎng)度的消息壓縮到某一個(gè)固定長(zhǎng)度的信息摘要。另外就是加密、密文,就是把口令變換的過(guò)程稱為加密,以及把口令變換后的結(jié)果稱為密文并不科學(xué),但是公眾所理解的。經(jīng)常來(lái)講我們加密對(duì)應(yīng)一個(gè)解密,很多人在泄密門事件說(shuō)你這個(gè)信息為什么不加密啊?你怎么不做散列,散列是沒(méi)有過(guò)程的。最后一個(gè)是計(jì)算速度,關(guān)于本次演講中我們寫到的計(jì)算速度所指的是單位時(shí)間內(nèi)計(jì)算的次數(shù)。
面臨的安全威脅都有哪些?
在這里大家看到我在上面寫了一個(gè)題目,在當(dāng)前Oday橫行的時(shí)代,幾乎沒(méi)有網(wǎng)站和應(yīng)用可以絕對(duì)保證自己數(shù)據(jù)庫(kù)系統(tǒng)的安全。我分了幾類:
第一類就是在系統(tǒng)方面——漏洞,這個(gè)是最容易出現(xiàn)問(wèn)題的一個(gè)大類。由于我們外圍應(yīng)用的開(kāi)放性,我們外部的應(yīng)用程序越來(lái)越多,帶來(lái)的安全的漏洞也會(huì)隨之增加。另外就是在服務(wù)方面,還有數(shù)據(jù)庫(kù)系統(tǒng),這一系列的服務(wù),很多都是有默認(rèn)的口令或者是默認(rèn)的配置,很多人把這個(gè)東西拿過(guò)來(lái)就用了,有可能默認(rèn)的口令、帳號(hào)沒(méi)有更改,它帶來(lái)的結(jié)果就是這些密碼或者是這個(gè)配置就會(huì)被攻擊者利用發(fā)動(dòng)攻擊。
第二類是遠(yuǎn)程運(yùn)維的風(fēng)險(xiǎn),比如說(shuō)我需要一個(gè)遠(yuǎn)程運(yùn)維,有的運(yùn)維是在公司,有的是在家里,在這個(gè)過(guò)程當(dāng)中很有可能就會(huì)帶來(lái)風(fēng)險(xiǎn)。比如說(shuō)家里的PC不會(huì)像在公司的這種相對(duì)來(lái)講有一些安全的防范情況下,有可能比如說(shuō)你的設(shè)備被入侵了,比如說(shuō)中了一個(gè)木馬,很容易拿到你的口令,拿到口令以后,攻擊者就會(huì)用你的帳號(hào)、口令登陸服務(wù)器。
第三類是備份的風(fēng)險(xiǎn),因?yàn)檫\(yùn)維的時(shí)候我們要備份,有可能權(quán)限分配不當(dāng),或者是備份的人員沒(méi)有安全意識(shí),可能把明文數(shù)據(jù)放到服務(wù)器上了,這種情況也會(huì)導(dǎo)致我們數(shù)據(jù)的泄密發(fā)生。在這個(gè)信息被盜以后,攻擊者往往會(huì)對(duì)信息進(jìn)行二次的利用,比如說(shuō)他拿到口令以后,他會(huì)去做一些其他的嘗試,登陸一些其他的網(wǎng)站,當(dāng)然登陸過(guò)程不是人一個(gè)一個(gè)去敲的,有可能是控制了這個(gè)自動(dòng)登陸,或者是有這個(gè)驗(yàn)證碼,很多驗(yàn)證者會(huì)寫驗(yàn)證碼解析的。往往這些信息被攻擊者進(jìn)行二次進(jìn)攻,我們可能面臨的是信息泄露,密碼丟了以后或者是手機(jī)丟了以后有人給你打電話,這就是信息泄露。
第四類是口令危害,口令的危害相對(duì)來(lái)講是比較嚴(yán)重的。在泄密事件發(fā)生以后,我們經(jīng)常聽(tīng)到各種各樣的聲音,包括我們APM發(fā)布以后有一些有意思的事,在這里面有一些錯(cuò)誤的實(shí)現(xiàn),包括一些錯(cuò)誤的聲音。我們看一下有哪些呢?網(wǎng)上有人說(shuō)為什么不做一個(gè)HASH,在這里我給出了一句話是不合理,但是比較靠譜的一個(gè)實(shí)現(xiàn)。最起碼他們是知道HASH是具有單向性的。實(shí)際上HASH我們做了一個(gè)變換。還有人稱用MD5就好了,50年不能被破解。但是實(shí)際上來(lái)講,HASH對(duì)數(shù)據(jù)信息做一個(gè)信息摘要了。那么這個(gè)數(shù)據(jù)來(lái)講這個(gè)長(zhǎng)度是有很長(zhǎng)的。比如說(shuō)我們對(duì)《紅樓夢(mèng)》做一個(gè)HASH算法,但是相對(duì)于口令來(lái)講,口令的空間范圍是有限的,我們可能就是一個(gè)人用十六個(gè)字節(jié)的密碼已經(jīng)相當(dāng)不錯(cuò)了。那么對(duì)應(yīng)的情況就是當(dāng)攻擊者拿到密碼以后,他們會(huì)做一個(gè)統(tǒng)計(jì)攻擊,比如說(shuō)統(tǒng)計(jì)一下看你數(shù)據(jù)庫(kù)當(dāng)中散列有多少,我們知道HASH相同數(shù)據(jù)算出來(lái)散列值都是一樣的,包括對(duì)明文一些統(tǒng)計(jì)。
用戶口令過(guò)于簡(jiǎn)單 被盜用幾率提高
比如說(shuō)我們上面寫的是TOP100口令的用戶,這部分用戶占到總?cè)藬?shù)的口令達(dá)到20%以上,這是非常令人震驚的一個(gè)數(shù)據(jù)。另一個(gè)就是使用純數(shù)字口令的用戶,純數(shù)字口令用手機(jī)號(hào)、用生日,這個(gè)達(dá)到了50%,這個(gè)數(shù)據(jù)相對(duì)來(lái)講是相當(dāng)恐怖的。攻擊者為什么要統(tǒng)計(jì)數(shù)據(jù),統(tǒng)計(jì)以后他能夠拿到TOP的口令,需要做的事情——高頻碰撞。
還有一些聲音講,為了防止別人攻擊我是不是做一個(gè)聯(lián)合HASH,聯(lián)合HASH是什么呢?就是我算一個(gè)MD5,再算一個(gè)SHA1,但是這個(gè)對(duì)于攻擊者來(lái)講是相當(dāng)簡(jiǎn)單的,比如說(shuō)我把MD5再做一次MD5怎么樣呢?這個(gè)MD5包括一些彩虹表,這些我們?cè)趺崔k?下面就是我列出一個(gè)列表,里面對(duì)口令做一次散列,還有做兩次,包括SHA1。
推薦閱讀
2月25下午,CSDN(微博)在北京麗亭華苑酒店舉行了TUP第二十期活動(dòng)——互聯(lián)網(wǎng)安全。本次活動(dòng)邀請(qǐng)了眾多安全界專家,安天實(shí)驗(yàn)室反病毒引擎研發(fā)中心經(jīng)理童志明,安恒信息安全服務(wù)部門經(jīng)理劉志樂(lè),C/C++/ASM程序員,xsign>>>詳細(xì)閱讀
本文標(biāo)題:童志明:Web應(yīng)用開(kāi)發(fā)中的安全算法使用策略
地址:http://www.sdlzkt.com/a/kandian/20120305/36967.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示