4.對嵌入式系統(tǒng)的無知
復印機����、掃描儀以及VoIP電話中所包含的嵌入式Web服務器通常都存在一定的安全問題或是配置錯誤,因此當它們被安裝被投入使用時��,這些問題就會轉(zhuǎn)化成潛在的威脅�����。"事實上這些設(shè)備都不應該被接入互聯(lián)網(wǎng)。我實在想不出一臺惠普的掃描儀有什么必要連網(wǎng)�����,"Michael Sutton評論道�,他是Zscaler實驗室安全研究部門副總裁,并于今年夏季將自己的調(diào)查成果在黑帽大會上與大家進行了分享�。
Sutton發(fā)現(xiàn),理光與夏普的復印機��、惠普掃描儀以及Snom VoIP手機通常都能夠從互聯(lián)網(wǎng)上直接加以訪問�����。而且這些設(shè)備往往歸企業(yè)所在���,而且整個機構(gòu)壓根不知道它們處于可在線查看的狀態(tài)���。
數(shù)字檔案的影印本可能會被攻擊者獲取,而他們同樣能夠通過數(shù)據(jù)包捕獲功能對嵌入式VoIP系統(tǒng)進行竊聽����。"如果(VoIP系統(tǒng))處于可訪問狀態(tài)�,我們自然就可以登錄���、開啟、捕捉流量并且下載PCAP等等����。而借助Wireshark,我們還能夠?qū)δ繕藱C構(gòu)加以監(jiān)聽�����,"Sutton解釋道�。
關(guān)鍵是要在攻擊者得逞之前發(fā)現(xiàn)這些存在漏洞的設(shè)備。Sutton打造了一款名為BREWS的免費工具�����,用于自動執(zhí)行此類檢測�。
其它類型的網(wǎng)絡(luò)設(shè)備中也有不少錯誤配置,同樣可能讓對此毫不知情的客戶們陷入安全風險��。根據(jù)HD Moore去年公布的研究結(jié)果�����,他發(fā)現(xiàn)有數(shù)以百計的DSL集線器、SCADA(即監(jiān)測控制與數(shù)據(jù)采集)系統(tǒng)���、VoIP設(shè)備以及交換機中存在用于 VxWorks系統(tǒng)的診斷服務功能�����。這是一種完全不應該在生產(chǎn)模式下被啟用的功能���,Moore(他是Rapid 7首席安全官,同時也是Metasploit的總設(shè)計師)警告說��,因為它會允許外界訪問并讀取或?qū)懭朐O(shè)備內(nèi)存及電源周期體系中的信息��。
類似的問題同樣見于如今配備了GSM或蜂窩接入裝置的客戶設(shè)備���。iSec Partner公司安全顧問Don Bailey認為��,GPS跟蹤設(shè)備����、汽車報警器甚至是SCADA系統(tǒng)傳感器很容易受到來自網(wǎng)絡(luò)的攻擊�����。一旦攻擊者在網(wǎng)絡(luò)上搜索到此類設(shè)備,他們就有機會加以利用��。
Bailey曾成功地侵入了一套當下流行的汽車防盜系統(tǒng)��,并通過向其發(fā)送文本消息的方式遠程啟動了該車輛���。而盜用SCADA傳器器所帶來的危害使人更加不寒而慄。
5.源代碼或配置文件中的字符錯誤
Apache Web服務器(或其它Web平臺)中缺失的正斜杠符號可能會讓攻擊者有機會侵入數(shù)據(jù)庫���、防火墻�、路由器以及其它內(nèi)部網(wǎng)絡(luò)設(shè)備���。最近在Apache服務器上出現(xiàn)的反向代理旁路攻擊展示了配置文件中的單個字符如何造就或是摧毀整套安全體系�。
來自Context信息安全公司的研究及開發(fā)部門經(jīng)理Michael Jordon發(fā)現(xiàn)了這個問題�����,并聲稱這更是一種用戶并不了解的錯誤配置現(xiàn)象:正斜杠在Apache Web代理中將激活"重寫規(guī)則"����。
"這是一個典型的案例,功能就擺在那里但人們卻并不知情��,也不了解這屬于一種錯誤配置,"Jordon指出�。
Apache在本月早些時候發(fā)布了針對這一問題的補丁,但Jordon認為這個問題很可能還在影響著其它Web平臺���。"補丁只能減少此類錯誤配置出現(xiàn)的可能性����,"他解釋道�����。
"任何其它重寫URL的反向代理也許還面臨著同樣的問題��。我們已經(jīng)與其它Web服務器供應商取得了聯(lián)系并向他們知會了此事���,"他說道�����。
6.明顯但卻仍然普遍存在的問題:非常用系統(tǒng)補丁更新不及時
及時為系統(tǒng)打上補丁不僅是的種良好的使用范例�����,同時也應該被視作強制性原則���,但這并不意味著所有機構(gòu)都能及時�����、準確將其實施妥當�����,尤其是對于某些看似風險較低的系統(tǒng)更是如此。
就拿美國能源部來說吧�����,他們本周就榮幸地成為補丁更新的反面教材��。根據(jù)美國能源部監(jiān)察辦公室的說法����,能源部中有十五個不同的分支機構(gòu)被發(fā)現(xiàn)仍在使用未實施已知漏洞補丁更新的桌面系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及運行應用程序的網(wǎng)絡(luò)設(shè)備�。正在運行操作系統(tǒng)或應用程序的桌面系統(tǒng)中,有46%沒有安裝最新補丁�����,監(jiān)察主管在報告中稱。
"這些應用程序中那些已知漏洞并沒有及時被對應的補丁所修復�����,而事實上在我們著手測試的三個月之前這些補丁就已經(jīng)提供下載了��,"報告(PDF格式)中寫道���。
但聯(lián)邦機構(gòu)絕不是惟一疏于更新補丁的家伙:許多機構(gòu)都在控制并處理自身運行環(huán)境的漏洞方面煞費苦心�。來自Secunia的一份最新研究結(jié)果建議�,企業(yè)只要能將嚴重性漏洞補丁的部署放在第一位,而不是過分關(guān)心哪些應用程序比較流行�,他們就能獲得安全方面的大幅度提升。
eEye數(shù)字安全公司CTO兼聯(lián)合創(chuàng)始人Marc Maiffret指出����,歸根結(jié)底是由于大家對自己不了解的信息沒有概念。"企業(yè)……沒有這樣的洞察力�����,因此他們不知道如何應對自身環(huán)境中所存在的缺陷������;蛘咚麄儾恢廊绾沃诌M行���,因此只能選擇放棄。"Maiffret分析道����。
