架构缺陷、黑客勒索、二维码攻击,数据安全命悬一线

幸运草 2021年1月5日19:56:22劫持评论阅读模式

iPhone6被黑遭锁定勒索,黑客叫嚣没动数据不是犯罪

近日,上海的张先生就因为iPhone 6遭遇黑客攻击,导致被锁定无法使用。张先生家里的其他苹果设备,因为用的是同一苹果ID,也连带都变成“砖头”了。黑客向张先生勒索580元,否则不予解锁,并称:“不怕你去告,只是把你手机给黑掉了,我们也没有动你的数据,我们不是…

架构缺陷、黑客勒索、二维码攻击,数据安全命悬一线

随着我们对互联网的应用和依赖日益加深,未来数据泄露会跟抢劫、偷盗、绑架….一样成为我们人身安全的威胁。

对于“生活”在互联网上的一代来说,关于我们的大部分信息都在不知不觉间被“记录”了。而那些留在虚拟世界里的数据越来越多,它们组合成了一个个人物“画像”,即便没有见到面,这些信息也足以告诉大家:我们是谁,我们是什么样的人,我们喜欢什么,讨厌什么…...

“数据即一切”,这个认知被这个时代的所有企业奉为神祗。那些掌控着最多我们数据的企业成为了最有价值的公司,但可怕的是,如此重要的资产却并没有得到理应的保护,我们的数据依然被泄露、盗取、贩卖、滥用。

京东12G数据泄露事件只是网络安全危机的冰山一角,或许它并不是危机最深重的那家公司。不过,作为国内最知名的互联网公司之一,作为一家已经在做技术输出业务的公司(京东金融),它依然出现了这么严重的网络安全问题,这件事本身就值得引起大家,以及整个行业的警惕和重视。

根据京东回应称,该数据源于2013年Struts 2的安全漏洞问题,该问题因框架自身的安全性问题使系统极易被攻击而产生。那么,问题来了:什么是Struts 2?为什么该框架自身安全性有问题,包括京东这样的公司还要采用?我们要如何更好的保护个人的信息安全?

今天,特别请我的朋友来给大家答疑解惑,他们是互联网安全服务商斗象科技的创始人袁劲松,联合创始人张天琪,这两位也是国内网络应用安全、安全研发、安全架构、漏洞挖掘等领域专家,以下就是他们分享

01

Struts和它的安全漏洞

Struts是平时Java EE应用开发中最常用的开源MVC框架,从Struts1发布现在的Struts 2已有16年的历史,目前是Apache基金会赞助的项目,Struts2是Struts的下一代产品,同类的框架还有Spring等。

Struts2官方历史上共爆出了40多个漏洞,其中大部分都与OGNL表达式有关。OGNL表达式是Struts2框架的核心机制之一,是一种功能强大的表达式语言,用来GET和SET Java对象的属性,它旨在提供一个更高抽象度语法来对Java Objects Map进行导航,OGNL在各部分逻辑中都有应用。

绝大多数OGNL相关的安全漏洞均由于框架底层对用户输入没有做完整且有效的过滤与验证,导致攻击者直接把恶意的用户输入当成表达式执行,便于控制系统可以执行任意代码、任意命令,这类漏洞危害等级普遍较高。

尽管官方一次次的修复,但每次都是治标不治本。而且官方团队对安全的意识和理解也存在一定偏差,导致修复被一次次的绕过。当时这个漏洞被披露的时候,由于利用难度较低,加上很多攻击者在互联网上发布了自动化检测和利用工具,这也大幅降低了漏洞利用的门槛。

加之Struts2框架的流行程度,使得顷刻之间大面积网站被攻击。此次,按照京东的说明,其数据泄露事件就源于2013年7月爆发的一次高危漏洞。当时国内很多知名网站都受到此漏洞不同程度的影响。

站在企业角度,很多应用Struts 2框架的业务,出于对升级可能造成的业务风险的考虑,不一定会直接照官方升级,而且并不是所有团队都有这样的技术能力对自己的业务线进行整体升级,以至于问题被遗留下来。

据我们统计,大多数企业是没有专职的安全团队,安全的职责很多时候由运维兼任。这也是导致很多企业无法第一时间得知这类安全通告,也缺乏相应的技术能力来判断事件的严重性,难以进行及时且有效的决策。

而目前很多大型互联网公司都喜欢在开源框架的基础上根据业务情况研发自己的框架,自己定义安全模型。像阿里巴巴有一套通用的WebX框架就是基于Spring的基础上进行了很多改进。

有能力在开源框架基础上进行二次开发的团队,在选型上会考虑安全性,也会把一些安全机制进行定制与完善,如常见的:输入验证、输出编码、身份验证、会话管理、密码管理、访问控制、错误处理与日志、数据加密、资源管理等。这些常见功能在框架层面抽象成具体的安全API,供业务开发者消费,以便加强整体业务线安全。

02

互联网金融成数据泄露重灾区

金融行业一直是网络安全的重灾区,也是黑客攻击的重要目标,这主要是受到利益的驱动。

在金融平台里面,一般用户的认证信息,交易数据,资产数据、信用卡、身份信息等是攻击者较为关注的。这些信息一旦被恶意团体利用,一方面导致洗钱,卖给诈骗团伙,另一方面卖给竞争对手进行购买力和潜在客户的分析。

另外,一旦互金平台受到黑客攻击,发生信息泄露的事件后,可能会影响平台的信誉,会造成投资人会对平台信任度的降低,进而引发投资人撤离资金,平台资金链断裂,甚至崩盘的风险。所以,互金公司对此尤为紧张,不少公司都会接受黑客的勒索,宁愿花钱了事。

过去几年,互联网金融公司发展迅猛,一些比较大的公司还是很注重网络安全建设。但确实也有很多公司过于专注于业务领域,对安全并不重视。更有甚者是做“一锤子”买卖的临时性平台,安全性上就更不会顾及。

不过,大家也不要产生偏见,企业的安全健康状态如同木桶效应般,任何一块短板都会造成无法弥补的损失,因此在攻防层面不能说大型企业比中小型企业或者其它互联网金融企业更安全。

反而一些大的互金公司,由于旗下资产与业务线众多,会较受黑客的青睐。因为,当企业频繁更新新的业务线,每一个业务线、每一个版本发布,都可能一定程度上存在安全风险。从安全运维角度,有更多的资产需要检测与防护、监控与响应。

所以,关键还是要看企业对待安全的态度是否严谨,安全流程管理是否规范、技术团队实力、以及领导层对安全的重视和投入等方方面面因素,无法一概而论。

企业应用的软件也随着互联网发展,时时刻刻可能会爆发出严重漏洞,比如之前的Struts2漏洞。

互联网金融行业里常见的问题,大致分为两大类:

1.      金融业务相关安全问题,如薅羊毛、业务风控(征信)等。薅羊毛种类众多,比如虚假注册来骗取返现,提交虚假资料来骗贷等问题。很多互联网金融公司在征信方面也是做得不到位的,无法有效判断借贷人身份的合法性。

2.      用户信息相关安全问题,如越权、注入等。前者比如我可以以我的账号权限去查看别人的投资理财情况,随意修改他人的账户密码,甚至拖库等行为。

03

如何保护自己的数据安全

现在大家关注的是一些公司数据被盗事件,这主要取决于公司的风控机制。我们接触到的很多公司对于敏感数据的权限管控并不是很到位,普通员工都能有机会接触到企业核心数据,内部人员利用不完善的信息安全管理制度,盗取并贩卖核心数据,造成敏感信息泄露。

但其实,曝光出来数据泄露事件只是冰山一角,更大的危机源于我们日常的生活当中。

现在我们能想到的各种数据,包含个人基本信息、家庭组成信息、个人健康及财务信息等都已经通过各种途径泄露出来了。而不法份子可以利用这类信息实施各种恶意行为,如电信诈骗等。或利用泄露数据进行数据分析,如定向推销等。

其实,目前来看,用户的帐密信息不一定是最有价值的,反而是用户的一些衣食住行、健康状况、财务信息等信息更有价值。因为通过这些消费数据能够完整的跟踪一个人,全面分析一个人。

很多人并没有意识到,其实你的个人信息、数据往往在不经意间便已经被泄露。比如,在公共场所连接免费wifi,扫描促销二维码等,可能会导致你的流量劫持、中间人攻击、手持终端的入侵。

还有一些常见场景中,比如,促销活动填写的个人信息,网站注册,租房信息发布等,还有朋友圈里晒机票,晒车票,晒身份证等各种看似无害行为,以及快递包裹上的快递单信息等。

互联网时代,个人隐私是相对的,换言之,只要生活在网上,你的很多个人信息都难免不被暴露。所以没有办法完全保护隐私。但是普通用户在日常上网过程中,可以注意几点:

1.准备两个手机号,一个专门处理各种非重要事情时填写,一个只给亲朋好友,不要用于任何注册和业务办理。

2.  不要泄漏自己个人信息,尤其是在很多网站注册的时候,不要用真实的个人信息。

3. 使用社交产品、网站尽量不要发布个人有关的信息,如家庭地址、亲人照片等。

原创声明:馨金融的每一篇原创稿件都经过反复的打磨,只希望能带给大家更有价值的阅读。我们欢迎知识的分享,但更希望自己的劳动能被尊重,在转载时请注明来源馨金融(Xinfinance)。

灾难恢复:Bad Rabbit勒索软件或可进行数据恢复?!

FireEye公司威胁研究小组发现Bad Rabbit勒索软件和“Backswing”之间的关联,FireEye将后者描述为“恶意JavaScript分析框架”。根据研究人员介绍,Backswing自2016年9月就被发现被用于网络,而最近有些“窝藏”该框架的…

  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 加入Q群
  • QQ扫一扫
  • weinxin
幸运草

发表评论