央视网站“被黑”的技术性分析
央视网站“被黑”的技术性分析
Jack zhai
虎年春节刚过,就收到消息,央视网站又“被黑”了,央视网站(www.CCTV.com)号称“国家网络电视台”,是
对于央视网站安全管理,咱不好评论,只是就网站的技术性问题,做一些分析,希望能给其他网站管理者们一个提示(纯属个人观点,仅供技术探讨之用,欢迎批评指正)。
网站连续被黑的现象应该不常见,并且每次持续的时间都超过2个多小时,也就是说,从有人发现到恢复的时间是比较长的,从网上发帖子的时间上看,从用户访问时发现被黑,到网站回应,到网站恢复,有很多值得商榷的地方。我分析可能有下面几方面的原因:
1、网站应急团队处理能力不足:
信息时代的传播速度是每秒上亿次,尤其是在春节期间,2个小时,访问量有多少,不太好估计,应该不会少吧。我们知道,网站的网页被黑,恢复起来应该是比较容易的事情,它不同于网站被攻击瘫痪、蠕虫泛滥,被黑的网页很明确,容易修复(即使不恢复原状,也可以先摘除不雅图片),所以允许有这样长的响应时间,显然是应急响应人员的反应速度太慢,或者是应急响应的流程“太复杂”。这若是在航天飞机上,或者高速铁路上,这样的响应速度,估计就不需要再响应了。
2、对网站应用运行状态的监控能力远不到位:
网站是互联网的“前沿”,是与各种黑客较量的“一线”,黑客不会等我们有了防护他的手段才来“送死”,进攻永远都是出其不意。因此,网站安全中防护技术是建立高一些的入侵门槛,监控能力才是安全体系的要点。
我们前面说的应急响应能力有两个方面很关键,一是“强悍”的团队(不能说央视没有钱维护高水平的队伍),二是有效的工具。对网站动态不能随时掌握,应急响应就成了“瞎子”。从网站被黑的过程看,央视网站有网络层面的管理平台,却没有应用级别的监控平台,也就是说对网页的动态情况的了解是被动的(用户体验后告诉网站)。
也许你会说,央视网站有上万个网页,不可能完全监控;并且动态的网页占多数(用户请求时动态生成,不同用户送出的页面可能不同),没有办法监控…我从技术角度分析一下,这个观点是站不住脚的:
Ø 央视网站是中央电视台网上门户,公众效应非常强,黑客对他感兴趣是自然的,攻击它不仅可以提高黑客自身的声誉,而且网站公众访问量大,也是木马传播的最佳选择。但我们知道,公众影响力的大小与网页的“深浅”有关,换句话说,首页与各频道首页的安全意义是不同的,对这些首页的监控与所有网页监控来比,显然不是一个概念。
Ø 网站新闻的发布是有严格发布审批系统的,也就是说,对首页等主要新闻网页的修改只有这个发布系统才有权限,黑客只有获得了这个发布系统的权限,才可以篡改那些页面,我可以断言:他们对发布系统根本没有有效监控(如在线管理员ID、注册终端位置、修改栏目权限…),审计系统是否完备也很难知晓(有审计起码可以事后追查黑客的攻击线路)。
Ø 对于互动栏目的监控,如博客、BBS等,用户可以上传信息,但这种发布系统应该有审核、过滤的技术手段,很多网站还设有“版主”进行人工审查(审查后才可被看到),发现不良信息随时可以删除,删除时间以秒计算。若说帖子数量多,审查有难度,这种说法也是不通的,因为目前技术主要是依靠自动过滤技术(关键词过滤、信息归类算法等),并且大部分“版主”都是“自然”的外部人,数量根本不受限制。
Ø 还有一种说法:央视网站的这几次被攻击,黑客都是先获取系统权限后,通过“合法”手段进行的网页篡改,传统的网页防篡改技术几乎成了摆设,应用监控也无法发现这些“合理”的篡改。其实,目前网站流行的“爬虫”技术,有两个用途是大家共知的:一是搜索引擎用来更新信息;二是模拟用户访问网页的用户体验(访问时间、界面流畅性等);另外一个用途常被大家忽视,就是查看网页是否被挂木马,或是否被篡改。对于首页等重要网页的基本框架被修改发现是比较容易的,央视春节这次的被黑就是这种情况,有监控起码应该不比用户发现的晚。
3、网站的安全管理者玩忽职守:
我们说:安全管理者就象捧着一个“花瓶”,时刻紧张着才对。能在这么短的时间内“连续”被黑,我估计有下面的因素:
Ø 网站管理者每次恢复,根本没有分析黑客攻击的途径,对攻击利用的漏洞也没有“亡羊补牢”,大门还在继续敞开,一个黑客走进来,千百个黑客跟进来…
Ø 网站内可能已经隐藏了多个黑客,或安装了系统级的“后门”,工作人员前门补上,他们后边继续“打开”…
简单地说:就是每次在恢复网站的后续工作中,没有人跟踪分析
对网站安全的建议:
从对央视网站“被黑”原因的分析中,也给我们提出这样一个问题:网站安全防护与一般内部网络安全防护有多少的不同,由于网站的特殊性,应该注意下面几个方面:
1、 防护上关注系统漏洞的防护和应用漏洞的防护并重,尤其是对SQL注入、XSS、木马的防护,Web的漏洞多于系统漏洞是目前不争的事实,对网关安全产品的选择是需要与业务本身特性进行综合考虑的。
2、 建立网站监控平台是必要的。快速响应的前提是监控到位。网站的公众效应要求网站的恢复响应时间应该在10分钟之内(公众反应时间:这个时间内人常常怀疑是链路差错问题)。监控应该是网络与应用并重,而网站的管理者更为关心的是应用的动态信息。
3、 建立“密罐”是必要的。公众网站是大家关注的焦点,也是新攻击技术的实验场,完全依靠现有的防护技术显然是不足的,通过“密罐”技术,与专业安全公司互动,可以提前发现黑客的嗅探、扫描与攻击试探,可为新攻击技术发动提前预警。
4、 要有强壮的恢复能力。监控是发现,恢复是结果。恢复技术不局限于被动的重新覆盖,恢复中遭遇正在“篡改”或还未离开的黑客,在网站监控反应能力提高到3分钟以内,就可能成为现实,“刺刀见红”的搏击战是免不了的,对网站的控制能力体现在监控响应速度与定位技术上。