网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


纳斯达克的Web安全攻防战--梭子鱼WEB应用防火墙在纳斯达克的应用

2011-03-18 19:32 推荐: 浏览: 24 views 字号:

摘要:   纳斯达克(Nasdaq)是全美证券商协会自动报价系统(National Association of Securities Dealers Automated Quotations)的英文缩写,如今,这个系统的名字已成为股票交易市场的代名词。   信息和服...

  纳斯达克(Nasdaq)是全美证券商协会自动报价系统(National Association of Securities Dealers Automated Quotations)的英文缩写,如今,这个系统的名字已成为股票交易市场的代名词。

  信息和服务业的兴起催生了纳斯达克,始建于1971年的纳斯达克,让股票交易从此走入完全电子化并用电子化系统实现自我监管的时代。如今,纳斯达克更已成为全美,乃至全世界范围内最大的股票电子交易市场,不仅每天要收集和发布场外交易非上市股票的证券商报价,还要为5200多家上市公司服务,在55个国家和地区设有26万多个计算机销售终端。

  纳斯达克拥有数以亿计的有价数据,它对网络黑客来说就像一个聚宝盆。10年来,几乎全球的黑客都在想方设法侵入纳斯达克的网站。

  技术精良的纳斯达克?

  纳斯达克的网站,一向被人们认为是世界上安全保障体系最严格的网站之一。从建设之初,华尔街就一直以纳斯达克所采用的精良技术为傲。然而,近十年来,纳斯达克遭遇黑客攻击的消息却总是不断传出。

  1999年9月,纳斯达克和美国证券交易所两个网站首度遭到黑客攻击。届时,美国证券交易所刚刚被纳斯达克收购。一个自称“联合贷款枪手”( ULG)的组织在午夜时分成功地侵入了这两个证交所的网站。

  虽然当时黑客并没有对系统中的财经数据采取任何行动,但是黑客组织却在网站上留下了一条令人震惊的消息,他们打算“操纵股市暴涨,让所有的投资者都感到高兴,在他们的汽车上都贴上一张纸条,上书:感谢ULG!”

  该组织声称,他们已在纳斯达克的系统中为自己建立了一个电子邮件信箱,并宣告纳斯达克的网站还存在很多漏洞。而当时,纳斯达克每天的成交量已多达8亿股。

  虽然纳斯达克网站的安全问题立即引起了华尔街的重视,并且也随之部署了更多的安全设施。但是,时隔一年,纳斯达克便再次遭到了黑客的入侵。

  一个自称“PrimeSupectz”的黑客,闯入了纳斯达克网站(nasdaq.com),将“纳斯达克一百指数”所在的位置换成了一句粗话。这场破坏,也令纳斯达克陷入了尴尬境地,因为一向被认为技术精良的纳斯达克,在一年多的时间内,网站却遭遇到两次黑客侵袭。

  而去年7月,纽约证交所以及纳斯达克公司的主网站又遭到了两次连续的黑客攻击。这两次攻击令纽约证交所的电脑系统发生了多次故障,黑客不仅发布了美国国际集团将退市等错误通告,还让交易系统的交易延长了15分钟。

  专家指出,如果盲目假设互联网上最受欢迎或是交易量最大的网站安全性一定就高,本身就是错误的想法。人们常常以为一个知名度高的网站必定拥有水平更高超的安全专家,但实际情况是,黑客总在不断努力采用新的技术实施攻击,而网站安全体系的变革却总是落后于黑客。我们必须看清,纳斯达克的安全风险已经转向Web应用的漏洞,被动的安全技术更难以解决今天的问题。

  风险来自哪里?

  事实上,为了保障数据的安全和用户的隐私权,很早纳斯达克便建立了以防火墙及安全访问管理机制为核心的安全体系。然而,现有的安全防护措施主要通过SSL安全代理、防火墙、IDS/IPS 、软件防火墙或是防病毒等工具来解决问题。由于这些安全防护措施自身的局限性,导致网站难于应对日新月异的安全攻击,特别是目前基于正常WEB访问而发起的WEB应用攻击手段。所以,像纳斯达克这类安全体系相对健全的网站,近年来也免不了不断遭遇安全攻击。

  据梭子鱼相关技术人员介绍,Web应用的安全风险当前要远远大于人们过去的认知。首先在服务器端,黑客往往会利用支付或者查询系统自身存在的安全漏洞来侵入系统。比如,基于WEB应用的SQL注入攻击,基于数据库应用的OracleLinstener攻击,以及基于操作系统的缓冲区溢出攻击等方式,早已成为黑客集团的惯用伎俩。

  此外,SSL安全代理主要依赖的是浏览器的正确实现以及服务器软件和实际加密算法的支持,对于现在的一些攻击手段,如跨站攻击、SQL注入以及数据监听等,SSL从技术上来讲是无可奈何的。

  而传统防火墙只能检测网络层的攻击,根本无法阻拦来自网络内部的非法操作,更无法动态识别或自适应地调整规则。而编程习惯造成的众多漏洞,更是等于为黑客敞开了通向网站“金库”的大门。

  “由于技术局限性,大多IDS产品也只能进行已知的特征检测。由于这类设备对数据层的信息缺乏深度分析,本身的误报、漏报率就很高,使得IPS的处理效率低下,同时它也没有对Session或User的跟踪,根本不能保护SSL流量。”梭子鱼技术人员告诉记者。

  再者,不管是防病毒软件还是防火墙,采用的都是被动检测机制,它们只能检测到已知的病毒或木马,对于外部的正常访问请求更是无法识别,所以基于这两类安全工具构建的网站安全体系,根本无法实现对合法访问的“筛选”。

  其次在客户端,大多用户的个人电脑其实也并不安全。用户对网络风险的不警觉以及用户个人账号密码存放的不安全,都可能导致恶意攻击者,利用远程木马或是钓鱼网站获取用户的个人账号及密码,最终损害客户的直接利益。

  所以,Web安全问题近些年已成为交易类网站的最大风险源,而且有逐年飞速增长的势头。

  为纳斯达克把脉

  反观纳斯达克的Web安全隐患,梭子鱼发现即使是纳斯达克这样技术精良的网站,依旧存在不少风险。对于十种黑客惯用的应用程序漏洞,纳斯达克网站的防护能力也非常薄弱。

  第一,缓存溢出。 由于应用程序的编码会尝试将应用数据存储于缓存中,而不是正常的分配,这种漏洞往往被黑客所利用,变为攻击手段。因为借助这种错误,恶意代码就可以溢出到另外一个缓存中去执行。

  第二.跨站点脚本攻击。攻击类型的代码数据可以被插入到另外一个可信任区域的数据中,最终导致使用可信任的身份来执行攻击,这种攻击方式也是黑客惯用的伎俩。

  第三,服务拒绝攻击。这种攻击会导致服务没有能力为正常业务提供服务。

  第四,异常错误处理的风险。当错误发生时,系统向用户提交错误提示是很正常的事情,但是如果提交的错误提示中包含了太多的内容,就有可能会被攻击者分析出网络环境的结构或配置。

  第五,非法session ID。当session ID没有被正常使用时,攻击者还可以借机破坏Web会话,并且实施多个攻击(通过冒用其他的可信任的凭证),借此来绕开认证机制。

  第六,命令注入。这一问题的风险是,如果系统没有成功的阻止带有语法含义的输入内容,就有可能导致对数据库信息的非法访问。比如,在Web表单中输入的内容(SQL语句),应该保持简单,并且不应该还有可被执行的代码内容。

  第七.弱认证机制的隐患。虽然只要通过正确的开发Web应用就可以轻而易举的避免此问题,但是在众多已经在线使用的应用中,这类问题却十分严重。而一旦黑客利用弱认证机制或者未加密的数据来获得访问,或是破坏

联系站长租广告位!

中国首席信息安全官
关闭
关闭