2.1.2 漏洞的定义
通过上面的典型事件,可以看到漏洞是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。漏洞一旦被发现,攻击者就可利用这个漏洞获得计算机系统的额外权限,在未授权的情况下访问或破坏系统,从而危害计算机系统安全。RFC 2828将漏洞定义为“系统设计、实现或操作和管理中存在的缺陷或弱点,能被利用而违背系统的安全策略”。
漏洞的危害是巨大的,下面我们给出漏洞危害的一些分类。
(1)对系统的威胁
软件漏洞能影响到大范围的软硬件设备,包括操作系统本身及其支撑软件,网络客户端和服务器软件,网络路由器和安全防火墙等,下面逐一分析其可能对系统形成的典型威胁。
(2)非法获取访问权限
当一个用户试图访问系统资源时,系统必须先进行验证,决定是否允许用户访问该系统。进而,访问控制功能决定是否允许该用户具体的访问请求。
访问权限,是访问控制的访问规则,用来区别不同访问者对不同资源的访问权限。在各类操作系统中,系统通常会创建不同级别的用户,不同级别的用户则拥有不同的访问权限。例如,在Windows系统中,通常有System、Administrators、Power Users、Users、Guests等用户组权限划分,不同用户组的用户拥有的权限大小不一,同时系统中的各类程序也是运行在特定的用户上下文环境下,具备与用户权限对应的权限。
(3)权限提升
权限提升,是指攻击者通过攻击某些有缺陷的系统程序,把当前较低的账户权限提升到更高级别的用户权限。由于管理员权限较大,通常将获得管理员权限看作是一种特殊的权限提升。
(4)拒绝服务
拒绝服务(Denial-of-Service,DoS)攻击的目的是使计算机软件或系统无法正常工作,无法提供正常的服务。根据存在漏洞的应用程序的应用场景,可简单划分为本地拒绝服务漏洞和远程拒绝服务漏洞,前者可导致运行在本地系统中的应用程序无法正常工作或异常退出,甚至可使得操作系统蓝屏关机;后者可使得攻击者通过发送特定的网络数据给应用程序,使得提供服务的程序异常或退出,从而使服务器无法提供正常的服务。
(5)恶意软件植入
当恶意软件发现漏洞、明确攻击目标之后,将通过特定方式将攻击代码植入到目标中。目前的植入方式可以分为两类:主动植入与被动植入。主动植入,如冲击波蠕虫病毒利用MS03-026公告中的RPCSS服务的漏洞将攻击代码植入远程目标系统。而被动植入,则是指恶意软件将攻击代码植入到目标主机时需要借助于用户的操作。如攻击者物理接触目标并植入、攻击者入侵后手工植入、用户自己下载,用户访问被挂马的网站、定向传播含有漏洞利用代码的文档文件等。这种植入方式通常和社会工程学的攻击方法相结合,诱使用户触发漏洞。
(6)数据丢失或泄漏
数据丢失或泄露是指数据被破坏、删除或者被非法读取。根据不同的漏洞类型,可以将数据丢失或泄漏分为三类。第一类是由于对文件的访问权限设置错误而导致受限文件被非法读取;第二类常见于Web应用程序,由于没有充分验证用户的输入,导致文件被非法读取;第三类主要是系统漏洞,导致服务器信息泄漏。
漏洞带来的损失也是巨大的,当前网络犯罪进一步商品化。从窃取目标数据到新的“欺诈即服务”模式,欺诈者正在不断进化,他们沟通的方式也在改变。
由商品化的恶意软件引起的外部代理攻击的容易性几乎使得任何类型的服务的任何提供商都易受攻击。勒索软件泛滥只是一个例子,甚至这些攻击已经被简化为一种“欺诈即服务”产品。
然而,对于一些喜欢追逐但却不确定如何处理这些攻击所捕获数据的网络犯罪分子来说,现在有一个解决方案。黑市!黑市不再仅仅是销售被盗信用卡的店面。任何类型的凭证或账户都可以在这里找到。电子商务、电子邮件和社交媒体账户的价格一般在2~10美元。甚至有医疗记录和患者病历等最不可能获得的数据类型也可以购买到。当前网络犯罪分子出售、交流和交流信息的方式也在发生变化。最近,RSA发现了广泛使用开放式论坛,特别是社交媒体,被网络犯罪分子利用来进行交流,并成为网络犯罪的一个全球庇护所。
在为期6个月的研究中,RSA在全球发现了500多个欺诈专用社交媒体组织,估计共有约22万名成员。仅在Facebook上就发现了超过60%,即大约13.3万名会员。在社交媒体上公开分享的信息类型包括实时损害的财务信息,例如带有个人身份信息和授权码的信用卡号码,网络犯罪教程,恶意软件和黑客工具,以及现金和支出服务。除了单一的企业观点之外,追踪全球性、跨行业、跨渠道和跨设备的网络犯罪发展对于识别和面对新的威胁和攻击的组织来说是必不可少的。欺诈情报服务已经超越了静态报告和自动化提要,其提供了对与特定品牌或业务运营相关的威胁情况和与攻击相关的数据更全面的洞察。各社会组织正在认识到这些服务的价值,并通过将黑暗网络中收集的威胁情报源与现有安全控制直接整合来改善欺诈检测。