保密技术-4

保密技术教程第四章信息化支撑技术 国家保密科学技术研究所 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 2 主要内容 4 1基础研究4 2应用研究4 3涉密专用信息化技术4 4保密信息情报收集 动态跟踪 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 3 4 1基础研究 近年来 随着我国信息化建设的快速推进 一些高性能计算机及网络设备和多功能办公自动化设备等新技术产品逐步在我党政军机关和军工企事业单位使用 这些设备占用空间小 系统性能稳定 使用方便 极大地提高了工作效率 但是 这些新技术产品的使用也带来了严重的泄密隐患 需要加强相应的基础研究及其保密防护技术的研究和应用 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 4 4 1 1硬件4 1 1 1CPUCPU是中央处理器 CentralProcessingUnit 的缩写 它由控制单元 逻辑单元和存储单元三大部分组成 可以进行运算 分析 判断并控制计算机各部分协调工作 目前的计算机大都采用冯 诺依曼结构 即以存储程序原理为基础 由程序通过一系列的指令来实现一定的功能 CPU执行程序所需时间为 P I C TCPU的性能与I C和T三个因素有关 其中 T依赖于CPU硬件本身 由半导体材料和加工工艺决定 I和C则依赖于CPU软件及硬件 由计算机体系结构的设计决定 国家保密科学技术研究所 1 对内核级恶意代码缺乏防御作用在保护模式下X86CPU提供了4个特权登记 Ring0 Ring3 其中Ring3权限最低 运行于该特权级别下的代码只能访问用户态虚拟地址空间 Ring0的权限最高 运行于该特权级别下的代码将不受任何限制 可以对所有虚拟空间进行读写操作 常见的PC系统 如Linux和Windows 只利用了Ring3和Ring0这两个特权等级 其中用户程序运行在Ring3 操作系统以及设备驱动程序等内核程序运行于Ring0 内核级恶意代码运行于Ring0级别 可以不受任何限制地访问任何地址空间 如果存在操作系统漏洞 普通用户应用程序可以利用漏洞获得Ring0级别的操作权限 同时 还可以把恶意代码动态地注入到一个正在运行的合法进程中 就可以任意访问该进程的私有内存空间 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 6 2 存在情报机构有意埋伏安全陷阱的可能在发达国家现有条件技术下 在CPU芯片中可以植入无线发射接收功能 通过这种功能 可以接受特殊病毒 接收来自网络或空间的指令来触发CPU的自杀功能 搜集和发送敏感信息 3 CPU序列号可以被跟踪 定位CPU个体的序列号是唯一的 可以通过识别CPU序列号 主动 准确地识别 跟踪或攻击一个使用该芯片的计算机系统 根据预先设定收集敏感信息或进行定向破坏 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 7 4 1 1 2无线键盘无线键盘是常用的计算机无线外围设备 它通过发射无线电波和计算机建立连接 由于无线键盘发出的无线电波像广播信号一样 没有特定的方向性 四处传播 只要在无线电波能覆盖的范围内 窃密者使用同频率的接收器 就能实时接收到键盘的按键信息 如果采用高灵敏度的天线和专业接收设备 就能在普通接收范围100米之外获取无线键盘输入的信息 因此 涉密环境使用无线键盘将导致严重的泄密隐患 为了消除涉密计算机使用无线键盘带来的泄密隐患 应当严禁涉密计算机使用无线键盘 无线鼠标及其它无线互联的外围设备 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 8 4 1 1 3具有音频 视频输入功能的计算机当前 一般的计算机都可以配备音频 视频输入设备 但是 如果涉密场所中有一台被窃密者远程控制的 具有视频 音频输入功能的计算机 窃密者就可以在不被发觉的情况下 把音频输入功能打开 这样 这台计算机就成了一个窃听器 整个涉密场所的谈话内容都被窃密者远程获取了 因此 必须严格限制涉密场所的计算机接入互联网 如确因工作需要 需联接互联网 则应严禁在涉密场所连接互联网的计算机上配备 安装和使用摄像头等视频设备 在涉密场所谈论国家秘密时 应对具有音频输入功能并与互联网连接的计算机采取关机断电措施 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 9 4 1 1 4便携式笔记本大容量便携式笔记本丢失带来的隐患便携式笔记本本身就带有大容量存储硬盘 这样的涉密笔记本一旦丢失 将造成不可估量的损失 具备红外功能的涉密计算机的泄密隐患如果一台笔记本开启了红外功能 利用高灵敏度的设备 可以在几十米外捕捉红外信号 而目红外协议是无认证 不加密的 可以直接截取传输文件的原文 甚至对文件进行篡改 如果一台涉密笔记本的红外信号被一台不可控的设备所捕捉到 就有可能造成涉密信息的泄漏 国家保密科学技术研究所 具备无线联网功能的涉密计算机的泄密隐患近几年来 越来越多的笔记本厂商推出了采用英特尔迅驰移动计算技术的笔记本电脑 迅驰移动计算技术集全新的移动微处理器和无线联网功能于一体 采用该技术的笔记本电脑无需外加模块即可进行无线联网 由于具有无线互联功能的笔记本电脑能在用户毫不知晓的情况下 自动联入互联网 就带来了严重的泄密隐患 利用无线局域网技术的安全漏洞 攻击者通过无线网络远程登录具有无线联网功能的涉密计算机 隐蔽地控制它 这样 可以很容易地窃取到涉密计算机上的涉密信息 如果这台具有无线联网功能的笔记本电脑 接入了涉密网 那么窃密计算机就可以通过它接入整个涉密网 大肆窃取涉密网络的涉密信息 造成非常严重的后果 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 11 4 1 1 5移动存储介质以优盘 移动硬盘为代表的移动存储介质以超大容量 携带方便 使用简单等特点给我们的日常工作带来了极大的便利 但是 涉密移动存储介质的使用也降低了涉密信息的可控性 造成了极大的安全保密隐患 国家保密科学技术研究所 移动存储介质中的信息易复制 易恢复 造成泄密隐患现在越来越多的秘密数据和资料存储在无保护的磁性介质和光学介质里 泄密隐患非常大 无保护的优盘 磁盘 光盘等介质上的内容很容易被非法篡改或复制 为防止此类泄密 可采用防拷贝技术给介质 上锁 此技术是给介质作特殊的标记 如在磁盘上产生激光点 穿孔 指纹技术等特殊标记 使得通过正常的拷贝途径无法复制 国家保密科学技术研究所 2 没有关闭移动存储介质自动运行程序的功能会带来泄密隐患据国家计算机病毒应急处理中心统计 2007年我国通过优盘等移动存储介质传播病毒的比率明显增加 这是由于优盘应用日益广泛 优盘支持程序自动运行造成的 计算机病毒通过autorun inf文件自动调用运行病毒程序 从而感染用户计算机系统 针对这种情况 可通过修改注册表的方式 关闭各类移动存储介质插入计算机后的自动运行功能 如果移动存储介质感染了病毒 此方式可保证病毒不会自动运行 降低病毒对系统的威胁 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 14 移动存储介质交叉使用的泄密隐患在日常工作中 我们经常要使用能上网的计算机 从互联网上获取一些有用的数据和信息 并通过移动存储介质将这些数据和信息导入到涉密计算机中 这个过程也存在着泄密隐患 在互联网上 存在一类叫间谍软件的恶意代码程序 就是针对我们交叉使用移动存储介质来窃取涉密信息 当优盘在与互联网连接的计算机上使用时 优盘可能被间谍软件悄悄感染 如果把被感染的优盘拿到涉密计算机上交叉使用 优盘上的间谍软件就会感染涉密计算机 并收集涉密计算机上的涉密信息 在使用人员毫无知觉的情况下 把收集到的涉密信息压缩 存储到优盘内 当该优盘再次与互联网计算机相连时 恶意代码会悄悄地把收集到的涉密信息发送到互联网上的某个邮箱内 造成信息泄密 这类间谍软件最典型的代表就是 摆渡 木马 国家保密科学技术研究所 涉密存储介质数据删除带来的隐患在现实生活中 由于设备更新 原来处理涉密信息的计算机可能需要调整到非涉密部门使用 有些人认为 只要把存储在涉密存储介质中的涉密信息删除掉 就可以交给非涉密计算机来使用了 但是 简单地数据删除 并不能根本彻底地把涉密信息给消除掉 使用数据恢复软件 可以对涉密存储介质数据区中的信息进行分析处理 很轻易地恢复删除前的内容 如果没有按规定管理涉密存储介质 即使对其进行格式化操作 也不能保证格式化前涉密信息的安全 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 16 涉密存储介质维修和销毁过程中的泄密隐患以下行为都存在泄密隐患 涉密计算机 涉密介质出现故障需要维修或销毁时 不到保密部门确定的涉密计算机定点维修站和涉密介质定点销毁站进行处理 随意选择计算机公司进行维修对无法修复以及报废淘汰的计算机和存储磁介质 随意乱扔和丢弃注意 对于损坏的涉密存储介质 采用一定的数据恢复措施 可以读出其中未损坏部分的数据 造成涉密信息的泄漏 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 17 4 1 1 6数字复印机数字复印机一般都含有海量存储硬盘 所有经过数字复印机复印的文件都被扫描存储在海量硬盘中 数字复印机功能复杂 出现故障只能专业人员进行维修 维修时通常使用笔记本电脑进行故障分析 如果没有管理人员在场监控 化装成维修人员的间谍就很容易通过笔记本电脑盗取复印机中的内容 造成泄密 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 18 4 2 1 7打印 复印 传真一体机当前 集打印 复印 传真等多种功能为一体的多功能一体机由于占用空间小 办公效率高 使用方便 在党政机关的办公环境中得到了广泛地应用 保密安全检查中发现 多功能一体机在涉密单位的应用也较多 多功能一体机如果与涉密计算机相连用于涉密文件打印 同时与市话网络相连用于收发普通传真 这样就造成打印的涉密信息 传真的非涉密信息和复印的信息都存储在同一片存储区中 将容易造成打印时存储在内存中的涉密信息泄漏 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 19 4 2 1 8路由器协议或域名解析服务器路由代码非常复杂 目前已经发现并已修复了许多重要的安全问题 但是仍旧可能存在许多更严重的问题 并且很可能被黑客发现和利用 DNS软件过去经常发生缓冲溢出这样的问题 在以后也还可能发生类似的问题 攻击者通常会从头到脚 非常仔细地检查一些主流路由器和DNS服务器的服务程序代码 寻找一些能够使目标程序或设备彻底崩溃或者取得系统管理权限的缓冲溢出或其它安全缺陷 如果攻击者发现了路由或DNS的安全漏洞 并对其进行大举攻击的话 大部分因特网将会迅速瘫痪 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 20 4 2 1 9电话利用电话系统的某一部分或者直接在电话中安装窃听器等手段窃听房内谈话声 这是一种最传统的窃听手段 对这类窃听手段最好的防范措施包括人防和技防 人防即加强人员管理 杜绝内部人员投敌后在涉密电话上安装窃听器 技防即采用反窃听检测设备 定期对重要部门的涉密电话进行反窃听器检测 电话反窃听技术主要有电话窃听报警器和电话分析仪探测器两种 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 21 4 1 2软件软件安全是软件领域里一个重要的子领域 在以前的单机时代 安全问题主要是操作系统容易感染病毒 当时普通的单机应用程序软件的安全问题并不突出 但是自莫尔斯做出第一个网络病毒之后 安全问题开始真正进入了公众的视野 尤其是Intemet的大力普及 网络安全问题变得愈加突出 软件安全的重要性被提升到了一个前所未有的高度 国家保密科学技术研究所 4 1 2 1操作系统操作系统负责对计算机系统各种资源 操作 运算和计算机用户进行管理与控制 它是计算机系统安全功能的执行者和管理者 是所有应用软件运行基础 其安全主要表现在操作系统本身的缺陷带来的泄密隐患 操作系统安全配置问题 以及病毒对操作系统的威胁等方面 国家保密科学技术研究所 1 操作系统的复杂性带来了许多系统漏洞 漏洞是指系统由于自身结构复杂 安全设计不周等原因 在研制过程中产生的先天技术缺陷 IBM专家认为大型软件每1000至4000行源程序就可能存在一个漏洞 像Windows这样的操作系统 有5000万行源程序 据此估算 可能有20000个以上的漏洞 2007年上半年 国家计算机应急处理中心共整理各类漏洞186个 其中高危漏洞29个 Windows是我国党政机关和军队等要害部门中办公计算机最常用的操作系统 功能强大 使用方便 但因为系统复杂 不可避免地会存在许多漏洞 其中IIS是Windows组件中漏洞最多的一个 国家保密科学技术研究所 Windows新推出的操作系统Vista已经进行过数次升级 并被称为史上最安全的操作系统 在发布前 微软的高层也多次表示 Vista能阻挡90 以上的病毒入侵 但根据最新调查显示 其已知漏洞 严重错误代码依然有100处以上 据欧洲一家软件公司统计 Vista存在100处以上已报告错误代码 其中17 错误代码能够导致1000种运行问题 在过去三个季度中 微软不断改进Vista代码并提供新补丁 错误代码的发现速度依然高于解决速度 此外 现在利用漏洞进行攻击的代码出现得越来越快 甚至微软尚未发布官方补丁时 相关攻击代码或者病毒已经在利用该漏洞疯狂肆虐 最近出现的 艾妮 蠕虫病毒就是典型例证 该病毒利用存在于WindowsVista XP等主流操作系统中的鼠标动态光标文件漏洞 即 艾妮 漏洞 进行传播 零日漏洞 零日攻击 国家保密科学技术研究所 针对系统漏洞带来的泄密隐患 传统的解决方式是经常升级系统 及时打好补丁 但有时补丁中也可能含有木马等攻击程序 这样就可利用正常的补丁安装途径传播病毒和木马等恶意代码 如果涉密信息系统下载了这种恶意补丁 就可能造成严重的危害 二十世纪90年代美国攻打伊拉克时利用伊拉克使用的印度制造的打印机 通过Windows补丁升级时将病毒下载安装到打印机上 通过对Windows每月公布的补丁漏洞进行分析发现 有时前后两个文件改动了成百上千个函数却只修补了一个漏洞 其中很有可能又添加了一个新的漏洞 例如 在IE6 0升级为IE6 1时就引入了一个新漏洞 国家保密科学技术研究所 2 操作系统依赖进口 为敌对势力预设后门提供可能 Windows是美国微软公司的产品 其中隐藏了序列码和窥视 后门 对我国的信息安全保密构成了隐患 加拿大的专家安德鲁 费尔南德斯八年前曾发现微软在Windows2000和WindowsNT4 0操作系统中隐藏的秘密后门 第2把 密钥 其代号为NSAKEY 而 NSA 表示 美国国家安全局 该密钥可能就是美国国家安全局访问最高级别Windows软件代码的 钥匙 微软公司和Netscape公司曾宣布 为促进网上传输信息的安全 决定向网络浏览器软件用户提供高强度的加密功能 他们称采用了128位长的密钥 绝对可靠 但实际上 这些软件也有 功能降低区 128位中的88位掌握在美国国家安全局的手中 国家保密科学技术研究所 3 操作系统自身安全性不完善 导致信息被篡改和被窃 目前使用的操作系统如Windows等 其安全等级比较低 最多达到C3级 操作系统结构中对信息安全保密缺乏有效隔离保护措施 程序和执行代码可以随意地植入 导致信息的篡改和被窃 例如病毒就是利用程序的随意添加与删除进行破坏 Cookie虽然方便了编程者 但同时也方便了破坏者 其根本问题是操作系统没有强制访问控制和有效认证机制 对此 美国早就规定国防系统必须使用B1级以上的安全操作系统 对于高安全级别的操作系统 国外一般明令禁止出口 同时国内引进该类系统也主要作为研究用 实际应用原则上必须采取国内产品 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 28 4 1 2 2常见的软件安全缺陷共享数据在网络上共享数据时 由于缺乏对共享数据的有效保护与验证 从而导致恶意用户可以利用共享数据来进行攻击 错误处理通常情况下 计算机进行错误处理时都会将一些信息返回给用户 这些返回的出错信息就有可能会被恶意用户所利用 进而对一些用户的计算机进行攻击 恶意用户可以通过分析返回的错误信息进而知道下一步要如何做可以使攻击成功 如果在错误处理时调用了一些不应有的功能 那么错误处理的过程就会被利用 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 29 编程接口上的缺陷所谓编程接口上的缺陷 是指软件所提供的编程接口上存在的安全缺陷 比如 WindowsNT操作系统的登录接口库GINA曾经就存在这样的缺陷 该操作系统的普通用户可以通过采取一定的方法 进而在这个编程接口拦截所有用户登录的用户名与密码 在IE中 更是有大量的编程接口缺陷存在 许多的病毒或是木马程序都可以利用这些编程接口来进行攻击 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 30 4 1 2 3木马木马已经取代感染式病毒和蠕虫在恶意代码中不可动摇的地位 成为当今恶意代码的主流 2006年上半年与2007年上半年新截获各类病毒对比如下 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 31 2007年上半年新截获各类病毒比例 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 32 2007年上半年度十大病毒排名 木马占一半 国家保密科学技术研究所 木马之所以会发展如此之快 是因为当今恶意代码的主流不再以比拼技术为主 而是以快速获利为目标 木马开发周期短 上手快 可以最少的成本来获取最大的收益 正迎合了当今恶意代码的发展方向 而传统的感染式病毒和蠕虫技术门槛相当高 开发周期长 不能达到快速获利 而且在原代码的基础上变种更新相当困难 复用性不强 注定了已经不适应当前恶意代码的形式 在以上的分析中可知 木马现已占据了一半以上的恶意代码数量并不断的增加 因此已成为当今恶意代码的主流 已经取代感染式病毒和蠕虫在恶意代码中不可动摇的地位 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 34 木马类别根据木马功能的差异 可以把木马分为以下几类 远程控制型木马 客户端 服务端 信息收集型木马系统配置修改型木马后门服务型木马 国家保密科学技术研究所 1 远程控制型木马 客户端 服务端 此类木马是目前最流行的木马 一般有两部分组成 控制端 客户端 和服务端 有时也有服务配置端 用于对服务端进行各种设置使其适合特定的需要 此类木马首先需要把服务端植入要攻击的目标系统并使其运行起来 然后进行控制端与服务端的连接 服务端与控制端连接成功后 利用控制端就可以对目标机器进行木马所定义的功能操作 几个著名的木马如BO2K 冰河 广外女生 Subseven Netspy均为此类 国家保密科学技术研究所 2 信息收集型木马此类木马被植入目标系统并运行后 木马会记录或收集系统各类重要的信息 如窃取用户名 系统口令 QQ密码 记录系统操作 键盘按键情况等 并把其通过一定的方式发送给特定的攻击者 3 系统配置修改型木马此类木马在目标系统上运行后修改系统的配置 例如共享木马 其运行并修改注册表使磁盘共享随后关闭 4 后门服务型木马此类木马植入目标系统运行后打开一特定的后门服务 以便攻击者进入此系统 例如Win ftp木马 此木马运行后打开TCP端口21 控制端可以由此端口进入此系统 主要的后门类型有 FtpServer HTTPServer TelentServer等 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 37 木马特性木马攻击技术实施的有效性依赖于木马在目标系统中的生存能力 木马在目标系统中的生存能力主要是提高自己在目标系统中的隐蔽能力 木马技术发展的主要目标是不断提高木马在目标系统中的隐蔽能力 因此隐蔽性是木马最主要最基本的特性 木马为了隐蔽于目标系统中而不被用户发现 会使用各种手段欺骗用户 对自己进行隐蔽伪装 掩盖由于其本身存在而在目标系统中可能产生的种种迹象 木马的隐蔽性主要体现在 国家保密科学技术研究所 1 隐蔽运行首先木马运行时外观的隐蔽 通常情况下 木马在系统中运行时外观上是隐蔽的 不会打开程序窗口 不会在任务栏中显示 也不发出声音以及其它容易被用户发现的现象 隐蔽运行的主要方面是对运行木马的存在形式进行隐蔽和欺骗 木马只要在目标系统中运行 在目标系统运行空间内肯定会以一定的形式存在 木马通常会对这种运行形式进行隐蔽和欺骗 2 隐蔽启动木马植入目标系统后会在系统每次启动时隐蔽地启动 或者在系统运行时在一定的触发条件满足时启动运行 国家保密科学技术研究所 3 隐蔽通信木马通常要与控制端通信 木马一般会对其通信加以隐蔽 4 木马程序在宿主机磁盘中的隐蔽木马植入目标系统后会在宿主磁盘空间中生成自己的木马文件 木马为了不被当作可疑文件 一般会在木马文件的命名上 文件类型的外观上 文件属性上欺骗目标系统的用户 有的木马会在目标系统磁盘上生成多个副本 避免被发现会后被完全删除 有的木马会与目标系统的系统文件捆绑一起或替代系统文件 使得难以被发现及删除 国家保密科学技术研究所 3木马植入方法利用木马进行攻击的第一步是把木马程序植入到目标系统里面 以下是攻击者植入木马的主要手段 1 欺骗用户下载执行木马程序通常自称为优秀的工具或游戏等诱使别人下载并执行 一旦用户下载执行在显示一些信息或画面的同时木马被植入系统 2 通过电子邮件来传播木马程序作为电子邮件的附件发到目标系统 一旦目标系统的用户打开此附件 木马 木马就会植入到目标系统中 以此为植入方式的木马常常会以HTML JPG BMP TXT ZIP等各种非可执行文件的图标显示在附件中 以诱使用户打开附件 国家保密科学技术研究所 3 浏览网页时植入目标系统用户在浏览网页时 木马通过Script ActiveX及XML Asp Cgi等交互脚本植入 由于微软的IE浏览器在执行Script脚本上存在一些漏洞 攻击者把木马与一些含有这此交互脚本的网页联系在一起 利用这些漏洞通过交互脚本植入木马 4 攻击者入侵目标系统后植入此种情况下木马攻击作为对目标系统攻击的一个环节 以使下次随时进入和控制目标系统 国家保密科学技术研究所 5 利用系统的漏洞进行传播此方式是攻击系统的一个重要途径 如著名的IIS服务器溢出漏洞 通过一个IISHACK攻击程序可使IIS服务器崩溃 同时执行远程木马文件 将木马植入目标系统 6 利用应用软件漏洞或与应用软件捆绑进行木马植入如著名的Internet交换文件工具KaZaA Grokster和LimeWire免费P to P软件在一段时期捆绑了ClickTillUWin的在线抽彩客户机程序 包含一个将用户信息发送给软件开发商的木马程序W32 DlDer Trojan 一旦目标系统使用了此交换软件 则W32 DlDer Trojan就会被植入系统 国家保密科学技术研究所 7 与病毒结合利用病毒传染进行木马植入与病毒结合在一起构成复合的恶意程序 利用病毒的传染性进行木马的植入 CodeRed Sircam Nimda等都是病毒和木马相结合的恶意程序 目标系统被感染的同时 也会被植入这些恶意程序的木马部分 8 直接接触目标系统植入由于管理上的疏漏或物理防范措施的不足 攻击者得以接触目标系统并直接操纵目标系统 人工进行木马的植入 国家保密科学技术研究所 木马的发展趋势 1 通过修改虚拟设备驱动程序 VXD 或修改动态链接库 DLL 来加载木马的技术这种方法与一般方法不同 它基本上摆脱了原有的木马模式 监听端口 而采用替代系统功能的方法 改写vxd或DLL文件 木马会将修改后的DLL替换系统已知的DLL 并对所有的函数调用进行过滤 对于常用的调用 使用函数转发器直接转发给被替换的系统DLL DLL进行监听 一旦发现控制端的请求就激活自身 绑在一个进程上进行正常的木马操作 这样做的好处是没有增加新的文件 不需要打开新的端口 没有新的进程 使用常规的方法监测不到它 运行时 木马几乎没有任何症状 且木马的控制端向被控制端发出特定的信息后 隐藏的程序就立即开始运作 国家保密科学技术研究所 2 躲避防火墙的检测和过滤的反弹木马技术防火墙对于从外连入的链接往往会进行比较严格的过滤 但对于连出的链接疏于防范 不管什么防火墙都不能禁止从内网向外网发出的链接 用户要上网必须要从内网向外网发出连接 使用80端口 这也是防火墙的弱点和盲区 反弹木马技术正是利用防火墙的这一特点 植入到目标的服务端访问一个个人主页空间 而客户端在个人主页空间设置一个标志文件 当客户端想与服务端建立连接时 通过个人主页空间上的指定文件来实现 客户端在个人空间上的指定文件上设置好自己的IP地址 服务端通过该IP地址主动向客户端发起连接 而客户端是被动连接 这样即使用户检查端口 也会以为是自己在浏览网页 客户端通过此种方法来实现控制 国家保密科学技术研究所 3 可重用性趋势增强可重用性问题是指在信息对抗和信息战中 一旦一个木马的版本被起获后导致种植了该木马的大量节点的其他木马因为反病毒软件添加规则被起获 可重用性方式包括三种 一是加以外部处理 如加壳 加密手段 二是特征码规避 境外官方机构已经可以直接通过反病毒定义的方式快速定位到反病毒厂商的特征码位置 进行特征码规避 三是一些有目的的木马采用导引头分发模式 其loader能够判断防火墙和反病毒软件的版本和类型 因此所分发下的loader模块无需对抗所有的防火墙及反病毒软件 只需对抗本机上的防病毒软件和防火墙 国家保密科学技术研究所 4 rootkit化及高度硬件化现今50 以下木马已经高度底层化 可以逃过所有公开的免费 商用反rootkit工具检测 仅靠重装已不能确保硬件的安全 5 微环境化多采用仅遗留一个小shell 或采用非默认安装早期有漏洞版本以合法形式引入漏洞的方式进行 6 利用反病毒软件反病毒软件是易于获得的安全资源 利用这个软肋 对一个样本采用所有反病毒软件进行集中扫描 将其改到所有防病毒软件都无法查出 另外动态跟踪反病毒软件升级 国家保密科学技术研究所 7 手机木马的难查性现阶段手机的杀毒软件尚没有日常更新升级渠道 也难以建立实时监控环境 现很多手机具有程序添加自动升级模块 如果升级站点被攻陷 极可能造成大面积恶意控件分发 8 病毒与反病毒对抗向体系化对抗上升的趋势前阶段一个以多种反病毒引擎扫描上报文件以帮助用户判断病毒类型的网站被通过僵尸网络不断构造出垃圾可执行程序进行饱和式提交攻击 使得原本在一分钟之内就可以完成检测的样本在提交后几百天才能够被检测到 造成能力瘫痪 国家保密科学技术研究所 特种 木马 攻击窃密过程演示 恶意代码网页 http 恶意代码网页 互联网区 外网区 内网区 逻辑隔离 物理隔离 第一步 攻击者向外网用户发送一封邮件 其中包含指向被挂马页面的链接 第二步 外网用户打开邮件 并点击链接 打开网页 被植入特种木马 第三步 攻击者通过木马控制外网用户计算机 并窃取计算机中的文件 第四步 攻击者向被控计算机植入文件搜集型木马 自动收集U盘中文件 第五步 用户违反保密规定 在互联网计算机上使用存有涉密文件的涉密U盘 导致泄密 国家保密科学技术研究所 特种 木马 检查监测过程演示 互联网区 外网区 逻辑隔离 国家保密科学技术研究所 4 1 2 4常见软件安全的测试手段要打造一个安全的软件 就必须通过一定的方法来进行测试才能使得软件变得更安全 下面介绍一些常用的测试手段 1 测试空间扫描针对一些最容易出现漏洞的测试空间 我们通常要进行测试空间的扫描 比如说 网络端口 字符串数据及整数等 1 端口扫描 对于一些网络端口 我们可以通过对其进行端口扫描 来发现软件中是否有未被允许的端口被打开了 或是是否可以发送一些攻击性数据到指定端口并且能够得到响应 2020年4月6日 国家保密科学技术研究所 51 国家保密科学技术研究所 2 字符串扫描针对字符串这种测试空间大且划分困难的可变数据 我们通常需要借助攻击字典来实现对其测试空间的扫描 例如 在测试Web服务器上的URL时 如果是通过设计用例来手工逐个输入进行测试的话 那么不但效率低而且成本也会很高 正确的方法是将各种可能的URL放到一个字典文件里 通过读入文件里的URL来进行自动测试 国家保密科学技术研究所 3 网络数据扫描针对网络中传输的数据 可以通过采用伪装的方式来对网络传送数据的测试空间来进行测试 这种测试方法可以采用以下两种方式进行 第一 自行编写伪装服务器或客户端来进行测试 并设计用例来进行攻击 第二 使用SnifferPro Netxray等抓包软件来捕获网络数据报文 并进行数据修改或构造攻击报文 然后再发给受攻击机器 国家保密科学技术研究所 程序数据扫描对于一个有安全性需求的软件 在其运行过程中 数据是不允许遭到破坏的 否则就会导致一些系统攻击 针对这种测试空间 通常采用的测试手段是进行内存测试 内存测试可以发现很多诸如缓冲区溢出之类的漏洞 而这类漏洞若使用其它的测试手段是很难发现的 在内存扫描时 可以先让程序运行一段时间 然后把程序中的内存数据保存到文件里 接着再进行搜索 看是否存在可疑的内容 比如输入过的密码等信息是否还在里面等 同时 还要验证程序运行过程中的程序代码等静态数据是否遭到了破坏 当然这需要由专门的工具来进行 若要手工实现将会很困难 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 55 已知缺陷空间扫描对于已知缺陷空间的扫描 通常是借助已有的缺陷扫描工具来扫描 进而检测是否存在已知的缺陷 对于不同种类的应用软件 它所需要的工具可能也不尽相同 比如网络软件 一般都是使用漏洞扫描工具来进行扫描 从而检测是否存在已知的缺陷 需要注意的是 在对已知缺陷进行扫描时 需要将已经发生的缺陷纳入到缺陷库中 通过自动化测试方法来对已知缺陷进行测试 当修改完软件之后 就可以使用自动化的缺陷库进行轰炸测试 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 56 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 57 4 1 3其他4 1 3 1可信计算在信息安全的实践中 人们逐渐认识到 大多数安全隐患来自于微机终端 因此必须确保源头微机的信息安全 而这必须从微机的芯片 硬件结构和操作系统等方面综合采取措施 由此产生出可信计算的基本思想 国际可信计算组织 TrustedComputingGroup TCG 对可信的定义 可信是一种期望 在这种期望下设备按照特定的目的以特定的方式运转 可信是指 一个实体在实现给定目标时其行为总是如同预期一样的结果 强调行为的结果可预测和可控制 国家保密科学技术研究所 基于TCG关于可信的定义 在ISO IEC15408标准中给出了以下定义 可信计算是指一个可信 trusted 的组件 操作或过程的行为在任意操作条件下是可预测的 并能很好地抵抗应用程序软件 病毒以及一定的物理干扰造成的破坏 可见 现代关于可信的概念 从 身份和权限 最终落实在行为可信上 行为的可信性就是考察行为对预期的满足性 可以表现为对发生行为的预期和实际结果之间差距的认识 把握 控制 调整和改变上 而可信计算解决的是计算机范围内的资源应用的可信性问题 国家保密科学技术研究所 可信计算发展历程可以简单列举如下 80年代中 美国国防部国家计算机安全中心制定了可信计算机安全评价标准 TCSEC 1991年 英国 法国 德国 荷兰四个国家提出了信息技术安全评价准则 ITSEC 1993年1月 美国公布了融合ITSEC的可信计算机安全评价准则之联邦准则 1999年10月 IBM 英特尔 微软 惠普等厂商组织成立了可信计算平台联盟 TCPA 2003年3月 国际可信计算组织成立 TCPA改名TCG 2003年10月 TCG发布了可信平台模块 TPM 1 2版本的核心规范 2004年6月 武汉瑞达推出国内首台基于TPM的计算机产品 2005年1月 我国成立国家安全标准委员会WG1可信计算工作小组专门规划相关标准 国家保密科学技术研究所 可信计算平台应具有数据完整性 数据安全存储和平台身份证明等方面的功能 一个可信计算平台必须具备4个基本技术特征 安全输入输出 SecureI O 存储器屏蔽 memorycurtaining 密封存储 sealedstorage 和平台身份的远程证明 remoteattestation 可信计算的基本思想是 首先构建一个信任根 再建立一条信任链 从信任根开始到硬件平台 到操作系统 再到应用 一级认证一级 一级信任一级 把这种信任扩展到整个计算机系统 从而确保整个计算机系统的可信 我国可信计算研究专家的观点 可信 安全 可靠 可信计算系统是能够提供系统的可靠性 可用性 信息和行为安全性的计算机系统 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 61 一个可信计算机系统由可信根 可信硬件平台 可信操作系统和可信应用系统组成 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 62 目前可信计算发展中存在的一些问题理论研究相对滞后 部分关键技术尚待攻克 无论是美国还是中国 在可信计算领域都处于技术超前于理论 理论滞后于技术的状况 至今尚没有公认的可信计算理论模型 缺乏配套的标准规范 目前TCG给出了可信计算硬件平台的相关技术规范和可信网络连接的技术规范 但还没有关于可信操作系统 可信数据库 可信应用软件的技术规范 对可信评测方法的研究相对薄弱 对基于可信计算的产品的评价如何做到客观 公正 需要解决两个问题 一是评价标准 二是如何为 可信 分等级 可信计算的应用需要开拓 国家保密科学技术研究所 保密应用系统的建设应参照相关的标准和规范体系进行建设与实施 如 电子政务标准化指南 征求意见稿 关于我国电子政务建设的指导意见 国家行政机关公文格式 中国共产党公文管理条例 国家行政机关公文管理办法 中华人民共和国档案法 计算机信息系统保密管理暂行规定 计算机信息系统国际联网保密管理规定 等 4 2应用研究 国家保密科学技术研究所 4 2 1办公自动化4 2 1 1建设思路统一集成办公环境 利用这一功能进行办公系统与内部门户之见的整合 同时可以集成本项目各子系统的应用 还具备充分的扩展性 能够连接与集成各业务系统 使所有用户在统一的界面上使用不同的软件系统 统一信息门户平台 将为内部信息发布提供一个有效地场所 如电子公告牌 电子论坛等 还有办公业务资源库中各种规章制度 新闻简报 技术交流 公告事项等 能及时传播 并可根据信息的种类不同设置了是否需要流程审批 2020年4月6日 国家保密科学技术研究所 64 国家保密科学技术研究所 3 统一工作流平台应能够实现机关内公文的电子化流转 公文范围应全部或基本覆盖纸质办公时期的所有公文类别 包括收文管理 发文管理 呈批件 公告栏 会议管理 档案管理 报表传递等 均采用电子起草 传阅 审批 会签 签发 归档等电子化流转方式 并采用尊重工作人员传统办公习惯的人性化设计 国家保密科学技术研究所 2020年4月6日 国家保密科学技术研究所 66 4 2 1 2系统架构系统的数据库统一存放在服务器上 确保数据的安全性 系统由五个部分组成 网络系统层应用支撑平台信息交换层应用层安全体系 从网络安全 系统安全 应用安全灯方面建立完善的信息系统安全保障体系 保护网络系统的可用性和连续性 防