《內存戰爭20年》 TK于旸首提“全時視野”漏洞防御理念
責編:rhliu |2015-07-09 19:36:312015年7月1日,中國網絡安全大會在國家會議中心召開,知名黑客、騰訊玄武實驗室負責人于旸(網名“TK”)在《內存戰爭20年》演講中首提“全時視野”的漏洞防御理念,于旸認為漏洞防御從設計時到開發時、到編譯時、到運行時,每一時都應有相應的技術體系和方法去保障安全。
于旸解釋,“內存戰爭”指的是“發生在內存中的戰爭”,“20年”是指1995年至今的20年。雖然在95年之前,IT史上也發生過漏洞攻擊事件,但直到1995年Peter Zatko發表《How to Write Buffer Overflows》,人們開始關注緩沖區溢出漏洞的攻防,內存才真正的成為一個“你攻我守”的戰場。
輕視–行業悲劇
用于旸的話說,95年之前,漏洞攻擊更像是攻擊者對被攻擊者的無情“毆打”,因為被攻擊者根本沒有防御的意識,整個社會、行業并沒有對漏洞攻擊給予足夠的重視。
1972年,James P. Anderson為美國空軍攥寫的《計算機安全威脅監控與監視》已經詳細地描述了今天已知的很多種漏洞類型,清晰地描述了關于“木馬”和“后門”的概念,甚至詳細的技術細節,有關“緩沖區溢出”也被提及,但并未引起注意。
1988年Morris蠕蟲在數小時內感染了當時互聯網上10%的服務器,總算是讓人們看到漏洞的威力,正所謂“只有真正出了事情才會知道這個事情的重要性,這是這個行業的悲劇”。但很多程序員仍然認為緩沖區溢出只是導致一部分程序崩潰的Bug,相關技術也只在非常小的圈子里被討論。
內存攻守之戰正式打響
95年之后攻方和守方在內存這片“土地”上針對“緩沖區溢出”展開了一輪又一輪的攻守之戰。
守方:兩大緩沖區溢出漏洞防御思路誕生
1997年Sun公司在Solaris2.6中借助SPARC處理器的新特性,實現了禁止執行堆棧上的代碼。同年基于程序返回地址完整性檢測的緩沖區溢出動態檢測技術StackGuard誕生。巧合的是這兩種技術一個是基于硬件、一個是基于軟件,可謂開創了緩沖區溢出漏洞防御的先河,這兩種漏洞防御思路被沿用至今。
攻方:繞過防御技術
在緩沖區溢出漏洞防御技術誕生不久,繞過這兩種技術的對抗技術也誕生了。1997年8月繞過硬件的內存不可執行位的對抗方法被提出,同年12月,又有兩個人提出了繞過StackGuard的方法。
內存戰爭發展
之后,內存緩沖區的攻守雙方一直上演著矛與盾的游戲,不斷有新的漏洞防御技術產生,也不斷有新的“繞過”方法出現。比如微軟在windows系統及VC++編譯器上加入了各種溢出保護機制,以試圖阻止這類攻擊,可惜每次公布溢出保護機制之后,不久就有人公布繞過方法。
2003年“防止溢出”、“繞過防御”的技術統統在個人電腦上出現了,“內存對抗”就開始進入白熱化階段了,因為個人電腦影響面遠遠大于服務器,各種各樣的技術在內存中混戰。2009年,戰火從服務器、個人電腦,燒到了手機,Android系統在2009年引入了類似StackGuard的機制,2010年引入了內存不可執行(No-EXecute),2011年引入了地址隨機化(ASLR),2013年把SEAndroid技術引進進去。
“全時視野”漏洞防御理念
于旸總結認為,漏洞挖掘、攻擊和防御等相關技術的發展,其實和人類社會的發展很類似,是一個從原始到現代、從粗放到集約的發展歷程。
漏洞挖掘:從早期的個人能力、人工操作、個人經驗,逐步向自動化和工程化發展,到了今天,漏洞挖掘已經發展成非常成熟的工業體系。
漏洞攻擊:最早的漏洞攻擊方法我們可以抽象成為利用內存中的數據,發展中期以黑伯斯布瑞(音譯)為主的創造數據的技術,到今天發展為在內存中進行字節級的控制。
漏洞防御:
- 1、現在已經發展到“縱深防御”程度,最典型的廠商就是微軟,其思路是減少可利用的漏洞,以微軟新推出的延遲釋放和隔離堆等技術為代表。
- 2、降低漏洞利用成功率,漏洞再怎么減少也是不可能杜絕的。那么對于實在存在的這些漏洞,降低利用成功率。再怎么降確實還有一些漏洞會被漏洞利用成功,怎么辦?
- 3、增加漏洞代碼編寫成本,再怎么對抗最后也是成本對抗。
- 4、駭客如果不惜一切代價來攻擊,假設攻擊成功了,最后的辦法是降低漏洞利用帶來的危害,這方面以沙箱技術為代表。
從更大的視角來看,現在漏洞防御已經從早期的“單點”發展到 “全時視野”,從設計時到開發時、到編譯時、到運行時,每一“時”都有相應的技術體系和方法去保障。同時,增強業界上下游合作關系,比如,上游英特爾、微軟在中間、下游以Adobe為代表的業界合作模式。此外,還可以進行社區建設,比如贊助活動、舉辦會議、懸賞獎勵等等。總之,無論是攻擊還是防御技術,都已經進入綜合、融合、協同、多維度的發展階段。
