入侵防范技术动态分析
许榕生
(国家计算机网络防范中心 中科院高能所计算中心 北京 100007)
目前的互联网基本上还是美国在APARNET基础上发展起来的,至今用的仍然是十多年前科研机构系统用的TCP/IP第四版本。由于当初对安全问题缺乏考虑,基于黑客病毒在互联网上日益猖狂的行为,近年来各国都在千方百计加紧对网络入侵防范的工作。我国几年来的互联网发展基本上是移植国外技术,从关键设备、操作平台到大量应用软硬件遍及了科研、商业和政府机构的网络系统,在安全意识上存在较多的盲目性。现在提出的宽带网建设,同样存在许多安全方面的盲区。
网络安全的研究从几年前的漏洞扫描、防火墙到入侵检测系统产品,在一定程度上抵御了一部分黑客的攻击。然而,事实证明黑客攻击的手法层出不穷,一个绝对可靠的防御体系是不存在的。国际上于今年(2002年)6月在夏威夷召开的第14届FIRST(Forum of Incident Response and Security Teams)年会,研讨了当前计算机安全应急响应的策略及技术的若干新思路。
与会者交流了在网络漏洞和脆弱性分析以及计算机安全方面的最新进展,讨论的主题主要集中在网络入侵取证方面:与其相关的会议报告共有6篇(占30%),罗列如下:《取证的发现》;《硬盘文件系统的内部结构》;《对Windows XP客户端的取证》;《计算机取证在网络入侵调查中的重要作用》;《计算机取证协议与步骤的标准化》;《Pdd:手持式操作系统设备的存储映像与取证分析》。
除了《计算机取证协议与步骤的标准化》来自巴西外,其余均来自美国,其中《取证的发现》由大会主席、著名网络安全专家Wietse Venema先生亲自作的。另外,报告包括了计算机取证技术的最新研究结果,软件技术与硬件成果,政策与标准化问题。
与上届FIRST年会相同,本届论坛针对取证方面的讨论更加热烈。从第一天上午和下午的主题发言开始,发言内容仔细介绍了网络入侵取证的定义、工具及方法。指出计算机取证与真实生活中的侦探工作相似,即当一个人被杀后,侦探会开始一系列的调查工作:首先,保护和隔离犯罪现场;然后,拍照并作记录;最后,开始调查并收集和整理所有能发现的证据。计算机取证分析的主要目的是尽可能真实地恢复出过去发生的事情;在取证过程中,做出最后判断之前应将各种可能得到的信息关联起来。计算机系统在受到攻击后被安装后门、删除文件等,如何能重建过去的行为、恢复被删除的文件?利用文件存储的一些内部结构特点并结合诸如Coroner’s Toolkit中的一些工具,能较好地恢复这些文件信息,从中发现许多鲜为人知的东西。有关这方面的工具近年来已有重要进展,下面是会上列出一部分参考工具资料:
The @stake SleuthKit(TASL)用来展示实际场景中的工具;
The Coroner’s Toolkit(TCT)可译为“验尸官工具包”或“取证剖析工具包”,另外TCTUTILs也能被用来文件剖析;
TASK是针对文件系统分析的取证命令行工具的集合,这些工具解析文件系统的结构,它不依赖内核的支持。TASK能从网站(http://www.atstake.com.research/tools/task)上找到;
TCT & TCTUTILs(只在UNIX下使用的)能从这里找到:
www.fish.com www.porcupine.org www.cerias.purdue.edu/homes/carrier.
论坛也多次探讨到有关计算机取证存在的问题与困难,举出至少需要关注的七个问题:
搜集或检查会改变证据的原始状态;
计算机数字调查和证据对法律执行、法庭和立法机关来说是个新生事物;
爆炸性增长的数字媒体密度和普遍深入的计算机平台;
数字化数据或隐藏数据的非直观性;
信息技术及广泛应用在日益变化;
合格的取证人员的技能与培训;
数字信息的短暂性(转移)。
发言代表们还列举了一些数据并对进一步发展取证工具的需求作出一些分析。
1 计算机犯罪导致经济埙失的数字正在增长
CS《计算机科学杂志》/联邦调查局2002年的数据显示了一致的上升趋势...
来自计算机犯罪的经济损失从2000年的大于2.653亿美元增加到2002年的大于4.558亿美元。
来自知识产权剽窃的损失从2000年的大于300万美元增加到2002年的大于650万美元。
2 相关因素可能的增长趋势
经济状况。失业的增长(尤其涉及那些.com类型的计算机专业人员)、股票市场希望值的降低。
对技术不断增加依赖。通过比较如今与5~7年前的黑客行为可获得的启示。
增多的接入数量。比较如今与5~7年前的网络接入用户的数量。
3 反恐怖战争中的网络攻击,历史上的先例
以色列/巴勒斯坦冲突引发信息对抗;
对应中东的武力冲突,以巴之间的网络战也在过去几年中不断升级;
自1999年末到2001年初期间以色列网站被损毁的情况对应于当时的政治事件,通过对比可以反映出真实世界与网络世界冲突的紧密联系。
4 内部人员依然可解释为最严重且代价高的入侵事件的原因
内部系统了解、目标清楚;
允许进入一定深层的系统资源;
动机因素。不满的员工、内部竞争者及外部的竞争;
机会因素。真实(物理)地进入、共用管理口令及进入alpha/beta系统。
5 作为证据的数据量在不断膨胀
带宽增大。千兆位以太网、光纤网;宽带家庭连接(DSL、Cable、SAT);高速无线网络(802.11a、3G telecom)。
存储能力增大。存储能力增长超过摩尔定律。
6 系统产生过多的日志或事实上根本没有日志
上述后两个问题是对计算机取证技术研究提出了尖锐挑战。计算机取证本身是一门针对计算机入侵与犯罪进行证据获取、保存、分析和出示的科学与技术。证据的分析可以看作是对受侵计算机系统进行详细的扫描过程,对入侵的事件过程进行重建。所提供的计算机证据与分析必须能够给法庭呈堂供证。据1995年的一项美国Secret Service调查报告指出,美国70%的法律部门已拥有自己的计算机取证实验室,美国近年来披露出丰富的计算机取证实用工具与产品。
传统防范工具有其各种局限。防火墙用于网络隔离与过滤,仅类似于门岗;大多数入侵检测系统(IDS)依赖于网络数据的片断,从法律的角度来看证据不够完整,只可以将IDS看作盗贼警报。取证设备如视频相机用来捕获盗贼的行踪、记录其证据,并通过分析报告或者提交法庭、或者有针对性地提供加强防卫的具体策略,因此入侵取证的工具至少从另一个侧面加固了自身网络的防范。
在过去的一年中,我国网络安全业界特别地从战略高度上提出了如何建立使入侵者感到有威慑作用的主动防御思想。基于主动防御的网络安全技术改变了以往仅仅依靠防火墙、扫描、检测这些传统的网络安全工具进行的被动防御。相信在不久的将来随着主动防御研发水平的提高以及网络安全需求的推动,我国的入侵取证、信息监控等安全产品将逐步面市。