纳斯达克的Web安全攻防战

纳斯达克 (Nasdaq) 是全美证券商协会自动报价系统(NationalAssociationofSecuritiesDealersAutomatedQuotations)的英文缩写，如今，这个系统的名字已成为股票交易市场的代名词。信息和服务业的兴起催生了纳斯达克，始建于1971 年的纳斯达克，让股票交易从此走入完全电子化并用电子化系统实现自我监管的时代。如今，纳斯达克更已成为全美， 乃至全世界范围内最大的股票电子交易市场，不仅每天要收集和发布场外交易非上市股票的证券商报价，还要为 5200 多家上市公司服务，在55 个国家和地区设有26 万多个计算机销售终端。纳斯达克拥有数以亿计的有价数据，它对网络黑客来说就像一个聚宝盆。10 年来，几乎全球的黑客都在想方设法侵入纳斯达克的网站。技术精良的纳斯达克？纳斯达克的网站， 一向被人们认为是世界上安全保障体系最严格的网站之一。从建设之初，华尔街就一直以纳斯达克所采用的精良技术为傲。然而，近十年来，纳斯达克遭遇黑客攻击的消息却总是不断传出。1999 年 9 月，纳斯达克和美国证券交易所两个网站首度遭到黑客攻击。届时，美国证券交易所刚刚被纳斯达克收购。一个自称“联合贷款枪手”(U的组织在午夜时分成功地侵入了这两个证交所的网站。虽然当时黑客并没有对系统中的财经数据采取任何行动，但是黑客组织却在网站上留下了一条令人震惊的消息，他们打算“操纵股市暴涨， 让所有的投资者都感到高兴，在他们的汽车上都贴上一张纸条，上书：感谢ULG! ”该组织声称，他们已在纳斯达克的系统中为自己建立了一个电子邮件信箱，并宣告纳斯达克的网站还存在很多漏洞。而当时，纳斯达克每天的成交量已多达 8 亿股。虽然纳斯达克网站的安全问题立即引起了华尔街的重视，并且也随之部署了更多的安全设施。但是，时隔一年，纳斯达克便再次遭到了黑客的入侵。一个自称“PrimeSupectz”的黑客，闯入了纳斯达克网站(nasdaq.com)，将“纳斯达克一百指数”所在的位置换成了一句粗话。这场破坏，也令纳斯达克陷入了尴尬境地，因为一向被认为技术精良的纳斯达克，在一年多的时间内，网站却遭遇到两次黑客侵袭。而去年 7 月，纽约证交所以及纳斯达克公司的主网站又遭到了两次连续的黑客攻击。这两次攻击令纽约证交所的电脑系统发生了多次故障， 黑客不仅发布了美国国际集团将退市等错误通告，还让交易系统的交易延长了 15 分钟。专家指出，如果盲目假设互联网上最受欢迎或是交易量最大的网站安全性一定就高，本身就是错误的想法。 人们常常以为一个知名度高的网站必定拥有水平更高超的安全专家，但实际情况是，黑客总在不断努力采用新的技术实施攻击，而网站安全体系的变革却总是落后于黑客。我们必须看清， 纳斯达克的安全风险已经转向 Web 应用的漏洞，被动的安全技术更难以解决今天的问题。风险来自哪里？事实上，为了保障数据的安全和用户的隐私权，很早纳斯达克便建立了以防火墙及安全访问管理机制为核心的安全体系。然而，现有的安全防护措施主要通过 SSL 安全代理、防火墙、 IDS/IPS 、软件防火墙或是防病毒等工具来解决问题。由于这些安全防护措施自身的局限性，导致网站难于应对日新月异的安全攻击，特别是目前基于正常WEB 访问而发起的 WEB 应用攻击手段。所以，像纳斯达克这类安全体系相对健全的网站，近年来也免不了不断遭遇安全攻击。据梭子鱼相关技术人员介绍，Web 应用的安全风险当前要远远大于人们过去的认知。首先在服务器端， 黑客往往会利用支付或者查询系统自身存在的安全漏洞来侵入系统。 比如，基于 WEB 应用的 SQL 注入攻击，基于数据库应用的OracleLinstener攻击，以及基于操作系统的缓冲区溢出攻击等方式，早已成为黑客集团的惯用伎俩。此外， SSL 安全代理主要依赖的是浏览器的正确实现以及服务器软件和实际加密算法的支持，对于现在的一些攻击手段，如跨站攻击、SQL 注入以及数据监听等， SSL 从技术上来讲是无可奈何的。而传统防火墙只能检测网络层的攻击，根本无法阻拦来自网络内部的非法操作，更无法动态识别或自适应地调整规则。而编程习惯造成的众多漏洞，更是等于为黑客敞开了通向网站“金库”的大门。“由于技术局限性， 大多 IDS 产品也只能进行已知的特征检测。由于这类设备对数据层的信息缺乏深度分析，本身的误报、漏报率就很高，使得IPS 的处理效率低下，同时它也没有对Session 或 User 的跟踪，根本不能保护SSL 流量。”梭子鱼技术人员告诉记者。再者，不管是防病毒软件还是防火墙，采用的都是被动检测机制，它们只能检测到已知的病毒或木马， 对于外部的正常访问请求更是无法识别，所以基于这两类安全工具构建的网站安全体系，根本无法实现对合法访问的“筛选”。其次在客户端，大多用户的个人电脑其实也并不安全。用户对网络风险的不警觉以及用户个人账号密码存放的不安全，都可能导致恶意攻击者， 利用远程木马或是钓鱼网站获取用户的个人账号及密码，最终损害客户的直接利益。所以， Web 安全问题近些年已成为交易类网站的最大风险源，而且有逐年飞速增长的势头。为纳斯达克把脉反观纳斯达克的Web 安全隐患，梭子鱼发现即使是纳斯达克这样技术精良的网站，依旧存在不少风险。 对于十种黑客惯用的应用程序漏洞，纳斯达克网站的防护能力也非常薄弱。第一，缓存溢出。由于应用程序的编码会尝试将应用数据存储于缓存中，而不是正常的分配， 这种漏洞往往被黑客所利用，变为攻击手段。 因为借助这种错误，恶意代码就可以溢出到另外一个缓存中去执行。第二 .跨站点脚本攻击。攻击类型的代码数据可以*入到另外一个可信任区域的数据中，最终导致使用可信任的身份来执行攻击，这种攻击方式也是黑客惯用的伎俩。第三，服务拒绝攻击。这种攻击会导致服务没有能力为正常业务提供服务。第四，异常错误处理的风险。当错误发生时，系统向用户提交错误提示是很正常的事情， 但是如果提交的错误提示中包含了太多的内容，就有可能会被攻击者分析出网络环境的结构或配置。第五，非法 sessionID 。当 sessionID 没有被正常使用时，攻击者还可以借机破坏 Web 会话，并且实施多个攻击(通过冒用其他的可信任的凭证)，借此来绕开认证机制。第六，命令注入。这一问题的风险是，如果系统没有成功的阻止带有语法含义的输入内容，就有可能导致对数据库信息的非法访问。比如，在Web 表单中输入的内容 (SQL 语句 )，应该保持简单，并且不应该还有可被执行的代码内容。第七 .弱认证机制的隐患。 虽然只要通过正确的开发Web 应用就可以轻而易举的避免此问题，但是在众多已经在线使用的应用中，这类问题却十分严重。而一旦黑客利用弱认证机制或者未加密的数据来获得访问，或是破坏、控制数据，就会造成非常严重的影响。第八，未受保护的参数传递风险。由于利用统一资源标识符(URL)和隐藏的 HTML 标记可以传递参数给浏览器，所以浏览器在将 HTML 传回给服务器之前，是不会修改这些参数的。利用这一破绽的黑客工具现在也比比皆是。第九，不安全的存储 - 对于 Web 应用程序来说，妥善的保存密码， 用户名，以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密才是最有效的方法。 然而，在实际操作过程中。 大多企业却总是采用那些未经实践验证的加密解决方案，这些方案本身就充满了漏洞。第十，非法输入。在数据被输入程序前忽略对数据合法性的检验，是一个常见的编程漏洞。在对Web 应用程序脆弱性的调查中，非法输入问题已经成为大多数 Web 应用程序的最典型漏洞之一。用“透明人”完成Web 安全防护经过一番研究，梭子鱼为纳斯达克提出了一套更完善的Web 安全解决方案。首先，梭子鱼采用了专业的应用防火墙，为纳斯达克的Web 服务器和Web 应用提供全面的保护。和传统防火墙不同，梭子鱼应用防火墙既可防范已知的对 Web 应用系统及基础设施漏洞的攻击，也能抵御住恶意攻击或是目标攻击。通过梭子鱼应用防火墙的专利技术，纳斯达克的网站还能对HTTP 请求进行终止、防护和加速的操作。此外，梭子鱼产品的动态学习功能，可以自主的与纳斯达克网站的Web服务器互相通信， 实时地自动学习和策略建模。 由于梭子鱼应用防火墙具备实时策略向导功能， 能够协助管理员自定义策略， 同时让管理员对当前的策略拥有完全的掌控权，所以所有违背ACL 的行为都可以被纳斯达克的网络管理人员捕捉到。由于通过使用缓存、压缩、TCP 连接复用、负载均衡等各种技术对后台Web 服务器进行了流量的优化，所以部署在纳斯达克的Web 服务器前端的梭子鱼应用防火墙对用户的体验没有造成任何影响，就像是个“透明”的安全卫士。在管理过程中， 增减设备对网络几乎完全没有影响。这为纳斯达克在将来对网站的扩容带来了极大的益处。