大东话安全之“照”

编者按：网络空间安全近年来日渐成为公众关注的焦点，中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏，以《安天威胁通缉令2016扑克牌》为线索，一张扑克牌对应一个网络病毒，讲述54个不同的网络病毒和网络安全故事，以及如何进行针对性防御的建议。

一、开场小剧场

大东：大东哥安全课堂开课了~电脑总是出问题，怎么办？

小白：多半是废了，拆掉就好了。

二、病毒通缉令

小白：这张牌让我想起了小时候听的特洛伊木马的故事……

大东：没想到你小子还是有点文化的。

小白：瞧东哥这话说的~今天又要讲啥呀~

大东：咱们开侃CVE-2015-5119漏洞。Hacking Team泄漏时间的材料中，发现了CVE-2015-5119漏洞，该漏洞影响所有版本的Adobe Flash，可以实现读写任意内存地址的功能。

小白：厉害了！所有版本！

大东：是滴，慢慢听我道来~

三、“军火库”被炸了

大东：小白，最近咱讲了这么多病毒木马，你现在知道黑客的套路了吗？

小白：假如我是黑客，那我会做好前期的调研找到系统的薄弱处，然后想办法搞掉它。

大东：虽然这世界上没有“假如”，但是Hacking Team的“军火库”也曾被人被黑过。

被替换的Hacking Team Logo

小白：你说的是那家开发监控软件的Hacking Team？

大东：是的，Hacking Team是一家以协助政府监视公民而“闻名于世”的意大利公司，他们向包括摩洛哥、埃塞俄比亚以及美国毒品管制局在内的政府及执法机构出售入侵和监视工具。从公布的文件来看，HT的客户主要有韩国、哈萨克斯坦、沙特阿拉伯、阿曼、黎巴嫩和蒙古。

小白：树大招黑~哦不，招风。

大东：是的，最近该公司的400GB内部数据泄露，被盗数据包括Hacking Team一些产品的源代码、邮件、录音和客户详细信息等，更严重的问题是，Hacking Team掌握的大量漏洞和攻击工具也暴露在这400GB数据中，目前已经在互联网公开下载和传播。

军火库泄露事件

小白：所以造成了什么严重的影响么？

大东：Hacking Team军火库泄露，意味着网络世界的黑客“人手一份核武器”。

小白：嘿嘿这不好么，网络安全圈又是“核”平的一天~~

大东：你哭都来不及。

CVE-2015-5119

大东：我们今天要说到的这个漏洞就跟上面提到的这个事件有关，如果没有Hacking Team的军火库事件，这个漏洞可能还会被继续利用下去。

小白：这个Hacking Team为啥要藏这么多的私货？

大东：事关“黑客”公司的机密，请尽情发挥想象力~

小白：那这个漏洞是啥？

大东：这个漏洞的名字叫CVE-2015-5119，是一个Flash漏洞。

小白：看到好多漏洞都是CVE啊啥的开头的，有什么故事么？

大东：CVE 的英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。

小白：这漏洞很厉害么？

大东：Adobe Flash Player存在一个严重的释放后重利用内存破坏漏洞，攻击者可能远程获得当前用户的权限。此漏洞影响大量Flash Player版本，涵盖了电脑上几乎全部平台的操作系统。

小白：所有平台通吃，那就比较厉害了，笔记笔记。

大东：现在一直受影响的系统有Adobe Flash Player

小白：影响的电脑多么？

大东：Twitter上有报告指出，利用这些漏洞可以绕过Google Chrome的“沙盒”保护技术。这个“沙盒”技术是一种安全功能，它强制程序以高度的安全模式运行，阻止针对Flash中的漏洞的攻击。

小白：啊？那么这就是无解了么？

大东：CVE-2015-5119是一个典型的UAF漏洞，Use After Free，其实就是内存破坏漏洞，一般是由程序试图访问或操作已经被用完扔掉的内存引起的，它通常会导致程序崩溃，执行任意代码等危害。小白感兴趣的话，可以研究研究这个UAF漏洞。

小白：咳咳…比起这个，我更想知道有没有什么办法可以解决这个问题？

如何防御

大东：你觉得应该怎么办？

小白：我只会装杀毒软件，反正来了病毒就是干！

大东：那可真是暴力呢。

小白：那东哥你有什么好的建设性意见么？

大东：首先要说明的是，安全来自预防，寄希望于事后杀毒于事无补，你觉得电脑装上了杀毒软件就什么都不怕了其实是一种很消极的安全策略。

小白：但是杀毒软件多多少少还是可以防御一下的吧。

大东：是可以，但是其实大部分杀毒软件的问题就是将病毒多多少少放进了系统再杀，其实这样远远不如预防来得稳啊。

小白：怎么预防啊？

大东：拿这个漏洞来说吧，被爆出时是个0day漏洞，在官方补丁上线之前，为了防范这个漏洞，很多机构都直接去禁用浏览器上的Flash插件，插件被禁了那么这个插件导致的漏洞就无法影响到系统。

禁用Flash插件以预防

小白：机智。

大东：所以其实预防方法无外乎就是在确定了漏洞影响之后及时停用受影响的部分，及时更新官方发布的布丁，保持系统最新，话说还有就是，对于这些个影响浏览器的漏洞还要及时更新浏览器到最新版本，要记住，预防永远比事后补救要来的实在，亡羊补牢为时未晚，如果你只有一只羊呢？

四、小白内心说

小白：大东东~你刚刚说的“军火库“还挺有意思的~能再给我多讲讲不~~

大东：今天的小白格外好学哦。

小白：嘻嘻，这么有意思的事情，肯定不止是我感兴趣！

大东：没错，不只是你这个小白，任何一件网络安全事件发生，都会引来大量网络安全工作相关人员的探究，都想弄清事情的来龙去脉，以及背后潜藏的暗流涌动。

小白：啊！要是有人能做个整理，还能给我分析分析就好了~~

大东：针对你这样的需求，ES的理念应运而生。

小说：啥是ES？

大东：ES代表具有国际化视角的专业精准战略报告服务，分为以年为周期的全球网络安全报告，以季度为周期的地区网络安全报告，以月为周期的事件报告，不定期更新的重点事件报告等等。

小白：太好了！我每期必读~

大东：ES将以一个宏大的视角来俯瞰整个网安行业，中国的网络安全行业想在未来世界网安领域内独占鳌头，必须要以这样的国际视野作为武装。

小白：中国网安，雄起！！

五、话说漫威

大东：知道尼克·弗瑞吗？

小白：不…不知道……

大东：就猜到你不会知道。尼克·弗瑞，外号独眼侠，原名尼克·福瑞，NickFury，漫威漫画中的人物。作为一名身份并不刻意保密的政府特工，他其实是没有真正绰号的，“独眼侠”是国内为了方便观众而起的译名。

尼克·弗瑞

小白：什么来头？

大东：他是“最高司令部国际间谍执法科”神盾局的创始人。Hacking Team 泄漏时间的材料中，独眼侠就像是 CVE-2015-5119 漏洞，影响强大。

小白：涨姿势了，晚上回家就看神盾局去~

来源：中国科学院计算技术研究所