桌面和移動互聯網信息安全研討

黃斐一+孔繁盛

回顧了桌面互聯網和移動互聯網的發展歷史，介紹了以web網站為核心的桌面互聯網業務的信息交互方式和以手機App為核心的移動互聯網業務的信息交互方式。分析了桌面互聯網和移動互聯網面臨的安全風險，并提出了相應的解決方案和思路。

桌面互聯網 ? ?移動互聯網 ? ?信息安全

1 ? 引言

當我們探討安全問題的時候，一般會將安全放在某一個業務或者某一種場景下討論。換句話說，拋開業務和場景討論安全是毫無意義的。所以，當探討桌面互聯網安全和移動互聯網安全的時候，我們需要先充分了解桌面互聯網和移動互聯網的業務形態和應用場景[1]。

桌面互聯網最重要的特點是web網站是其信息組織和交互的核心載體，它興起于上個世紀90年代。人們最初熟悉桌面互聯網是從門戶網站開始的，如雅虎、搜狐、新浪等。那時的互聯網是一個海量信息的集合，人們可以從互聯網上獲取大量的、實時的信息。我們稱之為Web 1.0時代。當互聯網引入了用戶參與，包括評論、互動等，互聯網用戶就可以在線地參與到這些業務中去了。這時，桌面互聯網進入了Web 2.0時代。博客就是這個時代最典型的產品。隨著互聯網的發展，用戶不再滿足線上精神層面的交流，他們的互動從線上延伸到了線下。互聯網從單純的信息交互融入到了人們的實際生活當中。我們稱之為Web 3.0時代。這個時代典型的業務包括電子商務（如淘寶、京東）、婚戀網站（如百合網、珍愛網）、招聘網站（如智聯招聘）。除了上述場景外，桌面互聯網的典型業務場景還包括以騰訊QQ為代表的即時通訊業務和以Google、百度為代表的搜索引擎業務。

移動互聯網最重要的特點是手機App是其信息組織和交互的核心載體。在移動互聯網發展的初期，桌面互聯網的應用被簡單的遷移到了手機終端，形成了Wap網站。但是由于帶寬和終端的限制，這些業務始終難以得到真正的發展。蘋果推出的iPhone開創了智能手機的先河，是全世界第一款能夠非常輕松簡易訪問移動互聯網的智能終端。蘋果手機的出現和移動超寬帶網絡的部署（3G、4G）為移動互聯網帶來了大發展的契機。大量的手機App隨之涌現出來，它們利用運營商提供的帶寬和手機終端的各種功能（音＼視頻、通話等），為用戶提供各種各樣的服務，我們稱之為OTT（Over the Top）業務。它們能夠直接在互聯網上部署，并通過智能手機客戶端的App為用戶提供服務。

桌面互聯網和移動互聯網業務有一個相同的必爭山頭：流量。無論是web網站也好、手機App也好，用戶的流量是業務能否盈利的決定性因素。所以互聯網（這里泛指桌面和移動互聯網）業務的運營團隊最重要的工作目標是為業務帶來流量，而流量又是靠入口來實現的。在桌面互聯網時代，當我們遇到一個自己不了解的事物，第一選擇就是搜索引擎（Google、百度）;當我們希望購買一樣東西的時候，第一選擇就是電商網站（亞馬遜、淘寶）;當我們需要使用某種手機App的時候，一般會選擇一個手機應用商城去下載這些應用（App Store、Google Play、中國移動MM）。這些都是用戶使用互聯網業務的典型入口。

2 ? 互聯網信息安全

互聯網信息安全涉及的領域非常廣泛，它背后涉及學科包括計算機、網絡、通信、密碼、數學、社會科學等。由于互聯網業務主要的承載方式是計算機代碼，所以互聯網信息安全產生的根源是計算機代碼的各種漏洞。這些漏洞存在于互聯網業務、數據庫軟件、操作系統、中間件，甚至是通信網絡協議中，可以說無處不在。但是安全漏洞和風險即使存在，也未必會被利用并造成不良后果，那是因為幾乎所有利用安全漏洞的行為一般都不會僅僅由于攻擊者的興趣而發動，其背后必有利益作為推動[2]。打個比方，一個攻擊者利用DoS/DDoS攻擊讓某一個網站無法對外提供服務。實際上這個攻擊并不是免費的，它需要大量的肉雞、需要好的攻擊軟件、需要發起攻擊的服務器和帶寬。這個攻擊者一般都會通過某種途徑回收投入、獲取利益。當然，這些行為都是非法的。

在互聯網中，業務運營方和用戶手中都握有非常有價值的數據和信息，所以他們都可能成為互聯網惡意用戶攻擊的對象。以業務運營方為目標的攻擊一般通過利用業務和系統的漏洞“非正常”的進行訪問，竊取關鍵數據或致盲業務;而以用戶為目標的攻擊一般通過欺騙、數據包截獲等方式獲取用戶的關鍵信息，如信用卡信息、虛擬儲值賬戶信息、隱私信息等。所以從這個角度看，互聯網信息安全治理的關鍵點是對一些高價值的數據和業務做好信息安全防護。

3 ? 桌面互聯網的安全風險

由于桌面互聯網以Web網站作為信息組織和交互的載體，所以桌面互聯網業務面對的最直觀風險是攻擊者“非正常”訪問網站的風險。攻擊者的目的不同，“非正常”訪問的手段也有所區別。

3.1 ?DoS/DDoS攻擊

DoS/DDoS（Deny of Service/Distributed Deny of Service）是以致盲業務為目的的攻擊手段。它通過大量的肉雞發送無效數據包，使得Web業務繁忙以至于最終無法提供正常服務。無效的數據包可以通過各種協議發送，如SYN、ICMP、UDP。但是當Web服務安裝了防火墻后，這些攻擊都能夠被有效的阻擋在防火墻外而不能對業務造成影響。目前比較有效的攻擊手段是CC（Challenge Collapsar）攻擊[3]。它利用模擬多個用戶并發訪問的方式，耗盡服務器和數據庫的資源。因為已模擬成正常的web訪問，所以此類攻擊能夠有效穿透防火墻。

在DDoS攻擊領域，目前已經有了一個完整的黑色產業鏈。只為興趣不為利益的攻擊幾乎已經不存在了。在該鏈條中，有人負責提供肉雞、有人負責編寫攻擊軟件、有人負責選取對象開展攻擊、有人負責訛詐收錢。一些流量敏感型業務或者Web頁面電子商務依賴性較大的業務往往最容易成為被攻擊的對象，如視頻網站、電商網站等。

3.2 ?Web頁面漏洞

典型的Web頁面漏洞包括SQL注入漏洞和XSS（cross site scripting）跨站漏洞。SQL注入風險產生的原因是Web頁面沒有過濾用戶的URL輸入。這樣一來，攻擊者通過向服務器提交惡意的SQL查詢語句，應用程序接收后錯誤地將攻擊者的輸入作為原始的SQL查詢語句的一部分執行，導致改變了原始的SQL查詢邏輯，額外的執行了攻擊者構造的SQL查詢。常用的SQL注入語句如：$username=1'or'1'='1、$password=1'or'1'='1。通過多次輸入這些語句并依據服務端返回值（“正確”或“錯誤”），就可以猜解出Web端數據庫的用戶名和密碼，達到非法訪問的目的。解決SQL注入一般是通過URL過濾的方式，防止用戶通過http協議提交一些非法的查詢請求。

XSS（cross site scripting）跨站漏洞只存在于包括動態內容的頁面上，而靜態站點則完全不會受到其影響。所謂動態內容，是指根據用戶環境和需要，Web應用程序能夠輸出相應的內容。所以這些網站往往允許用戶發表包含HTML或Javascript腳本的內容。如果用戶發表的內容包含了惡意腳本，那么其他用戶在瀏覽這些內容的時候，惡意腳本就會執行，盜取他們的信息，包括用戶帳戶、cookie等。跨站攻擊又分為持久型跨站和反射型（非持久型）跨站2種。根據應用安全國際組織OWASP[4]的建議，對XSS最佳的防護應該結合以下2種方法：驗證所有輸入數據，包括輸入數據的長度、類型、語法以及業務規則;對所有輸出數據進行適當的編碼，以防止任何已成功注入的腳本在瀏覽器端運行。

3.3 ?越權訪問漏洞

越權訪問漏洞是指用戶無需通過Web服務的用戶名和密碼匹配校驗鑒權就能直接訪問服務的漏洞。這往往是由于Web服務開發者的疏忽而造成。用戶在登陸Web服務的時候，需要輸入用戶名和密碼來鑒權確認用戶身份。但是當用戶登陸后，在進行某些需要判定用戶身份的操作時，在Web服務中判斷用戶身份的字段往往不會在客戶端和服務器之間傳遞，而是調用一個session文件來確認用戶的身份。該session文件往往是在用戶登陸系統的時候創建的，是用戶的身份證明。越權訪問是在某些Web服務未關聯session文件，且未對用戶的身份進行鑒權就授予訪問權限時發生的。解決越權訪問漏洞主要需要開發人員對所有的網站代碼做較為仔細的審計，對所有需要校驗用戶名密碼的服務都需要確認要么調用session文件，要么直接向客戶端獲取用戶名密碼展開相關鑒權。

3.4 ?其他風險

Web服務的安全風險其實遠不止上述幾種。在Web業務開展的過程中可能會有注冊、登陸、登出、注銷、使用業務等諸多步驟。每一個步驟都可能有因邏輯漏洞或者代碼漏洞而產生的安全風險。除此之外，承載Web服務的平臺（如IIS、Apache等）、數據庫（如SQL）也可能因為補丁未打等為題存在內網漏洞。這些都需要具體問題具體分析。

4 ? 移動互聯網時代的安全

在移動互聯網領域，由于手機App是信息組織和交互的載體和核心，安全風險主要在手機App上體現。更重要的是，和PC相比，手機終端是更貼近用戶的終端設備，上面存儲了更加重要和隱私的信息。所以在移動互聯網時代，以用戶為目標的攻擊遠比桌面互聯網時代更為常見。

4.1 ?常見的安全威脅[5]

（1）資費消耗：惡意應用在用戶不知情的情況下撥打電話、發送短彩信、開啟網絡連接發送用戶數據，導致用戶的資費損失。例如某惡意應用偽裝為手機壁紙應用誘導用戶下載安裝，安裝后在開機或重啟時自動運行某惡意進程。該惡意進程會聯網獲取返回鏈接，并不斷嘗試訪問這些鏈接，通過頻繁鏈接這些網址消耗用戶大量流量。

（2）隱私竊取：惡意應用可在用戶未確認或不知情的情況下讀取用戶電話本數據、通話記錄、短彩信數據，或者在用戶不知情的情況下進行通話錄音、拍照、攝像、定位等操作，隨后上傳收集到的隱私數據。近兩年，竊取用戶個人隱私正成為惡意應用的主要目標之一。除了用戶隱私信息之外，高價值的用戶賬戶信息也是被竊取的主要目標。例如利用某惡意應用，通過淘寶“忘記密碼”這一功能重置手機用戶的支付寶登陸密碼，而重置期間所提示的手機短信，都會被屏蔽，轉發給黑客手機服務器。若重置成功，則可盜取用戶的淘寶和支付寶賬戶信息，并將用戶賬戶資金偷走。

（3）惡意扣費：惡意代碼通過隱蔽執行、欺騙用戶點擊等手段，訂購各類收費業務或使用移動終端支付，導致用戶經濟損失。例如惡意扣費應用可以通過在代碼內嵌業務訂購地址，或通過在線訪問的方式，在用戶不知情的情況下發起訂購。由于被訪問的訂購業務是蓄意構造的，可能不具備一系列的認證、二次確認步驟，用戶會不知不覺的“被訂購”和“被扣費”。

（4）遠程控制：一些惡意應用可將安裝了該軟件的終端變成一部“傀儡機”，在用戶不知情或未授權的情況下，接受遠程控制指令并執行相應的操作。

（5）流氓行為：惡意應用可能會在后臺運行，強制駐留系統內存，額外占用CPU資源，使手機終端運行緩慢，并且用戶不能禁止該類軟件的開機自啟動，或者不能刪除、卸載該軟件。

4.2 ?惡意手機應用泛濫的原因

惡意手機應用泛濫問題的根源來自多個方面。1）手機用戶：在現階段，國內很多手機用戶使用手機應用尚無付費習慣。龐大的受眾群體使得免費應用成為惡意程序擴散的主要手段。2）應用開發者：除了開發收費應用之外，一部分開發者為了生存，可能不擇手段的尋找各種盈利手段，比如以各種手段誘騙、吸引用戶下載并安裝應用，利用其內嵌的廣告盈利。3）軟件下載渠道：下載渠道主要盈利方式是建立在吸引大量開發者發布應用的基礎上的。若對應用進行嚴格的檢測，可能導致該渠道的軟件來源減少進而影響收入。這導致渠道商沒有進行嚴格安全檢測的動力和積極性，甚至可能采取縱容的態度。4）安全廠商：為手機用戶提供了免費殺毒軟件，并可以為軟件下載渠道提供軟件安全檢測服務。但是免費殺毒的模式與其他軟件開發者的生存模式一致，都是靠用戶數量盈利，無法保證其權威性與公正性。5）電信運營商：為軟件下載提供網絡連接，通過流量收取費用。目前運營商已開始在網絡側對惡意應用進行監測，不過尚在起步階段。6）國家監管機構：因目前我國在手機應用安全監管方面的工作剛剛起步，沒有統一的政策、標準等監管要求，也缺乏相關監管手段進行支撐，對手機惡意應用泛濫的現狀有心無力。

4.3 ?移動互聯網手機應用的安全管控

既然移動互聯網時代用戶的入口是手機App，那么對手機App安全性的保障是移動互聯網安全治理的重要舉措。首先，對手機應用商城的治理刻不容緩。作為手機App的分發渠道，應用商城應該像超級市場對上架貨品檢測一樣對第三方手機App的安全性做準入性檢測。這些檢測需要從代碼、內容等多個方面保證這些在其應用商城上線的應用不能包含惡意的代碼、違規的內容，不能在用戶未授權的情況下獲取用戶手機上的隱私和關鍵信息。其次，政府的行業指導單位需要對手機應用進行合理監管。例如以抽檢的方式對業務進行上線前、上線后的安全評估，對未達標的應用責令下線和整改。

5 ? 結論

本文體系化地探討了桌面互聯網和移動互聯網業務面臨的安全風險，并提出了一些解決問題的思路和方法。實際上，互聯網信息安全風險層出不窮，只要業務在不斷的發展，新的風險和漏洞也會不斷的涌現。只要有利可圖，攻擊者就會不斷的發起攻擊，獲取數據，并利用黑色產業鏈兌現相關利益。“沒有買賣，就沒有殺害”在互聯網領域同樣適用：沒有黑色產業鏈為攻擊者非法獲得的數據買單，也就不會有層出不窮的安全事件發生。所以無論是對桌面互聯網還是移動互聯網，其安全治理不單單是要從技術層面解決安全漏洞，還要從根本上打擊黑色產業鏈為攻擊者提供的銷贓渠道。

參考文獻：

[1] 吳倚天. 從桌面互聯網到移動互聯網[J]. 信息化建設， 2009（5）： 16-17.

[2] 唐鑫. 網絡入侵攻擊黑色產業鏈分析[J]. 網絡安全技術與應用， 2014（6）： 174-175.

[3] 計算機與網絡. WEB服務器被CC攻擊的癥狀以及防護[J]. 計算機與網絡， 2013（10）： 42-43.

[4] OWASP中國：The Open Web Application Security Project[EB/OL]. [2014-11-23]. http：//www.owasp.org.cn/.

[5] 梁宏，解萬永，秦博. 手機安全現狀及發展趨勢[J]. 信息網絡安全， 2013（10）： 75-77.