[[192113]]

最近一周，來自網(wǎng)絡(luò)的“想哭”勒索病毒(Wannacry Ransomware)在世界各地同時(shí)上演了一部綁匪大片，臺(tái)詞華麗，演技出色，當(dāng)仁不讓地新晉世界第一網(wǎng)紅。全球各國(guó)除了默默忙于兩彈一星足不出戶的朝鮮外，無不為之動(dòng)容。一時(shí)間，包括“想哭”病毒在內(nèi)的各種病毒的各種傳聞也火爆網(wǎng)絡(luò)，我們并不準(zhǔn)備跟風(fēng)刷屏，只是打算本著實(shí)事求是的精神，科學(xué)的探討一下如何與它們和睦相處、談笑風(fēng)生。

“想哭”病毒的前世今生

首先，讓我們先簡(jiǎn)要回顧一下主角“想哭”病毒的前世今生。

“想哭”病毒是基于網(wǎng)絡(luò)攻擊框架二次開發(fā)的結(jié)果，它利用了 NSA(美國(guó)國(guó)家安全局)的前輩們留下的非物質(zhì)文化遺產(chǎn)：永恒之藍(lán)(ETERNAL BLUE) 模塊，針對(duì) Windows SMB 服務(wù)的實(shí)現(xiàn)漏洞植入惡意代碼，再結(jié)合自己的創(chuàng)新：加密用戶文件和顯示勒索聲明，一代網(wǎng)紅勒索病毒由此誕生。從病毒本身的設(shè)計(jì)流程來看，似乎并不需要高深的編碼技巧或深厚的理論根基，然而這也恰恰是這一事件中最值得我們警惕的地方：NSA 泄漏的攻擊模塊遠(yuǎn)不止永恒之藍(lán)一種，借助已有攻擊框架進(jìn)行二次開發(fā)的難度又如此之低，所以，可以預(yù)期，一大波未知的病毒正在來襲的路上。

是不是細(xì)思極恐?所謂“知彼知己，百戰(zhàn)不殆(die)”，要想不 die，先要充分了解對(duì)手，所以接下來我們進(jìn)一步了解一下什么是病毒?病毒是如何以危險(xiǎn)方式危害公共安全的?又是怎樣進(jìn)入我們的系統(tǒng)的?

病毒是什么，其實(shí)是老生常談了，經(jīng)常關(guān)注醫(yī)療衛(wèi)生領(lǐng)域的朋友都知道：

病毒由一段基因與蛋白質(zhì)構(gòu)成，自身不能實(shí)現(xiàn)新陳代謝，通過適當(dāng)?shù)耐緩角秩胨拗黧w內(nèi)，通過宿主細(xì)胞的代謝系統(tǒng)實(shí)現(xiàn)復(fù)制傳播。

跑題了?好吧，不要在意這些細(xì)節(jié)，我們改幾個(gè)字就能用了：

病毒由一段可執(zhí)行代碼與數(shù)據(jù)構(gòu)成，自身不能在裸機(jī)上運(yùn)行，通過適當(dāng)?shù)耐緩角秩胨拗鞑僮飨到y(tǒng)，通過宿主系統(tǒng)中的存儲(chǔ)和網(wǎng)絡(luò)實(shí)現(xiàn)復(fù)制傳播。

Wirth 教授教導(dǎo)我們：

算法+數(shù)據(jù)結(jié)構(gòu)=程序，

病毒=代碼+數(shù)據(jù)=算法+數(shù)據(jù)結(jié)構(gòu)=程序

沒錯(cuò)，病毒就是一類特殊的計(jì)算機(jī)程序，廣義上稱為惡意軟件。與自然界病毒的最大不同之處在于，它們不是純天然的，而是 100% 人工打造。通常它們懷著對(duì)人類的深深的惡意來到世上，行為各不相同，有的在你的屏幕上畫個(gè)圈圈詛咒你，有的會(huì)竊取你設(shè)備中的隱私照片，還有的會(huì)眨眼間轉(zhuǎn)走你銀行卡上的購(gòu)房首付款......顯然，它們的目標(biāo)還是很一致的：危害人類設(shè)備，破壞世界和平。

又扯遠(yuǎn)了，我們接著來看病毒是如何入侵操作系統(tǒng)的。病毒的入侵無外乎兩個(gè)途徑：主動(dòng)和被動(dòng)。所謂主動(dòng)是針對(duì)目標(biāo)系統(tǒng)嘗試發(fā)起掃描和攻擊，一般是遠(yuǎn)程發(fā)起，當(dāng)發(fā)現(xiàn)了自己能吃定的漏洞之后，就通過各種陰險(xiǎn)手段(其實(shí)技術(shù)實(shí)現(xiàn)上大多還是很優(yōu)雅的)攫取系統(tǒng)權(quán)限，進(jìn)而將惡意代碼注入宿主系統(tǒng)中伺機(jī)作惡，對(duì)此沒什么概念的小伙伴可以自行腦補(bǔ)一下《異形》中的人類被寄生的過程。

病毒入侵的另一種方式，我們稱之為被動(dòng)方式。這種方式并不需要系統(tǒng)存在漏洞或缺陷，需要的是用戶的經(jīng)驗(yàn)、常識(shí)或智商存在缺陷。它們通過各種偽裝誘騙用戶去打開或運(yùn)行自己，包括形形色色讓你心動(dòng)的郵件、鏈接、不明來源的安裝程序等等，一旦獲得機(jī)會(huì)運(yùn)行，它們會(huì)悄無聲息的在你的系統(tǒng)中安營(yíng)扎寨、留下多道后門，然后為所欲為，這類病毒又被形象地稱為(特洛伊)木馬。

如何應(yīng)對(duì)各種病毒威脅

了解了病毒的來龍去脈之后，我們就可以開始討論如何應(yīng)對(duì)各種病毒層出不窮的威脅了。

對(duì)于大多數(shù)用戶，良好的使用習(xí)慣是第一位的。堡壘往往從內(nèi)部被攻克，再安全的操作系統(tǒng)，再?gòu)?qiáng)大的安全機(jī)制，都難以阻止用戶自我毀滅的腳步。良好的使用習(xí)慣中最重要的，是安全更新，安全更新，安全更新!為什么呢?這要先談一下操作系統(tǒng)漏洞的由來。

漏洞實(shí)際是軟件缺陷的一種，也就是俗稱的 bug，是由于軟件開發(fā)人員的疏忽而導(dǎo)致程序沒有按照預(yù)期的方式運(yùn)行。軟件缺陷多種多樣，有些很呆，有些很萌，也并不都會(huì)對(duì)系統(tǒng)安全構(gòu)成威脅。那些僥幸逃脫開發(fā)和測(cè)試人員的輪番圍剿，隨著軟件的發(fā)布散落人間的軟件缺陷，一旦被黑客們發(fā)現(xiàn)、策反，并借助自己在系統(tǒng)內(nèi)部的有利位置，披著合法軟件的外衣，做出送人頭、坑隊(duì)友的惡劣行徑時(shí)，就成為軟件系統(tǒng)的公敵：漏洞。越是龐大和復(fù)雜的軟件越容易產(chǎn)生漏洞，不幸的是操作系統(tǒng)就是一類極其龐大而復(fù)雜的軟件系統(tǒng)。

雖然操作系統(tǒng)漏洞常常難以完全避免，然而某個(gè)漏洞一旦被發(fā)現(xiàn)，開發(fā)廠商都會(huì)在第一時(shí)間發(fā)布安全更新對(duì)問題進(jìn)行修復(fù)。以這次勒索病毒為例，針對(duì)被利用的 SMB 服務(wù)漏洞，事實(shí)上早在一個(gè)月前微軟就公布了漏洞警告和補(bǔ)丁，提供了安全更新，那些開啟自動(dòng)更新并及時(shí)修復(fù)了漏洞的用戶，他們可以用省下的三個(gè)比特幣吃著火鍋唱著歌，完全不用擔(dān)心綁匪。所以請(qǐng)劃重點(diǎn)：操作系統(tǒng)安全更新非常重要，不論個(gè)人用戶、企業(yè)用戶還是系統(tǒng)管理員，不論服務(wù)器，桌面還是移動(dòng)終端，不論 Windows，Linux 還是 MacOS，都應(yīng)該盡可能及時(shí)地從操作系統(tǒng)廠商處獲取安全更新。

其次，殺毒軟件也可以起到一定的安全增強(qiáng)的作用，多數(shù)殺毒軟件可以借助病毒庫對(duì)已有病毒的特征進(jìn)行分析比對(duì)，一旦發(fā)現(xiàn)用戶即將運(yùn)行的程序中含有病毒或惡意程序，會(huì)及時(shí)提醒用戶，或者自動(dòng)清除。因此，殺毒軟件可以在很大程度上防御已知的、以被動(dòng)方式入侵系統(tǒng)的病毒。

那么，積極地安全更新、安裝殺毒軟件就可以解決所有病毒威脅了么?

很不幸，事實(shí)并非如此。安全更新和殺毒軟件之于病毒威脅正如強(qiáng)身健體之于疾病隱患，可以大幅降低幾率，卻難以完全避免。為什么?這要從零日(0-day)漏洞說起。

零日漏洞，聽起來就很霸氣的一個(gè)名字，仿佛給人一種世界末日的感覺。它并不是指具體的某個(gè)或某類漏洞，而是指被黑客發(fā)現(xiàn)后立刻用來發(fā)起攻擊的漏洞，這些漏洞尚未公開，用戶不知道，軟件廠商也不了解，應(yīng)對(duì)時(shí)間為零。所以，這類漏洞沒有檢測(cè)工具，沒有修復(fù)方法，傳統(tǒng)被動(dòng)升級(jí)防御、病毒特征比對(duì)的方式毫無用處，一旦被用來發(fā)起攻擊，普通系統(tǒng)是毫無招架能力的。那么有沒有可以防御零日漏洞的安全的操作系統(tǒng)呢?

安全的操作系統(tǒng)與 SELinux

一提到安全的操作系統(tǒng)，總會(huì)涌現(xiàn)出很多真知灼見，最膾炙人口的莫過于：

“所有操作系統(tǒng)都有漏洞，所以沒有絕對(duì)安全的操作系統(tǒng);所以 Windows 也好，Linux 也好，MacOS 也好，都一樣不安全。”

說的好有道理，我竟無言以對(duì)，因?yàn)榍鞍刖渚褪菍?duì)本文前半部分的總結(jié)，理論正確，邏輯自洽，沒什么可黑的。后半句的邏輯卻似乎有點(diǎn)燒腦，如果它成立的話，我們不妨試著推廣一下，比如：

“任何物質(zhì)都是有毒性的，沒有什么是絕對(duì)無毒的。砒霜吃了會(huì)中毒，水喝多了也會(huì)中毒，所以砒霜和水一樣不安全。”

毒理學(xué)有句名言：一切談毒性不談劑量的行為都是耍流氓。同樣，任何談操作系統(tǒng)安全不談體系架構(gòu)的行為也是耍流氓。所以面對(duì)這種耍流氓的行為，接下來我們要嚴(yán)肅的談一談操作系統(tǒng)的安全體系架構(gòu)。

多年前，永恒之藍(lán)的始作蛹者 NSA 為了防御自家系統(tǒng)，開發(fā)了一套安全框架，多年后這套框架被貢獻(xiàn)給了 Linux 內(nèi)核，這就是 SELinux。作為造成這次世界性災(zāi)難的幕后大 boss，NSA 為自己定制的 SELinux 又是怎樣的一套防具呢?

SELinux 全稱 Security Enhanced Linux ，是針對(duì) Linux 的全面安全增強(qiáng)，相比一般的發(fā)現(xiàn)漏洞-修復(fù)漏洞這種被動(dòng)挨打的模式，SELinux 具備主動(dòng)防御能力，可以抵御包括零日漏洞在內(nèi)的多種攻擊。

那么 SELinux 是如何做到的呢?

訪問控制是操作系統(tǒng)安全體系中的最核心最關(guān)鍵的機(jī)制，它決定了系統(tǒng)中什么樣的資源可以被哪些用戶以什么樣的方式來訪問，也就是說普通用戶能做什么，入侵者能做什么，應(yīng)用軟件能做什么，惡意軟件能做什么，都是訪問控制系統(tǒng)決定的。SELinux 的核心訪問機(jī)制是強(qiáng)制訪問控制(Mandatory Access Control)，簡(jiǎn)稱 MAC，SELinux 的安全特性是建立在 MAC 基礎(chǔ)之上的。那么 MAC 何德何能，堪負(fù)如此重任?

說到 MAC 強(qiáng)制訪問控制就不得不說它的前輩自主訪問控制(Discretionary Access Control)，簡(jiǎn)稱 DAC。傳統(tǒng)的操作系統(tǒng)，Windows、MacOS、以及包括早期 Linux 在內(nèi)的各種Unix的系統(tǒng)權(quán)限管理都是采用的自主訪問控制，自主訪問控制將用戶(或用戶組)簡(jiǎn)化為一個(gè)標(biāo)識(shí)，系統(tǒng)中的資源(比如文件)都會(huì)帶上用戶標(biāo)識(shí)和對(duì)應(yīng)的訪問權(quán)限信息，通過這種方式賦予不同用戶不同的訪問權(quán)限，操作系統(tǒng)通過對(duì)用戶標(biāo)識(shí)的比對(duì)和權(quán)限信息決定一個(gè)用戶是否能訪問某個(gè)資源。打個(gè)比方，你認(rèn)為你家里的東西是只屬于你的，在 DAC 看來，只要能進(jìn)屋的人都對(duì)這個(gè)屋子里的東西擁有權(quán)限，那么你自己開門進(jìn)屋睡覺也好，小偷撬門進(jìn)去拿走金銀細(xì)軟也好，都是合法的。

在操作系統(tǒng)中也是如此，幾乎所有操作系統(tǒng)中都有一個(gè)身影，叫管理員，Administrator 也好，root 也好，都是一群在系統(tǒng)中權(quán)力無限大，對(duì)任何資源都有完全訪問權(quán)限的家伙。多數(shù)系統(tǒng)服務(wù)是以管理員權(quán)限運(yùn)行的，如果它們存在漏洞，被劫持去做一些它們本不該做的事情的時(shí)候，DAC 是不會(huì)阻攔的，因?yàn)樗鼰o法區(qū)分某個(gè)動(dòng)作是程序正常行為還是惡意行為。在它眼里，身份就是權(quán)力的象征，只要認(rèn)可了你的管理員身份，你說什么都是對(duì)的，你做什么都是合法的。

那么 MAC 機(jī)制又是怎樣的呢?與 DAC 中的混沌不同，MAC 是一個(gè)充滿秩序的世界，一個(gè)一舉一動(dòng)要提出申請(qǐng)的世界。在 MAC 中，一切訪問計(jì)劃都要事先寫入安全策略，沒有明確的策略允許的任何訪問都會(huì)被禁止。在上個(gè)例子中，作為家中的主人，你需要能夠在家睡覺，也是需要明確制定計(jì)劃的，你需要添加的安全策略看起來是這樣的：

• 定義資源類型： 床
• 定義安全域： 休息
• 定義角色： 主人
• 訪問規(guī)則： 允許 主人 休息時(shí) 使用床

如果系統(tǒng)對(duì)于你家中的資源訪問只添加了這一條安全策略，那么你仍然可以安心的在家睡覺，小偷無論用何種方式進(jìn)入你家都將寸步難行，接觸任何東西的行為都會(huì)被禁止，并且一切被禁止的行為嘗試都將被另一套完善的監(jiān)控系統(tǒng)：審計(jì)日志記錄在案。

明白了這個(gè)例子，回到操作系統(tǒng)中我們就很容易看懂 MAC 是如何防范系統(tǒng)帶來的安全威脅的：假設(shè)我們有一個(gè)存在緩沖區(qū)溢出漏洞的文件共享服務(wù)，與多數(shù)系統(tǒng)服務(wù)一樣使用管理員權(quán)限運(yùn)行。攻擊者通過精心構(gòu)建一個(gè)特殊的數(shù)據(jù)包發(fā)送給服務(wù)器，使存在漏洞服務(wù)器正常的執(zhí)行流程被劫持，轉(zhuǎn)而執(zhí)行修改管理員密碼的操作。在 DAC 控制下的傳統(tǒng)操作系統(tǒng)中，一旦攻擊生效，那么管理員密碼會(huì)被這個(gè)平時(shí)八竿子打不著的文件服務(wù)器修改，攻擊者隨后可以很容易的登錄進(jìn)入系統(tǒng)。而在 MAC 系統(tǒng)中，文件服務(wù)器的可訪問的文件是嚴(yán)格受限的，安全策略類似于：

• 允許 系統(tǒng)管理員角色 運(yùn)行文件服務(wù)器 該進(jìn)程允許訪問被共享文件。

安全策略的定義了該服務(wù)可以訪問的所有資源，攻擊者在攻擊了文件服務(wù)器后，希望修改管理員密碼，它需要訪問的是 SAM 或 passwd 等的密碼管理文件，由于文件服務(wù)器進(jìn)程僅被策略僅允許訪問需要被共享的文件，因此對(duì)密碼管理文件的操作將被拒絕，攻擊失效。這種情況下最壞的情形是，攻擊者可能非法訪問共享文件，因?yàn)樗栽诎踩呗栽试S范圍內(nèi)。盡管如此，一個(gè)系統(tǒng)級(jí)的安全漏洞對(duì)整個(gè)操作系統(tǒng)的影響被限制在了非常小的范圍內(nèi)。

通過細(xì)粒度的劃分訪問權(quán)限，將所有應(yīng)用和服務(wù)的訪問限制在最小范圍內(nèi)，這就是強(qiáng)制訪問控制保護(hù)系統(tǒng)不受已知及未知漏洞攻擊的原理。

其實(shí) MAC 和 DAC 并不是水火不容的，在包括 SELinux 在內(nèi)的多數(shù)安全框架中，它們是共同生效的，所有的資源(或者準(zhǔn)確的說叫客體)訪問請(qǐng)求首先要經(jīng)過 DAC 權(quán)限判定，驗(yàn)證通過之后再進(jìn)一步進(jìn)行 MAC 的安全策略判定，只有同時(shí)符合自主訪問控制和強(qiáng)制訪問控制規(guī)則后才能獲得訪問權(quán)限。

SELinux 中，有三大類 MAC 策略模型，分別是 TE(類型增強(qiáng))，RBAC(角色訪問控制)以及 MLS(多級(jí)別安全)，每一類模型都針對(duì)系統(tǒng)已有服務(wù)和應(yīng)用提供了大量安全策略。一個(gè)使用了 SELinux 的典型的服務(wù)器操作系統(tǒng)環(huán)境，內(nèi)核中會(huì)包含 10 萬條以上的安全策略。

計(jì)算機(jī)信息系統(tǒng)的安全等級(jí)

了解了 SELinux 及其強(qiáng)制訪問框架后，看到攻防兩端都造詣深厚的 NSA，你可能會(huì)驚嘆于矛尖盾厚的美國(guó)在信息安全領(lǐng)域的強(qiáng)大的實(shí)力。然而我國(guó)在這個(gè)陸上有東風(fēng)，海上有航母，天空有北斗的時(shí)代，在信息安全這樣重要的領(lǐng)域當(dāng)然不會(huì)碌碌無為。我國(guó)很早就對(duì)信息安全領(lǐng)域展開了全面的研究，公安部對(duì)信息安全的各個(gè)領(lǐng)域提出了一些列標(biāo)準(zhǔn)，最早在 GB 17859-1999 標(biāo)準(zhǔn)中就根據(jù)需求將計(jì)算機(jī)信息系統(tǒng)的安全級(jí)別由低到高，劃分為 1-5 共五個(gè)等級(jí)。在 GB/T 20272-2006 中更進(jìn)一步對(duì)操作系統(tǒng)安全技術(shù)提出了具體要求。

從國(guó)標(biāo)安全第三級(jí)開始要求操作系統(tǒng)提供強(qiáng)制訪問控制，除了要實(shí)現(xiàn) SELinux 中的各類安全模型架構(gòu)外，還根據(jù)最小特權(quán)原則開創(chuàng)性的引入三權(quán)分立的概念，將普通操作系統(tǒng)中權(quán)限不受控制的管理員根據(jù)職責(zé)分解為系統(tǒng)管理員，安全管理員，審計(jì)管理員三個(gè)角色。

系統(tǒng)管理員負(fù)責(zé)“行政”體系，也就是系統(tǒng)中的配置管理，類似網(wǎng)絡(luò)配置、服務(wù)啟停(安全服務(wù)除外)、設(shè)備管理等等;安全管理員負(fù)責(zé)“立法”，負(fù)責(zé)安全策略制定、加載以及安全服務(wù)的開啟;審計(jì)管理員的職責(zé)類似“司法”，制定違規(guī)訪問的記錄，安全服務(wù)的關(guān)閉。三個(gè)角色的權(quán)限之間互相制約，從而避免了惡意入侵者通過獲取管理員權(quán)限對(duì)操作系統(tǒng)的全面控制。同時(shí)標(biāo)準(zhǔn)還對(duì)用戶數(shù)據(jù)的私密性、完整性提出了嚴(yán)格的保護(hù)要求，要求操作系統(tǒng)通過安全標(biāo)簽保障用戶數(shù)據(jù)不被非法讀取和篡改。

國(guó)標(biāo)安全四級(jí)除了在訪問控制和數(shù)據(jù)保護(hù)上提出更為嚴(yán)格要求之外，還要求設(shè)計(jì)者對(duì)操作系統(tǒng)的安全策略模型、安全功能模塊進(jìn)行形式化驗(yàn)證，并進(jìn)行隱蔽信道分析，對(duì)系統(tǒng)抵御攻擊能力進(jìn)行評(píng)估，也是目前已有操作系統(tǒng)能達(dá)到的最高安全等級(jí)。目前普華、凝思等國(guó)產(chǎn)操作系統(tǒng)廠商已經(jīng)開發(fā)出了符合國(guó)標(biāo)安全四級(jí)的安全操作系統(tǒng)，提供了遠(yuǎn)高于普通 SELinux 的底層安全保護(hù)。

結(jié)語

信息安全是全方位的，盡管病毒與惡意入侵并非只針對(duì)操作系統(tǒng)，單一從操作系統(tǒng)層面無法解決所有的安全問題，然而作為所有上層應(yīng)用的最底層軟件支撐，操作系統(tǒng)卻在最終執(zhí)行層面承載著一切上層軟件的安全機(jī)制，脫離操作系統(tǒng)構(gòu)建的安全體系，如同沙灘上的城堡，即使再堅(jiān)固也將最終失去根基。