由“熊猫烧香” 来看电脑安全技术

互联网 | 编辑: 杨剑锋 2007-08-30 10:48:00转载 返回原文

软件防护构建第一道防线

编者按:“熊猫烧香”病毒给国内用户造成了巨大的损失,也许你会归咎于病毒制造者是罪魁祸首,但是Windows平台自身在安全性方面的不足也应该引起充分的重视。事实上,现在木马程序已经取代病毒成为威胁计算机安全的新杀手——病毒通常只会破坏系统,让你的工作无法正常进行。但木马程序则会危及你的财务安全,伴随着电子商务的迅猛发展,很多人已经习惯于在淘宝、易趣进行网上购物,网络银行的用户也因此日渐增多。如果用户的计算机缺乏必要的防范措施,木马程序将轻而易举盗走你的网银帐号和密码,加上国内一些银行的网银系统安全性不高,导致账户资金被盗的案件频频发生,至于网游帐号被窃取的事件更是层出不穷。

越来越多的迹象表明,计算机的安全缺陷已经成为阻碍互联网发展的关键问题,倘若无法有效遏制病毒、木马以及骇客造成的破坏,信息安全根本就无从谈起。有鉴于此,IT业界发起了一场划时代的安全战役,TMP(Truste Platform Modules,受信平台模块)安全芯片技术与硬盘底层芯片防护将成为新的重点。

针对本机的安全:软件防护构建第一道防线

计算机安全是个笼统的概念,它包含的范围其实非常广阔,具体来说可以划归为三个类型。

1.本机系统的安全性,即操作系统是否容易遭受病毒的破坏;

2.使用的安全性,即用户计算机是否容易被非授权用户动用,导致敏感信息外泄,这一点对于大型商业机构尤其重要;

3.互联网的信息安全,如网银、游戏、电子邮件等敏感的账户和密码信息失窃,造成严重的经济损失。

互联网与人们生活结合得日趋紧密,网络信息安全变得越来越重要,但它也是目前电脑安全的软肋。在这三个不同的安全领域中,本机安全是所有的用户都必须面对的问题,病毒、恶意代码、流氓软件、木马程序无处不在,系统频频被感染导致无法正常使用,Windows系统大概得负上很大的责任。

图1 网上银行系统自身可能提供了足够多的防护安全手段,但如果你的电脑已经中了木马,那么这些手段也是形同虚设。这相当于你安装了最坚固的防盗门,却被小偷复制了钥匙

众所周知,Windows系统本身存在太多的漏洞和设计缺陷,病毒木马和恶意代码的入侵易如反掌,加之Windows的权限概念形同虚设,用户大都是以“管理员”的身份登陆—即便是所谓的“标准用户”,也可以随便动用系统的核心文件,因此一旦病毒侵入系统,就可以对系统造成严重的破坏。倘若如果没有有效的外来防护,使用Windows操作系统的计算机大概很难在开放的环境中坚持上一个月,而反病毒软件与防火墙产品就构成了第一道防线。

图2 杀毒软件仅能起到事后防范,而无法查杀未知的病毒

单纯的杀毒软件一般局限于家庭应用,它的功能仅限于查杀病毒和恶意代码,虽然有大量的产品可供选择,但这些反病毒软件都是采用杀毒引擎+病毒库的形态构建,查杀病毒的性能由引擎所控制,而杀毒范围则主要取决于病毒库。(下一页)

杀毒软件不是万能的

不幸的是,杀毒软件都不是万能的,即便你购买了正版产品,每天都兢兢业业地将它升级到最新,但仍难以保证万全。以上次“熊猫烧香”爆发为例,绝大多数用户都安装了防杀毒软件并及时升级,但由于“熊猫烧香”病毒获得高级权限直接关闭了杀毒软件相应的进程,导致杀毒软件变得毫无用处,加上病毒升级频繁,即便是专杀工具也疲于奔命,倘若不是制作者放弃升级,这场攻防之战绝不会如此之快落幕,从这一点足以看出当今计算机系统的脆弱性。

经历这一场风波,许多用户都在寻求最优秀的杀毒软件。但事实上,没有哪一款杀毒软件可以完美抵御所有病毒的攻击。通常来说,如卡巴斯基、诺顿、NOD32等核心技术较强的产品拥有更高的认可度,但它们同样无法确保万全。

如果用户计算机与互联网联系紧密,我们更推荐选择包含杀毒、防火墙、漏洞修复、垃圾邮件清除于一体的安全套装产品,除了查杀病毒和木马程序外,这类安全产品同时还包括软件防火墙,以抵御外来入侵,同时部分产品还可以自动侦测系统漏洞情况,并提示用户下载最新的系统更新补丁,一些国内厂商出品的安全产品则提供了流氓软件查杀功能。这类产品可以对系统起到较全面的防护效果,但无论是单纯的防杀毒软件还是安全套件,都只能对已知的病毒起到防护作用,对于未知的新病毒基本上是无能为力的。

图3 现在的防病毒软件通常都已经变成了安全套装产品,除了查杀病毒和木马,还有其他防护功能

相对于Windows XP,微软最新的Windows Vista系统在安全方面有了明显的改良,Vista引入较严格的权限机制,标准权限下的用户无法修改系统的核心文件,这样即便遭遇病毒入侵,病毒也很难绕过这个障碍对系统造成严重破坏,因此从理论上说,Vista下防毒和杀毒都变得更加容易,系统安全性得到了更好的保障。倘若你想彻底杜绝病毒、恶意代码和流氓软件的骚扰,Linux系统大概是个不错的选择,目前Linux系统可满足正常的商务办公、网络冲浪和多媒体娱乐需求,但该平台缺乏游戏支持,网络银行系统也无法使用,难以做到大范围普及。(下一页)

TPM安全芯片、专用硬件加密技术

针对使用的安全: TPM安全芯片、专用硬件加密技术

对于拥有敏感信息的商业用户而言,安全软件的功能是远远不够的,因为安全软件防范的对象是病毒、木马程序以及来自互联网的黑客入侵,作用只是保护本机的安全,保障计算机不会受到外来的破坏。伴随着互联网应用的日益紧密,用户自身的信息安全远比计算机系统本身的安全更为重要,而上述安全软件难以阻止未经许可的非授权访问—Windows系统自身提供了访问口令机制,但它的防卫能力非常初级,有经验的入侵者轻而易举便能突破这层防卫进入系统。

有鉴于此,一些对安全性有特殊要求的PC产品都采取额外的手段来保护信息安全,例如增加USB-KEY、指纹识别键盘等等;另外对于一些敏感的文件,用户可以采用加密软件对文件进行加密,这些手段在一定程度起到增强信息安全的效果。但我们必须看到,这样的防护措施仍然非常简单,硬盘中的绝大多数数据都处于裸露状态,一旦发生硬盘或者整机被盗的情况,硬盘中的重要数据将因此泄露。此外,绝大多数安全PC都没有采用隔离技术,在开放的局域网络中很容易发生机密文件外泄的情况。

图4 英飞凌SLB9635 TMP安全芯片,符合TPM 1.2标准,目前已被用于多款安全PC产品中,但它的功能未被全部挖掘

针对这一问题,国内PC厂商提出了多种安全PC解决方案,这类安全PC除了普遍采用指纹识别认证外,支持TPM安全芯片是最典型的特征。TPM是一套标准化的安全系统,旨在为计算机打造全方位的信息安全方案(下一部分会对TPM作详细介绍),虽然TPM系统还没有全部构建完成,但TPM安全芯片已经率先被用于安全PC产品中——TPM安全芯片直接集成于主板上,它相当于一个存储密码和认证信息的“保险柜”,该“保险柜”只有写入属性而不具可读属性,也就是说任何用户都无法直接读取TPM芯片所保存的内容;假如遭遇某种手段强行读取,TPM芯片会自动毁坏其中的信息,存在里面的密码则不再生效。因此,存放于TPM芯片内的密码可以确保安全,不论重装系统或者是将CMOS芯片放电都不能将密码解除,而TPM芯片通过系统管理总线(SMB)与处理器进行通信。在TPM的帮助下,所有涉及加密加密的运算都在安全芯片内部完成,例如密钥的运算生成与比较等等,这些信息都不会经过内存或者存放于硬盘,所得结果被输出到上层接收。(下一页)

多种安全PC方案

以TPM安全芯片为基础,PC厂商发展出多种安全PC方案,这些方案结合了客户端安全管理软件,实现了对文件的加密、用户认证、用户权限管理等功能,而加密信息就保存在TPM芯片内,如果结合指纹加密技术,数据安全就可以得到充分的保证!因为即便是硬盘失窃,窃取者也无法读取经过加密的敏感信息;若失窃的对象是笔记本整机,盗取者同样无法通过指纹验证来解密相关的数据。倘若用户要对一大批文件进行保护,一一加密解密显然过于繁琐,应用TPM芯片的安全PC同样提供了一个理想的解决方案:借助客户端软件,用户可以在已有的分区中划出一部分空间虚拟成独立的分区,这个分区也拥有独立盘符,但它并不需要对硬盘的物理分区结构作任何改动,也不必修改硬盘分区表,并且在不需要的时候可以随意删除,使用起来非常方便。用户可以将需保护的文件都存放在这个虚拟分区内,虚拟分区对应的镜像文件则由TPM安全芯片进行加密,即便入侵者获得整个镜像文件,也不可能将其中的信息破解。

图5 联想开天M400S(左)、方正君逸M500(中)、同方超翔G(右)都是安全电脑中的典型代表

多数安全PC产品都实现了TPM与Windows 文件加密系统(EFS)的无缝连接,底层的加密密钥处于TPM 芯片所提供的硬件加密保护之下,确保坚固可靠;上层的应用软件则与Windows 操作系统相集成,用户通过鼠标右键菜单就能实现文件/文件夹的加密或者解密,使用起来相当方便。而如果TPM保护的文件要与外部应用进行数据或者命令交互时,除了会对操作者的身份进行验证外,还会对整个通讯链路进行传输加密,以避免传输的信息在内存中被窃取。

基于TPM的安全PC在国内市场较为常见,如联想的开天安全电脑、方正君逸M500、同方超翔G以及浪潮英政3600安全电脑都是其中的典型代表;这类安全电脑主打商用和政府采购市场,以使用安全为卖点—事实上,对于普通家用电脑而言,TPM安全技术也有着积极的意义,借助这项技术,用户可以将一些家庭财务、银行帐号之类的敏感信息存放在TPM加密文件夹或者加密分区内,既方便管理也无须担忧信息会外泄,相信随着时间的推移,TPM安全芯片也会进入家用PC系统。

TPM是一项标准化的方案,除此之外,还有一些品牌厂商开发出专有的安全技术,基于硬盘管理的安全隔离技术就是典型的代表。这类安全PC使用了安全隔离卡,通过隔离卡可以实现多用户引导和多网络的隔离,这种多用户引导与多系统是完全不同的概念,它是指可以在PC中建立三个可引导的区域,使用时只激活一个主分区,其他的引导区则被保护起来不能访问,每个用户也只能访问属于自己的硬盘空间,彼此信息完全隔绝。在此基础上配合多网隔离卡,就能够构建绝对隔绝的操作环境,例如外网、内网和专用网络的隔离,这样就能够保证敏感信息的使用安全。其次,这类安全PC还可支持底层的硬件加密,所有的数据都由嵌入式处理器采用64/128位算法进行硬件级的加密,其安全等级甚至高于TPM保护机制,而且加密解密速度极快,不会影响到正常的使用。另外,用户可以为硬盘设立不同的权限设置,并通过登陆口令进行身份认证,使得用户身份与权限能够一一对应,这样就可以避免来自企业内部的信息窃取。与TPM安全芯片类似,这类专有的硬件加密技术也可支持硬盘镜像划分,在客户端软件和嵌入微处理器的帮助下,用户可以将硬盘划分为工作区和镜像区,镜像区可实时保存工作区的所有内容,即便计算机系统遭病毒破坏、误格式化导致数据丢失或者系统无法启动,那么用户只要重启电脑就能够将数据立即恢复,比现在的Ghost镜像、一键恢复机制更具实用价值,而且有效减轻了系统维护工作。因此对于注重安全性的企业用户来说,选择上述安全PC产品可以在很大程度保护自身的使用安全。(下一页)

信息安全为何难以保障?

针对互联网的信息安全—TPM可信任计算面向未来

防杀毒软件与安全软件可以保护本机操作系统不受病毒侵袭,TPM安全芯片和专用硬件加密技术则有效保障本机信息不受非授权用户访问,但对于与互联网紧密结合的信息安全,上述机制就无能为力了—大到网络银行、网络游戏、网站的FTP管理,小到电子邮件、QQ号码等等,帐号与密码的输入都处于无防护状态,近年来关于各类帐号、密码的泄漏事件层出不穷,尤其是网银资金在用户完全无察觉下被盗窃更是成为阻碍互联网发展的一大毒瘤。对于这类与互联网紧密结合的应用,如何保障信息安全仍是一大难题,因为入侵者往往是通过各类木马程序来窃取信息,而防杀毒软件和安全软件往往都只能在灾难出现后才采取行动。业界厂商意识到,无论软件技术如何进步,开发出多么优秀的安全产品,或者操作系统如何完美,都难以有效防范这类行为,不幸的是,在计算机安全的三个领域中,互联网信息安全又是最重要的一环,如果要彻底解决这个问题,计算机内部通讯架构就必须被重新设计,这也是TPM可信任模块和LaGrande技术的核心内容。

1.信息安全为何难以保障?

在深入介绍这两项技术之前,我们先来看看信息安全为何难以保证—操作系统漏洞固然是一个因素,但更大的因素在于计算机的内部通讯都是开放式的,对骇客而言,窃取有价值的信息可以借助多个渠道。

第一,伪造登陆界面,用户误以为是正常的网页而将密码信息输入,此时后台程序将密码截留并传递给入侵者,这种伪造登陆的方法在互联网上非常流行,而屡屡有用户因此中招。

第二,窃取键盘输入信息。用户的帐号、密码输入操作大多必须借助于键盘,如果与现在系统中种植木马程序,那么就可以将用户敲击键盘的活动一五一十地记录下来,然后发送到窃取者指定的邮箱—许多网银用户的失窃案就是经由此种手段发生,尽管部分网银系统采用鼠标软键盘输入,但绝大多数的网银操作还是依赖键盘进行,而对于窥探键盘输入的木马程序,软件防护基本上没有太大的效用。

第三,直接读取内存中的数据,因为用户在运行程序、输入密码的时候这些信息都是驻留在内存里的,黑客可以借助专门的窥探软件在内存中直接找出所要的数据—HD DVD和蓝光DVD先后被破解,就是因为破解者在内存中找到播放软件泄漏的密钥,然后将它提取出来;同样,驻留在内存中账户和密码信息极容易通过此项手段被窃取。此外,账户和密码的输入最终总要经过屏幕显示这一步骤,为了防止被他人窥探,密码一般都以“*”号隐藏,但在显示输出缓存中,账户与密码其实都是不加掩饰的真实数据—借助特殊的木马程序,骇客仍可以轻易地获取详细信息。

图6 入侵者的几个攻击途径

第四,使用特殊的程序绕过密码验证的环节。我们知道,要进入诸如网络银行、私人电子邮箱内用户必须预先输入用户名与密码,技术高超的黑客可以更改程序的执行路径,使得密码验证环节形同虚设,这样就能够进入系统获得管理权限—这一攻击手段在理论上可行,但现实中很少遇到,毕竟现在各类网络服务系统都很重视安全性,而入侵者也普遍没有如此之高的技术能力。

在上述多种威胁中,伪造登陆界面、捕获键盘输入信息、读取内存数据等入侵手段的威胁最大,若要打造真正安全可靠的计算机,就必须弥补上述所有可能的攻击漏洞,这相当于要重新构建计算机的内部传输系统—创建可信任的输入/输出系统,防止敏感的密码信息在键盘输入或屏幕输出时为入侵者获取;对内存和显存中的数据加以保护,防止未经授权的非法窥探;创建封闭性的程序执行,确保程序指令能够按顺序执行而不会受到其它因素干扰。如果这些要求能够得到实现,那么计算机的内部环境将无懈可击,用户的信息安全可以获得最大限度保护。(下一页)

英特尔LaGrande/微软NGSCB技术

 2.TPM可信任计算与英特尔LaGrande/微软NGSCB技术

TPM是一项由业界大厂联合发起的安全标准,旨在彻底消除计算机先天存在的不安全性,从硬件层面上消除病毒、木马、恶意入侵的困扰,让计算机变得坚不可摧。TPM提出了一种可信计算技术思路,即在PC主板上嵌入一款TPM标准的安全芯片,并以它作为TPM支撑点让计算设备拥有高等级的安全功能。

TPM芯片作为硬件加密模块,负责加密解密相关的运算和密钥的存储,它可以为整个系统提供高安全性的密码服务—我们前面所介绍的安全PC,实际上就只用到这一功能。

它定义了计算设备内部传输系统的安全性,所有涉及总线传输的链路都进行加密,例如键盘与芯片组的南桥、内存控制器与内存、显卡与显示器等数据通讯都处于一种保护状态,期间涉及到的加解密运算由TPM安全芯片负责。

在TPM支撑下,由CPU/芯片组的安全机制和操作系统安全机制相互配合,为每一个程序进程建立安全可信计算域(下文的“安全分区”),使得这些进程都可以在私有空间中进行执行,确保应用程序执行的可信赖性和安全性,这就杜绝了病毒、恶意代码侵犯程序进程的可能性—倘若现在的计算机可支持这项机制,那么诸如熊猫烧香之类的病毒根本不可能将杀毒软件进程关闭,大肆破坏的情形也不可能发生。

系统建有唯一核心度量根CRTM,每次设备重新启动时,OS都会以CRTM为起点,一环扣一环地度量和校验每一个软件模块的完整性,从而建立起系统平台的信任链,确保所启动的每一个模块都没有被外来攻击或修改,值得用户信赖,当然这一功能必须得到操作系统和应用软件的支持。

在硬件实现方面,英特尔的LaGrande技术堪称TPM系统的首个实例。早在Prescott Pentium 4时代,英特尔的处理器和芯片组平台就已开始支持LaGrande技术,现在的Core架构系列平台自然也都支持LaGrande。LaGrande定义了处理器与MCH北桥、内存控制器与内存、USB键盘与ICH南桥以及GMA集成图形与显示器之间的安全通讯,同时也支持TPM的软件安全运行机制,LaGrande的安全功能主要包括以下几个方面。

图7 LaGrande对输入操作施加保护

●键盘输入的安全性:如果保护环境下运行的程序需要获取来自键盘的信息输入,LaGrande则会对键盘的信息输入提供严格的加密,所有加密解密操作都在TPM安全芯片的支持下进行,这就有效防范了木马程序非法获取键盘输入的内容。值得注意的是,TPM 1.2规范要求用户使用USB接口的键盘,PS/2接口的键盘无法在TPM系统中运作。

●显示输出的安全性:显示输出的安全隐患主要发生在信息从显存内输出到屏幕的环节,同样,LaGrande为它创建了一条安全的信息传输通道,相关的信息在输出前都经过加密处理,入侵者无法直接窥探显存中的数据,也无法通过更改登录界面来骗取密码—即便用户在登陆界面上输入正确的信息,但入侵者所获得的不过是一组未经解密的乱码。

图8 LaGrande对输出过程施加保护

(下一页)

 “绝对安全”指日可待

 ●程序运行的安全性:LaGrande支持操作系统为不同重要性的应用分别创建安全分区和标准分区,两个分区彼此隔离,那些关键的应用程序(例如杀毒进程)运行在操作系统创建的安全分区内,即便有病毒、恶意代码侵袭也只是处于标准分区内,这就有效保证关键进程的安全性,病毒和恶意代码也很难造成大的破坏。

图9 LaGrande对运行程序施加隔离保护

●数据存储的安全性:安全分区内的进程倘若需要存储数据,那么待存储的数据会预先进行硬件加密处理,借此实现对外封闭的存储;倘若要读取这些内容,那么就要求系统的软硬件运行环境必须与加密时完全相同。因此即使骇客能够获得这些数据,也无法在其他硬件平台上将其正常读取。

●进程通讯的安全性:如果两部电脑安全分区内的进程要建立通讯,LaGrande可为通讯过程开启“证明”、并对传输过程进行加密以确保系统通讯的安全—证明功能用于两部电脑的识别,确保两个进程都是可信任的传输对象,从而杜绝了仿冒手段的攻击,同时传输过程也经过高等级的加密,未通过正确身份认证的接收方无法解密这些内容。

图10 英特尔LaGrande安全计算平台的工作模型

LaGrande让计算硬件实现了TPM 1.2标准支持,但要真正让TPM系统正常运作,还需要操作系统的配合。微软公司原本计划在Vista系统中支持一项名为NGSCB(Next-Generation Secure Computing Base,下一代安全计算基础)的机制,它实际上TPM 1.2标准的软件实现,即可支持安全分区的构建与维护,当然前提是用户必须使用支持TPM的硬件系统。但不幸的是,这项计划最终因技术难度而推迟,微软计划在Vista的后续版本中加入该技术,届时我们便能真正感受到“可信任计算”带来的全新安全体验。在硬件方面,迄今为止仍只有英特尔平台对TPM 1.2提供完整的支持,AMD64平台包括处理器和芯片组都缺乏该项功能,受到操作系统制约,今天的用户当然感受不到两个平台的差异,但一旦TPM开始进入到实用阶段,现行英特尔平台的用户都能从中受益,在此我们期望AMD平台能够及早跟进。

图11 微软NGSCB安全架构,为TPM系统做好软件上的准备

“绝对安全”指日可待

更先进的防杀毒技术、更优秀的安全PC技术以及面向未来的TPM可信任计算构建起计算机安全的三道防线,前两者我们今天已经领略,它们都只能在各自领域内解决一些问题,但都无法根除计算机的安全隐患。相比之下,TPM可信任计算令我们充满期待,籍由软硬结合的安全保护,计算机内外都将变得坚不可摧,骇客很难再通过常规攻击手段获得用户的敏感数据,而病毒和恶意代码也很难造成大的破坏—尽管无数技艺高超的骇客都以挑战自我为乐,但它们要攻破TPM的防线并没有太多可能:128位硬件加密、支持自毁的TPM安全芯片,这一切足以让人望而生畏!更何况安全专家们不会停止脚步,在未来的发展中,TPM将朝向新的高度挺进,也许有一天会有高手找到它的漏洞,但我们相信安全专家能够迅速拿出应对之策。我们完全没有必要为今天漏洞百出的计算机和互联网世界丧失信心,这一切将伴随TPM可信任计算的到来而走入历史。


 

返回原文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑