非商业转载请注明作译者、出处,并保留本文的原始链接:http://www.ituring.com.cn/article/206074
赵涏元目前在KB投资证券公司负责安全工作,管理安全防范项目(boanproject.com)。他曾在A3 Security公司做过5年渗透测试咨询顾问,在渗透测试项目管理、网络应用开发、源代码诊断等多种领域有丰富的漏洞诊断经验。他还曾在KTH安全团队负责移动服务、云服务安全,以及应对侵权事故等业务。著有《什么是渗透测试?》,与人合著《Kali Linux & BackTrack渗透测试实战》、《Nmap NSE安全漏洞诊断实战》、《数字取证的世界》、《逮捕骇客的名侦探黑客》等。赵涏元的最新作品《Android恶意代码分析与渗透测试》详细地讲解了恶意代码在各种渠道的散播方式 ,并针对开发者和用户介绍如何应对此类威胁。
问:您撰写《Android恶意代码分析与渗透测试》的初衷是什么?
我每次写书的时候,最先考虑的是这个主题是否是“韩国国内已有论述的”。如果是未有论述的主题,我会将其排在第一位,然后再积极推进我可以集中研究以及人们关注的领域。韩国国内引进的外版书有很多,但我认为,更重要的是要根据韩国市场的技术氛围撰写书籍,与人分享知识。为了能够向选择这个领域的众多读者提供一点帮助,我写下此书。希望这些对韩国开发人员来说很重要的知识也能够为中国读者提供支持。
问:您写过很多安全方面的书籍,其中包括《Kali Linux & BackTrack渗透测试实战》、《什么是渗透测试?》等。《Android恶意代码分析与渗透测试》相比于您以前的作品有什么不同?这本书最大的特色是什么?
Android恶意代码分析、Android移动渗透测试、Android数字取证分析等的区别仅在于研究方法,其实使用的是同样的技术。《Android恶意代码分析与渗透测试》不仅讲解了恶意代码分析、介绍了渗透测试漏洞分析,还从数字取证分析角度讲述了如何获得移动设备内置信息。因为我本人目前从事渗透测试(Penetration)、安全应急响应(Cert)、数字取证(Forensic)业务,所以写书时总是尝试从多角度进行分析。
问:您觉得安卓的开源是否造成了安全方面更大的隐患?安卓在未来有可能会效仿iOS封闭系统,进行局部封闭吗?
人们认为Android比iOS更易成为安全隐患是因为:使用Android手机的用户越来越多。攻击者想获取更多的用户信息,所以更关注Android,而非iOS。如果iOS的用户也增多,那么攻击者也会更多地研究iOS。近来,针对iOS用户的恶意代码也发布了很多。对安全而言,众多领域中只要有一个被打破,那么所有领域都会受到同样的威胁。Android今后也会保持开源政策,但各制造商会加强系统防御,谷歌也会逐渐强化安全。因此我认为,安全得到保障的同时,用户体验并不会受到影响。
问:您认为Android平台上的安全问题与其他平台上的安全问题有何不同?这些不同可能是由哪些原因造成的?
如前所述,Android平台延续了用户非常熟悉的基于Linux内核的开源政策,而且在世界范围内得到最广泛的应用。随着IoT环境的普及,这个比例会更惊人。Android平台正在为用户提供很多便利,安装应用时,用户可以随意控制,rooting时也很方便。虽然金融界和游戏服务都在强化安全功能,但如果用户稍感不便,他们就会降低安全度,将所有问题归结于用户的责任。保证用户便利的同时强化安全,这是开发人员的共同使命,但并非易事。
问:学习新技术能够获取更大的利益,学习安全方面的知识却未必会带来经济价值。您是否能举例说明一下对安全的关注能够给企业和开发者带来的真正价值?
关于“学习安全方面的知识未必会带来经济价值”,我有不同意见。无论哪个领域,仅满足于公司月薪的话,那么其价值也不过就是公司年薪而已。国外很多国家都鼓励举办黑客大赛并积极推进人才培养计划,政府也给予很多投资。从事安全工作的人应当灵活运用这些资源,通过多种活动将市场中的价值变为自身价值。
现在,企业如果不重视安全问题,那么黑客攻击或感染恶意代码就有可能导致“一夜回到解放前”。最近,勒索软件(Ransomware)正在急速扩散。过去只要将感染恶意代码的PC终端断开网络,备份文件后格式化或杀毒即可。但勒索软件对PC终端的所有重要文件加密后,我们无法解密,甚至会对具有写权限的所有网络共享文件造成危害。积攒数十年的公司资产可能一瞬间就化为乌有,令公司难以为继。我们需要动员所有安全领域的监测力量,研究这个恶意代码是通过什么路径进行渗透的。另外,还必须监测/拦截外部试图入侵的众多攻击。安全是公司经营中必不可少的项目。以前那种遭到网络攻击后一带而过的时代结束了,包括安全负责人在内的所有员工都应当逐步开展安全工作。
问:一款名为“Brain Test”的恶意程序攻破了谷歌Google Play应用商店,波及上百万安卓用户,而Brain Test很难被彻底删除。请问如果是您,会如何分析诊断这个恶意程序?
谷歌应用商店也有防止恶意代码注册的系统,如果连这个系统都绕过了,那么用户确实束手无策。最好的方法就是在移动终端安装杀毒软件,定期升级固件。从企业角度讲,需要引入完整性验证解决方案,实时监测并拦截用户运行的应用。
问:怎样测试一个应用是否存在安全问题?应用层面上,什么类型的漏洞才算得上是一个安全漏洞?
与我们诊断Web服务时使用的方法一样。诊断Web服务时,同时检查服务器和终端PC中发生的变化,从而找出漏洞。此时参考OWASP TOP 10或SANS发布的诊断指南,或各机构发布的指南。
移动应用诊断时,诊断的是服务器和移动终端中发生的变化。OWASP TOP 10也发布了检查项目。金融界需要保护的用户资产数据很多,应当安装并重点检查应用安全解决方案。
问:作为一个Android用户和一个程序员,如何从系统层面保护自己的手机和数据?难道只能依赖安全软件和Android定制厂商的良心吗?
我考虑移动安全时,总使用与用户终端PC一样的方法。终端PC中,为了不感染恶意代码,我们要拒绝访问可疑网站,不安装可疑文件。移动环境也是如此,尤其不要下载可疑文件,也不要安装贴吧中附带的应用(APK)。另外,应当安装可信赖的杀毒软件进行预防。韩国三星公司生产的Android机器中,有个安全区域叫做KNOX。将公司环境连接到移动设备时,建议各位在类似KNOX的安全区域中进行。
问:在读完《Android恶意代码分析与渗透测试》后,对于想要进一步钻研安卓系统安全问题的读者,您有什么学习方面的建议?
移动环境今后会有更长足的发展,IoT环境也在蓬勃生长。不仅是移动终端,家中的所有事物都将与移动设备连接。那时,更多基础设施将得到建设,人们也会使用更多应用。我们应当继续监测移动环境中可能发生的威胁,希望各位以本书为基础,今后加深研究。韩文版有计划要针对新的热点话题出版修订版,各位也可在Google或YouTube上检索资料,学习更多内容。与其学习如何分析一两个应用,不如构建可以自动分析大量应用的系统环境,深入研究高效的诊断方法。
问:根据您在证券公司负责安全工作的经验,在安全体系中,是技术手段防范重要还是社会工程防范重要,重要性各占多大比例?
二者同样重要。现在很难预测恶意代码将感染什么地方。社会工程攻防技术往往源于恶意代码,因此,员工安全意识诊断(电子邮件恶意代码应对培训等)的持续安全活动很重要。在“员工访问的所有网站都可能通过DBD(drive-by download)攻击感染恶意代码”的假设下,需要365*24运行控制监测业务。另外,应当时刻关注最新热点,提前掌握与自己公司服务相关的攻击技术,进行事前拦截。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。