2.安全程序设计---威胁建模.pdf

安全程序设计安全程序设计授课教师：何慧 综合楼709 hehui@1HIT- computer science安全程序设计安全程序设计 威胁建模威胁建模2HIT- computer science安全程序设计安全程序设计HIT- computer science本节课程内容概要本节课程内容概要v网络系统面临的威胁v安全漏洞的分析、危害及产生的原因v网络信息安全的威胁分类v威胁建模3安全程序设计安全程序设计HIT- computer science网络系统面临的安全威胁网络系统面临的安全威胁口令破解 身份冒充 抵赖DNS攻击 路由欺骗 搭线窃听 DOS攻击 恶意篡改病毒 后门 木马 缓冲区溢出 垃圾邮件 信息泄露4安全程序设计安全程序设计HIT- computer science威胁分类威胁分类举例举例1.人为的错误或失效人为的错误或失效事故，员工过失事故，员工过失2.知识产权侵害知识产权侵害盗版，侵犯版权盗版，侵犯版权3.故意的探测或入侵故意的探测或入侵未经许可的进入和（或）数据收未经许可的进入和（或）数据收 集集 4.故意的信息敲诈故意的信息敲诈对信息泄漏的敲诈对信息泄漏的敲诈5.故意的攻击或破坏故意的攻击或破坏破坏信息或系统破坏信息或系统6.故意偷窃故意偷窃非法占用设备或信息非法占用设备或信息7.故意的软件攻击故意的软件攻击病毒，蠕虫，宏病毒，拒绝服务病毒，蠕虫，宏病毒，拒绝服务 攻击攻击 8.自自然力然力火灾火灾，，洪水洪水，，地震地震，，闪电闪电9.技术性硬技术性硬件失效或错误件失效或错误设备失效设备失效10.技术性技术性软件失效或错误软件失效或错误程序程序Bug，，编码问题编码问题，未知漏，未知漏洞洞11.技术技术的的退化退化废弃废弃或过或过时时的的技术技术5安全程序设计安全程序设计HIT- computer science网络系统面临的安全威胁网络系统面临的安全威胁vCC将来源分为三大类：合法用户、外部攻击 者、物理环境§ 内部人员、厂商、顾问 § 外部攻击者，国外间谍、黑客 § 自然灾害、断电、割断线缆6安全程序设计安全程序设计HIT- computer science漏漏洞暴露洞暴露7安全程序设计安全程序设计HIT- computer science感染速度üDoubled in size every 8.5secs cf Code Red’s 37mins! üPeaked about 8 mins after released!üScanned >55M IPs per sec! üReached 90% of vulnerable machines world- wide (75,000) in 10mins !8安全程序设计安全程序设计HIT- computer science安全漏安全漏洞洞分分析析v 系统安全漏系统安全漏洞洞，，是是计计算机算机系统系统在在硬硬件件、、软件软件、协议、协议的的 设计设计与实现与实现过程过程中中或系统安全或系统安全策略上存在策略上存在的的缺陷缺陷和和不不 足。

足非法用非法用户户可可利利用漏用漏洞获得洞获得计计算机算机系统的系统的额外额外权权 限限，，在在未经未经授授权的权的情况下访问情况下访问或或提高其访问提高其访问权权限限，，从从 而而破坏系统的安全破坏系统的安全性v 当然当然漏漏洞洞的的存在存在本本身并不能身并不能对系统安全对系统安全造成什么损造成什么损 害，害，关键关键的的问题在于问题在于攻击攻击者者可可以利以利用用这些这些漏漏洞引发洞引发安安 全事件全事件9安全程序设计安全程序设计HIT- computer science漏漏洞洞的的危危害害v 2003年1月25日下午，全球因特网遭受了过去18个月来 最严重的攻击中国互联网出现大面积网络流量异常、 访问速度变慢的现象，情况严重的网络一度中断无法 使用.此次攻击是利用2002年7月份公布的微软SQL Server 2000的一个系统漏洞，对网络上的sQL数据库 进行攻击所造成的slammer)v 2003年7月16日，美国微软公司发布了编号为MS03— 26(CVE编号：CAN-2003—0352，)的RPC系统漏洞，受 到影响的系统包括Microsoft Windows NT 4．0、2000、 XP和Server 2003，几乎包括了微软的全部操作系统产 品。

所以，这个漏洞也被一些安全专家认为是迄今为 止传播得最广泛的一个漏洞冲击波)10安全程序设计安全程序设计HIT- computer science漏漏洞洞的产的产生原因生原因(1)输输入入验证验证错误错误 漏漏洞洞的产的产生是由于生是由于未对用未对用户提供户提供的的输输人数据的人数据的合合法法性做适当性做适当 的的检查检查这种种错误错误导致导致的安全的安全问题问题最多最多 (2)访问验证访问验证错误错误 漏漏洞洞的产的产生是由于生是由于程序的程序的访问验证访问验证部部分分存在存在某某些些可可利利用的用的逻逻 辑辑错误或用错误或用于验证于验证的的条条件件不足以不足以确定确定用用户户的的身身份份而造成而造成的的这类类 缺陷缺陷使使得得非法用非法用户户绕绕过过访问访问控制控制成成为可为可能能，，从而从而导致导致未经未经授授权的权的 访问访问 (3)竞争条竞争条件错误件错误 漏漏洞洞的产的产生是由于生是由于程序程序在在处理文处理文件件等等实实体体时时在时在时序和序和同步方同步方 面面存在问题存在问题，，在在处理处理的过程的过程中中可可能存在能存在一个一个机机会窗口使会窗口使攻击攻击者能者能 够施够施以外以外来来的的影响影响。

11Ø竞争条件错误的一个常见形式就是，程序在一个可读写的目录下建立一 个文件之前没有检查该文件是否存在攻击者可以利用这一点，猜测程序 可能会建立的文件名，并提前以这个文件名建立一个软连接这样，攻击 者可以以程序运行的权限来覆盖系统文件 Ø早期的Solaris系统的ps命令命令存在这种类型的漏洞，ps在执行的时候会 在/tmp产生一个基基于于它它pid的临的临时时文文件件，然后把它chown为为root，改 名为ps_data如果在ps运行时能够创建这个临时文件指向我们有兴趣的 文件，这样ps执行以后，我们就可以对这个root拥有文件做任意的修 改，这可以帮助我们获得root权限Ø竞争条件错误的一个常见形式就是，程序在一个可读写的目录下建立一 个文件之前没有检查该文件是否存在攻击者可以利用这一点，猜测程序 可能会建立的文件名，并提前以这个文件名建立一个软连接这样，攻击 者可以以程序运行的权限来覆盖系统文件 Ø早期的Solaris系统的ps命令命令存在这种类型的漏洞，ps在执行的时候会 在/tmp产生一个基基于于它它pid的临的临时时文文件件，然后把它chown为为root，改 名为ps_data。

如果在ps运行时能够创建这个临时文件指向我们有兴趣的 文件，这样ps执行以后，我们就可以对这个root拥有文件做任意的修 改，这可以帮助我们获得root权限安全程序设计安全程序设计HIT- computer science漏漏洞洞的产的产生原因生原因(4)意意外情况外情况处置处置错误错误 漏漏洞洞的产的产生是由于生是由于程序程序在在它它的的实现实现逻辑逻辑中中没有考虑到没有考虑到一一些些本本应该考应该考 虑虑的意的意外情况外情况这种种错误错误比较常见比较常见，，如没有如没有检查检查文文件件是是否否存在存在就直接打就直接打 开文开文件件导致导致拒绝服务拒绝服务、、没有没有检查检查文文件件是是否否存在存在就打开文就打开文件件提提取取内容进内容进行行 比较比较而而绕绕过过验证、上下验证、上下文文攻击攻击导致执行任导致执行任意意代代码码等等 (5)配置配置错误错误 漏漏洞洞的产的产生是由于生是由于系统和系统和应应用的用的配置有配置有误，或误，或是是软件安软件安装装在在错误的错误的 地地方方，或，或是是参参数数配置配置错误，或错误，或是访问是访问权权限限配置配置错误错误等等 (6)环境环境错误错误 由于由于一一些些环境变量环境变量的错误或的错误或恶恶意设意设置置造成造成的漏的漏洞洞，，导致有导致有问题问题的的特特 权程序可权程序可能能去执行去执行攻击攻击代代码。

码 (7)设计错误设计错误 这这个个类类别别是是非非常笼常笼统的，统的，严格来说严格来说，，大多大多数漏数漏洞洞的的存在存在都都是是设计错设计错 误误12安全程序设计安全程序设计HIT- computer science威胁类威胁类型型v网络信息安全网络信息安全包括包括数据安全和系统安全数据安全和系统安全 v 数据安全数据安全受到四个方受到四个方面的威胁面的威胁 v 设信息设信息是从是从源源地地址流向目址流向目的的地地址址，，那那么么正常正常 的信息的信息流向流向是是：：信息源信息目的地13安全程序设计安全程序设计HIT- computer science中中断断威胁威胁v使使网络信息系统网络信息系统毁毁坏或坏或不能不能使使用的攻击，破坏用的攻击，破坏 可用可用性性（（availability）） v 如如硬硬盘盘等一等一块块硬硬件的件的毁毁坏，坏，通通信信线路线路的的切切 断断，，文文件件管管理理系统的系统的瘫痪瘫痪等等信息源信息目的地14安全程序设计安全程序设计HIT- computer science侦听侦听威胁威胁v一个一个非非授授权权方方介介入系统的攻击，破坏入系统的攻击，破坏保密保密性性 (confidentiality). v非非授授权权方方可可以是以是一个一个人，人，一个一个程序，程序，一一台微台微机机。

v这这种种攻击攻击包括包括搭线搭线窃窃听听，，文文件或程序的件或程序的不不正正当当 拷贝拷贝信息源信息目的地15安全程序设计安全程序设计HIT- computer science修改修改威胁威胁v一个一个非非授授权权方方不不仅介仅介入系统入系统而而且且在在系统系统中中‘瞎瞎 捣乱捣乱’的攻击，破坏的攻击，破坏完整完整性性（（integrity））. v这些这些攻击攻击包括包括改改变变数据数据文文件，件，改改变变程序程序使使之之不不 能能正确执行正确执行，，修改修改信件内容信件内容等等信息源信息目的地16安全程序设计安全程序设计HIT- computer science伪伪造造威胁威胁v一个一个非非授授权权方方将伪将伪造造的的客客体体插插入系统入系统中中，破坏，破坏 真真实性实性（（authenticity）的攻击）的攻击 v包括包括网络网络中中插插入入假假信件，或信件，或者在者在文文件件中中追加记追加记 录录等等信息源信息目的地17安全程序设计安全程序设计HIT- computer science威胁模威胁模型型v通过威胁建模进行安全设计v分解应用程序v安全技术v各种威胁及解决方案18安全程序设计安全程序设计HIT- computer science通通过威胁建模进过威胁建模进行行安全设计安全设计v威胁模型：是一种基于安全的分析，有助于。