摘要：趙涏元的最新作品惡意代碼分析與滲透測(cè)試詳細(xì)地講解了惡意代碼在各種渠道的散播方式，并針對(duì)開(kāi)發(fā)者和用戶介紹如何應(yīng)對(duì)此類威脅。問(wèn)您撰寫惡意代碼分析與滲透測(cè)試的初衷是什么我每次寫書(shū)的時(shí)候，最先考慮的是這個(gè)主題是否是韓國(guó)國(guó)內(nèi)已有論述的。

非商業(yè)轉(zhuǎn)載請(qǐng)注明作譯者、出處，并保留本文的原始鏈接：http://www.ituring.com.cn/article/206074

趙涏元目前在KB投資證券公司負(fù)責(zé)安全工作，管理安全防范項(xiàng)目（boanproject.com）。他曾在A3 Security公司做過(guò)5年滲透測(cè)試咨詢顧問(wèn)，在滲透測(cè)試項(xiàng)目管理、網(wǎng)絡(luò)應(yīng)用開(kāi)發(fā)、源代碼診斷等多種領(lǐng)域有豐富的漏洞診斷經(jīng)驗(yàn)。他還曾在KTH安全團(tuán)隊(duì)負(fù)責(zé)移動(dòng)服務(wù)、云服務(wù)安全，以及應(yīng)對(duì)侵權(quán)事故等業(yè)務(wù)。著有《什么是滲透測(cè)試？》，與人合著《Kali Linux & BackTrack滲透測(cè)試實(shí)戰(zhàn)》、《Nmap NSE安全漏洞診斷實(shí)戰(zhàn)》、《數(shù)字取證的世界》、《逮捕駭客的名偵探黑客》等。趙涏元的最新作品《Android惡意代碼分析與滲透測(cè)試》詳細(xì)地講解了惡意代碼在各種渠道的散播方式 ，并針對(duì)開(kāi)發(fā)者和用戶介紹如何應(yīng)對(duì)此類威脅。

問(wèn)：您撰寫《Android惡意代碼分析與滲透測(cè)試》的初衷是什么？

我每次寫書(shū)的時(shí)候，最先考慮的是這個(gè)主題是否是“韓國(guó)國(guó)內(nèi)已有論述的”。如果是未有論述的主題，我會(huì)將其排在第一位，然后再積極推進(jìn)我可以集中研究以及人們關(guān)注的領(lǐng)域。韓國(guó)國(guó)內(nèi)引進(jìn)的外版書(shū)有很多，但我認(rèn)為，更重要的是要根據(jù)韓國(guó)市場(chǎng)的技術(shù)氛圍撰寫書(shū)籍，與人分享知識(shí)。為了能夠向選擇這個(gè)領(lǐng)域的眾多讀者提供一點(diǎn)幫助，我寫下此書(shū)。希望這些對(duì)韓國(guó)開(kāi)發(fā)人員來(lái)說(shuō)很重要的知識(shí)也能夠?yàn)橹袊?guó)讀者提供支持。

問(wèn)：您寫過(guò)很多安全方面的書(shū)籍，其中包括《Kali Linux & BackTrack滲透測(cè)試實(shí)戰(zhàn)》、《什么是滲透測(cè)試？》等?！禔ndroid惡意代碼分析與滲透測(cè)試》相比于您以前的作品有什么不同？這本書(shū)最大的特色是什么？

Android惡意代碼分析、Android移動(dòng)滲透測(cè)試、Android數(shù)字取證分析等的區(qū)別僅在于研究方法，其實(shí)使用的是同樣的技術(shù)?！禔ndroid惡意代碼分析與滲透測(cè)試》不僅講解了惡意代碼分析、介紹了滲透測(cè)試漏洞分析，還從數(shù)字取證分析角度講述了如何獲得移動(dòng)設(shè)備內(nèi)置信息。因?yàn)槲冶救四壳皬氖聺B透測(cè)試（Penetration）、安全應(yīng)急響應(yīng)（Cert）、數(shù)字取證（Forensic）業(yè)務(wù)，所以寫書(shū)時(shí)總是嘗試從多角度進(jìn)行分析。

問(wèn)：您覺(jué)得安卓的開(kāi)源是否造成了安全方面更大的隱患？安卓在未來(lái)有可能會(huì)效仿iOS封閉系統(tǒng)，進(jìn)行局部封閉嗎？

人們認(rèn)為Android比iOS更易成為安全隱患是因?yàn)椋菏褂肁ndroid手機(jī)的用戶越來(lái)越多。攻擊者想獲取更多的用戶信息，所以更關(guān)注Android，而非iOS。如果iOS的用戶也增多，那么攻擊者也會(huì)更多地研究iOS。近來(lái)，針對(duì)iOS用戶的惡意代碼也發(fā)布了很多。對(duì)安全而言，眾多領(lǐng)域中只要有一個(gè)被打破，那么所有領(lǐng)域都會(huì)受到同樣的威脅。Android今后也會(huì)保持開(kāi)源政策，但各制造商會(huì)加強(qiáng)系統(tǒng)防御，谷歌也會(huì)逐漸強(qiáng)化安全。因此我認(rèn)為，安全得到保障的同時(shí)，用戶體驗(yàn)并不會(huì)受到影響。

問(wèn)：您認(rèn)為Android平臺(tái)上的安全問(wèn)題與其他平臺(tái)上的安全問(wèn)題有何不同？這些不同可能是由哪些原因造成的？

如前所述，Android平臺(tái)延續(xù)了用戶非常熟悉的基于Linux內(nèi)核的開(kāi)源政策，而且在世界范圍內(nèi)得到最廣泛的應(yīng)用。隨著IoT環(huán)境的普及，這個(gè)比例會(huì)更驚人。Android平臺(tái)正在為用戶提供很多便利，安裝應(yīng)用時(shí)，用戶可以隨意控制，rooting時(shí)也很方便。雖然金融界和游戲服務(wù)都在強(qiáng)化安全功能，但如果用戶稍感不便，他們就會(huì)降低安全度，將所有問(wèn)題歸結(jié)于用戶的責(zé)任。保證用戶便利的同時(shí)強(qiáng)化安全，這是開(kāi)發(fā)人員的共同使命，但并非易事。

問(wèn)：學(xué)習(xí)新技術(shù)能夠獲取更大的利益，學(xué)習(xí)安全方面的知識(shí)卻未必會(huì)帶來(lái)經(jīng)濟(jì)價(jià)值。您是否能舉例說(shuō)明一下對(duì)安全的關(guān)注能夠給企業(yè)和開(kāi)發(fā)者帶來(lái)的真正價(jià)值？

關(guān)于“學(xué)習(xí)安全方面的知識(shí)未必會(huì)帶來(lái)經(jīng)濟(jì)價(jià)值”，我有不同意見(jiàn)。無(wú)論哪個(gè)領(lǐng)域，僅滿足于公司月薪的話，那么其價(jià)值也不過(guò)就是公司年薪而已。國(guó)外很多國(guó)家都鼓勵(lì)舉辦黑客大賽并積極推進(jìn)人才培養(yǎng)計(jì)劃，政府也給予很多投資。從事安全工作的人應(yīng)當(dāng)靈活運(yùn)用這些資源，通過(guò)多種活動(dòng)將市場(chǎng)中的價(jià)值變?yōu)樽陨韮r(jià)值。

現(xiàn)在，企業(yè)如果不重視安全問(wèn)題，那么黑客攻擊或感染惡意代碼就有可能導(dǎo)致“一夜回到解放前”。最近，勒索軟件（Ransomware）正在急速擴(kuò)散。過(guò)去只要將感染惡意代碼的PC終端斷開(kāi)網(wǎng)絡(luò)，備份文件后格式化或殺毒即可。但勒索軟件對(duì)PC終端的所有重要文件加密后，我們無(wú)法解密，甚至?xí)?duì)具有寫權(quán)限的所有網(wǎng)絡(luò)共享文件造成危害。積攢數(shù)十年的公司資產(chǎn)可能一瞬間就化為烏有，令公司難以為繼。我們需要?jiǎng)訂T所有安全領(lǐng)域的監(jiān)測(cè)力量，研究這個(gè)惡意代碼是通過(guò)什么路徑進(jìn)行滲透的。另外，還必須監(jiān)測(cè)/攔截外部試圖入侵的眾多攻擊。安全是公司經(jīng)營(yíng)中必不可少的項(xiàng)目。以前那種遭到網(wǎng)絡(luò)攻擊后一帶而過(guò)的時(shí)代結(jié)束了，包括安全負(fù)責(zé)人在內(nèi)的所有員工都應(yīng)當(dāng)逐步開(kāi)展安全工作。

問(wèn)：一款名為“Brain Test”的惡意程序攻破了谷歌Google Play應(yīng)用商店，波及上百萬(wàn)安卓用戶，而B(niǎo)rain Test很難被徹底刪除。請(qǐng)問(wèn)如果是您，會(huì)如何分析診斷這個(gè)惡意程序？

谷歌應(yīng)用商店也有防止惡意代碼注冊(cè)的系統(tǒng)，如果連這個(gè)系統(tǒng)都繞過(guò)了，那么用戶確實(shí)束手無(wú)策。最好的方法就是在移動(dòng)終端安裝殺毒軟件，定期升級(jí)固件。從企業(yè)角度講，需要引入完整性驗(yàn)證解決方案，實(shí)時(shí)監(jiān)測(cè)并攔截用戶運(yùn)行的應(yīng)用。

問(wèn)：怎樣測(cè)試一個(gè)應(yīng)用是否存在安全問(wèn)題？應(yīng)用層面上，什么類型的漏洞才算得上是一個(gè)安全漏洞？

與我們?cè)\斷Web服務(wù)時(shí)使用的方法一樣。診斷Web服務(wù)時(shí)，同時(shí)檢查服務(wù)器和終端PC中發(fā)生的變化，從而找出漏洞。此時(shí)參考OWASP TOP 10或SANS發(fā)布的診斷指南，或各機(jī)構(gòu)發(fā)布的指南。

移動(dòng)應(yīng)用診斷時(shí)，診斷的是服務(wù)器和移動(dòng)終端中發(fā)生的變化。OWASP TOP 10也發(fā)布了檢查項(xiàng)目。金融界需要保護(hù)的用戶資產(chǎn)數(shù)據(jù)很多，應(yīng)當(dāng)安裝并重點(diǎn)檢查應(yīng)用安全解決方案。

問(wèn)：作為一個(gè)Android用戶和一個(gè)程序員，如何從系統(tǒng)層面保護(hù)自己的手機(jī)和數(shù)據(jù)？難道只能依賴安全軟件和Android定制廠商的良心嗎？

我考慮移動(dòng)安全時(shí)，總使用與用戶終端PC一樣的方法。終端PC中，為了不感染惡意代碼，我們要拒絕訪問(wèn)可疑網(wǎng)站，不安裝可疑文件。移動(dòng)環(huán)境也是如此，尤其不要下載可疑文件，也不要安裝貼吧中附帶的應(yīng)用（APK）。另外，應(yīng)當(dāng)安裝可信賴的殺毒軟件進(jìn)行預(yù)防。韓國(guó)三星公司生產(chǎn)的Android機(jī)器中，有個(gè)安全區(qū)域叫做KNOX。將公司環(huán)境連接到移動(dòng)設(shè)備時(shí)，建議各位在類似KNOX的安全區(qū)域中進(jìn)行。

問(wèn)：在讀完《Android惡意代碼分析與滲透測(cè)試》后，對(duì)于想要進(jìn)一步鉆研安卓系統(tǒng)安全問(wèn)題的讀者，您有什么學(xué)習(xí)方面的建議？

移動(dòng)環(huán)境今后會(huì)有更長(zhǎng)足的發(fā)展，IoT環(huán)境也在蓬勃生長(zhǎng)。不僅是移動(dòng)終端，家中的所有事物都將與移動(dòng)設(shè)備連接。那時(shí)，更多基礎(chǔ)設(shè)施將得到建設(shè)，人們也會(huì)使用更多應(yīng)用。我們應(yīng)當(dāng)繼續(xù)監(jiān)測(cè)移動(dòng)環(huán)境中可能發(fā)生的威脅，希望各位以本書(shū)為基礎(chǔ)，今后加深研究。韓文版有計(jì)劃要針對(duì)新的熱點(diǎn)話題出版修訂版，各位也可在Google或YouTube上檢索資料，學(xué)習(xí)更多內(nèi)容。與其學(xué)習(xí)如何分析一兩個(gè)應(yīng)用，不如構(gòu)建可以自動(dòng)分析大量應(yīng)用的系統(tǒng)環(huán)境，深入研究高效的診斷方法。

問(wèn)：根據(jù)您在證券公司負(fù)責(zé)安全工作的經(jīng)驗(yàn)，在安全體系中，是技術(shù)手段防范重要還是社會(huì)工程防范重要，重要性各占多大比例？

二者同樣重要?，F(xiàn)在很難預(yù)測(cè)惡意代碼將感染什么地方。社會(huì)工程攻防技術(shù)往往源于惡意代碼，因此，員工安全意識(shí)診斷（電子郵件惡意代碼應(yīng)對(duì)培訓(xùn)等）的持續(xù)安全活動(dòng)很重要。在“員工訪問(wèn)的所有網(wǎng)站都可能通過(guò)DBD（drive-by download）攻擊感染惡意代碼”的假設(shè)下，需要365*24運(yùn)行控制監(jiān)測(cè)業(yè)務(wù)。另外，應(yīng)當(dāng)時(shí)刻關(guān)注最新熱點(diǎn)，提前掌握與自己公司服務(wù)相關(guān)的攻擊技術(shù)，進(jìn)行事前攔截。

更多精彩，加入圖靈訪談微信！