摘要：趙涏元的最新作品惡意代碼分析與滲透測試詳細地講解了惡意代碼在各種渠道的散播方式，并針對開發者和用戶介紹如何應對此類威脅。問您撰寫惡意代碼分析與滲透測試的初衷是什么我每次寫書的時候，最先考慮的是這個主題是否是韓國國內已有論述的。

非商業轉載請注明作譯者、出處，并保留本文的原始鏈接：http://www.ituring.com.cn/article/206074

趙涏元目前在KB投資證券公司負責安全工作，管理安全防范項目（boanproject.com）。他曾在A3 Security公司做過5年滲透測試咨詢顧問，在滲透測試項目管理、網絡應用開發、源代碼診斷等多種領域有豐富的漏洞診斷經驗。他還曾在KTH安全團隊負責移動服務、云服務安全，以及應對侵權事故等業務。著有《什么是滲透測試？》，與人合著《Kali Linux & BackTrack滲透測試實戰》、《Nmap NSE安全漏洞診斷實戰》、《數字取證的世界》、《逮捕駭客的名偵探黑客》等。趙涏元的最新作品《Android惡意代碼分析與滲透測試》詳細地講解了惡意代碼在各種渠道的散播方式 ，并針對開發者和用戶介紹如何應對此類威脅。

問：您撰寫《Android惡意代碼分析與滲透測試》的初衷是什么？

我每次寫書的時候，最先考慮的是這個主題是否是“韓國國內已有論述的”。如果是未有論述的主題，我會將其排在第一位，然后再積極推進我可以集中研究以及人們關注的領域。韓國國內引進的外版書有很多，但我認為，更重要的是要根據韓國市場的技術氛圍撰寫書籍，與人分享知識。為了能夠向選擇這個領域的眾多讀者提供一點幫助，我寫下此書。希望這些對韓國開發人員來說很重要的知識也能夠為中國讀者提供支持。

問：您寫過很多安全方面的書籍，其中包括《Kali Linux & BackTrack滲透測試實戰》、《什么是滲透測試？》等。《Android惡意代碼分析與滲透測試》相比于您以前的作品有什么不同？這本書最大的特色是什么？

Android惡意代碼分析、Android移動滲透測試、Android數字取證分析等的區別僅在于研究方法，其實使用的是同樣的技術。《Android惡意代碼分析與滲透測試》不僅講解了惡意代碼分析、介紹了滲透測試漏洞分析，還從數字取證分析角度講述了如何獲得移動設備內置信息。因為我本人目前從事滲透測試（Penetration）、安全應急響應（Cert）、數字取證（Forensic）業務，所以寫書時總是嘗試從多角度進行分析。

問：您覺得安卓的開源是否造成了安全方面更大的隱患？安卓在未來有可能會效仿iOS封閉系統，進行局部封閉嗎？

人們認為Android比iOS更易成為安全隱患是因為：使用Android手機的用戶越來越多。攻擊者想獲取更多的用戶信息，所以更關注Android，而非iOS。如果iOS的用戶也增多，那么攻擊者也會更多地研究iOS。近來，針對iOS用戶的惡意代碼也發布了很多。對安全而言，眾多領域中只要有一個被打破，那么所有領域都會受到同樣的威脅。Android今后也會保持開源政策，但各制造商會加強系統防御，谷歌也會逐漸強化安全。因此我認為，安全得到保障的同時，用戶體驗并不會受到影響。

問：您認為Android平臺上的安全問題與其他平臺上的安全問題有何不同？這些不同可能是由哪些原因造成的？

如前所述，Android平臺延續了用戶非常熟悉的基于Linux內核的開源政策，而且在世界范圍內得到最廣泛的應用。隨著IoT環境的普及，這個比例會更驚人。Android平臺正在為用戶提供很多便利，安裝應用時，用戶可以隨意控制，rooting時也很方便。雖然金融界和游戲服務都在強化安全功能，但如果用戶稍感不便，他們就會降低安全度，將所有問題歸結于用戶的責任。保證用戶便利的同時強化安全，這是開發人員的共同使命，但并非易事。

問：學習新技術能夠獲取更大的利益，學習安全方面的知識卻未必會帶來經濟價值。您是否能舉例說明一下對安全的關注能夠給企業和開發者帶來的真正價值？

關于“學習安全方面的知識未必會帶來經濟價值”，我有不同意見。無論哪個領域，僅滿足于公司月薪的話，那么其價值也不過就是公司年薪而已。國外很多國家都鼓勵舉辦黑客大賽并積極推進人才培養計劃，政府也給予很多投資。從事安全工作的人應當靈活運用這些資源，通過多種活動將市場中的價值變為自身價值。

現在，企業如果不重視安全問題，那么黑客攻擊或感染惡意代碼就有可能導致“一夜回到解放前”。最近，勒索軟件（Ransomware）正在急速擴散。過去只要將感染惡意代碼的PC終端斷開網絡，備份文件后格式化或殺毒即可。但勒索軟件對PC終端的所有重要文件加密后，我們無法解密，甚至會對具有寫權限的所有網絡共享文件造成危害。積攢數十年的公司資產可能一瞬間就化為烏有，令公司難以為繼。我們需要動員所有安全領域的監測力量，研究這個惡意代碼是通過什么路徑進行滲透的。另外，還必須監測/攔截外部試圖入侵的眾多攻擊。安全是公司經營中必不可少的項目。以前那種遭到網絡攻擊后一帶而過的時代結束了，包括安全負責人在內的所有員工都應當逐步開展安全工作。

問：一款名為“Brain Test”的惡意程序攻破了谷歌Google Play應用商店，波及上百萬安卓用戶，而Brain Test很難被徹底刪除。請問如果是您，會如何分析診斷這個惡意程序？

谷歌應用商店也有防止惡意代碼注冊的系統，如果連這個系統都繞過了，那么用戶確實束手無策。最好的方法就是在移動終端安裝殺毒軟件，定期升級固件。從企業角度講，需要引入完整性驗證解決方案，實時監測并攔截用戶運行的應用。

問：怎樣測試一個應用是否存在安全問題？應用層面上，什么類型的漏洞才算得上是一個安全漏洞？

與我們診斷Web服務時使用的方法一樣。診斷Web服務時，同時檢查服務器和終端PC中發生的變化，從而找出漏洞。此時參考OWASP TOP 10或SANS發布的診斷指南，或各機構發布的指南。

移動應用診斷時，診斷的是服務器和移動終端中發生的變化。OWASP TOP 10也發布了檢查項目。金融界需要保護的用戶資產數據很多，應當安裝并重點檢查應用安全解決方案。

問：作為一個Android用戶和一個程序員，如何從系統層面保護自己的手機和數據？難道只能依賴安全軟件和Android定制廠商的良心嗎？

我考慮移動安全時，總使用與用戶終端PC一樣的方法。終端PC中，為了不感染惡意代碼，我們要拒絕訪問可疑網站，不安裝可疑文件。移動環境也是如此，尤其不要下載可疑文件，也不要安裝貼吧中附帶的應用（APK）。另外，應當安裝可信賴的殺毒軟件進行預防。韓國三星公司生產的Android機器中，有個安全區域叫做KNOX。將公司環境連接到移動設備時，建議各位在類似KNOX的安全區域中進行。

問：在讀完《Android惡意代碼分析與滲透測試》后，對于想要進一步鉆研安卓系統安全問題的讀者，您有什么學習方面的建議？

移動環境今后會有更長足的發展，IoT環境也在蓬勃生長。不僅是移動終端，家中的所有事物都將與移動設備連接。那時，更多基礎設施將得到建設，人們也會使用更多應用。我們應當繼續監測移動環境中可能發生的威脅，希望各位以本書為基礎，今后加深研究。韓文版有計劃要針對新的熱點話題出版修訂版，各位也可在Google或YouTube上檢索資料，學習更多內容。與其學習如何分析一兩個應用，不如構建可以自動分析大量應用的系統環境，深入研究高效的診斷方法。

問：根據您在證券公司負責安全工作的經驗，在安全體系中，是技術手段防范重要還是社會工程防范重要，重要性各占多大比例？

二者同樣重要。現在很難預測惡意代碼將感染什么地方。社會工程攻防技術往往源于惡意代碼，因此，員工安全意識診斷（電子郵件惡意代碼應對培訓等）的持續安全活動很重要。在“員工訪問的所有網站都可能通過DBD（drive-by download）攻擊感染惡意代碼”的假設下，需要365*24運行控制監測業務。另外，應當時刻關注最新熱點，提前掌握與自己公司服務相關的攻擊技術，進行事前攔截。

更多精彩，加入圖靈訪談微信！