互联网10年间的噩梦
互联网发展的40年,期间也伴随这诸多的安全威胁事件。如果没有Internet,您可能根本不知道钓鱼、网络犯罪、数据偷窃,或僵尸网络之类的名词。下面,我们就来回顾过去十年中最可怕的那些安全事件,并从中总结出一些经验。
1. 网络战争
早在2000年2月,一位名为Michael Calce (化名Mafiaboy)的加拿大少年使用不完整Internet流量的自动化溢出进程导致多家网站陷入停顿,其中包括Amazon、CNN、eBay和Yahoo,这就是所谓的分布式拒绝服务(DDoS)攻击。
一些专家认为,所有的安全威胁都会经历一个循环的过程,从最初的好玩发展到牟利,最后发展成为政治,现在看看,DDoS攻击也不例外。
2007年5月,DDoS攻击变成了一种政治工具,数以百计的俄罗斯同情者阻断了爱沙尼亚政府的网站,原因是该国政府打算搬走一座二战纪念碑。攻击持续了整个夏天,直至多个国家的计算机紧急情况响应小组(CERT)最终化解了这一危机。
2. 恶意软件创造出奇怪的同盟者
病毒和蠕虫存在已久,但在2001年夏天,“Code Red”蠕虫差点就关闭了白宫的官方网站。由于这种蠕虫,联邦调查局国家基础设施保护中心、美国计算机紧急情况响应小组、联邦计算机事件响应中心、美国信息技术协会、SANS学会和微软公司举行了一场前所未有的联合新闻发布会。
这些公共部门与私营机构之间的合作非常罕见,但到2009年初再次发生,这一次的原因是Conficker蠕虫可能于4月1日午夜给整个Internet带来了巨大的浩劫。但这种情况并没有发生,在很大程度上应归功于各反病毒厂商之间奇特的联盟关系,因为这种关系使这些厂商能够在Conficker工作组的名义下与各个政府机构合作。时至今日,该小组仍在继续监视该病毒。
3. MySpace、Facebook和Twitter攻击
在这个十年之初,商业领域的安全专家必须与那些使用即时消息、Yahoo的Webmail,以及P2P网络的员工做斗争。这些应用会在企业防火墙上打开许多端口,而这些端口都为恶意软件提供了通道。
这场战斗最初集中于服务器的80端口;但到这十年结束时,最令人担忧的是Facebook、Twitter和其他Web 2.0应用。尽管Facebook在隐私问题上多次守住了自己的阵地,但它上面也存在一种称为Koobface的蠕虫。
4. 有组织的病毒和有组织的犯罪
在1999年的Melissa病毒攻击之后,通过电子邮件传播的病毒在第二年的I LOVE YOU爆发期间达到了顶峰,该病毒导致全世界的电子邮件服务器在5个小时内被拥塞得无法正常工作
随着垃圾电子邮件过滤器的不断改进成功地阻止了群发邮件,恶意代码编写者们开始寻找其它的途径,将注意力转向可自我传播的蠕虫,例如,MSBlast可以利用远程进程调用消息中的缺陷,而Sasser可以利用Internet信息服务(IIS)中的漏洞。在这一阶段,病毒和蠕虫开始使用简单邮件传输协议(SMTP)来绕过电子邮件过滤器,使受侵入的计算机将那些卖药的垃圾邮件随机传播给Internet上的任何地址。
现在,原来那种单个病毒追随者者躲在地下室里编写病毒的形象已经不再流行,取而代之的是有组织的犯罪活动。
5. 僵尸网络
有了犯罪集团的财务支持,恶意软件的创新能力也变得更加广泛和狡猾。
2007年的Storm蠕虫在最开始时和任何其它病毒没有什么两样,但它可以与其它被Storm攻破的计算机进行交流,使用Overnet P2P协议建立一个被攻破计算机之间的网络。该协议使操作人员能够向外发送垃圾邮件或使用被攻破的计算机来发动DDoS攻击。今天,僵尸网络已经延伸到了Mac OS和Linux操作系统上。
6. Albert Gonzalez
在过去的几年中,导致最大规模数据侵入的并不是有组织的犯罪,而是一种罪犯的联盟。这种侵入活动的受害者包括Dave & Busters公司、Hannaford Brothers公司、Heartland支付系统公司和TJX等。一个名叫Albert Gonzalez的人在法庭上承认自己应对这些罪行中的多数负责,并且牵涉到其它的一些犯罪活动。Gonzalez和其同伙在这些大公司的网站上植入了恶意代码。接下来,这些恶意软件又渗透到内网中,将未加密的信用卡数据全部窃取。
为打击此类数据侵权活动,支付卡行业(PCI)于2005年提出了所有成员必须遵守的12条要求;PCI安全理事会会每两年对这些要求进行一次更新。
10年黑客的手法层出不穷
7. 钓鱼
在某些情况下,即使不侵入并盗用数据也可以造成损害,而且它比垃圾邮件更为有效,这就是钓鱼。钓鱼就是利用一种“富于创造性设计”的电子邮件来诱骗您访问那些看起来很真实的网站,而这些网站存在的目的就是盗取您的个人资料。通常这些网转会使用“快速转换”,即迅速变换域名的能力,从而防止您带着执法人员再次访问并取证。
8. 老协议、新问题
在Internet的背后有很多的协议,其中一些协议在今天发挥的作用已经远远超出其当年的初始设计目标。在这些过度使用的协议中,最为人熟知的可能就是域名系统(DNS)。根据IOActive公司研究员Dan Kaminisky在2008年的解释,该协议很容易受到多种形式的攻击,其中包括DNS缓冲中毒。
DNS可以将一个网站的普通名称(例如www.pcworld.com)转换为数字式的服务器地址(例如123.12.123.123)。缓存中毒意味着已存储的普通名称地址不正确,因此导致用户被带到一个受感染的网站而非其预期的网站,而且用户自己根本不可能发现。Kaminsky曾尝试在六个月的时间里将这一缺陷通知给数量有限的一些公司,并且在后来发布了一系列协调好的补丁,这些补丁似乎解决了很多更为严重的漏洞问题。
9. 微软的周二补丁
十年前,微软只在需要时才发布补丁。有些补丁的发布时间为周五下午较晚的时间,这意味着坏人可以利用整个周末对补丁进行逆向工程,并在系统管理员周一上班之前找出这些补丁中的漏洞。
从2003年秋季开始,微软开始按照一个简单的时间表来发布补丁:每月第二个星期二。这就是过去六年中人们所熟知的“补丁周二”,这样,每月都会有新的补丁,但有四个月除外。Oracle公司会每个季度发布一次补丁,而Adobe最近宣布该公司也将每季度发布一次补丁,时间与微软的补丁周二相同或接近。在所有大厂商中,苹果公司是惟一没有定期补丁发布计划的企业。
10. 付费漏洞披露
很多独立研究机构多年来一直在辩论,是否应该将新发现的漏洞立即公之于众,还是等到厂商编写好补丁再予以公布。经过多年的反复后,最近有一两家安全企业已经决定,为了让研究人员守口如瓶,它们会支付费用;而公司将负责与有关的厂商打交道,监督它们及时发布补丁,并且让公司的客户在普通公众了解漏洞详情之前获得相关的信息。
例如,在CanSecWest应用安全大会上,Tipping Point Technologies每年会向有能力侵入特定系统的研究人员奖励1万美元。最近几年,付费寻找漏洞的计划已经日趋成熟。
网友评论