過去十年十大網絡安全災難事件回顧
過去十年,所有的網絡安全教訓差不多皆可歸咎于互聯網。如果沒有互聯網,我們可能從不會認識什么網絡釣魚、網絡犯罪、數據泄漏或者僵尸網絡。那么,就讓我們回顧一下過去的十年間都發生了哪些令人恐懼的網絡安全災難,并牢牢記住我們從每一次災難中應該吸取的教訓。
1. 網絡戰
所有重大的后果都是由小事逐漸引發的。回到2000年的2月,加拿大的一位網名叫Mafiaboy的年輕人利用互聯網流量發起自動洪水攻擊,導致多家著名網站——包括亞馬遜、CNN、Dell、eBay和雅虎等——瞬間崩潰,這就是后來被稱作DDoS攻擊的肇始。
這個Mafiaboy網民的真名叫Michael Calce,后來被指控犯了55項傷害罪,法院判罰拘禁8個月。Calce后來將其經歷寫成了書,書名叫做《Mafiaboy:我怎么攻擊互聯網以及它為何會崩潰》。一些專家認為,所有的安全威脅都會經歷從網絡迷到牟利者再到政治罪犯的一輪進化,DDoS也不例外:信奉機會主義的犯罪分子后來便開始利用DDoS攻擊各類賭博網站,開始勒索贖金了。
2007年5月,DDoS攻擊轉向政治領域,數千名俄羅斯同情者封鎖了愛沙尼亞政府的各大網站,而這一切的起因只是因為愛沙尼亞的一座蘇聯二戰紀念碑被挪走了。這場攻擊持續了整個夏天,最后還是多個國家的CERT(計算機緊急響應中心)共同努力才逐漸將其平息下去。翌年,俄羅斯的黑客組織又用DDoS手段向格魯吉亞政府發動了攻擊。
這之后,還有多個國家的政府網站和軍事網站遭到過有組織的DDoS攻擊。
2. 惡意軟件促成強大聯盟
病毒和蠕蟲一直都很活躍,但是2001年的夏天,一個頗具進攻性的蠕蟲威脅說要封殺白宮的官方網站。這個叫紅色代碼的新型病毒集病毒與蠕蟲為一體,其危害之大引起了多方關注。FBI國家基礎設施防護中心、美國CERT、聯邦計算機事故反應中心(FedCIRC)、美國信息技術協會(ITAA)、SANS學會和微軟等機構前所未有地專門為此召開了一次聯合新聞發布會。
兩年后,微軟再次與美國特勤局、FBI,以及后來和Interpol等聯手,提供25萬美金懸賞當時轟動一時的Sobig、MSBlast和其他重要病毒的制作者信息。
如此規模的公私合作是不多見的,2009年4月1日午夜,當Conficker蠕蟲在互聯網上大肆傳播時,政府和企業再次聯手。多家相互競爭的防病毒企業與政府部門聯合成立了Conficker工作組,遏制了Conficker病毒的大爆發。到今天為止,該工作組還在繼續監控這個蠕蟲。很顯然,各個安全機構擱置分歧,聯合行動,以反對共同的敵人,會使他們的力量更為強大。
3. 社交網站頻遭攻擊
在已過去的這個十年之初,企業的安全專家和企業員工之間在使用即時通信工具,以及使用P2P網絡上相互較勁。因為這些應用會在企業的防火墻上鑿出很多漏洞,為惡意軟件開放各種端口。
這場較勁最初關注的是服務器的80端口;但是到了這個十年快結束的時候,人們的擔憂普遍轉向了Facebook、Twitter和其他Web 2.0應用。
2005年,一名青年制造了在MySpace上傳播的Samy蠕蟲,使安全業界一下子開始關注Web 2.0的核心問題,即用戶貢獻的內容可能含有惡意軟件的問題。
2009年,Twitter占據了舞臺中心,自然也招來了惡意軟件的光臨,即短網址的危險。Twitter還遭受過垃圾郵件的大量騷擾。
4. 有組織的病毒和有組織的犯罪
自從1999年的梅麗莎病毒大爆發以來,電子郵件所攜帶的病毒在2000年以ILOVEYOU的面貌達到了一個爆發高峰,該病毒在5個小時里就阻塞了全球范圍內的e-mail服務器。
當經過改良的垃圾郵件過濾器可以阻塞大量郵件列表、惡意軟件編碼器時,病毒和蠕蟲便開始轉向了自我傳播,比如MSBlast(該病毒利用了遠程程序調用進程的一個漏洞)和Sasser(該病毒利用了互聯網信息服務進程的漏洞)。也差不多是在這個時侯,病毒和蠕蟲開始利用SMTP來繞過e-mail過濾器,讓大量沒有免疫力的電腦按照隨機選擇的網址發送大量的藥品廣告垃圾郵件。
2004年,就在微軟的懸賞計劃終于捕捉到了Netsky和Sasser病毒的作者Sven Jashen之后不久,單一個人在父母家中的地下室里研制病毒的圖景出現了變化,有財政支持(多半由色情網站和藥品公司提供)的有組織犯罪開始取而代之。比如像俄羅斯商業網絡(RBN)這類組織就曾精心策劃過多次垃圾郵件傳播活動,其中就包括拉高出貨垃圾股的網絡詐騙活動。
5. 僵尸網絡
獲得了財政支持的有組織犯罪集團使得惡意軟件不斷推陳出新,并且廣泛傳播。
2007年,暴風蠕蟲開始聯絡受到暴風蠕蟲感染的電腦,形成了一個受感染電腦組成的網絡,全部使用Overnet P2P協議。該協議可以讓這一網絡的經營者很容易就能發起一次垃圾郵件活動,或者利用受感染電腦發起一次DDoS攻擊。
暴風蠕蟲并非唯一這樣做的病毒。另一個病毒Nugache也在構建一個僵尸網絡。此外還有很多其他的病毒在這么做。今天,僵尸網絡已經開始感染Mac OS和Linux。你的電腦到底是否已成為僵尸網絡的一分子,這種概率目前已接近50/50。
6. 阿爾伯特·岡薩雷斯
在過去數年間所發生的最大的幾次數據泄漏案件,雖然不是有組織的犯罪,但也是多人聯合實施的,受害的公司有戴夫與巴斯特食品公司、漢納福德兄弟連鎖、Heartland支付系統和TJX等,這還只是其中的一小部分而已。一個叫阿爾伯特·岡薩雷斯的罪犯與其同伙一起通過上述公司的Web網站植入了惡意軟件代碼,然后進入了這些公司的內部網絡,從而盜走了未加密的大量信用卡數據。
為了防范此類數據泄漏犯罪,美國支付卡行業協會(PCI)在2005年特此提出了12條規定,要求其成員必須遵守。PCI安全委員會每兩年會更新這些規定。其中包括對信用卡數據的端到端加密。
7. 日益詭詐的釣魚網站
比垃圾郵件更為有效,但是還未成熟的數據泄漏方式就是網絡釣魚。其概念是頗有創意地設計一封電子郵件,誘惑接收者去訪問一個精心設計的、看上去完全合法的網站,從而盜取你的個人信息。這些網站通常會使用fast-flux技術,可迅速切換域名,可有效防止執法人員對源頭網站進行追蹤。
利用一些銀行和電子商務網站的logo和網頁設計,一下兒釣魚網站看上去和所模仿的網站一模一樣,和幾年前網頁上通篇充斥著拼寫錯誤的釣魚網站已不可同日而語。那么防范這類釣魚欺詐的最好辦法是什么?就是不要去點擊!
8. 老協議,新問題
在互聯網協議的演進過程中,今天的一些協議所執行的功能已遠遠超出了最初設計它們時的功能。這種過分擴展的協議的最著名的例子,就要算DNS了。正如IOActive的研究人員Dan Kaminsky在2008年解釋的那樣,這個協議對于各種攻擊而言到處都是漏洞,其中就包括Cache poisoning(緩存投毒)。
DNS將一個網站的常用名(比如www.pcworld.com)轉換成一個數字的服務器地址(比如123.12.123.123)。緩存投毒的意思就是說所儲存的常用名網址可能是不正確的,會把用戶鏈接到一個受感染的網站而不是用戶真正想去的網站(但用戶卻一無所知)。
同樣,PhoneFactor的研究人員Marsh Ray在SSL/TLS協議中也發現了一個漏洞,該漏洞可以在節點兩端進行認證時實施中間人攻擊。
此類漏洞的公布加快了新的標準的建立,例如DNSSEC和新版的SSL/TLS,前者可對DNS系統中的數據進行認證。在未來數年中,各個標準組織將會開展對現有協議的替代工作。
9. 微軟的補丁周二
十年前,微軟只在它覺得有必要時才發布補丁。有時候會拖到周五的下午才發布,這等于說犯罪分子有整個周末的時間可以對所發布的補丁實施反向工程,然后在系統管理員下周一安裝補丁之前就能充分利用補丁的漏洞。
而從2003年秋天開始,微軟發布補丁開始遵循一個簡單的程序:每個月的第二個星期二發布。這就是著名的“補丁周二”,已經延用了6年之久,每月發布一大堆補丁。Oracle的補丁是每季度發布,Adobe最近宣稱也要每季度發布補丁,蘋果是唯一一家沒有固定發布周期的主要廠商。
10. 發現漏洞付酬
多年來,獨立的研究人員們一直在爭論,新發現的漏洞究竟應該立刻公之于眾,還是應該等到廠商發布了該漏洞的補丁之后再公布。在某些情況下,廠商沒有再與研究人員聯系,或者沒有優先考慮公布漏洞的事情,所以研究人員就會自行公布這些漏洞。從防御的角度講,罪犯們肯定不愿意漏洞被公布,因為這些漏洞信息在黑市上可是搶手貨。
經過多年的反復爭論之后,最近有那么一兩家安全公司已經決定支付研究人員封口費。作為交換,安全公司將與涉及到的廠商共同協作,檢查補丁是否能夠及時完成,而該廠商的客戶是否能夠比普通公眾提前得到詳盡的漏洞信息。
比如說,在CanSecWest應用安全大會上,Tipping Point就將1萬美元的年度獎頒給能夠黑掉指定系統的研究人員。近些年來,發現漏洞給予報酬的程序已相當成熟。舉例來說,在微軟2009年12月的補丁周二,共發布了5個IE漏洞補丁,而這些漏洞都是在iDefence零日項目激勵程序的作用下被發現的。
【編輯推薦】
