過去十年中的10大安全噩夢
如果沒有Internet,您可能根本不知道釣魚、網絡犯罪、數據偷竊,或僵尸網絡之類的名詞。下面,我們就來回顧過去十年中最可怕的那些安全事件,并從中總結出一些經驗。
1. 網絡戰爭
早在2000年2月,一位名為Michael Calce (化名Mafiaboy)的加拿大少年使用不完整Internet流量的自動化溢出進程導致多家網站陷入停頓,其中包括Amazon、CNN、eBay和Yahoo,這就是所謂的分布式拒絕服務(DDoS)攻擊。
一些專家認為,所有的安全威脅都會經歷一個循環的過程,從最初的好玩發展到牟利,最后發展成為政治,現在看看,DDoS攻擊也不例外。
2007年5月,DDoS攻擊變成了一種政治工具,數以百計的俄羅斯同情者阻斷了愛沙尼亞政府的網站,原因是該國政府打算搬走一座二戰紀念碑。攻擊持續了整個夏天,直至多個國家的計算機緊急情況響應小組(CERT)最終化解了這一危機。#p#
2. 惡意軟件創造出奇怪的同盟者
病毒和蠕蟲存在已久,但在2001年夏天,“Code Red”蠕蟲差點就關閉了白宮的官方網站。由于這種蠕蟲,聯邦調查局國家基礎設施保護中心、美國計算機緊急情況響應小組、聯邦計算機事件響應中心、美國信息技術協會、SANS學會和微軟公司舉行了一場前所未有的聯合新聞發布會。
這些公共部門與私營機構之間的合作非常罕見,但到2009年初再次發生,這一次的原因是Conficker蠕蟲可能于4月1日午夜給整個Internet帶來了巨大的浩劫。但這種情況并沒有發生,在很大程度上應歸功于各反病毒廠商之間奇特的聯盟關系,因為這種關系使這些廠商能夠在Conficker工作組的名義下與各個政府機構合作。時至今日,該小組仍在繼續監視該病毒。#p#
3. MySpace、Facebook和Twitter攻擊
在這個十年之初,商業領域的安全專家必須與那些使用即時消息、Yahoo的Webmail,以及P2P網絡的員工做斗爭。這些應用會在企業防火墻上打開許多端口,而這些端口都為惡意軟件提供了通道。
這場戰斗最初集中于服務器的80端口;但到這十年結束時,最令人擔憂的是Facebook、Twitter和其他Web 2.0應用。盡管Facebook在隱私問題上多次守住了自己的陣地,但它上面也存在一種稱為Koobface的蠕蟲。#p#
4. 有組織的病毒和有組織的犯罪
在1999年的Melissa病毒攻擊之后,通過電子郵件傳播的病毒在第二年的I LOVE YOU爆發期間達到了頂峰,該病毒導致全世界的電子郵件服務器在5個小時內被擁塞得無法正常工作
隨著垃圾電子郵件過濾器的不斷改進成功地阻止了群發郵件,惡意代碼編寫者們開始尋找其它的途徑,將注意力轉向可自我傳播的蠕蟲,例如,MSBlast可以利用遠程進程調用消息中的缺陷,而Sasser可以利用Internet信息服務(IIS)中的漏洞。在這一階段,病毒和蠕蟲開始使用簡單郵件傳輸協議(SMTP)來繞過電子郵件過濾器,使受侵入的計算機將那些賣藥的垃圾郵件隨機傳播給Internet上的任何地址。
現在,原來那種單個病毒追隨者者躲在地下室里編寫病毒的形象已經不再流行,取而代之的是有組織的犯罪活動。#p#
5. 僵尸網絡
有了犯罪集團的財務支持,惡意軟件的創新能力也變得更加廣泛和狡猾。
2007年的Storm蠕蟲在最開始時和任何其它病毒沒有什么兩樣,但它可以與其它被Storm攻破的計算機進行交流,使用Overnet P2P協議建立一個被攻破計算機之間的網絡。該協議使操作人員能夠向外發送垃圾郵件或使用被攻破的計算機來發動DDoS攻擊。今天,僵尸網絡已經延伸到了Mac OS和Linux操作系統上。#p#
6. Albert Gonzalez
在過去的幾年中,導致最大規模數據侵入的并不是有組織的犯罪,而是一種罪犯的聯盟。這種侵入活動的受害者包括Dave & Busters公司、Hannaford Brothers公司、Heartland支付系統公司和TJX等。一個名叫Albert Gonzalez的人在法庭上承認自己應對這些罪行中的多數負責,并且牽涉到其它的一些犯罪活動。Gonzalez和其同伙在這些大公司的網站上植入了惡意代碼。接下來,這些惡意軟件又滲透到內網中,將未加密的信用卡數據全部竊取。
為打擊此類數據侵權活動,支付卡行業(PCI)于2005年提出了所有成員必須遵守的12條要求;PCI安全理事會會每兩年對這些要求進行一次更新。#p#
7. 釣魚
在某些情況下,即使不侵入并盜用數據也可以造成損害,而且它比垃圾郵件更為有效,這就是釣魚。釣魚就是利用一種“富于創造性設計”的電子郵件來誘騙您訪問那些看起來很真實的網站,而這些網站存在的目的就是盜取您的個人資料。通常這些網轉會使用“快速轉換”,即迅速變換域名的能力,從而防止您帶著執法人員再次訪問并取證。#p#
8. 老協議、新問題
在Internet的背后有很多的協議,其中一些協議在今天發揮的作用已經遠遠超出其當年的初始設計目標。在這些過度使用的協議中,最為人熟知的可能就是域名系統(DNS)。根據IOActive公司研究員Dan Kaminisky在2008年的解釋,該協議很容易受到多種形式的攻擊,其中包括DNS緩沖中毒。
DNS可以將一個網站的普通名稱(例如www.pcworld.com)轉換為數字式的服務器地址(例如123.12.123.123)。緩存中毒意味著已存儲的普通名稱地址不正確,因此導致用戶被帶到一個受感染的網站而非其預期的網站,而且用戶自己根本不可能發現。Kaminsky曾嘗試在六個月的時間里將這一缺陷通知給數量有限的一些公司,并且在后來發布了一系列協調好的補丁,這些補丁似乎解決了很多更為嚴重的漏洞問題。#p#
9. 微軟的周二補丁
十年前,微軟只在需要時才發布補丁。有些補丁的發布時間為周五下午較晚的時間,這意味著壞人可以利用整個周末對補丁進行逆向工程,并在系統管理員周一上班之前找出這些補丁中的漏洞。
從2003年秋季開始,微軟開始按照一個簡單的時間表來發布補丁:每月第二個星期二。這就是過去六年中人們所熟知的“補丁周二”,這樣,每月都會有新的補丁,但有四個月除外。Oracle公司會每個季度發布一次補丁,而Adobe最近宣布該公司也將每季度發布一次補丁,時間與微軟的補丁周二相同或接近。在所有大廠商中,蘋果公司是惟一沒有定期補丁發布計劃的企業。#p#
10. 付費漏洞披露
很多獨立研究機構多年來一直在辯論,是否應該將新發現的漏洞立即公之于眾,還是等到廠商編寫好補丁再予以公布。經過多年的反復后,最近有一兩家安全企業已經決定,為了讓研究人員守口如瓶,它們會支付費用;而公司將負責與有關的廠商打交道,監督它們及時發布補丁,并且讓公司的客戶在普通公眾了解漏洞詳情之前獲得相關的信息。
例如,在CanSecWest應用安全大會上,Tipping Point Technologies每年會向有能力侵入特定系統的研究人員獎勵1萬美元。最近幾年,付費尋找漏洞的計劃已經日趨成熟。
【編輯推薦】
