泄密?木馬?如何保障政府網絡安全
木馬病毒引起的安全事件現象
以下兩起案例,是近期發生的真實泄密事件,都屬于典型的由木馬病毒造成的無意識泄密事件。
小劉是某機關一名干部,平時好學上進,表現突出,被組織上定為政工干部培養苗子。2006年經組織推薦,小劉被送政工班培訓。去學習前,小劉特意將自己平時在機關撰寫的計劃、總結等涉密資料存入U盤,準備在學習期間進行學術交流。學習期間,小劉多次上網查閱資料,并用該U盤下載參考資料。在此過程中,“輪渡”木馬病毒自動駐存于U盤中,將小劉存儲的涉密資料悉數“盜”入國際互聯網。事后查明,小劉泄密的資料達32份,他因此受到降職、降銜的嚴肅處理。
董教授,是某大學知名教授,平時工作兢兢業業,經常加班加點在家備課。由于需要查閱資料,他家中的電腦接入了國際互聯網。董教授白天在辦公室辦公電腦上工作,晚上在家用個人電腦工作,經常用U盤將未完成的工作內容在兩個電腦間相互拷貝。自2005年以來,董教授辦公電腦內的二百多份文件資料竟鬼使神差般地“跑”進了互聯網,造成重大泄密。經上級保密委員會審查鑒定,涉密文件資料達三十多份,董教授受到降職降銜、降職稱的嚴肅處理。
由于在日常工作中,部分公職人員想在因特網上進行數據查詢,貪圖方便,該職員使用U盤在兩個不同的電腦間拷貝文件,或者就在涉密網終端上通過撥號、無線上網等的方式,訪問了因特網。該職員在瀏覽網頁時,訪問了某個網站,而這個網站正好被黑客攻擊了,網頁被掛馬。木馬利用“自動下載技術”,讓該職員在未察覺的情況下潛入了用戶電腦、移動硬盤、U盤。
木馬病毒引發的危害
目前,隨著新技術的發展,移動存儲介質的種類日趨多樣,軟盤、U盤、移動硬盤、MP3、MP4、數碼相機、記憶棒等在工作中的應用十分廣泛,移動存儲設備在為我們的工作帶來便利的同時,也帶來了不容忽視的信息安全保密隱患,大大增加了保密管理的難度。
特別是U盤,越來越多地出現在我們的工作中。由于其便于攜帶、方便存取,不少人用它私自下載和保存涉密文件,非法拷貝現象難以控制;還有的人將工作U盤帶回家中,甚至帶著涉密的U盤逛街、訪友,一旦丟失,損失巨大。除了這些泄密隱患外,U盤一旦被植入病毒,特別是木馬病毒后,如果接入涉密計算機,我們的涉密文件就會在不知不覺中被別有用心者竊取。
工作秘密的泄露會使政府機關工作遭受損失,帶來不必要的被動;國家秘密的泄露會使國家的安全和利益遭到嚴重損害;而泄密者受到降職、降銜的嚴肅處理,上文中提到的小劉和董教授由于安全意識薄弱,或單位技術保障不到位,多年政績毀于一旦,實在是可惜之至。亡羊補牢,新時代里是悔之晚矣!!!
據CNCERT/CC監測報告: 2009年4月1日至30日,CNCERT/CC對當前流行的木馬程序的活動狀況進行了抽樣監測,發現我國大陸地區18,855個IP地址對應的主機被其他國家或地區通過木馬程序秘密控制,比上月的18,738個增長0.62%,其分布最多的地區分別為浙江省(9.40%)、北京市(9.05%)和廣東省(8.71%)。境外控制者來自6,400個IP地址,主要來自美國和我國臺灣,安全形勢還是極為嚴峻的。
木馬病毒產生的原理
特洛伊木馬,英文叫做“Trojan horse”,原指古希臘士兵藏在木馬內進入敵方城市從而占領敵方城市的故事。古希臘傳說,特洛伊王子帕里斯訪問希臘,誘走了王后海倫,希臘人因此遠征特洛伊。圍攻9年后,到第10年,希臘將領奧德修斯獻了一計,就是把一批勇士埋伏在一匹巨大的木馬腹內,放在城外后,佯作退兵。
特洛伊人以為敵兵已退,就把木馬作為戰利品搬入城中。到了夜間,埋伏在木馬中的勇士跳出來,打開了城門,希臘將士一擁而入攻下了城池。后來,人們在寫文章時就常用“特洛伊木馬”這一典故,用來比喻在敵方營壘里埋下伏兵里應外合的活動。在Internet上,“木馬”指一類小的應用軟件,這個軟件表面上是一個郵件的附件、一個游戲、一張圖片,但其中包含了對使用者造成危害的功能,如:控制用戶的計算機系統,泄密,竊取網銀或游戲帳號,有可能造成用戶的系統被破壞甚至癱瘓。
一般的木馬程序都包括客戶端和服務端兩個程序,其中客戶端是用于攻擊者遠程控制植入木馬的機器,服務器端程序即是木馬程序;攻擊者要做的第一步是要把木馬的服務器端程序植入到你的電腦里面。
目前木馬入侵的主要途徑有郵件附件、下載軟件、網頁掛馬、U盤自動執行、msn或QQ文件傳送等,然后通過一定的提示故意誤導用戶打開執行文件,比如某天你在上網時,突然msn彈出個窗口,有個朋友給你發了條短消息“KAN WO DE ZHAOPIAN ”(看我的照片),并隨后發送一個zip壓縮文件包,如photo.rar請你接收;你以為是好友發過來的照片文件,一旦點擊就會中招,木馬已經悄悄在你的后臺運行,之后向你的msn好友列表大肆濫發消息傳播,中毒的機器還會在你的電腦上留有后門,可供黑客遠程控制。
一般的木馬執行文件非常小,大部分都是幾K到幾十K,如果把木馬捆綁到其他正常文件上,你很難發現,所以,有一些網站提供的軟件下載往往是捆綁了木馬文件的,你執行這些下載的文件,也同時運行了木馬。國家計算機病毒應急處理中心近來通過對互聯網監測發現,很多計算機用戶受到一些惡意木馬程序的威脅。目前,惡意木馬程序有以下幾個特點:(1)惡意木馬會利用系統漏洞或第三方軟件漏洞進行傳播感染,(2)惡意木馬傳播途徑大部分會采用網頁掛馬的形式,(3)惡意木馬具有很強的隱蔽性和破壞力。
典型的“輪渡”木馬,其程序的特征就是:在移動U盤內駐存隱藏文件AutoRun.Inf和sys.exe,當該移動U盤接入A電腦時,病毒程序自動運行,將A電腦內的涉密文檔下載并打包保存在隱藏文件中,當該移動U盤插入B電腦時,就會將從A電腦中下載的文件傳入到B電腦。這樣,如果是移動U盤在內網中使用,就有可能造成加密文擋在內網不同電腦間的傳播;如果將移動U盤插入外網電腦,加密文襠就可能通過互聯網,被竊密者遠程下載。
木馬具有多種特性,典型的有:隱蔽性、自動運行性、自動恢復功能、能自動打開特別的端口、包含具有未公開并且可能產生危險后果的功能的程序等。我們大家都對它引起注意。
【編輯推薦】
