盤點(diǎn)過去10年間的10大安全噩夢
互聯(lián)網(wǎng)發(fā)展的40年����,期間也伴隨這諸多的安全威脅事件。如果沒有Internet�,您可能根本不知道釣魚、網(wǎng)絡(luò)犯罪���、數(shù)據(jù)偷竊�,或僵尸網(wǎng)絡(luò)之類的名詞。下面���,我們就來回顧過去十年中最可怕的那些安全事件�,并從中總結(jié)出一些經(jīng)驗(yàn)���。
1.網(wǎng)絡(luò)戰(zhàn)爭
早在2000年2月��,一位名為MichaelCalce(化名Mafiaboy)的加拿大少年使用不完整Internet流量的自動(dòng)化溢出進(jìn)程導(dǎo)致多家網(wǎng)站陷入停頓�,其中包括Amazon���、CNN��、eBay和Yahoo��,這就是所謂的分布式拒絕服務(wù)(DDoS)攻擊�。
一些專家認(rèn)為�,所有的安全威脅都會(huì)經(jīng)歷一個(gè)循環(huán)的過程,從最初的好玩發(fā)展到牟利���,最后發(fā)展成為政治�,現(xiàn)在看看,DDoS攻擊也不例外��。
2007年5月��,DDoS攻擊變成了一種政治工具�����,數(shù)以百計(jì)的俄羅斯同情者阻斷了愛沙尼亞政府的網(wǎng)站��,原因是該國政府打算搬走一座二戰(zhàn)紀(jì)念碑�����。攻擊持續(xù)了整個(gè)夏天�����,直至多個(gè)國家的計(jì)算機(jī)緊急情況響應(yīng)小組(CERT)最終化解了這一危機(jī)��。
2.惡意軟件創(chuàng)造出奇怪的同盟者
病毒和蠕蟲存在已久��,但在2001年夏天����,“CodeRed”蠕蟲差點(diǎn)就關(guān)閉了白宮的官方網(wǎng)站。由于這種蠕蟲�,聯(lián)邦調(diào)查局國家基礎(chǔ)設(shè)施保護(hù)中心、美國計(jì)算機(jī)緊急情況響應(yīng)小組�、聯(lián)邦計(jì)算機(jī)事件響應(yīng)中心、美國信息技術(shù)協(xié)會(huì)���、SANS學(xué)會(huì)和微軟公司舉行了一場前所未有的聯(lián)合新聞發(fā)布會(huì)�����。
這些公共部門與私營機(jī)構(gòu)之間的合作非常罕見����,但到2009年初再次發(fā)生���,這一次的原因是Conficker蠕蟲可能于4月1日午夜給整個(gè)Internet帶來了巨大的浩劫���。但這種情況并沒有發(fā)生,在很大程度上應(yīng)歸功于各反病毒廠商之間奇特的聯(lián)盟關(guān)系�����,因?yàn)檫@種關(guān)系使這些廠商能夠在Conficker工作組的名義下與各個(gè)政府機(jī)構(gòu)合作����。時(shí)至今日�,該小組仍在繼續(xù)監(jiān)視該病毒�����。
3.MySpace�、Facebook和Twitter攻擊
在這個(gè)十年之初,商業(yè)領(lǐng)域的安全專家必須與那些使用即時(shí)消息���、Yahoo的Webmail����,以及P2P網(wǎng)絡(luò)的員工做斗爭���。這些應(yīng)用會(huì)在企業(yè)防火墻上打開許多端口,而這些端口都為惡意軟件提供了通道�。
這場戰(zhàn)斗最初集中于服務(wù)器的80端口;但到這十年結(jié)束時(shí),最令人擔(dān)憂的是Facebook�、Twitter和其他Web2.0應(yīng)用。盡管Facebook在隱私問題上多次守住了自己的陣地���,但它上面也存在一種稱為Koobface的蠕蟲�����。
4.有組織的病毒和有組織的犯罪
在1999年的Melissa病毒攻擊之后���,通過電子郵件傳播的病毒在第二年的ILOVEYOU爆發(fā)期間達(dá)到了頂峰���,該病毒導(dǎo)致全世界的電子郵件服務(wù)器在5個(gè)小時(shí)內(nèi)被擁塞得無法正常工作
隨著垃圾電子郵件過濾器的不斷改進(jìn)成功地阻止了群發(fā)郵件,惡意代碼編寫者們開始尋找其它的途徑��,將注意力轉(zhuǎn)向可自我傳播的蠕蟲�����,例如�����,MSBlast可以利用遠(yuǎn)程進(jìn)程調(diào)用消息中的缺陷�����,而Sasser可以利用Internet信息服務(wù)(IIS)中的漏洞���。在這一階段���,病毒和蠕蟲開始使用簡單郵件傳輸協(xié)議(SMTP)來繞過電子郵件過濾器���,使受侵入的計(jì)算機(jī)將那些賣藥的垃圾郵件隨機(jī)傳播給Internet上的任何地址。
現(xiàn)在����,原來那種單個(gè)病毒追隨者者躲在地下室里編寫病毒的形象已經(jīng)不再流行,取而代之的是有組織的犯罪活動(dòng)�����。
5.僵尸網(wǎng)絡(luò)
有了犯罪集團(tuán)的財(cái)務(wù)支持��,惡意軟件的創(chuàng)新能力也變得更加廣泛和狡猾���。
2007年的Storm蠕蟲在最開始時(shí)和任何其它病毒沒有什么兩樣�,但它可以與其它被Storm攻破的計(jì)算機(jī)進(jìn)行交流��,使用OvernetP2P協(xié)議建立一個(gè)被攻破計(jì)算機(jī)之間的網(wǎng)絡(luò)�。該協(xié)議使操作人員能夠向外發(fā)送垃圾郵件或使用被攻破的計(jì)算機(jī)來發(fā)動(dòng)DDoS攻擊��。今天��,僵尸網(wǎng)絡(luò)已經(jīng)延伸到了MacOS和Linux操作系統(tǒng)上。
6.AlbertGonzalez
在過去的幾年中����,導(dǎo)致最大規(guī)模數(shù)據(jù)侵入的并不是有組織的犯罪,而是一種罪犯的聯(lián)盟���。這種侵入活動(dòng)的受害者包括Dave&Busters公司���、HannafordBrothers公司、Heartland支付系統(tǒng)公司和TJX等����。一個(gè)名叫AlbertGonzalez的人在法庭上承認(rèn)自己應(yīng)對這些罪行中的多數(shù)負(fù)責(zé),并且牽涉到其它的一些犯罪活動(dòng)�����。Gonzalez和其同伙在這些大公司的網(wǎng)站上植入了惡意代碼���。接下來����,這些惡意軟件又滲透到內(nèi)網(wǎng)中�����,將未加密的信用卡數(shù)據(jù)全部竊取。
為打擊此類數(shù)據(jù)侵權(quán)活動(dòng)��,支付卡行業(yè)(PCI)于2005年提出了所有成員必須遵守的12條要求;PCI安全理事會(huì)會(huì)每兩年對這些要求進(jìn)行一次更新�。
7.釣魚
在某些情況下,即使不侵入并盜用數(shù)據(jù)也可以造成損害��,而且它比垃圾郵件更為有效��,這就是釣魚�����。釣魚就是利用一種“富于創(chuàng)造性設(shè)計(jì)”的電子郵件來誘騙您訪問那些看起來很真實(shí)的網(wǎng)站��,而這些網(wǎng)站存在的目的就是盜取您的個(gè)人資料���。通常這些網(wǎng)轉(zhuǎn)會(huì)使用“快速轉(zhuǎn)換”����,即迅速變換域名的能力����,從而防止您帶著執(zhí)法人員再次訪問并取證。
8.老協(xié)議��、新問題
在Internet的背后有很多的協(xié)議��,其中一些協(xié)議在今天發(fā)揮的作用已經(jīng)遠(yuǎn)遠(yuǎn)超出其當(dāng)年的初始設(shè)計(jì)目標(biāo)�。在這些過度使用的協(xié)議中,最為人熟知的可能就是域名系統(tǒng)(DNS)���。根據(jù)IOActive公司研究員DanKaminisky在2008年的解釋�����,該協(xié)議很容易受到多種形式的攻擊��,其中包括DNS緩沖中毒�����。
DNS可以將一個(gè)網(wǎng)站的普通名稱(例如www.pcworld.com)轉(zhuǎn)換為數(shù)字式的服務(wù)器地址(例如123.12.123.123)����。緩存中毒意味著已存儲(chǔ)的普通名稱地址不正確����,因此導(dǎo)致用戶被帶到一個(gè)受感染的網(wǎng)站而非其預(yù)期的網(wǎng)站����,而且用戶自己根本不可能發(fā)現(xiàn)���。Kaminsky曾嘗試在六個(gè)月的時(shí)間里將這一缺陷通知給數(shù)量有限的一些公司���,并且在后來發(fā)布了一系列協(xié)調(diào)好的補(bǔ)丁,這些補(bǔ)丁似乎解決了很多更為嚴(yán)重的漏洞問題�����。
9.微軟的周二補(bǔ)丁
十年前���,微軟只在需要時(shí)才發(fā)布補(bǔ)丁�����。有些補(bǔ)丁的發(fā)布時(shí)間為周五下午較晚的時(shí)間��,這意味著壞人可以利用整個(gè)周末對補(bǔ)丁進(jìn)行逆向工程��,并在系統(tǒng)管理員周一上班之前找出這些補(bǔ)丁中的漏洞����。
從2003年秋季開始,微軟開始按照一個(gè)簡單的時(shí)間表來發(fā)布補(bǔ)?。好吭碌诙€(gè)星期二��。這就是過去六年中人們所熟知的“補(bǔ)丁周二”����,這樣,每月都會(huì)有新的補(bǔ)丁���,但有四個(gè)月除外��。Oracle公司會(huì)每個(gè)季度發(fā)布一次補(bǔ)丁���,而Adobe最近宣布該公司也將每季度發(fā)布一次補(bǔ)丁,時(shí)間與微軟的補(bǔ)丁周二相同或接近����。在所有大廠商中,蘋果公司是惟一沒有定期補(bǔ)丁發(fā)布計(jì)劃的企業(yè)��。
10.付費(fèi)漏洞披露
很多獨(dú)立研究機(jī)構(gòu)多年來一直在辯論�����,是否應(yīng)該將新發(fā)現(xiàn)的漏洞立即公之于眾,還是等到廠商編寫好補(bǔ)丁再予以公布��。經(jīng)過多年的反復(fù)后��,最近有一兩家安全企業(yè)已經(jīng)決定�,為了讓研究人員守口如瓶,它們會(huì)支付費(fèi)用;而公司將負(fù)責(zé)與有關(guān)的廠商打交道����,監(jiān)督它們及時(shí)發(fā)布補(bǔ)丁,并且讓公司的客戶在普通公眾了解漏洞詳情之前獲得相關(guān)的信息����。
例如,在CanSecWest應(yīng)用安全大會(huì)上�,TippingPointTechnologies每年會(huì)向有能力侵入特定系統(tǒng)的研究人員獎(jiǎng)勵(lì)1萬美元。最近幾年��,付費(fèi)尋找漏洞的計(jì)劃已經(jīng)日趨成熟����。
|
