综述
从1988年世界上第一个蠕虫病毒感染了10%的网络用户开始,时值今日恶意软件问题的规模已大幅增长。现在的因特网攻击讲究组织化且专门以窃取消费者和企业的信息资源为主。目前,由于越来越多的组织在电子邮件网关设置保护,使得网页成为网上罪犯用来感染计算机的首要途径。于是,网上罪犯开始在无辜的网站植入恶意代码。这种全球范围的犯罪活动规模惊人,Sophos每4.5秒便会发现一个新的被感染网页,然后同样的事在一年365天里重复上演。除此之外,Sophos的全球威胁分析中心Sophos Labs每一天都收到将近20,000个新的可疑代码样本。
在2008年,我们见证了恶意软件不再只是微软的问题而已。网上罪犯却已开始将魔爪伸向其它操作系统(如Apple Macintosh)和脆弱的跨平台软件,而且这样的攻击趋势应该会延续至2009年。有鉴于此,企业仍然不能松懈,务必对他们的事业展开全面的防护,不能只保护电子邮件和网页网关。企业应当对网络、台式计算机、笔记本电脑和移动设备建立广泛的防护,才能抵挡由地下罪犯所发出的大量威胁。
网页威胁
在最近几年,网络取代电子邮件系统,成为网上罪犯的主要攻击媒介。藉由缺少防护的合法网站的漏洞,黑客能够将恶意代码植入网站,稍后再趁机感染每一个网站访问者。许多著名企业和品牌在2008年都曾经沦为这种攻击的受害者,无论企业大小都可能成为被攻击目标。在这种态势之下,强调全面实施正确的网络安全的重要性不言而喻。
就攻击手段而言,SQL注入攻击是2008年新闻头条的常客。这类攻击利用网站安全弱点然后在执行网站的数据库中植入恶意代码(脚本代码标签),从而掷出恶意指令感染网站数据库。同时,黑客们已经发展出自动化的工具,利用如Google等搜索引擎来找出可能存在弱点的网站,然后将代码植入其服务器中。而据Sophos的调查显示,全世界散播恶意软件的网站中,有将近四分之三来自美国、中国和俄罗斯。另外,据Sophos全球威胁分析中心的研究表明,使用匿名代理服务器很可能增大受到恶意软件感染的机会。
电子邮件威胁
近年来,Sophos监测显示经由电子邮件附件散播的威胁数量已有所减少。在过去12个月内基于网页的威胁有成为恶意软件重心的倾向,2008年里每714封邮件便有1封带有恶意附件。Sophos表示,由垃圾制造者发动的若干次大型恶意软件攻击在本年度占据了很大比例。这段期间声名大噪的攻击事件包括Invo-Zip木马程序冒充FedEx和UPS等公司寄出包裹投递失败通知、Agent-HNY木马程序寄出垃圾邮件伪装成Apple iPhone计算机游戏Penguin Panic,以及EncPk-CZ木马程序佯装成Microsoft安全补丁。
而在利用恶意邮件附件的同时,网上罪犯仍不断在电子邮件中嵌入恶意链接,并且发出新式且即时的攻击,专门以好奇的用户为猎物。
恶意软件
网上罪犯在2008年最常用来非法敛财的方法是利用伪装的防病毒软件,也称为恐吓性软件(scare ware)或欺诈软件(rogue ware)。这类攻击利用用户对IT安全的恐惧,让他们误以为计算机发生问题,其实计算机一切安好。通常,恐吓性软件会以弹出式广告或冒充下载程序的形式置入在网站上。仅在其中一个垃圾邮件捕捉陷阱里,Sophos每天就侦测到约5000封这类电子邮件。
经由U盘来传输恶意软件的比例也在增加。同时,2008年的恶意软件比从前更喜欢利用社交网络来散播。8月时,Facebook坦承有多达1800名用户的用户文档已遭到秘密安装的木马程序窜改。除了找寻操作系统和浏览器弱点来下手以外,黑客同时也在其它普遍使用的程序和工具(例如Adobe Flash和PDF)中寻找安全漏洞。另据Sophos Labs的研究发现,恶意软件总共有44种不同的语言,其中英语系国家占据24.5%,汉语则占据11.6%。
垃圾邮件
垃圾邮件仍然是企业的严重问题,Sophos研究发现所有企业邮件中竟有97%是垃圾邮件。Sophos每天从全球的垃圾邮件捕捉陷阱中接收到成千上万的新邮件。2008年,有240个国家送出垃圾邮件。美国的垃圾邮件问题确有稍微缓和,但仍以17.5%的垃圾邮件转发份额位居全球之首。大部份这类垃圾邮件来自计算机被僵尸网络控制的不知情的家庭用户。
电子邮件并不是垃圾邮件唯一的传输途径。网络博客因邀请访客留言也沦为散布工具,一般是利用自动化的僵尸网络搜索有弱点的网页。而在2008年里,垃圾制造者证明他们勇于尝试各种新方法来散播他们的广告信件和恶意软件。社交网络,例如Facebook和Twitter,渐渐成为他们经常使用的媒介途径。
Mac用户难以置身事外
相较于Windows用户的处境,Apple的恶意软件问题还算轻微。但是,自从2007年年底在Mac OSX上出现了第一个带有敛财目的的恶意软件以后,黑客们已多次尝试感染Mac计算机。
2008年2月,新问世的Flash型木马程序Troj/Gida-B专门恐吓用户,促其购买伪造的安全软件。这个恐吓性软件所使用的中毒网页广告在Mac和Windows计算机上同样有效。于2008年6月发现的OSX/Hovdy-A 木马程序,也有能力感染Mac OSX计算机并且企图窃取密码、开启防火墙并停用安全设定。
就目前情势而言,针对Mac计算机的恶意软件将继续出现,而用户应该继续遵循安全使用计算机的最佳使用方式,例如执行防病毒产品和保持最新的安全补丁。
攻击蔓延至移动电话和无线网络装置
虽然iPhone上已发现简单的恶意软件,但尚未成为明显的攻击目标。然而,Apple的手机电子邮件应用程序和其Safari网页浏览器已发现安全性缺失,而该公司也因为上述缺失的补丁仅供执行Mac OSX的计算机使用而忽略手机部份招来非议。
同样地,使用Google Android操作系统的移动电话T-Mobile G1也可能遭受试探性攻击,移动电话用户本身若习惯新增第三方应用程序却疏于防范,其装置受感染的风险会更大。
数据泄密
数据泄密是2008年常见的头条新闻。2008年8月,美国政府控告11人涉及一场黑客行动,窃取超过4000万份信用卡和借方卡卡号。在另一起事件中,英国内政部已证实,含有约130,000位已判有罪的罪犯未加密个人资料的U盘已经遗失。
Sophos的专家建议控制用户对待信息的方式。个人用户必须停止任何有风险的行为,例如传送未加密的信息到U盘之中。而公司机构应当扩大他们的反恶意软件基础建设,以便控制信息的使用,保证作业有效进行,并确保符合法规要求。
国家支持的网络犯罪
各国之间互相刺探情况以获取政治、商业和军事利益,因此我们不应该天真的以为他们不会利用计算机和因特网来助长情报刺探。
2008年有更多怀疑是国家支持的网络犯罪报告。尽管要证明某国认可某次攻击行动难如登天,但2009年仍会有更多人主张各国透过因特网互相攻击和刺探。
遏止行动与法律面向
国际间各个计算机犯罪权责单位共同打击网络犯罪,在过去一年中有更多涉及情节重大的计算机犯罪且非法获取报酬的罪犯被逮捕并处以重刑。例如:2008年1月,三个男人精心设计了一场电子邮件诈骗,窃取逾1200万美元,由纽约法院裁定有罪。2008年3月,中国法庭对于利用木马程序窃取网络银行账号信息的四个男人处以6年半至8年不等的有期徒刑。2008年9月,疑涉及信用卡资料盗窃的一群歹徒,据称从Calgary一家公司窃取180万加币(约169万美元),已遭加拿大警方逮捕。
展望未来
根据调查研究,Sophos预计未来的网络安全态势将主要体现于:恶意攻击的多样性和数量会继续增加,数据泄密,被入侵的PC,不安全的网页,恶意电子邮件,身份窃盗等几个方面。
计算机用户保护和控制计算机所面临的挑战不会中断。但无论如何,若管理得当,便没有不能克服的问题。健全的安全习惯、
最新的防护和积极接收信息将有助于在未来一年里保护企业及个人网络。另外,对于新的不明恶意软件威胁的前瞻性侦测永远是最重要的,而细心保护计算机的用户能大幅降低风险。