过去十年十项重大网络安全灾难事件回顾

过去十年,所有的网络安全教训差不多皆可归咎于互联网。如果没有互联网,我们可能从不会认识什么网络钓鱼、网络犯罪、数据泄漏或者僵尸网络。那么,就让我们回顾一下过去的十年间都发生了哪些令人恐惧的网络安全灾难,并牢牢记住我们从每一次灾难中应该吸取的教训。

1. 网络战

所有重大的后果都是由小事逐渐引发的。回到2000年的2月,加拿大的一位网名叫Mafiaboy的年轻人利用互联网流量发起自动洪水攻击,导致多家着名网站–包括亚马逊、CNN、Dell、eBay和雅虎等–瞬间崩溃,这就是后来被称作DDoS攻击的肇始。

这个Mafiaboy网民的真名叫Michael Calce,后来被指控犯了55项伤害罪,法院判罚拘禁8个月。Calce后来将其经历写成了书,书名叫做《Mafiaboy:我怎么攻击互联网以及它为何会崩溃》。一些专家认为,所有的安全威胁都会经历从网络迷到牟利者再到政治罪犯的一轮进化,DDoS也不例外:信奉机会主义的犯罪分子后来便开始利用DDoS攻击各类赌博网站,开始勒索赎金了。

2007年5月,DDoS攻击转向政治领域,数千名俄罗斯同情者封锁了爱沙尼亚政府的各大网站,而这一切的起因只是因为爱沙尼亚的一座苏联二战纪念碑被挪走了。这场攻击持续了整个夏天,最后还是多个国家的CERT(计算机紧急响应中心)共同努力才逐渐将其平息下去。翌年,俄罗斯的黑客组织又用DDoS手段向格鲁吉亚政府发动了攻击。

这之后,还有多个国家的政府网站和军事网站遭到过有组织的DDoS攻击。[详情可参看网界网制作的专题:网络战。]

2. 恶意软件促成强大联盟

病毒和蠕虫一直都很活跃,但是2001年的夏天,一个颇具进攻性的蠕虫威胁说要封杀白宫的官方网站。这个叫红色代码的新型病毒集病毒与蠕虫为一体,其危害之大引起了多方关注。FBI国家基础设施防护中心、美国CERT、联邦计算机事故反应中心(FedCIRC)、美国信息技术协会(ITAA)、SANS学会和微软等机构前所未有地专门为此召开了一次联合新闻发布会。

两年后,微软再次与美国特勤局、FBI,以及后来和Interpol等联手,提供25万美金悬赏当时轰动一时的Sobig、MSBlast和其他重要病毒的制作者信息。

如此规模的公私合作是不多见的,2009年4月1日午夜,当Conficker蠕虫在互联网上大肆传播时,政府和企业再次联手。多家相互竞争的防病毒企业与政府部门联合成立了Conficker工作组,遏制了Conficker病毒的大爆发。到今天为止,该工作组还在继续监控这个蠕虫。很显然,各个安全机构搁置分歧,联合行动,以反对共同的敌人,会使他们的力量更为强大。

3. 社交网站频遭攻击

在已过去的这个十年之初,企业的安全专家和企业员工之间在使用即时通信工具,以及使用P2P网络上相互较劲。因为这些应用会在企业的防火墙上凿出很多漏洞,为恶意软件开放各种端口。

这场较劲最初关注的是服务器的80端口;但是到了这个十年快结束的时候,人们的担忧普遍转向了Facebook、Twitter和其他Web 2.0应用。

2005年,一名青年制造了在MySpace上传播的Samy蠕虫,使安全业界一下子开始关注Web 2.0的核心问题,即用户贡献的内容可能含有恶意软件的问题。

2009年,Twitter占据了舞台中心,自然也招来了恶意软件的光临,即短网址的危险。Twitter还遭受过垃圾邮件的大量骚扰。

4. 有组织的病毒和有组织的犯罪

自从1999年的梅丽莎病毒大爆发以来,电子邮件所携带的病毒在2000年以ILOVEYOU的面貌达到了一个爆发高峰,该病毒在5个小时里就阻塞了全球范围内的e-mail服务器。

当经过改良的垃圾邮件过滤器可以阻塞大量邮件列表、恶意软件编码器时,病毒和蠕虫便开始转向了自我传播,比如MSBlast(该病毒利用了远程程序调用进程的一个漏洞)和Sasser(该病毒利用了互联网信息服务进程的漏洞)。也差不多是在这个时侯,病毒和蠕虫开始利用SMTP来绕过e-mail过滤器,让大量没有免疫力的电脑按照随机选择的网址发送大量的药品广告垃圾邮件。

2004年,就在微软的悬赏计划终于捕捉到了Netsky和Sasser病毒的作者Sven Jashen之后不久,单一个人在父母家中的地下室里研制病毒的图景出现了变化,有财政支持(多半由色情网站和药品公司提供)的有组织犯罪开始取而代之。比如像俄罗斯商业网络(RBN)这类组织就曾精心策划过多次垃圾邮件传播活动,其中就包括拉高出货垃圾股的网络诈骗活动。

5. 僵尸网络

获得了财政支持的有组织犯罪集团使得恶意软件不断推陈出新,并且广泛传播。

2007年,暴风蠕虫开始联络受到暴风蠕虫感染的电脑,形成了一个受感染电脑组成的网络,全部使用Overnet P2P协议。该协议可以让这一网络的经营者很容易就能发起一次垃圾邮件活动,或者利用受感染电脑发起一次DDoS攻击。

暴风蠕虫并非唯一这样做的病毒。另一个病毒Nugache也在构建一个僵尸网络。此外还有很多其他的病毒在这么做。今天,僵尸网络已经开始感染Mac OS和Linux。你的电脑到底是否已成为僵尸网络的一分子,这种概率目前已接近50/50。

6. 阿尔伯特·冈萨雷斯

在过去数年间所发生的最大的几次数据泄漏案件,虽然不是有组织的犯罪,但也是多人联合实施的,受害的公司有戴夫与巴斯特食品公司、汉纳福德兄弟连锁、Heartland支付系统和TJX等,这还只是其中的一小部分而已。一个叫阿尔伯特·冈萨雷斯的罪犯与其同伙一起通过上述公司的Web网站植入了恶意软件代码,然后进入了这些公司的内部网络,从而盗走了未加密的大量信用卡数据。

为了防范此类数据泄漏犯罪,美国支付卡行业协会(PCI)在2005年特此提出了12条规定,要求其成员必须遵守。PCI安全委员会每两年会更新这些规定。其中包括对信用卡数据的端到端加密。

7. 日益诡诈的钓鱼网站

比垃圾邮件更为有效,但是还未成熟的数据泄漏方式就是网络钓鱼。其概念是颇有创意地设计一封电子邮件,诱惑接收者去访问一个精心设计的、看上去完全合法的网站,从而盗取你的个人信息。这些网站通常会使用fast-flux技术,可迅速切换域名,可有效防止执法人员对源头网站进行追踪。

利用一些银行和电子商务网站的logo和网页设计,一下儿钓鱼网站看上去和所模仿的网站一模一样,和几年前网页上通篇充斥着拼写错误的钓鱼网站已不可同日而语。那么防范这类钓鱼欺诈的最好办法是什么?就是不要去点击!

8. 老协议,新问题

在互联网协议的演进过程中,今天的一些协议所执行的功能已远远超出了最初设计它们时的功能。这种过分扩展的协议的最着名的例子,就要算DNS了。正如IOActive的研究人员Dan Kaminsky在2008年解释的那样,这个协议对于各种攻击而言到处都是漏洞,其中就包括Cache poisoning(缓存投毒)。

DNS将一个网站的常用名(比如www.pcworld.com)转换成一个数字的服务器地址(比如123.12.123.123)。缓存投毒的意思就是说所储存的常用名网址可能是不正确的,会把用户链接到一个受感染的网站而不是用户真正想去的网站(但用户却一无所知)。

同样,PhoneFactor的研究人员Marsh Ray在SSL/TLS协议中也发现了一个漏洞,该漏洞可以在节点两端进行认证时实施中间人攻击。

此类漏洞的公布加快了新的标准的建立,例如DNSSEC和新版的SSL/TLS,前者可对DNS系统中的数据进行认证。在未来数年中,各个标准组织将会开展对现有协议的替代工作。

9. 微软的补丁周二

十年前,微软只在它觉得有必要时才发布补丁。有时候会拖到周五的下午才发布,这等于说犯罪分子有整个周末的时间可以对所发布的补丁实施反向工程,然后在系统管理员下周一安装补丁之前就能充分利用补丁的漏洞。

而从2003年秋天开始,微软发布补丁开始遵循一个简单的程序:每个月的第二个星期二发布。这就是着名的"补丁周二",已经延用了6年之久,每月发布一大堆补丁。Oracle的补丁是每季度发布,Adobe最近宣称也要每季度发布补丁,苹果是唯一一家没有固定发布周期的主要厂商。

10. 发现漏洞付酬

多年来,独立的研究人员们一直在争论,新发现的漏洞究竟应该立刻公之于众,还是应该等到厂商发布了该漏洞的补丁之后再公布。在某些情况下,厂商没有再与研究人员联系,或者没有优先考虑公布漏洞的事情,所以研究人员就会自行公布这些漏洞。从防御的角度讲,罪犯们肯定不愿意漏洞被公布,因为这些漏洞信息在黑市上可是抢手货。

经过多年的反复争论之后,最近有那么一两家安全公司已经决定支付研究人员封口费。作为交换,安全公司将与涉及到的厂商共同协作,检查补丁是否能够及时完成,而该厂商的客户是否能够比普通公众提前得到详尽的漏洞信息。

比如说,在CanSecWest应用安全大会上,Tipping Point就将1万美元的年度奖颁给能够黑掉指定系统的研究人员。近些年来,发现漏洞给予报酬的程序已相当成熟。举例来说,在微软2009年12月的补丁周二,共发布了5个IE漏洞补丁,而这些漏洞都是在iDefence零日项目激励程序的作用下被发现的。