同一个INTERNET不一样的安全挑战:武汉每天不一样口号
作者简介: Joe Telafici来自新泽西州,是主管 McAfee Avert Labs 运营的副总裁,负责管理其五大洲16 个国家和地区的研究人员。凭借在Symantec、CyberMedia、Tripwire和McAfee 等公司 10 多年从事消费和企业安全产品研发的丰富经验,Telafici 负责协调 McAfee 对全球安全威胁的响应,以及安全内容、客户支持工具及下一代威胁和技术的研究等日常工作。他曾在国会就技术问题进行过陈述,并定期在媒体上针对与病毒和间谍软件相关的问题发表真知灼见,很多观点都发表在 Virus Bulletin 上。
当今社会,人员和业务在全球范围内的联系越来越紧密,虽然每个国家和地区都面临着不同的挑战,但任何国家和地区都无法做到不受其他国家和地区安全问题的影响。
我们可以将当前病毒危害与 20 世纪 90 年代中期的情形进行对比。那时,如果某个地区出现了威胁,那么这些威胁需要经过数周时间才会传播到世界上的其他地区。而且,那时的威胁还可能包含明确指明来源国家或地区以及编写者意图的字符串或资源。但是今天,这一切都已经改变。
疯狂的恶意软件
在 2002 至 2004 年,Klez、Bugbear、SQLSlammer、Blaster、Sobig、Nachi、MyDoom、Netsky和Bagle 这类威胁已经成为了全球公敌,它们在几小时甚至是几分钟的时间内就可以波及全球。另外,这段时间内人们使用的操作平台几乎是清一色的 Microsoft Windows,宽带已开始在全世界普及,社会工程技术开始应用。既然为威胁提供了这么多便利条件,那么任何一个使用 Internet 的人要想使自己永远都不受到威胁攻击简直是白日做梦。
在恶意软件疯狂传播的这段时期里,坦率地讲,整个防病毒行业都没能在恶意软件出现的初期及时发现它们。与以往相比,2004 年恶意软件爆发的规模变大,但是传播范围变小了。
bot、密码盗取程序及其他静态恶意软件的爆发频率令人震惊。但与可复制病毒不同,由于各种因素的限制,这些威胁几乎没有在世界范围内大规模蔓延。其中最主要的原因是恶意软件编写者不希望重蹈 Netsky 和 Sasser 这类大型病毒编写者的覆辙,招来执法机构的注意。
无论是作为这种思维模式转变的结果、表象还是动因,出于以下原因,在过去的两三年中,恶意软件已变得越来越区域化或本地化:
• 为了发现更多攻击机会并诱使人们访问路过式下载 (drive-by) 站点、钓鱼**网站或主机恶意软件,需要更狡猾的社会工程手段。为了蒙骗谨慎的计算机用户,需要对网站进行伪造,使其能够以假乱真,这对非母语的人来说是一个很大的挑战,因为他们往往会留下非常明显的拼写错误。
• 随着越来越多的安全厂商和攻击者给予发现漏洞者奖励,如今,我们可以找到更多不知名软件中的漏洞,包括某些已本地化的软件(例如Ichitaro,日本非常流行的字处理软件包)中的漏洞。
• 恶意软件编写者越来越注重将攻击源放置在某些执法不严的国家和地区。
• 为了利用特殊资源或避免法律制裁,恶意软件编写者将攻击目标放在了微机会市场(niche market)上。
在各种探讨本问题的文章中,您都会看到大量针对特定国家和地区、某种语言、某个公司甚至某个软件的攻击案例。
恶意软件编写者发动攻击的动机固然不可忽视,但我们更要考察攻击活动的外部环境,这些攻击发生在一个与几年前截然不同的全球环境里。政治、经济和社会因素塑造了今天的一切,同时也催生了一个地下经济和地下市场,其经济类型、广度和范围是以往任何时候都无法比拟的。
攻击者能够得逞的一个最重要因素就是全球宽带应用的不断普及。由于宽带计算机与 Internet 始终相连,因此攻击者可以很方便地对系统进行实时攻击,并可以利用被感染计算机上剩余的带宽容量进一步实施破坏,这项“买卖”对于攻击者来说太划算了,因此他们才会乐此不疲。但各国的宽带普及率存在很大差距,据估计,韩国的宽带普及率接近 90%,美国约为 50%,发展中国家则更低。
“我总得养家糊口”
当今社会,计算机角色的延伸和多样化同样也为伺机进行网络犯罪的不法之徒提供了可乘之机。手机用户的惊人增长(每年增加 20%,到 2010 年预计用户数将超过 30 亿)、网上银行的普及、网络游戏和电子商务的迅猛发展等等,有太多的金钱、诱惑和利益促使不法之徒铤而走险。
这场技术风暴在世界各地的推进步伐各不相同。例如,亚洲的移动技术领先于世界其他地区,巴西的网上银行技术最强大,中国的网络游戏业则方兴未艾。
在美国,恶意软件总是与 Internet 如影随形。不论电子邮件用户是否会上当受骗,垃圾邮件、网络钓鱼**以及**邮件等已成为他们随时可能遇到的威胁。病毒和木马会藏匿在电子邮件中、依附在看似安全的网页中、作为链接发送到即时消息中,还可以借助操作系统或者常用应用程序的漏洞而侵入系统。
从某种程度讲,网络犯罪更像是世界上最古老职业之一――盗贼的一种延伸。但我们不能忽略世界上许多地区的经济现状,正是经济发展的不平衡使网络犯罪极具吸引力。尤其是在东欧,冷战期间人们普遍学习技术技能,但赚钱的机会有限;在亚洲,人口的增长在一定程度上抵消了经济的强劲发展,并导致不法行为增加。正如一位病毒编写者曾经告诉我的那样:“我总得养家糊口。”
在金钱成为恶意软件开发的主要诱因之前,黑客已经意识到,要广泛散播恶意软件,仅仅局限于美国是没有什么“钱途”的。因此,当其他国家和地区通过 Internet 开展商务活动时,他们也成为了恶意软件攻击的目标。
不仅仅是犯罪分子对此趋之若鹜。爱沙尼亚政府部门最近遭受的持续的、大面积的拒绝服务攻击表明,怀有政治目的的“黑客行为主义者”也越来越喜欢将 Internet 作为阵地或潜在的“战场”。国家政府机构或军事组织是否也有类似的兴趣呢?我们不得而知,有可能,但只是假设。
由于当今网络犯罪的角色、动机和“优势”各不相同,因此我们的社会应对网络犯罪的方式对于维护法律尊严以及 Internet 的秩序都至关重要。人们越来越清楚地认识到,不同地区防范和打击网络犯罪的措施大不相同。
Internet 无国界
Internet 使得跨越国界变得轻而易举。代理等技术的不断发展使某个人具体在什么位置变得不那么重要。Web 2.0 的出现使内容像“病毒”一样在数小时后便可波及全球。
几乎所有最流行的 Web 2.省略 的调查,Google、Yahoo、Blogger.com、MySpace、Wikipedia、YouTube 以及 Facebook 这类网站几乎跻身全球各个国家和地区流行网站排行的前 15 位。
Web 2.0 站点最值得关注的安全问题是其内容的传播速度。在最流行的 Web 2.0 站点上已发现网络钓鱼**、垃圾邮件、恶意软件和广告软件等威胁。Web 2.0 技术出现后,恶意软件编写者向世人多次证明了他们在利用最新技术方面的能力。
另一项引起恶意软件编写者兴趣的技术是代理。它们最初是作为匿名上网工具流行开来的,以帮助人们避免网络使用行为被过滤或跟踪。
由于攻击开始、进行和结束的全过程很少是在同一个国家或地区完成的,这势必会影响我们防范或阻止恶意软件编写者和攻击者实施破坏的能力。有时甚至恶意软件消亡后,我们才知道哪些人参与了攻击。无法实现国际协作是造成当今网络犯罪低风险环境的一个最大因素。