走进2005,我们回头看看,一年来网络安全圈内的风风雨雨,哪些我们只是听了个响?哪些是我们真切地触摸和感受的?
圈里圈外,安全已经完全融入我们的生活……
一、网络安全圈・趋势
1.1 更多网络犯罪直接以经济利益为目的
最吸引国人眼球的应该是腾讯,2004年两次QQ大规模无法使用,尤其是此后影影绰绰的勒索传言,有人惊呼:中国网络恐怖主义诞生了。
传言毕竟只是传言,相比之下,一群巴西网络银行骇客的落网或许更能让你真切感受到网络犯罪离你多近,仅仅一年多的时间,他们从银行中窃取了大约2758万美元……
我们依稀能看见商业间谍、军事间谍或者是一群仅仅为了钱彻夜不眠地攻击攻击再攻击的人们……
xfocus点评:无庸置疑,我们所能看到的,仅仅是冰山一角。技术进步加上道德感的缺失,骇客们开始看清自己要的东西。
1.2 拒绝服务攻击泛滥
我们所看到的拒绝服务已经不仅仅是一台或几台机器发起的了,攻击者们控制成百上千的僵尸电脑(Zombie),甚至由蠕虫来进行传播和攻击。DoS凭借它的便捷有效,吸引了大量热衷者,互联网上因此充斥这类垃圾流量。
xfocus点评:除了常规的拒绝服务攻击、DoS讹诈之外,我们面临的各种有意无意的DoS越来越多,例如,邮件蠕虫发送邮件,产生的大量DNS查询报文,对DNS服务器产生事实上的DoS等等,事件日渐频发。
1.3 垃圾邮件与反垃圾邮件之间的斗争愈演愈烈
网民及各界人士对垃圾邮件造成的问题日益关注,网络服务商和邮件运营商们纷纷提出了自己的技术方案:雅虎的"DomainKeys",它利用公/私钥加密技术为每个电子邮件地址生成一个唯一的签名,实现对邮件发送者的身份验证;微软的"电子邮票"有偿发送邮件方案;AOL正在试验一种名为"Sender permitted From"(SPF)的新电子邮件协议,禁止通过修改域名系统(DNS)伪造电子邮件地址……
垃圾邮件发送者并不是坐以待毙,而是主动出击,对反垃圾邮件网站进行拒绝服务攻击。
绝的是Lycos,他们推出了一款屏保,当屏保启动时,便对垃圾邮件发送者的地址发送数据包,屏保的使用者越多,垃圾邮件服务器就越难过。但是……还有更绝的,就是这款反垃圾邮件屏保,居然也遇上了李鬼:有一种病毒会伪装成个屏保,但该病毒会监测到击键过程以窃取密码和银行帐户资料等个人信息。
xfocus点评:道高一尺,魔高一丈,世界永远在此消彼长中发展,2003年,反垃圾邮件市场波澜不惊,到了2004年底,通过公安部认证的反垃圾邮件厂商已经超过40家了,垃圾邮件厂商与反垃圾邮件厂商,究竟是一起赚钱,或者能拼出个高下,尚无从得知,但能明确的是2005年,反垃圾邮件市场会很热闹。
1.4 蠕虫、病毒、间谍软件横行,网络钓鱼事件频发
MYDOOM/Netsky/Bagle/震荡波/SCO炸弹/QQ尾巴/MSN射手等一系列新病毒和蠕虫的出现,造成了巨大的经济损失。而且病毒和蠕虫的多样化明显,甚至蠕虫编写组织开始相互对抗,频繁推出新版本。
根据调查,平均每台家用PC藏28个间谍软件,它们已经被更多的公司及个人利用,其目的也从初期简单收户信息演化为可能收集密码、帐号等资料,大家还记得网银大盗吗?
至于网络钓鱼,且不谈受到多年困扰的ebay,只看网络钓客以"假网站"试钓中国银行、工商银行用户,就可以想见其猖獗程度了。
xfocus点评:以前也有蠕虫,但没有今年这么多,这么频繁,尤其是新出现的利用即时通讯工具如QQ、MSN来传播的病毒,让人更加不敢相信网络。以前也有间谍软件,但没有今年这么直奔银行卡而来……以前也有网络钓鱼,但不象今年这么遍地开花……
1.5 对非PC设备(例如手机)的威胁增加
2004年5月,赛门铁克安全响应中心分析发现了第一个攻击手机的蠕虫病毒–EPOC Cabir,EPOC.Cabir通过诺基亚60系列手机进行自身复制。受到感染的手机会向它搜索到的第一个蓝牙设备重复地发送这一蠕虫病毒。7月16日,据位于罗马尼亚的BitDefender公司称,该公司发现了一款被称之为WinCE4.Dust的可以感染Windows CE操作系统的病毒,虽说是一个概念病毒,但是病毒的关键技术都已经具备,包括API的搜索,文件的传染。缺的只是道德的底线,如果用KernelIoControl把系统引导入BootLoader模式,对于大部分PDA用户来说就只能送修了。
另外,WinCE4.Dust和Cabir的源代码都已经公开,所以功能更强大和道德底线更低的病毒即将出现。
xfocus点评:2002年,xfocus研究人员对手机的漏洞进行过研究,但手机病毒从没有象今年距离我们这样近过,2005我们或许能看到手机蠕虫的大规模传播。
二、网络安全圈・事件・中国
2.1 国家加强信息安全保障,颁布系列文件
在中办27号文件后,国家日益重视信息安全,2004年1月,召开了《全国信息安全保障工作会》,强度了极防御、综合防范的安全方针。开始在国内实施等级保护法。
xfocus点评:此后围绕这这个进行了一系列的标准和技术的研讨,直接引发了安全市场的积极响应,这无疑是整个信息安全行业的东风。
2.2 WAPI认证
2003年12月1日,国家认证认可监督管理委员会发布2003年第113号公告,2004年6月1日起,对无线局域网产品实施强制性认证。但是由于国外厂商的反对,经过一段时间的博弈,最终WAPI被无限制延期。
xfocus点评:虽然是2003年提出的公告,但是此后围绕这这个进行了一系列的斗争,其风波甚至到了国家领导人的层面,导致了国际政治层面的博弈。影响力何其深远,早已超过了信息安全行业甚至是IT行业的范畴,因此值得大书一笔。
2.3 电子签名法
《中华人民共和国电子签名法》已由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过,现予公布,自2005年4月1日起施行。
xfocus点评:该法被认为是中国首部真正电子商务意义上的立法。大大促进了电子商务和电子政务的发展,可以说是业内外人士期盼已久的举措,叫好声一片。
2.4 网络打黄专项行动
中国掀起一场围剿色情网站的人民战争,违法和不良信息举报中心网站于6月10日正式面向社会。以开通举报中心网站为契机,党中央、国务院及时决定开展打击淫秽色情网站专项行动。到目前为止,已接到各类公众举报95000多件次。根据举报中心转交的公众举报,国家执法和行政机关依法关闭违法网站1287个,其中淫秽色情网站1129个,提供赌博渠道、从事迷信活动、宣扬邪教的网站114个。
xfocus点评:以人民战争的形式来塑造安全,这是一种新的思路。这次专项行动同时也开拓了无限商机——至少内容过滤厂商尝到了甜头。
2.5 MD5安全露破绽
2004年9月,在美国召开的2004国际密码学大会上,山东大学教授王小云关于成功破解MD5的报告引起国际密码界轰动。据称她的研究成果作为密码学领域的重大发现宣告了世界通行密码标准MD5受到严重挑战。
xfocus点评:信息安全的核心技术的突破。她获得了国际密码学会议Crypto'2004的全场掌声,最重要的是,这条消息给了我们信心,让我们向这些国内的扎扎实实进行安全的基础研究的学者致敬。
2.6 网络金融服务的安全问题
网银大盗I、网银大盗II、证券大盗等一系列目的性非常鲜明的病毒出现,证明了以金融犯罪为唯一目的病毒开始大规模出现在公众视野。
xfocus点评:典型的信息化带来的问题,此类木马等已经成为一种非常有效的通过软件技术和网络进行的金融犯罪现象。
三、网络安全圈・事件・世界
3.1 多家国际大公司产品源代码泄露
2月12日,微软在互联网上发现了非法传播的一部分不完整的Windows2000和WindowsNT4产品代码,经过调查发现泄漏的部分Windows 2000源代码并非源自微软,而是微软的长期合作伙伴Mainsoft。5月,一个俄罗斯安全网站报道 Cisco IOS 12.3 操作系统的源代码被盗。据报道,一些恶意分子进入了 Cisco 的内部网络并盗取了至少800M的源代码,而且盗取者不久后在 IRC 上公布了2.5MB的概览。而去年《半条命2》源码被骇客利用微软漏洞偷窃一案也告破,FBI最终抓了骇客。
