2004年上半年互联网信息安全报告与未来趋势
防毒公司赛门铁克最近发布2004上半年“网络安全威胁研究报告”(注),对全球企业及家庭、个人电脑做了半年度的回顾,并指引出未来信息安全的趋势,在即将进入2004年最后一季的现在,贵公司不妨也将此纳入明年信息安全预算编订的参考之一。
电子商务及小型企业成为主要攻击目标。根据这份报告,2004年上半年,电子商务(e-commerce)及小型企业分别以16% 及10% 分居网络攻击目标产业的一、二名。在2003年下半,两者分别只有4%及3%.
全球电子商务的日趋成熟的结果,为电子商公司,大至eBay、小至个人在雅虎奇摩开设的拍卖专区等,都有可能成为攻击的受害者,尤其是后者数量众多,一旦被入侵网站服务器(Web Server),一切交易纪录及信息显露无疑。
小型企业之所以成为攻击对象,部份原因和过去最大的攻击目标──金融业强化防护有关。如银行、证券、保险业等大型企业,开始注重电子交易及网站的安全,导致黑客转而攻击较不设防的小型企业。小型企业往往也是安全意识较薄弱的一群,因此也没有足够的安全预算。
而和电子商务相关的是Web 应用的安全。IE或IIS 的漏洞,以及Web 应用的瑕庇,可以导致电子商务网站交易信息被任意存取。例如,信息隐码攻击(SQL injection )就是可以在输入任意字串的Web 应用中搞鬼,一旦不幸中标,就可让有心人士存取该网站服务器甚至数据库。
漏洞安全日益严重。2004年上半,赛门铁克报告有1237个新漏洞,平均每周有48新漏洞被发现。其中96% 是属于中度到高度风险,其中有 46% 被列为高度风险。而在所有漏洞中,超过一半不用撰写程序就可以发动攻击。前述的Web 应用漏洞,也从去年下半占总漏洞数量的31% 提升为38.7%。
另一个骇人的趋势是,漏洞公诸于世到该漏洞的相关攻击,时间差平均只差5.8 天,比前半年的报告天数(7 天)又更为缩短。这显示黑客撰写攻击源代码的速度不断加快,相对地,一个未加修补的漏洞的风险又更高。
恶意程序也升级?2004上半年赛门铁克的报告中,显示有4 ,496 个新发现的Win32 毒虫。相较之下,2003上、下半年发现了994 个及1, 702 个Win32 毒虫。Win 32毒虫只会攻击Windows NT、2000及XP以上的操作系统;而Windows 95、98则是16位的操作系统。MyDoom和 Netsky 是2004上半年爆发的蠕虫之中,最重大也最受注意的Win32 蠕虫。其中MyDoom.A收到最多的病毒虫样本。
这表示,黑客作者也渐渐“升级”了,95、98不再是他们感兴趣的对象。但如果你现在还在使用95、98,除了当机比较麻烦外,某种程度而言反而比较安全。
僵尸电脑愈来愈多。2004年另一个重大的攻击趋势是,一种利用植入代理程序以便进行远端遥控的恶意程序攻击。2004上半年赛门铁克每天持续追踪连接远端控制Bot 网络的主机。这个数字从1 月时每天不到2000个远端控制Bot 网络系统,到六月底的30,000 个。
受到Bot 控制的电脑,会执行黑客的攻击指令,过去称为僵尸电脑(Zombie)。如果针对特别网站进行大规模的Bot 攻击,就会形成拒绝服务(DoS , Denial of Service)或分散式DoS (Distributed DoS )攻击。去年微软及SCO 网站受到MSBlaster 攻击,就是此类较知名的攻击事件。
事实上,较不知名的Gaobot,今年上半以4%的比例跃居所有攻击事件的第二名,仅次于MyDoom的10%。
根据赛门铁克的报告,今年光是Gaobot家族的变种这一项,赛门铁克就收到了67,000 个样本。Randex和Spybot家族的变种也很可观,各自收到10,000 个和8 ,000 个样本。僵尸电脑的攻击未来不可小觑。
赛门铁克也提出未来可能的信息安全忧患:
•首先,网络钓鱼(phishing)是未来数月最重大的威胁之一。网络钓鱼的研究统计、自保方法、商业解决方案,以及各国政府应对方法, CNET新闻网站有多次报道,在此不在赘述。
•间谍程序也会在未来攻击上扮演重要角色。特别是对允许HTTP的流量进出的公司网络而言,这意味着众多间谍程序可能借此渠道发送。因为有些封包包含能够自我更新的源代码,所以间谍程序越来越难卸载。
•恶意程序变种。今年的Netsky、MyDoom、及Bagle 等被认为背后具有组织性的支持,不断撰写变种。恶意源代码变种会改变蠕虫本身,并通过不断复制,导致于各代蠕虫之间产生显着不同的形式,而且许多传统的扫描技术可能无法侦测出这些进化的蠕虫变种。
•宽带分享器及网络装置。2004年上半,赛门铁克安全漏洞数据库发现20多个周边设备的漏洞,种类从允许远端破坏、重新设定到远端黑客甚至可以拥有系统管理者之权限。这也打破硬件装置“非常”安全的看法;虽然硬件装置的嵌入式操作系统不用担心Windows 的安全问题,但是它们仍然有漏洞让黑客乘虚而入,一些本来协助防护网络安全的产品,像是防火墙、入侵侦测产品,也不能免于这个隐忧。
国内随着ISP 调降费用,宽带网络将会日渐普及。未来家庭甚至都会购买宽带分享器,同时提供PC及像是机上盒、PS2 等信息家电连网。相对于思科、Checkpoint等大厂会定期公布弱点及修补程序,国内连网设备厂商往往都还没注意到这件事,这也让国内产品的用户──特别是家庭用户──可能陷于攻击的风险之中而不知。
这个趋势可能会促使用户开始重视硬件韧体更新,以便修补漏洞,进一步迫使国内厂商重视弱点及修补程序的更新服务。
•移动装置成为攻击目标。曾有分析师曾预测,掌上设备,甚至VoIP电话都可能成为病毒制造者的攻击目标。这个预言今六月实现。一只名为Cabir 的病毒,是专门针对Symbian 智能手机的病毒。这是一只“概念验证”(Proof of Concept)病毒,证明蓝牙装置也会有安全疑虑,不过却没有造成什么损害。
它会通过蓝牙传输协定传给另一只手机。不过,前提是对方使用者同意接收、执行程序,因此主要还是利用人性的弱点。但王岳忠指出,蓝牙是一种短距离的传输装置,在办公室内通常用于同事之间,未来出现造成有重大灾害的病毒后果可能不堪设想。“同事之间往往是相互信任的,因此你不太会去质疑对方传来的文件是有问题的。”
•P2P/IM(Instant Messenging)。同样地,愈来愈普及的P2P/IM(即时通讯)/IRC/CIFS(文件分享)等,将成为新兴的传染对象及途径。
•和互联网相关的IE、Web应用,则已是具最受欢迎的攻击对象。
注:赛门铁克网络安全威胁报告,是该公司实验室针对网络安全发布的半年发报告
