现在,专家们已经开始讨论这样一些问题:MyDoom病毒之所以能够快速传播,说明阻止病毒攻击的对策是不充分的。根据在全球范围内造成的危害以及所造成的严重后果,MyDoom病毒和Sobig病毒的危害性分别位居第一位和第二位。为了防止安全专家过于将注意力集中于MyDoom病毒的组件――分布式拒绝服务攻击(DDOS),让我们不要忘记这两种病毒的攻击还是有一些共性的,尽管人们曾经要求提供商团体介入处理这些共性问题,但是到目前为止这些提供商拒绝一起处理这些共性。
要不是那些一直想寻找到一种方法来把他们的资源变成资本的电子邮件技术公司和ISP的贪婪,就不会导致这两次垃圾邮件病毒的泛滥,那么现在这么多由于Sobig和MyDoom所造成的巨大损失都可能可以避免。
哪些人或者公司将会出现在“最贪婪”列表中?首先是那些通过他们的系统来传递大量因特网电子邮件的ISP。这些群体甚至包括Yahoo!,MSN,Earthlink和AOL以及其他一些群体。在我的列表中位于第二位的是那些编制电子邮件客户端和服务器的电子邮件技术公司,其他公司使用这些技术来发送和接收电子邮件。这个群体包括IBM,微软,Novell以及Qualcomm(Eudora的生产厂家),当然这里列出的只是极小的一部分。
不幸的是,与社会责任相比较而言,与阻止兜售信息邮件相关的潜在的财政收入好像更加诱人。对于兜售信息邮件这个问题,虽然我们一般都是直接谴责犯罪者,但是上面所提到的技术公司也应该因为没有正确处理这些问题而同样受到谴责。
最后,无论如何,作为因特网用户,我们也应该受到一些谴责,因为我们在这些公司受到严重打击的时候没有为它分担相关的责任――尤其是在金钱上。
对当前攻击的分析
现在,让我们来看一看MyDoom病毒攻击是如何将电子邮件作为一个可以攻击的弱链的。也许,根据MyDoom大量的大字标题,专家们能够预测下一步可能会发生什么事情,但是我们几乎无法对其采取任何行动。对待病毒,就象我们对待在南佛罗里达州着陆的飓风Andrew一样。我们看到它来了,我们也知道它的危害,而且我们也知道它将在何处着陆,但是,我们却无法采取任何行动来阻止飓风所造成的浩劫。
MyDoom比Sobig危害更严重的一个原因是,它利用了Sobig基本的电子邮件病毒原理,并在其中增加了DDoS组件。在我以前的一篇分析报告中(在此文中,我再一次持有这种观点:我们的技术公司要对没有及时阻止病毒的传播承担责任),缺少对这种攻击的下一步可能进化的方向的描述,但是我的解释仍然留下了一个暗示。我是这样解释的,“如果Sobig使用DDoS这种攻击方式,那将更可怕,因为它代表成千上万的系统,通过因特网向网络的主干道发送大量请求,从而阻塞了网络交通。”
在注意到SCO的因特网域名被MyDoom击跨时,我认为受到DDoS攻击之后,系统将无法做任何事情。那么,究竟什么是DDoS攻击呢?所谓DDoS就是指分布在全世界的系统几乎在同时向同一个实体发送请求(这个实体可能是一个网页服务器,FTP服务器,电子邮件服务器或者是整个域等)。如果有足够多的系统来支持这种攻击,目标(或者通向这个目标的路径)将无法承受这么多的请求,包括合法请求都将无法通过这些路径或者无法得到服务,因为网络实在是太拥挤,或者系统实在是太忙。
Jeff Carlon,SCO的全球IT基础设施的主管,深知这种原理。在我对他的访谈中,Carlon解释道,随着各种攻击技术变得越来越高级,对这些攻击的检测和防范也变得越来越难。
事实上,通过MyDoon病毒发送的DDoS攻击还是有一定的签名特征的,通过利用这个特征,SCO从第一波攻击中幸存,而微软则成功的阻击了这种病毒的攻击。顺便要提及的是,微软除了说明这种病毒攻击的目标是它的网站外,几乎没有说明它采取了什么措施来阻止这些DDoS攻击的,另外,微软还说明了以下内容:在这些病毒发动攻击时,他们只是向自己发送请求,因此那些受感染的计算机参与攻击的数量也就大大减少了。
同样的,由于MyDoom只是以Sobig的一个进化版本形式出现,因此我敢保证,DDoS攻击的进化版还没有结束。例如,MyDoom DDoS攻击的一个签名元素是受感染系统向SCO的网站发送包的数量、大小以及频率。发动攻击的犯罪者一定会修改这些特征使得新的病毒更难被检测,那些认为犯罪者不会修改这些特征的人只会愚弄他们自己。
试想将自己放在这样一种环境中呆上一会儿:每个攻击系统发送包的个数不同,大小不同,而且发送的频率是随机的,那么你用什么方法来断定它是DDoS攻击呢?又怎么阻止这种数据包的发送呢?然而Carlon对此却怀有一定的自信,那就是如果在很短的时间周期内,某一个系统向SCO的网站发送包的数量超过了64,000个的话,那么这个系统可能在对SCO的网站发动DDoS攻击。但是,新的攻击将可能是参与攻击的系统更多,而每个系统发送的数据包更少,这样使得人们很难将合法通信与伪造的通信进行分离。
虽然进一步改进以防止DDoS对网络的攻击,对于网络来说是一件很有意义的事情,但是我的担心是,如果我们将视线从真正的问题挪开,也就是从拙劣的电子邮件系统上挪开,那我们将永远看不到这个问题的结果。尽管第一轮DDoS类型攻击中还有少数系统是通过攻击者直接控制来进行协同攻击的,但是在第二轮攻击中则开始利用蠕虫向不知情的参与者发送攻击代码。对于第一轮攻击,通过使用常用的防止DDoS攻击的工具就可以很容易的阻止。但是,对于第二轮攻击,则需要在传输的前沿加强警戒――将蠕虫拒之门外。不知你是否已经注意到,现在已经很少这么近距离的接触蠕虫了?同样的,第三轮DDoS攻击仍将主要集中于传输载体――电子邮件。
和Sobig一样,MyDoom同样以一种非常卑鄙的方式来发送它的负载。MyDoom不仅让其受感染的系统通过其邮件向其他的系统发送,而且它还在发送的过程中欺骗发送者的地址。如果你的系统已经感染了,那么它将向你的Outlook地址薄里的联系人发送病毒电子邮件。它首先将FROM地址改变为其他的地址而不是你的地址,这样可以使得接收者看起来这封邮件好像不是你发送的。
如果已经对因特网的电子邮件标准进行了修补(实现这种修补是很容易的事情),通过这种修补,可以确认你在什么时候接收了一封电子邮件,而且这封邮件确实能够证明自己的出处(一种认证的形式),那么,你自己的系统或者那些传递电子邮件给你的系统将能够最终阻止你接收或者打开那些带病毒的电子邮件,从而防止你的系统被感染。如果现在有这样的一个认证或者认证系统,Sobig 和MyDoom将不可能在全世界范围内传播。
不幸的是,尽管SOL给出了一种值得关注的认证方法,这种方法称为SPF,但是,在全世界范围内却没有这样的支持系统。原因如下,一方面它能够阻止电子邮件携带Sobig和Mydoom病毒,同样的,它也会阻止其他不想要的电子邮件,如大家都熟悉的兜售信息邮件。要想让这样的系统能够正常工作,那么就需要各个不同的电子邮件系统和提供商同意支持单一的认证和信任标准,这样才能确保他们各自的系统相互之间能够实现无缝合作。到目前为止,尽管大家都要求电子邮件研发团体开发和支持能够相互认证和信任的标准,但是这些电子邮件研发团体的大多数成员仍然想使用自己生产的、性能卓越而且具有较强的私有性的解决方案来打败其他厂家的防止兜售信息邮件的解决方案,从而获得更多的客户和财政收入。
举一个例子,虽然AOL在考虑使用SPF,但是Yahoo!却在试验自产的解决方案,这个解决方案称为域名密钥管理系统(Domain Keys),这个方案可能很快就会以法律宣判的形式结束,因为位于费城的ePrivacy Group宣称他们拥有这项技术的专利。(专利问题只不过是私有技术的另一个问题,也是专利在兜售信息邮件这场斗争中无法占有一席之地的一个原因)
尽管如此,Sobig和MyDoom的“成功”还是鲜活的证明了这些无法进行互操作的解决方案的实现是错误的。Sobig和MyDoom之所以能够成功,是由于这些私有的解决方案对于兜售信息邮件的定义和识别的标准不同,不同系统无法满足其他私有电子邮件解决方案的标准。正如我已经多次提及的那样,如果技术团体和立法团体不能及时正确的定义兜售信息邮件标准的话,在这场清理不想要的电子邮件的斗争中,我们注定是要失败的。
在判断一封电子邮件是否是不想要的电子邮件,首先要做的也是最重要的一步是:先不要采取任何行动――看一看它是否是商业上的往来、是否含有一定的HTML比例,或者该邮件中是否含有一定的字词、字体或其他模式。要有一定的把握能够确认该电子邮件的来源,或者说能够在一定程度上确认该电子邮件确实来自它所给出的地址。
虽然各个不同的电子邮件技术和服务提供商都知道这一点,但是他们有各种各样的理由不愿意合作。这些原因中我最喜欢的一条理由是:要制定这样的标准将会花费很多的时间。但有关制定Web服务标准(制定这个标准的领导者是微软和IBM,这两家正好也是电子邮件技术和服务提供商)的指定,却以破世界记录的速度被推出了。
因为制定和支持Web服务规格的速度越快,这些公司就能够越快的从下一代因特网技术中获得大量的财政收入。但是如果这些公司制定并支持阻止不想要的电子邮件的速度越快,他们也就越快的失去这些市场,从而导致财政收入的下降。因为这样的话,除了他们已经卖出去的产品或者发送出去的产品之外,他们也就没有什么产品可以销售。
虽然很容易就能够说明他们是为了得到更多的钱,也很容易证明贪婪才是真正的去掉那些不想要的电子邮件的障碍,但是最后我们还是只能责怪我们自己。到目前为止,那些受到Sobig、MyDoom或者这两者一起影响的人们已经拒绝接受那些没有采取行动的公司的解释。除非我们采取行动,否则电子邮件将继续变得没有用处,或者将会变
