2003蠕虫王
日期:2003-03-07
作为第一个真正的“高速”病毒:“2003蠕虫王”的传播数度比当年的“红色代码”快两个数量级:在头一分钟之内,感染主机数量每8.5秒增长一倍;3分钟后该病毒的传播速度达到峰值(每秒钟进行5500万次扫描);接下来,其传播速度由于自身挤占了绝大部分网络带宽而开始下降;10分钟后,易受攻击的主机基本上已经被感染殆尽。题图是“2003蠕虫王”发作30分钟后在全球的感染面积,其传播速度、破坏力可见一斑。
1月25日上午,美国的银行网络开始瘫痪,大部分银行的柜员机停止工作。银行门口、街头柜员机旁边、商店和各种消费场所里,都站满了束手无策的人。
1月25日下午,韩国情报通信部发现有黑客攻击服务器的迹象,且攻势猛烈,掌握全国互联网服务命脉的服务器最终被迫停止工作,导致全国网络服务全面中断。
与此同时,中国、日本、加拿大和澳大利亚等国家也遭遇类似的网络灾难。几乎在眨眼间,“2003蠕虫王”蠕虫病毒就在世界各国掀起波澜。
似曾相识的罪恶
而让人们万万没有想到的是,颠覆所有互联网骨干网的罪魁祸首仅仅是一个利用了SQL Server 2000早就发现的一个漏洞进行攻击的蠕虫病毒—“2003蠕虫王”,一个不知道来自何方的蠕虫病毒、一小段可以自身飞速复制和传送的程序。
这让我们再一次回想起,2001年春天出现的利用微软IIS漏洞进行攻击的“红色代码”病毒、去年10月基于Unix的Internet根域名服务器遭受到的DDoS攻击等。与“红色代码” 相比,“2003蠕虫王”的扩散速度要快两个数量级,它能在15分钟内感染整个互联网,在病毒爆发的头5分钟内就导致了9.5亿美元到12亿美元的生产力损失。
万幸的是,“2003蠕虫王”的传播在一定程度上受到其程序设计缺陷的限制。病毒程序的随机数产生器有缺陷,这使得蠕虫病毒无法对所有互联网地址进行扫描。而且,互联网数据分析合作协会(Cooperative Association for Internet Data Analysis)研究员表示,其随机扫描方式非常具有攻击性,在它的强势攻击下,网络很快便陷于瘫痪,从而导致该蠕虫病毒无法继续进行阻塞攻击。这倒也应了一句中国古话:“多行不义必自毙”。
都是懒散惹的祸
其实,仔细分析此次互联网攻击事件可以发现,用户本身也需要承担一定责任。用信息安全厂商的话说,安全就像空气,有它的时候,人们漫不经心;一旦失去了,其后果却谁都承受不起。面对网络安全,人们需要的是一种正确、严谨的安全意识。
早在2002年7月,微软就针对SQL Server 2000中1434端口的漏洞,公布了安全通告MS02-039以及补丁程序,并马上通知了所有用户,随后在2002年10月再次提醒用户尽快引用补丁程序。对于微软的服务器软件用户来说,只要下载了补丁程序,就可以避过此次灾难。但遗憾的是,太多用户忽视了微软的建议。
尽管计算机安全技术日臻成熟,但无法回避的事实是病毒却是一年多过一年。
微软(中国)有限公司市场部产品经理雷鹏举了一个很典型的例子。在此次病毒攻击的过程中,日本和韩国的网络系统都遭受到不同程度的破坏。从整体情况看,韩国遭受的影响要比日本大得多,而事实上,日本采用微软SQL Server软件的企业几乎是韩国的4倍。据事后了解,日本很多企业都在去年微软公布补丁程序后,立即下载安装,因而有惊无险地度过此次危机。
从上面的例子不难看出,安全意识的树立在某种意义上比安全技术本身更重要。
杀毒软件≠“一次到位”的安全
世界上没有绝对安全的网络系统,这是所有人的共识。黑客编出的程序虽是病毒的根源,但黑客更多是利用了众多企业在安全方面这样那样的漏洞。要知道,安全绝不是简简单单安装几个杀毒软件就能“一次到位”的。
“安全是一个长期的过程,”美国网络联盟中国区产品经理候海龙强调,“不是随便安装一些防病毒软件就能解决。网络安全既需要多层次的防护,也需要安全的预测。”如果出现系统存在漏洞或未下载的补丁程序等情况,该公司的ThreatScan产品能提醒用户。此次互联网攻击事件中,一些用户利用ThreatScan发现了SQL漏洞,并及时打上补丁,因而躲过了病毒的攻击。
瑞星公司总裁刘旭也有相似的观点。他指出,信息安全绝不能只依靠杀毒软件,也不能只依靠防火墙、入侵检测等各种设备。他说:“信息安全公司要有能力提供最迅速的紧急应对措施,在最短的时间内进行灾难警报和软件升级。”灾难来临时,信息安全公司必须具备完成大量技术服务工作的能力。从目前的用户需求来说,卖出去的信息安全产品只是“半成品”,而为用户提供的安全策略、网络漏洞检测和修补、紧急情况应对措施、版本升级、技术支持以及灾难后的恢复等,这些才是用户对厂商提出的更高的要求。
亡羊补牢不如防范于未然
对于企业用户来讲,系统所建立的安全架构并非是反病毒软件、防火墙设备和入侵检测系统的简单相加,因为这仅仅代表安全防护这一层。一套完善的安全体系应该包括安全预警、安全防护、安全响应和安全管理四个层次。
从全球用户的应用现状来看,所使用的产品相对单一,更多的还是在防护和管理层次上,特别是国内用户。其后果就是使得用户永远处于被动状态。如何扭转这一现状呢?赛门铁克北方区高级技术经理郭训平认为,预警是整套体系中不可忽视的关键。用户只要平时养成定期进行检测的习惯,就可以避免类似“2003蠕虫王”这样的蠕虫病毒的发生。
目前用户要实现预警,主要有两种方式:及时从厂商那里拿到防护信息;通过漏洞扫描、系统评估工具对系统进行检测。在具体操作中,如何才能真正达到预防的效果,这应该是用户给信息安全厂商提出的更高的要求。
在这方面,中国人民银行就是一个很好的案例。据郭训平介绍,中国人民银行从总部到省级、市级的信息中心用的数据库都是SQL Server 2000系列。银行除了在安全体系的架构上使用赛门铁克产品之外,更多的还养成了定期检测、及时安装补丁程序的防护措施,致使“2003蠕虫王”蠕虫病毒发作时,系统基本上没受到影响。
此外,在维护企业内联网的时候,还有一个误区。为了维护整个系统的稳定性,很多企业认为,操作系统的版本不宜经常更新。殊不知,系统管理员在操作这些老版本时固然得心应手,攻击者在侵入时也同样游刃有余,毕竟,他们更了解其中的漏洞。
专家述评:蠕虫风暴再启示
此次病毒波及范围之广,造成损失之大,再一次向我们敲起了网络安全的警钟。
“2003蠕虫王”蠕虫病毒攻击给我们以下几个启示:
1.提高网络安全意识,加深对网络安全的认识。虽然病毒接二连三地爆发,但并未能使网络安全的警钟长鸣,安全意识淡漠的问题仍然普遍存在。
2.网络信息安全任务需要多方努力共同完成。网络安全仅靠反病毒软件是远远不够的,通过反病毒软件、防火墙、入侵检测的密切配合,就可以对网络安全起到更为有效的保护作用。
3.建立健全企业内部信息安全制度,并将制度落到实处。光有制度远远不够,贯彻和实施这一环节还相当薄弱,。
4.网络管理员应明确自身责任,做好本职工作。事实上,企业和网管并没有从出现过的问题和造成损失中吸取教训,纠正工作中的失误,导致病毒事件一而再再而三的上演。此种失职在很大程度上给病毒的肆虐留下了可乘之机。
5.完善安全培训制度。主要针对两种人群,一是网络安全管理人员的安全培训,二是普通用户的培训。
6.信息安全管理部门应加强监管力度。各地公安部门的网络安全监察部门,应当充分启动网络安全监察的作用,定期对政府、电信、银行、证券等重要部门的网络安全进行全面系统的检查。
7.注重病毒预报工作。以便做到未雨绸缪,防患未然。
中毒了,重装啊
