2010年教育網(wǎng)安全態(tài)勢(shì)平穩(wěn)讓病毒飛一會(huì)兒

文/鄭先偉

2010年教育網(wǎng)安全態(tài)勢(shì)平穩(wěn)讓病毒飛一會(huì)兒

文/鄭先偉

2010年，教育網(wǎng)全年運(yùn)行狀況良好，安全態(tài)勢(shì)基本平穩(wěn)，未發(fā)生重大的安全事件。2010年的安全形勢(shì)以信息安全威脅為主，各類(lèi)攻擊及木馬病毒等對(duì)網(wǎng)絡(luò)運(yùn)行造成的危害不大，而對(duì)用戶信息安全造成的威脅巨大。

2010年，CCERT通過(guò)各種途徑（如投訴郵件、投訴電話、監(jiān)控系統(tǒng)等）收到各類(lèi)安全投訴事件達(dá)11182件，如圖1。

圖1 2010年全年教育網(wǎng)安全投訴事件統(tǒng)計(jì)

掛馬事件居投訴之首

在投訴事件里，對(duì)垃圾郵件的投訴數(shù)量最多，占所有投訴事件的58%；其次是網(wǎng)頁(yè)掛馬事件和端口掃描事件，分別占34%和7%。與往年數(shù)據(jù)相比，網(wǎng)頁(yè)掛馬和網(wǎng)絡(luò)欺詐事件數(shù)量有所增多，垃圾郵件的投訴數(shù)量有所減少，其他事件數(shù)量與往年持平。2010年，CCERT著重對(duì)涉及教育網(wǎng)內(nèi)的網(wǎng)頁(yè)掛馬及網(wǎng)絡(luò)欺詐事件進(jìn)行了專(zhuān)項(xiàng)處理。在處理過(guò)程中發(fā)現(xiàn)教育網(wǎng)內(nèi)被掛馬的網(wǎng)站絕大多數(shù)都屬于學(xué)校的二級(jí)網(wǎng)站（如院系、研究所或行政部門(mén)的網(wǎng)站）。這些網(wǎng)站平時(shí)的用戶訪問(wèn)量都較小，只有在特定的時(shí)間段才會(huì)出現(xiàn)訪問(wèn)量增加（例如高考和高招期間），而黑客恰好是借助這個(gè)時(shí)期來(lái)進(jìn)行掛馬攻擊的，因此教育網(wǎng)內(nèi)網(wǎng)頁(yè)掛馬攻擊數(shù)量在5～8月這4個(gè)月中達(dá)到頂峰，造成這些網(wǎng)站被掛馬的原因是網(wǎng)站缺乏專(zhuān)業(yè)技術(shù)人員管理和維護(hù), 由于存在各種漏洞導(dǎo)致被黑客攻擊利用。

在對(duì)這些有問(wèn)題的網(wǎng)站進(jìn)行處理的過(guò)程中我們發(fā)現(xiàn)這些被掛馬的網(wǎng)站所使用的Web服務(wù)程序及腳本語(yǔ)言主要是IIS+ASP（Windows系統(tǒng)）或Apache+php（Linux系統(tǒng)）這兩種組合。Windows系統(tǒng)下的IIS+ASP組合存在的漏洞主要是網(wǎng)頁(yè)代碼編寫(xiě)不規(guī)范造成的（如SQL注入漏洞，跨站腳本漏洞等），而Linux系統(tǒng)下的Apache+php組合則存在系統(tǒng)漏洞（如系統(tǒng)版本偏低）、服務(wù)程序漏洞（Web服務(wù)程序版本偏低）和網(wǎng)頁(yè)代碼編寫(xiě)不規(guī)范等多種漏洞。

另外在我們處理的網(wǎng)絡(luò)欺詐事件中，所有涉及的被黑客入侵控制后用來(lái)放置釣魚(yú)網(wǎng)頁(yè)的服務(wù)器均為L(zhǎng)inux系統(tǒng)。

從上述分析我們可以看出，目前網(wǎng)絡(luò)上使用Linux系統(tǒng)的服務(wù)器的安全性要低于使用Windows系統(tǒng)的，這主要是因?yàn)閃indows系統(tǒng)的自動(dòng)補(bǔ)丁更新系統(tǒng)已經(jīng)逐漸完善，管理員只要點(diǎn)點(diǎn)鼠標(biāo)就能完成補(bǔ)丁的更新，而Linux系統(tǒng)則缺乏一個(gè)有效的自動(dòng)補(bǔ)丁更新機(jī)制，補(bǔ)丁安裝往往需要人為判斷并手動(dòng)下載安裝，這些操作可能需要較強(qiáng)的系統(tǒng)使用方面的知識(shí)，從而導(dǎo)致一些技術(shù)較弱的管理員放棄了對(duì)系統(tǒng)和軟件的補(bǔ)丁更新。

漏洞需有良好自動(dòng)更新機(jī)制

2010年漏洞的發(fā)布情況呈以下特征：漏洞總數(shù)量增多，高危漏洞比例增多，0day漏洞的數(shù)量增多。以微軟產(chǎn)品的漏洞數(shù)量為例：微軟2010年共發(fā)布106個(gè)安全公告，修補(bǔ)了247個(gè)安全漏洞，比2009年微軟的漏洞總數(shù)190多了57個(gè)。

2010年微軟發(fā)布的這106個(gè)安全公告中有41個(gè)屬于等級(jí)最高的嚴(yán)重（Critical）級(jí)別，60個(gè)為重要（important）級(jí)別，另外5個(gè)為中等（moderate）級(jí)別。這些漏洞主要存在于操作系統(tǒng)、IE瀏覽器以及office軟件中，其中大部分的漏洞都可以通過(guò)網(wǎng)頁(yè)被利用（可以用來(lái)進(jìn)行網(wǎng)頁(yè)掛馬攻擊）。微軟2010年的0day漏洞多達(dá)8個(gè)，并且部分漏洞迅速被大規(guī)模的利用來(lái)傳播木馬病毒，如年初的IE極光漏洞（MS10-002）及Windows快捷方式LNK文件自動(dòng)執(zhí)行代碼漏洞（MS10-046）。除微軟外一些其他的第三方軟件也是漏洞頻發(fā)，如Adobe公司的Adobe Reader/Acorbat和Flash player以及Mozilla公司的Firefox瀏覽器等都出現(xiàn)過(guò)多個(gè)0day漏洞。

漏洞數(shù)量的增多和0day漏洞的頻發(fā)一方面在考驗(yàn)廠商的應(yīng)變能力，另一方面則是在考驗(yàn)用戶的安全意識(shí)和系統(tǒng)的安全防護(hù)能力。要及時(shí)為系統(tǒng)打補(bǔ)丁目前已經(jīng)成為用戶的基本安全常識(shí)，但是當(dāng)補(bǔ)丁數(shù)量達(dá)到一定程度的時(shí)候，光靠用戶的安全意識(shí)是不夠的，這時(shí)就需要廠商有良好自動(dòng)補(bǔ)丁更新機(jī)制。在這點(diǎn)上一些大的廠商做得相對(duì)較好（如微軟、Oracle、Mizilla、Adobe），而一些規(guī)模較小的第三方軟件公司則還不夠完善，甚至于有些第三方軟件的漏洞在很長(zhǎng)時(shí)間內(nèi)都得不到修補(bǔ)。對(duì)于那些暫時(shí)沒(méi)有補(bǔ)丁程序可打的0day漏洞攻擊，用戶很多時(shí)候只能采取一些臨時(shí)性的手段來(lái)降低威脅，如及時(shí)使用其他軟件替代存在漏洞的軟件，不隨意點(diǎn)擊可疑的網(wǎng)絡(luò)鏈接、使用具有主動(dòng)查殺功能的防病毒軟件等等。

易用的防毒軟件是關(guān)鍵

2010年層出不窮的病毒本身以及新的反病毒技術(shù)似乎并沒(méi)有引起大家太多的興趣。更多的人去關(guān)注與病毒有關(guān)新聞是源于反病毒廠商之間的口水戰(zhàn)。其實(shí)不管廠商們之間如何爭(zhēng)吵，如何吹噓各家的新技術(shù)，對(duì)于用戶來(lái)說(shuō)一款操作簡(jiǎn)單又能有效保護(hù)自己系統(tǒng)信息安全的防病毒軟件才是大家最想要的。2010年病毒沒(méi)有引起大家的關(guān)注，并不表示這年里的病毒危害不大，之所以沒(méi)有引起大家的關(guān)注是因?yàn)楝F(xiàn)在的病毒都有特定的目的，在沒(méi)有達(dá)到目的之前它們都會(huì)很好地隱藏自己。多數(shù)時(shí)候即便是用戶的系統(tǒng)感染了木馬病毒，在正常的系統(tǒng)使用過(guò)程中也不會(huì)有任何感覺(jué)，只有在用戶做與病毒感興趣操作的時(shí)候（如使用網(wǎng)上銀行、登陸網(wǎng)絡(luò)游戲等），病毒才激活自己的偷竊功能，所以真正能感知病毒的往往是那些已經(jīng)造成損失的用戶。2010年值得特別關(guān)注的病毒是Stuxnet（國(guó)內(nèi)叫超級(jí)工廠病毒）蠕蟲(chóng)病毒，這個(gè)病毒利用了7個(gè)安全漏洞進(jìn)行傳播，其中5個(gè)是針對(duì)Windows系統(tǒng)，另外兩個(gè)針對(duì)西門(mén)子SIMATIC WinCC系統(tǒng)，后者是許多工廠內(nèi)通用的生產(chǎn)控制系統(tǒng)。在蠕蟲(chóng)利用的5個(gè)Windows漏洞中有4個(gè)屬于0day漏洞，這些0day漏洞在病毒大面積傳播后的半年時(shí)間內(nèi)才逐個(gè)得到修補(bǔ)。Stuxnet蠕蟲(chóng)病毒還冒用了Realtek與JMicron兩家公司的數(shù)字簽名，以此來(lái)躲避反病毒軟件的查殺?？缙脚_(tái)、使用0day漏洞提高感染率、具有良好的反查殺功能，Stuxnet蠕蟲(chóng)病毒給未來(lái)病毒的發(fā)展指明了方向，套用時(shí)下最流行的一句臺(tái)詞：“讓病毒飛一會(huì)兒”，相信之后類(lèi)似的病毒會(huì)越來(lái)越多。

移動(dòng)終端將成未來(lái)病毒主攻目標(biāo)

2011年網(wǎng)絡(luò)信息安全形勢(shì)將更加嚴(yán)峻，網(wǎng)絡(luò)攻擊將變得多元化，隨著三網(wǎng)融合的力度逐步加大，更多元化的系統(tǒng)終端也會(huì)帶來(lái)更多的安全問(wèn)題。2011年類(lèi)似手機(jī)這種移動(dòng)的終端將逐漸成為主要的被攻擊目標(biāo)。

而隨著漏洞挖掘技術(shù)的發(fā)展，漏洞的發(fā)現(xiàn)將變得更容易，一些用戶不是很多的專(zhuān)業(yè)軟件的漏洞將更多地被發(fā)掘出來(lái)，這些第三方軟件的漏洞給用戶帶來(lái)的威脅可能超過(guò)微軟產(chǎn)品漏洞帶來(lái)的威脅（因?yàn)槲④浀穆┒茨芸焖傩扪a(bǔ)上，而第三方軟件漏洞修復(fù)則要困難很多）。

病毒將越來(lái)越多地利用0day漏洞進(jìn)行攻擊，為了保護(hù)0day漏洞的可用性，病毒不像之前那樣漫天撒網(wǎng),而會(huì)通過(guò)專(zhuān)業(yè)的論壇、即時(shí)通訊軟件的群組功能等特定的途徑進(jìn)行傳播，以此來(lái)減少自身被反病毒軟件捕獲的可能性。這意味著2011年的網(wǎng)頁(yè)掛馬攻擊的整體數(shù)量將減少，但是掛馬攻擊的成功率將會(huì)提高，病毒的這種傳播趨勢(shì)也會(huì)給傳統(tǒng)的特征碼查殺病毒技術(shù)帶來(lái)新的挑戰(zhàn)。因此2011年的網(wǎng)絡(luò)與信息安全需要用戶投入更多的關(guān)注。

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）