2007:网络犯罪进入2.0时代
杜跃进
国家计算机网络应急技术处理协调中心副总工,亚太应急响应组织副主席,从事网络安全领域的研究和工作多年,获得信息产业部杰出青年等荣誉称号。
李铁军
金山毒霸反病毒工程师,先后从事过金山毒霸单机版、网络版售前售后技术支持。对系统维护、病毒清除有丰富的实践经验。
“在刚刚过去的2007年,有组织的网络犯罪者开始认真对待他们的市场策略,经过精心设计的犯罪阴谋以更加复杂和隐蔽的方式进行。网络犯罪由此进入了2.0时代。”在总结2007年位于信息安全编年史上的标志性意义时,一家国外媒体得出了这样的结论。
在接受《科学时报》记者采访时,来自政府部门和杀毒厂商的信息安全专家也对此深表认同。他们认为,2007年中国的互联网犯罪行为具有了更多的隐蔽性,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。2008年,网络犯罪的势头会更加猛烈。
数据窃取事件飙升
2007年10月底,美国新英格兰地区300多家银行在对全球折扣零售业巨头TJX公司提出起诉的文件中称,由于没有采取必要的安全措施,该公司在黑客的攻击下发生了严重的数据泄露事件,导致9400多万用户的账户受到影响,并由此引发了至少13个国家发生大量信用卡和借记卡诈骗案件,仅Visa卡用户的损失就超过6800万美元。
一家对黑客行为进行长期跟踪的独立机构Attrition.Org发布报告称,从2007年初到12月21日,全球已知发生的泄密事件大约有1.62亿起,而2006年这一数字仅为4900万起。Attrition.org的布莱恩·马丁认为:“之所以发生这类事件,纯粹是出于犯罪者的商业天性。未来数据泄露事件的总记录数还会持续稳定攀升。”
国家计算机网络应急技术处理协调中心副总工程师杜跃进博士告诉《科学时报》记者,2007年中国也发生了大量的互联网泄密事件,给国家造成了严重的损失。
同样是2007年10月,我国相关部门发现了境外间谍机关实施的一次大规模网络窃密行动,攻击对象全是中国政府、军队和国防科研机构、军工企业网络,受到攻击的单位遍及我国绝大部分省、自治区、直辖市,甚至还包括我国十几个驻外机构。据悉,在该案中被境外情报部门控制的电脑和网络达数百个,窃密内容涉及政治、军事、外交、经济、医疗卫生等多个领域。而此次活动的具体执行者就是一位名叫李芳荣的台湾间谍。他利用黑客技术,控制了多个服务器,又通过这些服务器将木马植入其感兴趣的电脑,然后实施网络窃密等破坏活动。杜跃进表示,公开报道的这起事件应该只是2007年我国网络泄密事件的冰山一角。
除了更加猖狂的态势之外,杜跃进表示,网络犯罪者发起攻击时目标更加明确是2007年信息安全领域的又一特点。他举例说,有些人很少上网,但就在他非常短暂的上网时间里,其秘密信息已经被人窃取;有些机构为了安全起见,实行了内外网隔离。可是,犯罪者还是能够通过精巧的设计将数据从内网上窃取出去。
由于数据窃取事件急剧飙升,互联网安全公司赛门铁克在其日前评出的2007年十大互联网安全事件中,将数据窃取列在了首位。
隐蔽性更强
“实际上,数据泄密事件频发只是网络攻击向趋利性发展的结果之一。”杜跃进说。网络攻击的趋利性特点在2006年就已经初露端倪,不过2007年这一趋势表现得更加明显,犯罪行为也更加隐蔽。
他打了个比喻:如果一个街头阿飞为了炫耀他的厉害,他会将自己的种种凶恶之处赤裸裸地表现出来;而如果一个小偷的目的只是为了窃取财物,那他就想藏得越隐蔽越好。
由于攻击行为日益趋利化,其直接结果是,截至2007年11月,我国大陆地区被木马秘密控制的主机IP已超过了100万,比以前有了大量增长。
金山反病毒工程师李铁军对此也表示认同。他告诉《科学时报》记者,自2006年起,盗号木马、黑客后门病毒已经成为大多数职业病毒作者的生财工具。木马病毒背后巨大的灰色“产业链”给整个互联网带来了更加严峻的考验。不管是网银中真实的钱还是虚拟财产,制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱,网络犯罪团体已经形成了一个分工明确、非常完善的流水性作业程序。
以2007年肆虐一时的“灰鸽子”木马为例。据不完全统计,仅仅“灰鸽子”一种后门所带来的直接售卖价值就达2000万元以上。木马的制造者本身并不参与“赚钱”,病毒编写完毕后,大量的“大虾”开始招募“徒弟”,教授木马病毒控制技术和盗号技术,收取“培训费”,之后往往将“徒弟”发展为下线(也就是其代理商或分销商),以辅助完成其他牟利活动。这条“灰色产业链”已将病毒制作引领为一种产业。
据杜跃进透露,2006年他们曾经对我国的互联网地下经济作过一个调查,保守估计这一市场在我国大陆已达到2.4亿元。
更可怕的是,即便是一台无任何木马和病毒的电脑,在安全措施非常严密的情况下,也有可能成为攻击的对象。据杜跃进介绍,2007年6月,国家计算机网络应急技术处理协调中心先后收到IBM应急响应小组、Brandprotect公司、CastleCops PIRT反欺诈组织、RSA Cyota反欺诈安全公司等多个国外安全组织的投诉,称位于我国大陆的两个IP地址自6月6日起为大量从事网络仿冒活动的域名提供域名解析服务。在此事件中,被犯罪分子入侵的主机向大量仿冒网站提供域名解析服务,其危害比单独一台运行一个仿冒网站的主机更为严重。互联网用户会在毫不知情的情况下掉入网络犯罪者精心设计的陷阱中。
势头会更加猛烈
采访中,杜跃进和李铁军都表示,2008年我国的互联网安全形势会更加严峻,犯罪者在网上的攻击能力会进一步增强。
杜跃进认为,2008年,各种形式的恶意代码数量会极大地翻番。恶意代码侧重于控制用户系统并进而组成僵尸网络或者窃取用户敏感信息等,主要有后门、邮件蠕虫、木马、间谍软件以及利用MS Windows系统漏洞和通过即时通讯软件、网络共享进行传播的蠕虫,而以破坏用户数据或影响系统正常使用为主要目标的病毒数量所占比例相对较少。
近年来,这些恶意代码的传播能力增强、传播途径多样化、隐蔽性更强。2007年1月份出现的“熊猫烧香”蠕虫,可通过局域网、移动硬盘/U盘、共享文件夹、系统弱口令等多种方式进行传播。当恶意代码被下载到主机上时,通过将自身属性设为隐藏等手段,使得用户难以察觉。与此同时,用户还需要特别注意防范那些盗取网络个人银行账号密码、ADSL账号密码的木马程序和通过Skype软件传播的木马程序。
据国家计算机网络应急技术处理协调中心对互联网业务流量的抽样统计显示,在TCP协议中,占用带宽最多的网络应用有4类:Web 浏览、P2P下载、电子邮件和即时聊天工具。电子邮件协议使用TCP 25号端口,除正常使用外,该端口还充斥着大量的蠕虫和垃圾邮件流量。P2P软件(例如eMule、clubox、迅雷等)已成为目前最流行的下载工具,受到大量用户的青睐。李铁军表示,目前正在出现的一个新趋势是,利用P2P及暴风影音等一些流行软件进行恶意代码传播的事件日益增多。因此,新型应用服务的安全应当引起充分的注意。网民们应充分意识到该类软件的安全问题。同时,防止利用即时聊天类工具(如MSN和QQ软件)对重要信息的泄密行为。