文/鄭先偉

CERNET發(fā)布2011年度安全年報(bào)：2011年用戶隱私成黑客“香餑餑”

文/鄭先偉

服務(wù)器安全由于各個(gè)信息系統(tǒng)應(yīng)用層漏洞的大量存在而問(wèn)題重要基礎(chǔ)信息服務(wù)系統(tǒng)重新成為黑客重點(diǎn)攻擊目標(biāo)，搜索引擎排名優(yōu)化成為黑客地下經(jīng)濟(jì)產(chǎn)業(yè)的支柱產(chǎn)業(yè)。

2011年教育網(wǎng)整體運(yùn)行平穩(wěn)，無(wú)全網(wǎng)范圍的重大安全事件發(fā)生。隨著用戶安全意識(shí)和安全軟件技能水平的提升，整個(gè)互聯(lián)網(wǎng)的安全有了很大的改善，但是黑客們的攻擊方式也在不斷完善，整體安全形式依然不容樂(lè)觀。2011年互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全總體呈現(xiàn)以下特征：個(gè)人系統(tǒng)的安全防護(hù)能力得到較大提升；服務(wù)器的安全則由于各個(gè)信息系統(tǒng)應(yīng)用層漏洞（如SQL注入、跨站漏洞等）的大量存在而導(dǎo)致問(wèn)題重重；基礎(chǔ)信息服務(wù)系統(tǒng)（如大型網(wǎng)站、郵件系統(tǒng)等）重新成為黑客重點(diǎn)攻擊的目標(biāo)，這些大型信息系統(tǒng)中所存儲(chǔ)的用戶隱私信息成為黑客垂涎的“香餑餑”；搜索引擎排名優(yōu)化（SEO）及販賣用戶隱私成為黑客地下經(jīng)濟(jì)產(chǎn)業(yè)中的支柱產(chǎn)業(yè)。

教育網(wǎng)安全攻擊態(tài)勢(shì)分析

CCERT2011全年通過(guò)各種途徑（如投訴郵件、投訴電話、監(jiān)控系統(tǒng)等）收到各類安全投訴事件達(dá)5947件，通過(guò)對(duì)各類安全投訴事件的分析，我們總結(jié)出七個(gè)特征。

垃圾郵件投訴

垃圾郵件的投訴依然高居榜首，這說(shuō)明發(fā)送垃圾郵件這種低成本的網(wǎng)絡(luò)攻擊手段依然是不法商人廣告營(yíng)銷方式的首選。

端口掃描

從投訴事件中被掃描的端口來(lái)看，針對(duì)TCP 22端口（SSH服務(wù)端口）進(jìn)行掃描的次數(shù)最多，其次是TCP 80端口（Web服務(wù)端口），這說(shuō)明針對(duì)SSH服務(wù)的口令暴力破解攻擊和通過(guò)Web服務(wù)端口進(jìn)行的應(yīng)用層攻擊（如SQL注入等）受黑客的青睞。

網(wǎng)頁(yè)掛馬

隨著服務(wù)器及用戶端安全防護(hù)措施的增強(qiáng)，網(wǎng)站掛馬的攻擊成功率較以前大大降低。由于獲取不到足夠的利益，攻擊者轉(zhuǎn)變了攻擊思路，很多被控服務(wù)器不再用來(lái)做掛馬服務(wù)器，而是被用來(lái)做更賺錢的SEO（搜索引擎優(yōu)化）工具。網(wǎng)頁(yè)掛馬攻擊有針對(duì)性地在某些特定的頁(yè)面（甚至是特定時(shí)段的特定頁(yè)面）上掛馬，以減少掛馬頁(yè)面被檢出的幾率。攻擊者在多媒體音視頻文件（如Flash、AVI、MP4等）中進(jìn)行掛馬。由于多媒體文件多數(shù)需要專業(yè)的解碼軟件，所以大多數(shù)自動(dòng)檢測(cè)系統(tǒng)及某些殺毒軟件對(duì)這類被掛馬的多媒體文件檢出率并不高。

系統(tǒng)攻擊

實(shí)驗(yàn)采用一個(gè)壓電懸臂梁作為壓電能量轉(zhuǎn)換裝置,其壓電片材質(zhì)為壓電陶瓷片,型號(hào)為PZT-5A,尺寸為60 mm×31 mm,基板尺寸為80 mm×33 mm×0.6 mm。采用RIGOL DG1022U信號(hào)發(fā)生器生成激勵(lì)信號(hào),經(jīng)LA-800線性功率放大器放大后驅(qū)動(dòng)VT-500電磁激振器,作為壓電片的振動(dòng)源。本文所提電路采用分立元件予以實(shí)現(xiàn),其主要元器件型號(hào)及參數(shù)如表1所示。

從事后對(duì)被入侵系統(tǒng)的分析發(fā)現(xiàn)，有高達(dá)70%以上的網(wǎng)站服務(wù)器因?yàn)閃eb應(yīng)用層存在漏洞（SQL注入漏洞、上傳文件限制不嚴(yán)格等）而被利用，而系統(tǒng)程序存在漏洞而導(dǎo)致的入侵比例大大降低。存在應(yīng)用層漏洞的Web網(wǎng)站很多都是使用開源的內(nèi)容管理系統(tǒng)搭建的，這些內(nèi)容管理系統(tǒng)或多或少存在安全問(wèn)題，網(wǎng)站的管理者也未在二次開發(fā)時(shí)修補(bǔ)。另外一些學(xué)校專有的Web在線應(yīng)用系統(tǒng)（如論文在線提交系統(tǒng)、在線投稿系統(tǒng)等）存在的漏洞導(dǎo)致網(wǎng)站被入侵。

網(wǎng)絡(luò)欺詐

教育網(wǎng)內(nèi)出現(xiàn)的釣魚網(wǎng)站主要都是仿冒國(guó)外的在線銀行或者是在線購(gòu)物支付系統(tǒng)，未發(fā)現(xiàn)直接仿冒國(guó)內(nèi)銀行網(wǎng)站的案例，這可能是為了有效規(guī)避法律制裁的一種表現(xiàn)。

DDoS攻擊

DDoS攻擊在教育網(wǎng)內(nèi)時(shí)有發(fā)生，而且攻擊流量的規(guī)模呈大型化的趨勢(shì)（多數(shù)時(shí)候可達(dá)上G的攻擊流量）。攻擊方法依然以syn flood為主，有時(shí)也夾雜一些碎片攻擊和CC攻擊。在2011年處理的幾起較大規(guī)模的DDoS攻擊中，教育網(wǎng)內(nèi)被攻擊的服務(wù)器都不是攻擊者原本要攻擊的目標(biāo)，而是被第一受攻擊者進(jìn)行惡意域名轉(zhuǎn)嫁造成的。

病毒

隨著國(guó)內(nèi)國(guó)外各防病毒軟件的免費(fèi)化進(jìn)程的推進(jìn)，用戶端安裝正版的殺毒軟件的比例大增，用戶的整體感染率大大降低。為了應(yīng)對(duì)反病毒軟件的查殺，木馬病毒采用更底層的自我保護(hù)機(jī)制，如2011年新發(fā)現(xiàn)的Mebromi木馬病毒，用戶一旦感染該病毒后無(wú)論是重裝系統(tǒng)、格式化硬盤，甚至換掉硬盤都無(wú)法徹底清除，需要經(jīng)過(guò)專業(yè)的人使用專業(yè)的工具才可能清除，對(duì)于這類病毒的最好的防范辦法就是不給其感染的機(jī)會(huì)。在病毒傳播方面，木馬更多的是采用偽裝進(jìn)行傳播，它們會(huì)把自己偽裝成各種色情圖片、游戲外掛程序、破解程序、熱點(diǎn)視頻文件等引誘用戶下載運(yùn)行，并且會(huì)在下載前以各種理由要求用戶關(guān)閉殺毒軟件再進(jìn)行操作，有些用戶出于好奇或者特殊的目地就會(huì)關(guān)閉殺毒軟件并下載運(yùn)行程序而被感染。

涉及應(yīng)用程序的漏洞數(shù)量居首

2011年互聯(lián)網(wǎng)上公開發(fā)布的信息安全漏洞數(shù)量達(dá)7000多個(gè)，較2010年有所減少，全年的漏洞呈以下特征：

1. 在所有漏洞中，涉及各種應(yīng)用程序的漏洞最多，占 62.6%，涉及各類網(wǎng)站系統(tǒng)的漏洞位居第二，占22.7%，而涉及各種操作系統(tǒng)的漏洞排到第三位，占8.8%。（注：根據(jù)CNVD漏洞庫(kù)數(shù)據(jù)統(tǒng)計(jì)結(jié)果獲得）

2. 應(yīng)用程序漏洞中各類瀏覽器（IE、Firefox、Chrome、Safari）漏洞及可通過(guò)瀏覽器直接調(diào)用的應(yīng)用程序（Adobe Acrobat／Reader、Flash Player、Realplay、Media Player、Java解析器等）漏洞占了大多數(shù)。瀏覽器中Chrome瀏覽器修補(bǔ)的漏洞數(shù)量最多，其次是Firefox瀏覽器，而IE瀏覽器和Safari瀏覽器公布的漏洞數(shù)量較前兩種開源瀏覽器的少很多。

3. 繼微軟公司之后，Adobe公司、Apple公司、Google公司、Mozilla公司及Oracle公司也成為補(bǔ)丁發(fā)布的大戶，這些公司幾乎每月都會(huì)定期針對(duì)旗下產(chǎn)品發(fā)布安全公告和補(bǔ)丁程序。

4. 一些使用面并不是特別廣泛的專業(yè)應(yīng)用軟件（如工控系統(tǒng)、AutoCAD軟件）的漏洞數(shù)量也有所增多，利用這些漏洞攻擊者可以有針對(duì)性地攻擊一些特殊的目標(biāo)。

5. 各類開源的網(wǎng)站內(nèi)容構(gòu)建及管理系統(tǒng)（CMS）的漏洞在2011年層出不窮且有快速增長(zhǎng)的趨勢(shì)。

6. 移動(dòng)通訊方面，Apple公司的IOS系統(tǒng)和Google公司的Android系統(tǒng)的漏洞數(shù)量大大增加，說(shuō)明移動(dòng)終端逐漸成為黑客的關(guān)注重點(diǎn)。

2012年安全趨于復(fù)雜

隨著學(xué)校接入帶寬及主干帶寬的升級(jí)、下一代互聯(lián)網(wǎng)的大規(guī)模應(yīng)用、移動(dòng)終端的應(yīng)用等變化，2012年校園網(wǎng)安全趨勢(shì)將變得更為復(fù)雜，管理員需要特別關(guān)注之處：

1. 學(xué)校網(wǎng)站的安全形勢(shì)不容樂(lè)觀，2012年學(xué)校的網(wǎng)站依然是黑客攻擊的重點(diǎn)，那些使用開源CMS系統(tǒng)架設(shè)的網(wǎng)站尤其要當(dāng)心。SQL注入漏洞仍然或多或少地存在于各類網(wǎng)站中（尤其是二級(jí)院系的網(wǎng)站）。一些之前認(rèn)為危害不大的漏洞（如跨站腳本攻擊漏洞）或是不易利用的漏洞（如數(shù)據(jù)庫(kù)爆庫(kù)攻擊）隨著攻擊技術(shù)的發(fā)展也可能會(huì)給系統(tǒng)帶來(lái)巨大的危害。盡快全方位掃描自己轄區(qū)內(nèi)所有網(wǎng)站的安全漏洞并及時(shí)修補(bǔ)，有條件的情況下可以使用專業(yè)的Web應(yīng)用層防火墻對(duì)網(wǎng)站提供保護(hù)。

2. 用戶隱私信息正在成為黑客竊取的目標(biāo)。學(xué)校的信息系統(tǒng)內(nèi)保存著大量的學(xué)生隱私信息，這些信息可能成為黑客的攻擊目標(biāo)。不要想當(dāng)然地認(rèn)為這些信息系統(tǒng)使用的是自主開發(fā)的系統(tǒng)又是運(yùn)行在專有網(wǎng)絡(luò)或是內(nèi)網(wǎng)里就萬(wàn)無(wú)一失，實(shí)際上專業(yè)的攻擊往往都是從內(nèi)部發(fā)起的。檢查數(shù)據(jù)庫(kù)中存儲(chǔ)的用戶敏感信息（如賬號(hào)密碼）是否進(jìn)行加密存儲(chǔ)，如果沒有，請(qǐng)盡快加密。

3. 移動(dòng)終端給用戶帶來(lái)全新的網(wǎng)絡(luò)體驗(yàn)，但是也給網(wǎng)絡(luò)管理員帶來(lái)更大的管理難度，日見增多的終端設(shè)備所使用的系統(tǒng)多種多樣，而且多數(shù)都沒有有效的安全防護(hù)措施，一旦有相應(yīng)的病毒出現(xiàn)，可能給用戶造成損失，也給網(wǎng)絡(luò)帶來(lái)沖擊。學(xué)校要加大用戶在這方面的安全意識(shí)宣傳。

4. 帶寬的增長(zhǎng)帶來(lái)的不僅僅是網(wǎng)速的全面提升，它也可能給大規(guī)模拒絕服務(wù)攻擊提供更多的惡意流量。

5. 隨著IPv6網(wǎng)絡(luò)規(guī)模的擴(kuò)大，針對(duì)IPv6網(wǎng)絡(luò)的攻擊也會(huì)逐漸出現(xiàn)，一些支持IPv6的安全設(shè)備應(yīng)該提前準(zhǔn)備妥當(dāng)。

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）