安全焦点邀稿——越演越烈的网络安全

原创文章：未经许可，禁止转载 。PDF版地址:http://www.if9.cn/Documentation/愈演愈烈的信息安全.pdf

   信息安全领域最让人激动人心的地方之一就是变化。每一个新的技术领域和应用，都会带来新的攻击手段和新的防护技术。让我们一起回顾已下2009年信息安全中的热点时间和动向吧！

猖獗的挂马现象和安全浏览

针对国内普通上网用户的网络挂马，2009年可以说是越演越烈。几个著名的例子：6月微软DirectShow Quick Time安全漏洞，7月初的微软MPEG-2视频安全漏洞和7月底的Flash安全漏洞，在国内都诱发了大规模的网络挂马事件。结合2008年爆发大规模网站SQL注入事件，我们可以拼出一个完整的木马产业链的大致构图。

          第一层是众多合法的网站，尤其是中小型网站被黑。攻击者在正常的网页（如教育，医疗，招聘等）上插入脚本指向第二层的恶意网站，第二层的恶意网站上载基于最新安全漏洞的攻击代码。每次出现一个新漏洞，只要第二层的恶意网站更新攻击代码，访问到第一层合法网站的普通用户就会受到恶意代码的攻击。攻击者会随着不同的热点新闻和时间段来重点攻击特定的网站促使利益的最大化，例如7月高校报名期间，就有诸多的教育网站被挂马。

网络挂马的攻击是通过浏览器来实施，于是浏览器自然就成为安全访问的第一线，2009年，各个浏览器的开发厂商均在自身的浏览器上新增或强化其安全特性以保证用户的安全浏览体验。例如：IE8中的SmartScreen过滤器、Firefox对插件的安全管理，遨游和金山的合作、奇虎360的360安全浏览器等。

年度病毒和Conflicker和定制化病毒

          年度病毒Conflicker蠕虫是利用微软08-076安全漏洞的一种蠕虫（Worm）病毒，是2009年最受关的病毒。为什么？因为蠕虫类型的病毒今年来越来越少见。上一次比较著名的蠕虫类型的病毒，大家也许会想起大名鼎鼎的冲击波。如果说木马类型的病毒还需要用户通过1次点击访问一个网页（1-click）来攻击用户的化。蠕虫型病毒，如ConFlicker，则一般利用的是0次点击的安全漏洞。换句话说，也就是只要你的机器挂在网上，就可能自动中招。有词典可以看出蠕虫病毒的危害性。但蠕虫往往需要操作系统级别的0-click的安全漏洞，如MS08-067。随着操作系统安全性的提高，这一类的安全漏洞是越来越少了。而且近年来，恶意软件的发展明显是追求经济利益，有目的的攻击方式（targeted attack）发展，蠕虫这一大类大范围传播的病毒并不符合这个潮流。因此，各个反病毒公司对Conflicker病毒出现如获至宝的态度就很正常。

          令人寻味的一点是Conflicker虽然包括攻击代码（例如创建僵尸网络BotNet等），病毒的制作者却从来没有启动过。尽管有微软的25万美元的悬赏，谁创建了Conflicker，目的是什么，至今为止都还是个谜。此外，安全厂商专门成立的Conflicker对抗联盟，也反映了安全业界联合意识的提高。

          与Conflicker形成鲜明对比的是，2009年恶意软件定向制化和模块化方向进一步发展。换句话说，就是越来越容易按照特定需求，制造出特定病毒。充斥与一些网络论坛中的如付费多少就可以得到专门定做的病毒的广告，还有各家反病毒公司纷纷发布的有关的病毒数目创记录的统计数据，都反映出这个趋势。定制化恶意软件带来的病毒样本数目爆炸性的增长，对传统机遇特征码的反病毒查杀方式，带来了巨大的挑战。

Windows7

          由于种种原因，Windows Vista的市场接受程度不高，Windows XP仍然占据主流地位。2009年Windows 7推出后，市场反映良好，占有率不断提高。Windows 7在Windows Vista的基础上，进一步提高了系统级别的安全机制，如针对内存保护的DEP、ALSR、Safeseh等特性，改进的防火墙，服务程序的固化（Server Hardening）等。

          随着病毒木马的定制化，仅仅依赖反病毒产品带来的保护是不够的。事实上，操作系统级别上的安全改进和用户安全意识，往往是更为有效的防护手段。例如，当IE8运行在Windows7上时，由于采用了DEP，地权限模式等系统安全特性，可以有效对抗目前的网页挂马方式。其他浏览器，如Chrome，在Windows7上也使用了DEP等安全特性。

          Windows7市场占有率的提高和Windows XP的逐渐退出，将对整个PC生态环境的安全带来重大影响。

攻击转向应用程序

          随着操作系统层面安全性能的提高，发现并可利用操作系统一级安全漏洞变得更为困难。所以，攻击者将重点目标转向其运行的流行应用程序。公开发布的安全漏洞中，基于应用程序的安全漏洞已经占到绝大部分。2009年，Adobe的Flash和PDF Reader成为攻击的热点。例如，2009年，Adobe的Flash和Adobe Reader的漏洞数目（45）已经超过了微软的Office漏洞（41）。据F-Secure公司的统计，特定攻击中，基于PDF的比例已经将近50%，超过了World（40%）、Excel（7%）和PowerPoint（4.5%）。随着攻击转向应用程序，如何构造一个完整的安全的软件生态环境成为一个迫在眉睫的问题。

网络基础协议

          2009年5月发生的和暴风影音相关的六省网络故障时间，让许多用户了解到DNS协议在互联网上的重要性。严格地说，这个事件并不是DNS协议本身的漏洞，而是DNS服务器部署上的脆弱性和应用程序的交互导致。那么设想一下，如果是DNS协议本身的漏洞，会造成多么严重的后果。事实上，对互联网关键协议设计安全的研究，近年来非常重视：最新的例子是2009年11月，Marsh Ray发现的基于SSL和TLS协议的中间人攻击漏洞，涉及多家软件厂商和产品，对基于HTTPS的电子商务有非常重大的影响。

社交网络

          随着社交网络的普及，针对和利用社交网络的攻击越来越多。攻击的方式从钓鱼来窃取用户信息，到针对整个服务的拒绝访问攻击不等。

移动安全

          2009年智能手机的普及率和其应用的丰富，提升了移动设备安全的重要性。以iPhone为例，8月的BlackHat会议上，Charlie Miller展示了利用SMS协议对iPhone的攻击。在年末出现了运行于iPhone上的病毒。

搜索引擎和SEO

          搜索引擎的重要性毋庸多言，SEO（很多Seoer都不知道其何以为SEO，所以写出来告诉大家Search Engine Optimization）攻击是攻击者通过恶意的网络查询和链接来提高搜索引擎的针对某个热门关键词的排名。这样，当普通用户搜索这个关键词的时候，由于恶意网站的搜索结果中靠前，就容易访问到攻击者所设置的恶意站点。Seo攻击在2009年更紧密的结合到整个挂马攻击的过程中。

2010预想

          个人观点，陋见。

          随着Windows 7进一步普及和Windows XP的逐步退出，基于Windows XP的网页挂马攻击方式，以及安全厂商的对抗工具，都会有改变和调整。

针对第三方应用程序，社交网络，移动设备，搜索引擎的攻击，都会进一步发展。网络钓鱼和垃圾邮件，依然会是最常见的攻击方式。攻击目的更多以经济利益为驱动，如窃取网上银行密码、盗窃重要账号等。

          浏览器安全进一步提高。浏览器常用的插件，如Flash、Silverlight等的安全，会吸引更多的注意力。HTML5的发展，会对Web和浏览器发展带来安全方面的影响。

          云安全。这里提及的“云安全”，并不是各家反病毒公司提出的“云查杀”，而是指随着云端的大范围的数据和应用的集成发展，会带来安全及隐私方面的新的要求和挑战。

 

参考文献：PDF Most Common File Type in  Targeted  Attacks