什么是木马病毒
木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马)。与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其它文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,让黑客进入电脑系统,给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等,安全和个人隐私全无保障!
木马的种类有三种:普通的以单独EXE文件执行的木马;进程插入式木马;Rootkit 类等。
Tor网络与Torpark
Tor是匿名传输的网络系统,使用者通过Tor网络连接到目的地网站的中间过程,经过层层不同的Tor节点,不仅传输过程经过加密,且传输路径也是随机变动,因此难以追踪。而Torpark则是以Tor网络为基础,改良Firefox的网络匿名工具,下载到USB随身碟后,在公用计算机上网即可隐藏上网形迹。这些软件一开始的用途并不全然是用来做坏事,只是使用者用于不当之处,才让工具变成武器,成为企业信息安全防护的一大漏洞。CA技术顾问林宏嘉建议,企业应由使用者行为面思考防御之道,主机型入侵防御系统(Host I
ntrusion Prevention System;HIPS)除了能过滤应用程序之外,还需能主动辨识所有对主机系统可能有危害的行为模式,才能有效阻挡有问题的API Hook。
网上出现卧底病毒
上海计算机防范服务中心近日发出预警,近期互联网出现了一种非常危险的“卧底”病毒,计算机用户一旦中毒,将可能导致计算机被黑客远程控制;更为严重的是,用户的私密信息也极有可能被盗。
据上海信息化的反病毒专家介绍,这种病毒专门攻击Windows NT、Windows 2000、Windows XP等微软主流操作系统。Windows 3.x、Macintosh、Unix、Linux等操作系统不受影响。
据悉,最近活跃在互联网的是『卧底』病毒的最新变种“变种ab”(TrojanProxy.Wopla.ab)。这是一个木马病毒,采用Visual C++编写。该病毒运行后,链接指定站点,并从指定站点接
受和发送大量数据包。
被感染的计算机被远程黑客控制,从指定站点下载其它恶意程序并在被感染计算机上自动运行。另外,“卧底”变种ab还能够窃取用户的私密信息,给用户带来损失。反病毒专家建议,用户应建立良好的安全习惯,不打开可疑邮件和可疑网站,不打开不明来历的可执行文件。
什么是WEB 2.0?
Web 2.0 一词已在Google产生上亿次的点阅率,最早提出web 2.0 的人是Tim O’Reilly,他是一家专门出版计算机信息书籍的美商公司O’Reilly Media的CEO,“web2.0”是在他构思一个会议标题时所创造出的一个专门用语。指的是可进行高度互动的社交性质网站服务,如MySpace、Secondlife、Y ouTube、Flickr、del.icio.us、Wikipedia、Kiko以及CalendarHub 等社交网络网站均属于这类网站。这些网站的设计能让真实世界中彼此不认识的消费者在在线进行互动。这个现象已经让许多消费者逐渐习惯集体合作的社交网站的概念,在这个空间中,彼此不认识的使用者惯常地相互共享连结、照片、影片以及其它信息。
有许多不了解行为可能藉此繁衍的Web 2.0 使用者经常从事具有风险的在线活动。据National Cyber Security Alliance 的统计,57%知悉潜在安全风险的社交网络网站使用者依然会将重要的信息透漏给他人。因此,这些网站自然就容易成为社交工程攻击的目标。此外,正如CNet所言:“急于增加‘Web2.0’功能,安全性反而在事后才想到。”安全弱点加上Web 2.0使用者的认知不足,使这类网站成为极适合Web 信息安全威胁繁衍的沃土。
愈来愈多的使用者对此现象心存疑虑。CMO Council的问卷调查结果显示,在线活动是消费者遭遇的主要问题;65%受访的消费者曾遭遇过安全入侵事件。2006年美国联邦交易管制委员会(FTC)共接获通报670,000件消费者与身份信息遭窃案件,消费者提报的损失总额超过$11亿美元。
上述Web 2.0 的众多不同层面具体呈现出它提供给协同式社的全新自由弹性。在Web (Web 1.0)时代,能在他们的个人网页以外的位置编写程序代码或内容的使用者并不多,而大多数网站的内容都是由少数一些编辑与开发人员所掌控。今日,网络上一些流量极高的网站(包括MySpace、Orkut、Wikipedia以及Y ouTube等)均无条件开放给任何人使用,只要他们拥有浏览器及参与意愿。原为信息精英专属的Web 现已普及至全球各个角落。
《时代》杂志:web2.0=“The Y ear of Y ou”新闻媒体中随处可见对Web 2.0 的正面评价,例如《时代》杂志便宣告2006 年是“The Y ear of Y ou”,此外更有上亿的使用者争相投入Web 2.0的行列。然而,在这股Web 2.0的热潮中,一般消费者与企业组织均忽略了采取足够的防范措施以因应信息安全领域因此而产生的重大转变。让我们思考一下O’Reilly 的Web 2.0 蓝图中的一个黑暗面:“可窜改性(hackability)”。在Web 2.0与传统计算机科技用语中,“可窜改性”一词指的是对系统进行程序方面修改的可能性,然而它也被贴上了网络犯罪行为的负面卷标。Web2.0的“可窜改性”对于防不胜防的恶意程序作者与犯罪共生体系而言可谓一大利多,因为他们能利用全新且杀伤力强大的Web 2.0 安全弱点来危害警觉性较低的使用者。不幸的是,Web 2.0齐集内容、程序代码及社的优势所提供给网络罪犯的自由弹性与一般使用者无异。
Javascript入侵攻击特别报导
Web2.0环境所提供的动态开放式内容模型已为恶意Javascript开启了一扇门。Javascript 是一种交互式程序语言,能让因特网浏览器执行网页所定义的程序化操作。在Web2.0环境中,网页内容创作者与浏览器开发业者更进一步扩充Javascript程序代码可使用的功能组合,在浏览器与因特网服务之间建置更多动态内容与互动功能。这能为使用者提供丰富而多样化的合法功能。举例说明此媒介的强大功能,一个名为Lizzie Palmer的15岁女孩制作了一个内容与伊拉克战争有关,名为"Remember Me"的影片文件放在Y ouTube上,本月就被观赏了七百万次。
Javascript入侵攻击迅速蔓延
Javascript入侵涵盖各种针对Web2.0网站的恶意Javascript运用手法。其中包括网络罪犯在任何支持Javascript的网页中加入Javascript程序代码,让任何浏览此网页的使用者感染恶意程序代码。
Javascript问世(以及遭恶意程序作者利用)至今已有相当时日。而Javascript入侵攻击的发展与Web2.0网站的迅速繁衍有密切的关系。以往通常只有网页作者能制作及发布内容。现在,博客与其它许多动态网站也能让一般使用者制作及发布内容。由于此功能必须使用如Javascript这类程序语言,因此大多数Web2.0网站均允许使用者发布Javascript程序代码。
恶意Javascript在这种更开放的环境中将Javascript作恶意用途使用,可能衍生出极为广泛的信息安全威胁。举例来说,恶意程序作者可能在网页中加入Javascript程序代码,在网页加载时将浏览器转向特定
网址,然后在浏览器中加载其它Javascript程序代码。这能让恶意程序作者使用简单而无害,而且看似正常的命令,在使用者的浏览器中任意插入各种恶意程序代码。这些程序代码可能从事各种活动,例如扫描使用者的书签与Cookie,并将收集到的信息传送至网络罪犯设立的服务器,而不被使用者发现。许多使用者会选择在Web2.0环境中,恶意程序作者几乎能使用Javascript执行使用者所能执行的任何功能。企业与消费者可能因此而暴露于多种信息安全威胁的风险当中。
让浏览器“记住”特定网站的使用者名称与密码。因此,取得浏览器中的书签之后,网络罪犯便能从中出使用者的在线银行网站,而取得使用者的Cookie便能让他们插入使用者的名称与密码。如此一来,网络罪犯便能取得使用者的银行账户信息。
另一个例子是恶意Javascript程序代码能重新将使用者书签中某些看起来较有趣的网址重新对应至网络罪犯的服务器。此服务器能设置网络钓鱼网页,引诱使用者透露机密信息。由于使用者可能误以为这是正常网页(因为使用者是从他们的最爱清单中直接点选)而输入机密信息,导致这些数据遭窃。其它可能的威胁还包括取得计算机的控制权,用以发动服务阻断式攻击,散发垃圾邮件,对傀儡网络下达命令与进行控制,以及导致使用者计算机违反企业规定等。
今年稍早有网络罪犯利用Microsoft Windows平台计算机的向量标记语言(V ector Markup Language,VML)档案弱点,在超级杯开打之前感染迈阿密海豚体育馆网站。恶意程序作者利用这些安全弱点自动
加载恶意Javascript,让他们得以入侵遭感染的计算机。下载至计算机中的木马程序是一个ZLOB变种,它会再下载另一个稍早在外散播、专门窃取魔兽世界账户的恶意程序。
防范Javascript入侵攻击
正如本期安全周记的第一单元(“Javascript入侵攻击特别报告”)所述,Javascript入侵攻击正透过动态内容导向的Web2.0网站加速散播。尽管已了解Javascript入侵攻击的潜在威胁,但要采取行动防御这类信息安全威胁并不容易。
要防范Javascript入侵攻击最简单的方法似乎是直接停用Javascript。企业也能建立相
关原则将所有员工浏览器的Javascript永久停用。虽然停用Javascript有助于防止Javascript 入侵攻击,但也会妨碍Javascript的正常使用。举例来说,Javascript常用于在线窗口,显示警告使用者输入数据不正确的弹出式对话框,协助输入日期的弹出式月历以及自动完成字段,或提供其它许多有用的功能。Javascript对于软件型态服务(software-as-service)解决方案的运作及其它内容供应功能也深具重要性。
有些使用者仅会仅针对少数谨慎挑选的网站启用Javascript。他们判断的依据通常是Javascript功能是否是有效使用该网站的必要条件。如果在线理财网站在提供消费者所需的信息时停用Javascript,唯一的影响只是无法显示广告,这种程度的妥协仍在可接受的范围内。然而,如果必须启用Javascript才能填
写在线窗口,大多数消费者都会认为应该针对此网站启用Javascript。要求所有使用者永远停用所有浏览器的Javascript功能,除非执行业务相关操作时需要,这样的企业规定看似合理;然而,要定义例外网站、定期修改此清单以及持续执行此规定在实务上却有其困难。此外,由于Javascript是内嵌于HTML中,针对特定网站关闭Javascript的作法在实行上可能有困难,让使用者陷入两难的抉择:应该禁止使用重要网站处理业务?或冒着网络攻击的风险允许使用Javascript?
更深远的考虑
或许这类困境必须等到“Web3.0”完成定义并开始流行之后才会有解决的办法。此外,除了消费者与企业本身需提高警觉之外,Web2.0网站开发业者与浏览器开发业者也应提高对此问题的认知程度。由于每一种新媒体(在此指的是Web2.0)均可能为网络罪犯提供新的感染媒介,因此在网站建置之初即整合安全防护措施往往是最可靠的建议。今日许多网站经营者往往只着重于可灵活调整的开发策略(亦即迅速采用可提供丰富功能的程序代码),而忽略了建置适当安全措施的必要性。然而,我们从应用程序的安全弱点所学到的经验是,在开发初期投入少许时间建置安全措施,便能省去因安全弱点被发现而频频遭受攻击时,进行危机处理、品牌信誉受损及其它负面效果所耗费的大量时间。
恶意程序、信息外泄以及TJX遭窃案
2007年1月17日,TJX
Cos.宣布他们的IT系统遭不明人士入侵,爆发史上规模最庞大的信用卡数据窃案。旗下拥有T.J.Maxx、Marshalls、Home
Goods以及A.J.Wright等子公司的TJX
Cos.尚未针对将近四千五百万张信用卡与签帐卡的卡号如何落入不明人士手中发表正式声明。唯一可确定的是这次入侵事件将造成TJX
Cos.遭受巨额损失。据许多分析师估计,该公司整体损失约在数亿美元之谱,甚至可能超过10亿美元[1]。其中许多估计结果还未将法律诉讼费用纳入计算;目前已有超过20件要求该公司赔偿损失的诉讼案正在进行当中[2]。魔兽世界安装程序
数据安全性问题或恶意程序攻击?
表面上看来,这些信息窃贼或许应算是数据安全方面的问题。而且有一些证据显示,此方面的隐忧已超越恶意程序的威胁。举例来说,最近英国一份由Cisco
Systems赞助,针对100位IT专业人士所作的研究显示,恶意程序攻击所构成之风险已下降30%。取而代之成为头号安全隐忧的就是信息窃贼[3]。
然而,这两种表面上毫无关联的威胁(数据安全性与恶意程序攻击)或许就是同一个问题的两个不同面向。理由之一就是网络罪犯可能利用恶意程序来窃取数据。在TJX
Cos.的IT系统中发现的可疑软件尚未有详细讨论,而这个软件入侵重要服务器的途径也未被揭露。然而,网络罪犯要取得协助他们进行这类攻击的各种入侵工具十分容易。然而为避免重复窃取相同的信用卡号,网络窃贼会使用TJS
Cos.本身的IT系统相互通讯。
这两个问题之间的另一项关联就是,恶意程序作者已逐渐将目标转向企业数据,因为这类数据具有极高的获利潜能。恶意程序作者采取目标式攻击手法,针对特定目标构思详细的计划,已经成为常态而非特例。涉及TJX
Cos.窃案的网络罪犯将所窃得的信用卡数据转卖给其它罪犯,以此换取庞大利润。许多网站均明目张胆地兜售这些遭窃的信用卡资料。
胆大妄为的网络罪犯
这宗网络窃案幕后的黑手迟迟未落网(或许将永远逍遥法外),无疑间接刺激更多类似的窃案发生。TJX
Cos.窃案中所使用的手法反映出窃贼具有十足的把握。华尔街日报报导窃贼使用TJX Cos.本身的IT系统相互通讯;为避免重复窃取相同的信用卡卡号(以免事倍功半),他们会留下信息告诉对方哪些卡号已被复制。一位熟悉TJX
Cos.对此事件调查经过的人士描述窃贼使用的手法:“简直就像侵入门户洞开的住宅一样容易。”[2]。
在发现遭入侵之后,T.J.Maxx已多次公开道歉,相关单位也已展开调查,以厘清该公司是否违反PCI标准的规定,擅自储存信用卡与客户个人信息。在此事件之后,美国某些州的立法机关正考虑制定相关法令,要求遭入侵的公司必须负责赔偿这类事件造成的财务损失[2]。因此,要厘清这两种纠缠不清的信息安全威胁(数据安全性问题与恶意程序攻击)可能还需要摸索一段时日。
参考数据