1 蜂拥而至的网络毒瘤
据统计,2007年,仅金山毒霸截获的新计算机病毒/木马就达283,084个,较2006年增长了17.88%,其中新增的盗号木马118,895个,占所有新增木马总数的42%
上世纪末,特别是步入新世纪后,随着计算机及网络技术在全球的普及,及其地位作用的不断提高,各类针对计算机及其网络的杀手,像电脑病毒、网络黑客等开始大肆蔓延,疯狂增长。据中国网络安全厂商金山软件的统计数字:2006年,全球各类电脑病毒呈爆炸式增长,仅金山毒霸截获的新增病毒样本就达240,156种,其中木马病毒新增数占73%,高达175,313种。
2007年,全球计算机病毒/木马处于一种高速“出新”的状态。其中,仅金山毒霸就截获新病毒/木马283,084个,较2006年增长了17.88%,病毒/木马增长速度与2006年相比虽有所放缓,但仍处于大幅增长状态,总数量仍旧非常庞大。在新增的病毒/木马中,盗号木马仍然首当其冲,新增数量多达118,895个,黑客/后门病毒、木马下载器紧随其后,成为危害网络安全的三大“毒瘤”。
来自金山软件的报告还显示,在名目繁多的各类计算机病毒/木马中,有三大类病毒的数量呈明显增多之势:
对抗杀毒软件和破坏系统安全设置的病毒明显增多。对抗杀毒软件和破坏系统安全设置的病毒以前也有,但去年从AV终结者病毒爆发之后,此类病毒便频繁出现。主要是由于大部分杀毒软件加大了查杀病毒的力度,使得病毒为了生存而必须对抗杀毒软件。这些病毒使用的方法也多种多样,如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。
利用可移动磁盘传播的病毒明显增多。随着可移动磁盘技术的不断发展,以及可移动磁盘价格下降,拥有可移动磁盘的用户大量增加,病毒也开始趁机作乱,除了蠕虫,普通的木马很多也会通过可移动磁盘进行传播,主要方式是复制一个病毒体和一个Autorun.inf文件到各盘。如果用户插入可移动磁盘,可移动磁盘将会被感染,然后当可移动磁盘插入另一台机器,Autorun.inf发生作用,启动病毒感染计算机。
感染型病毒持续增多。感染型病毒曾经是Dos时代病毒的特点,进入 windows之后,感染型病毒的数量下降很多。但随着2006年的维金和2007年初的熊猫烧香病毒“风靡”全国之后,从金山毒霸病毒监测系统显示,感染型病毒不断增多,除了传统的感染方式,还新增了如瓢虫、小浩等覆盖式感染,这种不负责任的感染方式将导致中毒用户机器上的被感染文件无法修复,带来毁灭性的损坏。
2 中国成为最大受害国
2007年,我国共有49,652,557台计算机感染病毒,互联网用户遭受过病毒攻击的比例占90.56%。其中全球被蝇蛆影响的电脑就有26%在中国,高于其它任何一个国家
近年来,随着我国信息化建设的深入,网络攻击或网络病毒等恶意行为逐渐甚嚣尘上。国家计算机网络安全应急技术处理协调中心发布的报告显示,仅2007年上半年,就发现有8361个境外控制服务器对我国大陆地区的主机进行控制。来自金山毒霸的统计数据则显示,2007年,我国共有49,652,557台计算机感染病毒,与去年同期相比增长了18.15%,互联网用户遭受过病毒攻击的比例占到90.56%。赛门铁克公司的研究报告也显示,在全球被蝇蛆病毒影响过的电脑有26%在中国,远高于其他任何一个国家。
记者在采访中了解到,我国信息网络安全事件发生比例已连续3年呈上升趋势,去年已经达到65.7%,较2006年上升11.7%,成为当今世界电脑病毒和网络攻击的最大受害国。近年来,世界上传播的杀伤力最大的病毒几乎都在中国肆虐过。国家计算机网络应急技术处理协调中心(CNCERT/CC)2005年对常见的50种针对Wed网站的攻击进行的抽样检测显示,境外22万台主机曾对我国大陆发起过攻击。其中,对大陆进行网站攻击最频繁的国家和地区为:美国(40%)、日本(11%)、台湾省(10%)和韩国(8%)。 CNCERT/CC去年发布的《2006年网络安全工作报告》显示,境外约有2.7万个针对大陆的木马攻击源,主要位于美国、韩国和中国台湾;境外约有 1.6万个IP对大陆的僵尸主机实施控制,主要仍位于美国、韩国和中国台湾。在网站页面被篡改方面,大陆被篡改网站总数达到24,477个,其中政府网站被篡改数量为3,831个,占整个大陆地区被篡改网站的16%。
在CNCERT/CC前不久发布的2007年网络安全报告中,特别提到“木马” 和“僵尸网络”对我国网络安全造成的严重危害。按照网络安全技术专家的说法,木马不仅是一般黑客的常用工具,更是网上情报刺探活动的一种主要手段。据这位专家介绍,木马特指电脑后门程序,它通常包含控制端和被控制端两部分,被控制端一旦植入受害者的电脑,操纵者就可以在控制端实时监视该用户的一切操作,有的放矢地窃取重要文件和信息,甚至还能远程操控受害电脑对其他电脑发动攻击。
据了解,去年上半年,被植入了木马控制端的中国大陆主机分布在上海、北京和江苏的最多,而同时在大陆地区外的木马控制端IP有数万个,其中位于台湾的最多,占总数的42%,位于美国的也占到了约25%。
中国大陆被僵尸程序感染的IP也在不断增多。成千上万台被僵尸程序感染的电脑可以通过控制服务器来集中操控,而用户却毫不知情,仿佛没有自主意识的僵尸一般。这样的僵尸网络一旦在统一号令下激活,同时对网络中的某一个节点发动攻击,不管是网上窃密还是恶意破坏,能量都很可怕。目前,国家有关部门已发现了数千个境外僵尸网络控制服务器在对我国大陆地区的电脑进行控制,其中,位于美国的占 32%,位于台湾地区的占15%。
3 美国是全球最大的网络攻击源
有资料显示,美国产生的电脑网络攻击超过世界上其他任何一个国家,仅2006年下半年,来自美国电脑的网络攻击就占到全球总数的1/3
伴随着翻番增长的电脑病毒和不断增多的网络“黑客”,是全球范围内愈演愈烈的网络攻击行动。电脑安全公司赛门铁克的一份研究报告显示,仅2006年下半年,全球遭受蝇蛆攻击的电脑数就比上半年增加了29%,总数超过600万台。尤其值得注意的是,在愈演愈烈的网络攻击风潮中,美国已成为最大的攻击源头。赛门铁克公司的一份最新研究报告就显示,美国产生的电脑网络攻击超过世界上其他任何一个国家,仅2006年下半年,来自美国电脑的网络攻击就占到全球总数的1/3,美国已经成为垃圾邮件、钓鱼攻击和恶意代码威胁最肥沃的滋生地。此外,美国也是“蝇蛆网络”(botnetwork--也叫怪兽网络)最活跃的国家,这些网络蝇蛆可远程控制电脑并发送垃圾邮件或执行其他丑恶行为。
4 日渐猖獗的网络间谍
目前,境外有数万个木马控制IP紧盯着中国大陆被控制的目标电脑,甚至有境外间谍机构设立数十个网络情报据点,疯狂窃取大陆的重要情报
值得注意的是,在对我国大陆展开的各种网络攻击中,以窃取政治、军事、外交、科技等重要情报为主要目的网络间谍活动,近年来有大幅上升之势。据了解,目前境外的许多情报机关都设立了专门针对中国大陆的网络间谍机构,职业网络间谍常常直接操刀,对我国重要部门和涉密单位的上网电脑或服务器进行窃密活动。2007年,我国相关部门就发现了境外间谍机关实施的一次大规模网络窃密行动,攻击对象全是中国政府和军队以及国防科研机构、军工企业网络,受到攻击的单位遍及我国绝大部分省、自治区、直辖市,甚至还包括我国十几个驻外机构。根据已查明的情况,在该案中被境外情报部门控制的电脑和网络达数百个,窃密内容涉及政治、军事、外交、经济、医疗卫生等多个领域。在另一起网络间谍案调查中,有关部门从政府某部门及其对口地方单位的电脑网络中检测出了不少特制的木马程序,检测结果表明,所有入侵木马的连接都指向境外的特定间谍机构。专业部门进行检测时,测出的木马很多还正在下载、外传资料,专业人员当即采取措施,制止了窃密行动。
“针对中国的网络间谍攻击正变得越来越多,中国的国家安全从来没有像现在这样与网络密切相关。”国家有关部门负责人前不久在接受媒体采访时表示。据介绍,目前境外有数万个木马控制端IP紧盯着中国大陆被控制的电脑,数千个僵尸网络控制服务器也针对着大陆地区,甚至有境外间谍机构设立数十个网络情报据点,对我国进行疯狂的网络窃密和情报渗透。其中,大陆的军事、国防科研单位和重要政府部门的网络是被攻击的重点。
记者了解到,现在网络间谍的窃密手法越来越多样,行动越来越隐蔽。而常用的方法及手段主要有以下几种:
“冒名顶替”:一家涉密单位的工作人员收到一封“上级机关”发来的电邮,内容是“木马病毒检测程序”,工作人员打开后,境外间谍机关的木马立即被植入电脑中,原来“上级机关”是境外间谍机关的冒名。
“蛙跳攻击”:通过木马、僵尸这样的程序工具先控制某个网上主机,将其作为跳板,通过操纵它来攻击真正的目标。这样既可掩护攻击者的真实身份,增加事发后追查难度,又能借跳板的身份来麻痹对方。通过这些中转跳板,向外发出很多经过伪装的邮件,侵入其他一些重要部门的网络进行监听窃密。
“摆渡攻击”:利用U盘、移动硬盘之类的移动介质,通过搜集保密单位工作人员的个人网址和邮箱,制作各种摆渡木马,在对方联网使用U盘等移动介质时,悄悄植入摆渡木马,一旦这些人违反规定在内部工作网的电脑上插入U盘等移动介质,摆渡木马立刻就感染内网,把保密资料下载到移动介质上。完成这样的摆渡后,只要使用者再把这个移动介质接入连接外网的电脑,下载的信息就会自动传到控制端的网络间谍那里。
“狼群战术”:这一战术是二战期间德国海军将领邓尼兹受狼群袭击猎物的启发而提出的潜艇战法,即一艘潜艇发现敌水面舰船后,立即发出信号,邻近水域的其他潜艇收到信号后迅速赶到,对目标进行集群攻击,打完后各自迅速撤离。据悉台湾情报部门就制定了一系列的网络专项计划,在全球设立数十个网络情报工作据点,以中国大陆周边国家为主阵地,采用“狼群战术”对大陆进行网上窃密和情报渗透。
“欺骗胁迫”:网谍人员常常登录大陆的军事网站,以交流军事知识、图片等为借口,搜集有用情报,拉拢“发烧友”下水,甚至张贴诬蔑攻击中国的文章和虚假消息,企图扰乱视听,制造混乱。
5 筑牢我们的“网络长城”
对我们这个网络正处在普及和扩张阶段且安全防范仍不严密的国家来说,采取各种措施加强网络安全建设,已是当务之急
要看到,由于我国的互联网正处在一个普及阶段的大规模扩张时期,加之人们的安全意识不强,所以当前的网络安全比较脆弱。不少境外情报部门正是看准了这一点,组建了针对中国网络的专门机构,频频部署刺探行动。因此,许多专家建议,要采取 “多种手段并举,多种措施齐下”的办法,切实筑牢我们的“网络长城”。而在如何维护好军用网络安全方面,有关专家给出了如下建议:
——提高网络安全意识。一是加强保密教育,使在国防战线工作的同志进一步了解网络安全现状,认识到窃密与反窃密斗争的严峻性,增强自我防范意识;二是用于国防领域的计算机,要使用专门提供的软件,不能随意购买和使用来路不明的软件或在互联网上下载各种软件,切断病毒传染源;三是国家要加强信息安全方面的立法,加大打击流氓软件、间谍软件等的力度,净化网络空间。
——加强网络人才队伍建设。采取军地联合培养,相互交流使用等方法,切实建好网络信息安全队伍,提高我国和军队的网络安全防范能力。
——加快软件开发步伐。现在,美、印等国是公认的软件开发和销售大国,在这方面我国还相对滞后,国家应加强开发具有自主知识产权的软件,特别是要开发对我们国家信息安全有重大影响的软件,满足国防和军队等重要领域的需求。
——加强反病毒技术研究。目前,在网络安全领域,主要采用的技术保障手段有防火墙、入侵检测、数据加密和反病毒等,其中反病毒技术的应用最为广泛,国家和军队要加强在此方面的研究和投入,以不断提升国防信息安全的主动防御能力。