当伊朗总统马哈茂德·艾哈迈迪-内贾德在去年11月份宣布该国的核计划遭到软件攻击后,他证实了许多安全研究人员的猜测:原因是Stuxnet大爆发,篡改了控制处理铀所用的离心机电机的关键系统。
内贾德对这起攻击造成的影响轻描淡写,但是安全研究人员认为,造成的破坏范围要比他所说的广泛得多。Eric Byres是专门保护制造和控制系统安全的Tofino工业解决公司的首席技术官兼联合创始人;他表示,伊朗人访问与保护工业控制系统安全有关的网站的流量稳步增长,这表明该国的IT专家在寻求解决持续性威胁的办法。
Byres表示,伊朗人没有办法清除掉Stuxnet。他称,从一台机器上清除Stuxnet很容易,"但是在网络上,Stuxnet就如同人间炼狱,因为它极具侵略性,能够以各种各样的方式来进行传播。"
Stuxnet在去年7月份首次被确认,它可以攻击四个之前未知的安全漏洞,通过USB棒和网络共享区来传播。它可以感染用来管理工业控制系统的Windows系统,覆盖嵌入式控制器,破灭破坏那些系统。
欢迎进入到未来的网络安全世界:当今最先进、最成功的攻击会是将来很平常的安全挑战。网络犯罪分子可能会试图同样谋求Stuxnet的这种能力:在网络上持续潜伏,隐藏在嵌入式设备里面。他们势必还会企图仿效其他攻击采用的手法;比如说,Zeus擅长于操纵会话,而Conficker可以做到不被关闭。
攻击者们还在改变运作方式,采用新的方式来开发和传播攻击手法。网络间谍行动日益利用社交网络来寻找容易下手的目标。就拿网络攻击行动"极光行动"(Operation Aurora)来说,涉嫌来自中国的攻击者利用社交网络,锁定了及其他公司的员工,然后向他们发送针对性的电子邮件,目的是感染那些公司的关键计算机。
此外,软件开发人员社区在支持先进的即插即用恶意软件,比如针对银行的Zeus特洛伊。像Conficker那样动态生成的域将使得安全人员更难查明僵尸网络的指挥和控制网络。
Stuxnet的遗产
最后,与我们将来要面对的那种网络攻击造成的长远影响相比,Stuxnet给伊朗核计划造成的影响可能要小得多。公司的全球情报网络主管Dean Turner说,就Stuxnet而言,它变得不太像针对金融和电力等行业的攻击,而是更像"有的放矢的攻击"。"Stuxnet针对的是具体目标,即电机的变频部件。"
安全专家长期以来就警告,嵌入式控制系统很容易受攻击。2007年,美国能源部的测试表明,针对嵌入式系统的攻击可以控制电力公司的发电机,引起发电机自毁。大多数工厂也由嵌入式系统和可编程逻辑控制器来控制。
在Stuxnet出现之前,这种危险还仅限于理论上的。而现在,凡是能接触到代码的人都有办法来攻击嵌入式系统。而且Stuxnet代码广泛传播,感染了全球各地的计算机。Tofino公司的Byres说,Stuxnet为编写可编程逻辑控制器的代码提供了一堂"速成课"。我们迟早会开始看到各种各样的"专门"伺机攻击控制系统。
嵌入式系统通常把物理系统和数字系统连接起来,所以一旦攻击者控制住了它们,也就控制住了关键系统。此外,代码可以隐藏在嵌入式系统里面,让攻击得以持续存在,因而很难清理干净。
托管安全提供商SecureWorks的首席技术官Jon Ramsey表示,私营公司不大可能长期不受到Stuxnet带来的破坏,他提到"极光行动"就是袭击私营公司的最先进攻击的第一起事件。攻击者通过"极光行动"表明:"干嘛不攻击行业……干嘛不攻击拥有许多知识产权、在全球市场具有高度竞争力的大公司?"Ramsey如是说。
攻击者专业化
关于这些先进攻击和所采用技术的知识在迅速传播开来。一个主要原因是,攻击者创建了自成体系的一整套聊天室、论坛、投件箱和技术刊物,以支持和扩大他们的攻击行动。攻击者在那里交流思想,培养特定的专长。某个小组帮助成员磨练攻击流行软件方面的技能;另一个小组编写恶意脚本,植入到流行的恶意软件里面。还有些小组致力于发展和维护僵尸网络,企图窃取数据。
Zeus就是证明这种专业化的一个典例。这个针对银行的特洛伊木马通过和路过式下载攻击,从合法网站传播开来,它有一个庞大的生态系统,旗下的地下程序员编写可植入Zeus的传播活动模板和可以利用特定漏洞的脚本工具包。犯罪分子可以购买一个脚本工具包来攻击运行 Firefox浏览器的计算机,购买另一个脚本工具包来攻击 Acrobat的漏洞。Zeus的开放性更是推动了其普及程度,还大大增强了破坏能力。据赛门铁克声称,现在Zeus的变种超过了9000个。
赛门铁克的Turner表示,Zeus的一整套开发机制让用户可以花更少的钱搞更大的破坏。这是下面这个趋势的一方面:网络犯罪分子正变得更高效,对攻击行动进行了优化,企图从每次破坏事件中捞到最大的好处。迈克菲公司的全球安全战略和风险管理主管Brian Contos表示,一些先进的恶意软件会将与之竞争的、缺乏效率的程序从它们感染的系统上删除,甚至还会给那些系统打补丁,目的是为了从被感染的机器捞到最大的好处。恶意软件使用一台计算机来从事多种不法勾当,比如窃取数据和获取登录资料。Contos表示,毫无防备的受害者看起来也从中受益,因为他们的机器运行更顺畅了,但其实已经受到了感染。
攻击者还在利用技术来提高攻击效率。他们不是攻击世界上的每个地址,而是侧重攻击已知属于运行容易受到攻击的特定软件(如WordPress)的计算机及其他流行博客平台的地址。垃圾邮件发送者购买即开即用的垃圾邮件活动模板。而僵尸网络经营者利用Web界面来监视和控制由受危及系统组成的网络。
网络攻击软件开发、支持和整个配套机制方面会出现所有这些创新,源动力是钱。许多网络犯罪分子现在不是共享攻击手法,而是变得更加隐秘,将自己的代码和方法当成知识产权那样来保护。
Contos表示,以前你要是参加DEF CON大会这样的会议,大家会共享工具。现在不再是这样了。而现在他们忙于开发零日威胁,"因为他们想赚钱。"
明天的攻击正在形成
事件下一代攻击的属性描述
极光行动侦察社交网络攻击者使用社交网络和网站,找目标企业内部的关键人员下手。
去年他们攻击了谷歌及其他公司。
Conficker动态域这种电脑蠕虫使用计算出来的,因而加大了清除的难度。
Conficker.C在5000个计算域名中用了随机选择的一小部分域名,与指挥和控制进行连接。
Stuxnet针对嵌入式控制器
的恶意软件攻击危及嵌入式控制器后,控制住物理设备。Stuxnet危及了制造流程和伊朗核计划中的可编程逻辑控制器。
维基解密
攻击分布式拒绝服务
暴民行动攻击者策划了统一协调的网络抗议。在维基解密网站受到攻击后,2000名支持者迅速组织起来,利用自愿组建的僵尸网络,攻击万事达、维萨及其他网站。
ZeusXXX中间人攻击攻击者偷偷潜入到浏览器、移动设备或其他信息流当中,以获取和篡改信息量。Zeus危及了浏览器通信,可实时动态地篡改银行交易页面,从而窃取资金。
软件开发生态系统开发人员生态系统已围绕Zeus及其他攻击软件发展起来,可创建新的功能,并不断改进。Zeus的开发人员已开发了恶意脚本包和即开即用的垃圾邮件活动模板。
适逢其时的攻击
网络犯罪分子攻击手法的改变使得另一种攻击:网络抗议更容易组织和执行。我们也可以从最近针对万事达、维萨和亚马逊等网站的拒绝服务攻击中一窥网络犯罪的未来,这些攻击是为了报复这些网络拒绝与维基解密网站有业务往来。
虽然网络抗议和拒绝服务攻击不是什么新攻击,但支持它们的技术变得越来越好,也工具变得越来越先进--这个趋势会继续下去。比如说,一个名为Anonymous的组织实施的维基解密攻击采用了一种名为低轨道离子加农炮(LOIC)的程序。该程序让任何抗议者只要输入IP地址,都能加入针对目标网络或系统的攻击大军。
安全公司Renesys的副总裁兼总经理Earl Zmijewski表示,三个因素导致了分布式拒绝服务攻击屡屡得逞。首先,受到攻击的系统拥有比以往任何时候都要多的带宽,所以攻击者只要危及比较少的系统,就能对目标造成相当大的影响。其次,许多用户继续在运行旧软件,因而攻击者更容易接管他们的计算机,让它们成为僵尸网络的一员。第三,目前还是没有轻松的办法来对付拒绝服务攻击。虽然内容分发网络能起到帮助,但最有效的防御还是使用一个专门的网络,在恶意流量进入到目标之前先将它们过滤掉。
由于这三个因素,僵尸网络经营者拥有了巨大威力。迈克菲的Contos表示,比如说,Conficker危及了640万个系统,为它提供了每秒28 TB(注:1TB=1012字节)的聚合带宽。他说:"这超过了亚马逊和的带宽总和--这实在太大了。"
安全威胁正将自己安插到用户与互联网之间。这种"中间人"(man-in-the-browser)攻击--针对银行的Zeus特洛伊广泛使用这种攻击--让攻击者可以控制用户能看到的一切。如果用户依赖被Zeus感染的计算机,他会误以为自己将100美元的电费划到电力公司账户,实际上7000美元被划到了另一个地方属于网络犯罪团队某个成员的账户。用户确认交易后,他看到的只是付款100美元,而实际上银行接到的是转账7000美元的请求。
银行安全公司Trusteer的首席技术官Amit Klein说:"你从来不知道自己受骗上当,等到上银行分行查账后才恍然大悟。这种伎俩最先由其他恶意软件采用;但是拜Zeus所赐,这种伎俩现在变得极其普遍。"
Zeus及其他威胁在避开旨在消除银行诈骗的保护措施,比如双因子验证。由于攻击是实时进行的,而且从受害者的计算机上发动,所以常规保护措施不管用。
更好的防御
许多公司想当然地以为,仅仅遵守法律要求的安全控制措施就够了。但是单单遵守还不行。SecureWorks的Ramsey表示,先进的威胁会避开众所周知的安全要求。要是每个人都使用同样的技术和控制措施,"那么犯罪分子就会改动攻击手法,破坏那些类型的防御机制,"他说。
美国联邦存款保险公司要求银行应使用双因子验证和加密技术,正是这一要求促使犯罪分子开发出了Zeus,以避开那些保护措施。恶意广告是表明攻击者在避开防御机制的另一个例子,这种网上广告把点击广告的用户引到恶意网站。这些攻击避开的手段是,通过互联网进入。据SecureWorks声称,许多公司发现互联网是第一大攻击途径。
Trusteer的Klein表示,像反软件这些常规防御机制对付先进的攻击效果并不好。Stuxnet在传播了一年多后才被发现;Zeus经常避开基于特征的防御机制。
的Turner表示,公司需要全面的防御,而不是仅仅需要技术。他说:"我们必须开始讨论我们该如何在网上共享信息、如何使用安全系统。政策及实施与技术本身来得一样重要。"
保护网络边界是关键,但由于像和这些消费级移动设备进入到公司,连保护边界这项工作都变得更为复杂。Turner表示,随着个人设备与企业之间的界线日益模糊,"我们已增加了我们的机密数据或企业数据拥有的接触点的数量。"
公司不但要找出潜在威胁,还要找出最宝贵的资产。SecureWorks的Ramsey表示,公司需要了解威胁、这些威胁要攻击的目标,以及威胁如何攻击目标。
公司还必须确定有多少用户和系统可以访问重要信息、哪些对象值得保护。Turner表示,它们必须实施一套数据分类系统,确定最宝贵的知识产权,然后将安全经费和人员重点投入到这部分数据上。与试图一视同仁地保护所有数据相比,企业成功保护一小部分数据的可能性要大得多。
IT经理也不能再忽视网络上计算机和之外的其他部件。安全研究人员已证明,越来越像小型服务器的打印机可以作为进入企业网络的跳板,而Stuxnet正是通过嵌入式控制器一路传播的。
Turner说:"我们不得不开始考虑技术的不同部分。阀门归工程师管理,而网络归IT人员管理,"我们必须让它们可以说相同的语言。
公司还必须关注更好的检测和响应机制。Ramsey表示,网络异常检测和情报服务可以识别在企业网络已成功找到立足点的攻击。但检测并不能有效地防御这些攻击。他说:"阻止攻击所需的成本低于清理攻击所需的成本;攻击潜伏时间越长,重新控制自己的IT系统所需的成本就越高。"
如果关注一下将来司空见惯的先进攻击,防范工作显得尤为重要。正如Stuxnet告诉我们的那样,这类程序持续时间越长,造成的破坏就越大。最终,防御人员必须完善防御机制,以便时时比坏人抢先一步。
严加防范,应对将至的威胁
不要单单遵守。法律要求的安全控制措施很少足够安全。
扩大关注范围。技术不是安全工作的全部;还要关注政策及实施。
保护移动用户。所有那些新设备都让你的数据面临风险。
分析你的数据。确定自己的最宝贵信息,然后重点保护这部分信息。
仔细观察一切。数字系统和物理系统的所有部分现在都面临风险。
2011年会是攻击盛行的一年?
今年,网络犯罪分子可能会将注意力转向Mac,这是他们之前基本上没去碰的一种平台。Steve Santorelli以前是伦敦警察厅的一名侦探,现在是安全研究组织Team Cymru Research负责全球对外联系的主管,他表示,俄罗斯杂志《Xakep》里面的几篇文章着重介绍了如何攻击Mac X,表示东欧的黑客们可能已经在开发攻击技术。
由于很少面临威胁,大多数Mac用户并没有运行反恶意软件程序。Santorelli说:"要是有人在明年推出了浏览器漏洞包,我们会看到许多人会被感染。所以,你最后会遇到针对OS X的Zeus。"
公司严格控制Mac、比较简单的代码以及比较出色的安全模型,这让OS X比Windows来得安全。据Santorelli声称,但OS X并不是从根本上比更安全的一款操作系统。针对OS X的恶意软件之所以数量比较少,原因在于面向OS X的应用程序数量少得多。
2008年,计算机科学家Adam O'Donnell利用博弈论推算出:一旦Mac机占到计算机安装总量的大约17%,恶意软件对OS X来说就会开始成问题。据NetMarketshare.com网站声称,如今,Mac机约占美国计算机安装总量的11.5%,约占全球安装总量的5%。
有迹象表明地下犯罪分子对Mac产生了兴趣,这表明苹果用户要小心了。去年10月,Koobface病毒的一个版本攻击了OS X用户,该病毒在用户中广泛传播。攻击者利用了Mac机上Java软件存在的漏洞,将Mac机变成了僵尸网络的指挥和控制服务器。