2007年网络安全热点回顾:安全那点儿事
2007年网络安全热点回顾:安全那点儿事不管互联网与计算机技术如何发展,安全话题却恒久不变。2007年马上就要过去,回顾一词对于“安全”来说更像是痛定思痛,我们的设备、软件、网络等等无疑比以前更加安全,可相对于如洪水猛兽般的威胁攻击,安全不过是“相对的危险”。 一、误杀事件
大部分安全事件都与威胁攻击相对立,红白脸各有分工,用户负责承担风险。如今风险依然归属用户,红白脸却混为一体:杀毒软件!
先从最具代表性的杀毒界老大哥赛门铁克说起……
5月18日,诺顿杀毒软件升级最新的病毒库后,会把Windows XP的关键系统文件当作病毒清除,重启后系统将瘫痪。该次误杀只发生在简体中文版的XP系统上,对国外用户几乎没有影响。
[img]http://security.chinaitlab.com/UploadFiles_2323/200712/20071227115908155.jpg[/img]
诺顿误杀事件
在安装了MS06-070补丁的Win XP系统,如果将诺顿升级最新病毒库,则诺顿杀毒软件会把系统文件netapi32.dll、lsasrv.dll隔离清除,从而造成系统崩溃。由于国外品牌的笔记本和台式机多数预装了WindowsXP系统和诺顿杀毒软件,这些用户极其容易遭到此次“误杀”攻击,因此中国大陆地区将有数百万台电脑面临崩溃的危险。
无疑诺顿误杀将是今年最严重的安全事故之一,给国内用户造成的整体经济损失甚至可能超过“熊猫烧香”病毒。想想如果安装在自己电脑中的杀毒软件是在破坏自己的系统,我们作何感受?
诺顿的话题像是催化剂一样:360安全卫士误杀瑞星,卡巴斯基误杀系统文件,McAfee误杀Excel等事件接踵而至,为2007年的网络危机重重的画上一笔。
春哥:如果保镖变成了杀手,我们的代价未免太高。 二、熊猫在烧香 趋势中国区总经理叶伟伦在做客中关村在线时曾风趣的说:在趋势科技大会上,很多海外的朋友看到趋势展示的熊猫烧香照片后非常感兴趣,认为这个纪念品很可爱,很喜欢……。但对于每一个中国用户来说,这只憨态可掬手报三只香的家伙简直比恶魔还可怕。
[img]http://security.chinaitlab.com/UploadFiles_2323/200712/20071227115909663.jpg[/img]
熊猫烧香搅动2007
熊猫烧香属于蠕虫病毒的变种,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
随着公安机关的介入,熊猫烧香病毒作者李俊浮出水面。2月12日湖北省公安厅宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川等地公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊(男,25岁,武汉新洲区人)、雷磊(男,25岁,武汉新洲区人)等8名犯罪嫌疑人。熊猫烧香病毒案成为我国破获的国内首例制作计算机病毒大案。
最终被告人李俊犯破坏计算机信息系统罪,判处有期徒刑四年;被告人王磊犯破坏计算机信息系统罪,判处有期徒刑二年六个月;被告人张顺犯破坏计算机信息系统罪,判处有期徒刑二年;被告人雷磊犯破坏计算机信息系统罪,判处有期徒刑一年。
熊猫烧香病毒清理起来并不复杂,关键是后期疯狂的变种所带来的矩阵效应。就算到了今天,以熊猫烧香为核心的样本病毒依然大行其道,最重要的是:我们看到了病毒一天天的进化,从简单的破坏系统到盗取用户财产的蜕变。
春哥:人不可貌相,病毒也一样![url=http://www.ie67.com/]生活中若没有朋友,就像生活中没有阳光一样。 [/url] 三、与灰鸽子 就在上周,卡巴斯基的《流行病毒调查》表明:灰鸽子木马排名第四。要知道这可是公司剿灭灰鸽子8个月后的结果。原公司总裁雷军说“灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!” 此时大众的目光从熊猫烧香身上转移到了灰鸽子身上。灰鸽子官方的说法是:灰鸽子是一款远程控制软件,但不是木马程序。
[img]http://security.chinaitlab.com/UploadFiles_2323/200712/20071227115909181.jpg[/img]
灰鸽子成众矢之的
不过的几个为什么更能代表了广大网友的心声:
为什么灰鸽子服务端要采用“进程隐藏”、“线程注入”、“重复加壳”等病毒/木马手段来隐藏自己,不让用户发现,并且躲避反病毒软件的识别呢?
为什么自灰鸽子问世以来,数以十万计的用户向各家安全厂商上报灰鸽子样本,并强烈要求将“灰鸽子”做为木马/病毒处理?
为什么全球各大著名反病毒厂商比如NOD32、诺顿、卡巴斯基、、瑞星、江民等都将“灰鸽子”列为了木马/病毒?
为什么你们要提供各种黑客功能,纵容灰鸽子使用者进行不法行为?大量用户因为灰鸽子提供的“远程摄像头控制”、“键盘记录”的功能而丢失网游、网银、QQ帐号及密码,暴露大量个人隐私,造成了不可估量的巨大损失。这是一个正常的远程控制软件所应该有的行为吗?
一个合法的远程控制软件是否应该具备用户知情权呢?Remote Administor与PC AnyWhere在安装服务端后会强烈提醒用户,在右下角位置放置提醒图标,并要求使用者必须通过密码验证。为什么你们在安装服务端时刻意让用户毫无知觉?
作为一个正常软件,需要删除自己在计算机里的一切痕迹吗(比如删除安装文件,将自身进程隐藏在IE或者QQ等正常进程中)?
为什么还会伪装成WORD文档文件以欺骗用户呢?
现在,灰鸽子已经彻底停止更新了,虽然官方网站还在,但今非昔比,宣称要致力于推动远程控制技术发展的鸽子团队真的能改变吗?
春哥:冰河时代的热血沸腾和鸽子王朝的剑拔弩张,彻底的见证了病毒向产业化的演变过程。[url=http://www.ie67.com/]生活中若没有朋友,就像生活中没有阳光一样。 [/url] 四、杀毒软件的免费算盘 客观的说,杀毒软件并没有跟猪肉的风,反倒是有免费的消息。这的确是杀毒软件寻求新商业模式的左证,也暗喻着激烈竞争和盗版为厂商带来的巨大压力。
瑞星、江民、等知名品牌在发布新版本和重大病毒爆发时都提供了免费服务。就连一向“深居简出”的赛门铁克这次也参与进来。赛门铁克中国区消费产品销售总监黄智华表示,针对中国杀毒软件免费试用期长的特点,他们将在中国延长诺顿安全产品的免费试用期。在国外,免费的杀毒产品非常多,AVG在国内的影响力不容小觑。此次国内厂商开展的免费服务,将影响到2008年安全阵营的重新布局。
[img]http://security.chinaitlab.com/UploadFiles_2323/200712/20071227115909759.jpg[/img]
免费牌到底打不打?
国内免费使用杀毒软件,印象最深的就是360安全卫士和卡巴斯基的合作,半年的激活码授权让二者收获颇丰,两家的产品知名度得到了迅速的提升。
另外,最近欲在中国市场发力的趋势科技也加大了“免费”力度。趋势科技中国区总裁叶伟伦表示,将重点转向中国的单机版市场,并且酝酿在杀毒软件行业内首先实行个人用户彻底免费的策略。
“现在看来,很多针对个人用户的杀毒软件都在免费使用,未来杀毒软件将以免费为主。”叶伟伦称表示,从战略上来说杀毒软件对个人用户彻底免费是一个趋势。
已经正式宣布了战略业务的调整,其中杀毒业务被放到重要位置。看似平淡的安全软件却隐含的巨大商机。江民科技总裁表示:“随着杀毒行业的不断发展,目前国内流行的主流杀毒软件多达数十款,市场竞争十分激烈。为了扩大市场份额,免费已经成为各大杀毒软件厂商使出的第一杀招。”
对于杀毒软件的免费潮流,各杀毒软件厂商态度不尽相同。奇虎总裁周鸿祎认为:“未来的杀毒软件一定会是免费的,杀毒厂商单纯依靠卖软件的形式已经过时,以后赚钱的思路应该放在如何为互联网提供配套的增值服务上。”
瑞星、等国内杀毒软件厂商却认为,杀毒软件免费只能在限制条件下实现。“杀毒软件不是QQ,用户在杀毒的同时不可能忙里偷闲看软件广告。”软件工程师李铁军这样表示。
春哥:免费概念的推广将敞开一片新的蓝海。[url=http://www.ie67.com/]生活中若没有朋友,就像生活中没有阳光一样。 [/url] 五、SP3?SP1? SP,也就是Service Pack,直译是服务包,一般说法是补丁,用途是修补安全漏洞。微软操作系统的SP系列补丁包可谓历史悠久,对于SP的发布,不仅仅是以往补丁的合集,微软可能会加入更多的技术细节和对象,XP SP2的安全中心就是个例证。
330MB的XP SP3风格和先前SP1、SP2并无不同。目前,这个特殊版本服务包的KB号码为KB936929(WindowsXP-kb936929-sp3-x86-enu),其完整的版本号为5.1.2600.3180。XP SP3引入了新的核心模式加密模块(FIPS.SYS),使得系统核心可以使用多种加密算法,并可用于运行在核心模式下的驱动程序和服务。此外XP SP3还带来了黑洞路由检测功能,可以保护计算机免于数据损失。
SP3并没有为Windows XP系统引入任何新的功能。在SP2之后,微软发布了许多Windows XP平台的补丁和升级,但是目前还很难确定SP3中到底整合了哪些升级补丁。虽然RC版本满天飞,但微软却全部最终版的XP SP3将在明年上半年发布。
[img]http://security.chinaitlab.com/UploadFiles_2323/200712/20071227115909589.jpg[/img]
补丁的战争
微软在上周发表声明称:“Windows Vista带来了比任何Windows系统都要先进的安全和管理功能,而Windows XP SP3只是确保XP PC能拥有最新升级补丁,以及与Windows Server 2008访问保护功能的兼容性……不会引入Vista的任何一项重点特性。”我们可以从中看到微软焦急的心情,他们害怕用户因为XP的更新而拒绝Vista,这也许正是在XP SP3中没有加入新功能的根本原因。
不过这个如意算盘却被Devil Mountain Software打破了,他们进行了一项基准测试,结果显示Windows XP SP3比Windows Vista SP1快三倍,并且在运行Office软件的实战应用中快1.8倍。微软立即发表公开声明,Vista产品经理Nick White对此作出了反驳,他宣称微软从来就没有公布任何基准测试结果,因为Vista SP1仍然在开发和测试阶段。在没有发布正式版本之前,XP SP3似乎比Vista SP1更值得推崇,而Vista SP1的声音越来越少。
春哥:SP3很好,SP1很强大。[url=http://www.ie67.com/]生活中若没有朋友,就像生活中没有阳光一样。 [/url] 六、后QQ时代的没落 在帝企鹅QQ的身边,潜伏着一群寄居生物,它们以QQ为依托,藏匿于温暖的寄居巢,以至于让用户也习惯了如此生活,珊瑚虫就是巢居部落中的佼佼者。
曾几何时,珊瑚虫和腾讯走的很近,soff参与腾讯的活动,腾讯官方提供珊瑚虫外挂,一派和平景象。可自从soff(陈寿福)被捕后,我们看到了修改版QQ大厦的倒塌,很少有人再敢站出来制作修改版QQ,而更多的纯外挂软件应运而生。七年间腾讯和珊瑚虫互利互惠,可当帝企鹅站立起来后,珊瑚虫却被无情的抛弃。
[img]http://security.chinaitlab.com/UploadFiles_2323/200712/20071227115910504.jpg[/img]
珊瑚虫开发者陈寿福
中国越来越重视知识产权的保护,无论从政策上还是在舆论中,对于产品的保护越来越完善。可以肯定的说,珊瑚虫修改QQ并获取利润,无论从道德上还是法律上都不能容忍,倘若珊瑚虫一直以来以外挂形式存在,尚可理解,但是后期的插件效应,也着实恶心了网友一把。
[img]http://security.chinaitlab.com/UploadFiles_2323/200712/20071227115910344.jpg[/img]
珊瑚虫QQ
但广大网民从需求出发,对珊瑚虫的遭遇感到惋惜和无奈。再看珊瑚虫,7年117万后换来的可能是铁窗生涯,值与不值自有定论。最早修改QQ本是从技术角度开始的,即便现在,我们仍然能在早期开发修改版QQ的作者邹单的个人主页上看到那句:ASM + C = NUCLEAR。木子、娃娃、再到珊瑚虫,我们看到了一个修改软件的商业化过程,同时也敲响了保护软件知识产权的警钟。
春哥:我们都很喜欢珊瑚虫软件,但我们仍然要理性看待珊瑚虫事件。[url=http://www.ie67.com/]生活中若没有朋友,就像生活中没有阳光一样。 [/url] 七、热词:主动防御 今年,很多安全厂商都提出了“主动防御”的概念,一方面受到病毒疯狂变种和传播的压力,另外也是很多厂商寻求产品新亮点的一条途径。
“主动防御”主要包括两个方面。一是在未知病毒和未知程序方面,通过“行为判断”技术,开发出了“危险行为监控”、“行为自动分析和诊断”等技术。这些技术从动态和静态两个角度来判定程序的行为特征,可以识别大部分未被截获的未知病毒和变种。除了识别未知病毒和变种之外,还将大力强化了系统漏洞管理模块。一方面,该模块强制扫描、主动修补系统漏洞,这样的话,在相应的病毒乃至攻击代码出现之前,我们就堵死了它的传播和攻击渠道。另一方面,我们将对漏洞攻击行为进行监测,这样可以防止病毒利用系统漏洞对其它计算机进行攻击,从而阻止病毒的爆发。
“主动防御”其实是针对传统的“特征码技术”而言的。在传统的反病毒方式中,安全软件总是处于弱势,只有病毒出现了,才能有病毒库的更新,即便这之间的时间差很小,但仍然让很多用户遭受损失。主动防御根据病毒的行为模式,给用户更多的信息,帮助完成对未知病毒的识别。
此外,防火墙也是一个运用“主动防御”技术的典型例子。目前很多企业都在使用防火墙,大部分用户对于防火墙经常询问是否放行一个进程访问网络,或者有不明连接进入本机而发出警告印象深刻。
其实防火墙就是在全程监视进程的网络行为,一但发现违反规则的行为就发出警告,或者直接根据用户设定拒绝进程访问网络。当然,现在的防火墙一般都把系统网络进程,如Services.exe、Svchost.exe、Lsass.exe记在白名单里,这些进程是默认允许访问网络的,如果禁止的话,操作系统就不正常了,这也是现在很多病毒和木马都喜欢远程注入这些系统进程,以求突破防火墙而访问网络的原因。
特别一提的是12月初发布的毒霸2008中,又引入了一个新的概念:三维互联网防御体系。通过互联网的优势,将危险信息统一集中化,这样可以帮助很多用户解决未知病毒问题。
[img]http://security.chinaitlab.com/UploadFiles_2323/200712/20071227115910520.jpg[/img]
毒霸三维互联网防御体系示意图
当然,其它厂商也都有自己的主动防御技术,甚至迅雷也推出了在线安全验证的功能。
[img]http://security.chinaitlab.com/UploadFiles_2323/200712/20071227115911860.jpg[/img]
瑞星主动防御示意图
春哥:杀毒厂商的竞争进入白热化,惟有创新者才能成为最后赢家。
2007年安全市场风起云涌,以熊猫烧香和灰鸽子为首的病毒木马开始了新一轮的进攻狂潮,迫使杀毒软件不得不寻求新的技术支撑点。木马的产业化链条更加清晰,安全产品的防御功能愈显整合。网民的安全意识普遍提高,打击盗版和保护知识产权成为安全保护的重点话题。安全事件,忽明忽暗;口水大战,此起彼伏,这是最好的时代,也是最坏的时代。[url=http://www.ie67.com/]生活中若没有朋友,就像生活中没有阳光一样。 [/url] 学习,辛苦了 自己顶一下[url=http://www.ie67.com/]生活中若没有朋友,就像生活中没有阳光一样。 [/url] 精品文章怎么没人顶,自己顶上去[img]http://bbs.duba.net/images/smilies/tsj/tsj27.gif[/img][url=http://www.ie67.com/]生活中若没有朋友,就像生活中没有阳光一样。 [/url]
页:
[1]