下一代安保要挟的内情故事
【.com 独家译稿】当伊朗总统马哈茂德·艾哈迈迪-内贾德在去年11月份发表该国的核方案遭到软件攻打后,他证明了许多安保钻研人员的猜想:要素是Stuxnet大迸发,窜改了控制处置铀所用的离神思电机的关键系统。
内贾德对这起攻打形成的影响轻描淡写,然而安保钻研人员以为,形成的破坏范畴要比他所说的宽泛得多。Eric Byres是专门包全制作和控制系统安保的Tofino工业处置方案公司的首席技术官兼联结开创人;他示意,伊朗人访问与包全工业控制系统安保无关的网站的流量稳步增长,这标明该国的IT专家在寻求处置继续性要挟的方法。
Byres示意,伊朗人没有方法肃清掉Stuxnet。他称,从一台机器上肃清Stuxnet很容易,"然而在网络上,Stuxnet就似乎世间炼狱,由于它极具侵略性,能够以各种各样的模式来启动流传。"
Stuxnet在去年7月份初次被确认,它可以攻打四个之前未知的安保破绽,经过USB存储棒和网络共享区来流传。它可以感化用来治理工业控制系统的Windows系统,笼罩嵌入式控制器,破灭破坏那些系统。
欢迎进入到未来的网络安保环球:当今最先进、最成功的攻打会是未来很平时的安保应战。网络立功分子或许会试图雷同追求Stuxnet的这种才干:在网络上继续潜伏,暗藏在嵌入式设备外面。他们势必还会希图仿效其余攻打驳回的手法;比如说,Zeus善于于操纵阅读器会话,而Conficker可以做到不被封锁。
攻打者们还在扭转运作模式,驳回新的模式来开发和流传攻打手法。网络特务执行日益应用社交网络来寻觅容易下手的指标。就拿网络攻打执行"极光执行"(Operation Aurora)来说,涉嫌来自中国的攻打者应用社交网络,锁定了谷歌及其余公司的员工,而后向他们发送针对性的电子邮件,目的是感化那些公司的关键计算机。
此外,软件开发人员社区在支持先进的即插即用恶意软件,比如针对银行的Zeus特洛伊木马。像Conficker那样灵活生成的域将使得安保人员更难查明僵尸网络的指挥和控制网络。
的遗产
最后,与咱们未来要面对的那种网络攻打形成的久远影响相比,Stuxnet给伊朗核方案形成的影响或许要小得多。赛门铁克公司的环球情报网络主管Dean Turner说,就Stuxnet而言,它变得不太像针对金融和电力等行业的攻打,而是更像"对症下药的攻打"。"Stuxnet针对的是详细指标,即电机的变频部件。"
安保专家常年以来就正告,嵌入式控制系统很容易受攻打。2007年,美国动力部的测试标明,针对嵌入式系统的攻打可以控制电力公司的发电机,惹起发电机自毁。大少数工厂也由嵌入式系统和可编程逻辑控制器来控制。
在Stuxnet出现之前,这种风险还仅限于通常上的。而如今,凡是能接触到代码的人都有方法来攻打嵌入式系统。而且Stuxnet代码宽泛流传,感化了环球各地的计算机。Tofino公司的Byres说,Stuxnet为编写可编程逻辑控制器的代码提供了一堂"速成课"。咱们迟早会开局看到各种各样的"专门蠕虫"乘机攻打控制系统。
嵌入式系统通常把物理系统和数字系统衔接起来,所以一旦攻打者控制住了它们,也就控制住了关键系统。此外,代码可以暗藏在嵌入式系统外面,让攻打得以继续存在,因此很难清算洁净。
托管安保提供商SecureWorks的首席技术官Jon Ramsey示意,私营公司不大或许常年不遭到Stuxnet带来的破坏,他提到"极光执行"就是袭击私营公司的最先进攻击的第一共事情。攻打者经过"极光执行"标明:"干嘛不攻打行业企业……干嘛不攻打领有许多常识产权、在环球市场具备高度竞争力的大公司?"Ramsey如是说。#p#
攻打者专业化
对于这些先进攻击和所驳回技术的常识在迅速流传开来。一个关键要素是,攻打者创立了自成体系的一整套聊天室、论坛、投件箱和技术刊物,以支持和扩展他们的攻打执行。攻打者在那里交换思维,造就特定的专长。某个小组协助成员磨难攻打盛行软件方面的技艺;另一个小组编写恶意脚本,植入到盛行的恶意软件外面。还有些小组努力于开展和保养僵尸网络,希图窃取数据。
Zeus就是证明这种专业化的一个典例。这个针对银行的特洛伊木马经过网络钓鱼和路过式下载攻打,从非法网站流传开来,它有一个庞大的生态系统,旗下的公开程序员编写可植入Zeus的渣滓邮件流传优惠模板和可以应用特定破绽的脚本工具包。立功分子可以购置一个脚本工具包来攻打运转Mozilla Firefox阅读器的计算机,购置另一个脚本工具包来攻打Adobe Acrobat的破绽。Zeus的放开性更是推进了其遍及水平,还大大增强了破坏才干。据赛门铁克宣称,如今Zeus的变种超越了9000个。
赛门铁克的Turner示意,Zeus的一整套开发机制让用户可以花更少的钱搞更大的破坏。这是上方这个趋向的一方面:网络立功分子正变得更高效,对攻打执前启动了提升,希图从每次破坏事情中捞到最大的好处。迈克菲公司的环球安保战略大风险治理主管Brian Contos示意,一些先进的恶意软件会将与之竞争的、不足效率的程序从它们感化的系统上删除,甚至还会给那些系统打补丁,目的是为了从被感化的机器捞到最大的好处。恶意软件经常使用一台计算机来从事多种不法勾当,比如窃取数据和失掉登录资料。Contos示意,毫无防范的受益者看起来也从中受益,由于他们的机器运转更顺畅了,但其实曾经遭到了感化。
攻打者还在应用智能化技术来提高攻打效率。他们不是攻打环球上的每个互联网地址,而是并重攻打已知属于运转容易遭到攻打的特定软件(如WordPress)的计算机及其余盛行博客平台的地址。渣滓邮件发送者购置即开即用的渣滓邮件优惠模板。而僵尸网络运营者应用Web界面来监督和控制由受危及系统组成的网络。
网络攻打软件开发、支持和整个配套机制方面会出现一切这些翻新,源动力是钱。许多网络立功分子如今不是共享攻打手法,而是变得愈加保密,将自己的代码和方法当成常识产权那样来包全。
Contos示意,以前你要是参与DEF CON黑客大会这样的会议,大家会共享工具。如今不再是这样了。而如今他们忙于开发零日要挟,"由于他们想赚钱。"
明日的攻打正在构成
事情 | 下一代攻打的属性 | 形容 |
极光执行 | 侦查社交网络 | 攻打者经常使用社交网络和网站,找指标企业外部的关键人员下手。去年他们攻打了谷歌及其余公司。 |
灵活域 | 这种电脑蠕虫经常使用计算进去的域名,因此放大了肃清的难度。Conficker.C在5000个计算域名中用了随机选用的一小局部域名,与指挥和控制主机启动衔接。 | |
针对嵌入式控制器的恶意软件 | 攻打危及嵌入式控制器后,控制住物理设备。Stuxnet危及了制作流程和伊朗核方案中的可编程逻辑控制器。 | |
维基解密攻打 | 散布式拒绝服务暴民执行 | 攻打者筹划了一致协调的网络抗议。在维基解密网站遭到攻打后,2000名支持者迅速组织起来,应用被迫组建的僵尸网络,攻打万事达、维萨及其余网站。 |
XXX两边人攻打 | 攻打者偷偷潜入到阅读器、移动设备或其余消息流当中,以失掉和窜改消息量。Zeus危及了阅读器通讯,可实时灵活地窜改银行买卖页面,从而窃取资金。 | |
软件开出现态系统 | 开发人员生态系统已围绕Zeus及其余攻打软件开展起来,可创立新的性能,并不时改良。Zeus的开发人员已开发了恶意脚本包和即开即用的渣滓邮件优惠模板。 |
适逢其时的攻打
网络立功分子攻打手法的扭转使得另一种攻打:网络抗议更容易组织和执行。咱们也可以从最近针对万事达、维萨和亚马逊等网站的拒绝服务攻打中一窥网络立功的未来,这些攻打是为了报复这些网络拒绝与维基解密网站有业务往来。
虽然网络抗议和拒绝服务攻打不是什么新攻打,但支持它们的技术变得越来越好,也工具变得越来越先进--这个趋向会继续下去。比如说,一个名为Anonymous的组织实施的维基解密攻打驳回了一种名为低轨道离子加农炮(LOIC)的程序。该程序让任何抗议者只需输入IP地址,都能参与针对指标网络或系统的攻打大军。
互联网安保公司Renesys的副总裁兼总经理Earl Zmijewski示意,三个要素造成了散布式拒绝服务攻打每每未遂。首先,遭到攻打的系统领有比以往任何时刻都要多的带宽,所以攻打者只需危及比拟少的系统,就能对指标形成相当大的影响。其次,许多用户继续在运转旧软件,因此攻打者更容易接收他们的计算机,让它们成为僵尸网络的一员。第三,目前还是没有轻松的方法来对付拒绝服务攻打。虽然内容散发网络能起到协助,但最有效的进攻还是经常使用一个专门的网络,在恶意流量进入到指标主机之前先将它们过滤掉。
由于这三个要素,僵尸网络运营者领有了渺小威力。迈克菲的Contos示意,比如说,Conficker危及了640万个系统,为它提供了每秒28 TB(注:1TB=1012字节)的聚合带宽。他说:"这超越了亚马逊和谷歌的带宽总和--这真实太大了。"
安保要挟正将自己安插到用户与互联网之间。这种"阅读器两边人"(man-in-the-browser)攻打--针对银行的Zeus特洛伊木马宽泛经常使用这种攻打--让攻打者可以控制用户能看到的一切。假设用户依赖被Zeus感化的计算机,他会误以为自己将100美元的电费划到电力公司账户,实践上7000美元被划到了另一个中央属于网络立功团队某个成员的账户。用户确认买卖后,他看到的只是付款100美元,而实践上银行接到的是转账7000美元的恳求。
银行安保公司Trusteer的首席技术官Amit Klein说:"你素来不知道自己受骗受骗,等到上银行分行查账后才豁然开朗。这种手腕最先由其余恶意软件驳回;然而拜Zeus所赐,这种手腕如今变得极端普遍。"
Zeus及其余要挟在避开旨在消弭银行坑骗的包全措施,比如双因子验证。由于攻打是实时启动的,而且从受益者的计算机上发起,所以惯例包全措施不论用。
更好的进攻
许多公司想当然地以为,仅仅恪违法律要求的安保控制措施就够了。然而单单遵守还不行。SecureWorks的Ramsey示意,先进的要挟会避开妇孺皆知的安保要求。要是每团体都经常使用雷同的技术和控制措施,"那么立功分子就会改动攻打手法,破坏那些类型的进攻机制,"他说。
美国联邦贷款保险公司要求银行应经常使用双因子验证和加密技术,正是这一要求促使立功分子开收回了Zeus,以避开那些包全措施。恶意广告是标明攻打者在避开进攻机制的另一个例子,这种网上广告把点击广告的用户引到恶意网站。这些攻打避开防火墙的手腕是,经过互联网进入。据SecureWorks宣称,许多公司发现互联网是第一大攻打路径。
Trusteer的Klein示意,像反病毒软件这些惯例进攻机制对付先进的攻打成果并不好。Stuxnet在流传了一年多后才被发现;Zeus经常避开基于特色的进攻机制。
赛门铁克的Turner示意,公司须要片面的进攻,而不是仅仅须要技术。他说:"咱们必定开局探讨咱们该如何在网上共享消息、如何经常使用安保系统。政策及实施与技术自身来得一样关键。"
包全网络边界是关键,但由于像iPad和iPhone这些生产级移动设备进入到公司企业,连包全边界这项任务都变得更为复杂。Turner示意,随着团体设备与企业之间的界限日益含糊,"咱们已参与了咱们的秘密数据或企业数据领有的接触点的数量。"
公司岂但要找出潜在要挟,还要找出最贵重的资产。SecureWorks的Ramsey示意,公司须要了解要挟、这些要挟要攻打的指标,以及要挟如何攻打指标。
公司还必定确定有多少用户和系统可以访问关键消息、哪些对象值得包全。Turner示意,它们必定实施一套数据分类系统,确定最贵重的常识产权,而后将安保经费和人员重点投入到这局部数据上。与试图一视同仁地包全一切数据相比,企业成功包全一小局部数据的或许性要大得多。
IT经理也不能再漠视网络上计算机和路由器之外的其余部件。安保钻研人员已证明,越来越像小型主机的打印机可以作为进入企业网络的跳板,而Stuxnet正是经过嵌入式控制器一路流传的。
Turner说:"咱们不得不开局思考技术的不同局部。阀门归工程师治理,而网络归IT人员治理,"咱们必定让它们可以说相反的言语。
公司还必定关注更好的检测和照应机制。Ramsey示意,网络意外检测和情报服务可以识别在企业网络已成功找到立足点的攻打。但检测并不能有效地进攻这些攻打。他说:"阻止攻打所需的老本低于清算攻打所需的老本;攻打潜伏期间越长,从新控制自己的IT系统所需的老本就越高。"
假设关注一下未来习以为常的先进攻击,防范任务显得尤为关键。正如Stuxnet通知咱们的那样,这类程序继续期间越长,形成的破坏就越大。最终,进攻人员必定完善进攻机制,以便时时比好人抢先一步。#p#
严加防范,应答将至的要挟
不要单单遵守。法律要求的安保控制措施很少足够安保。
扩展关注范畴。技术不是安保任务的所有;还要关注政策及实施。
包全移动用户。一切那些新设备都让你的数据面临风险。
剖析你的数据。确定自己的最贵重消息,而后重点包全这局部消息。
细心观察一切。数字系统和物理系统的一切局部如今都面临风险。
2011年会是Mac攻打盛行的一年?
往年,网络立功分子或许会将留意力转向Mac,这是他们之前基本上没去碰的一种平台。Steve Santorelli以前是伦敦警察厅的一名侦探,如今是安保钻研组织Team Cymru Research担任环球对外咨询的主管,他示意,俄罗斯黑客杂志《Xakep》外面的几篇文章着重引见了如何攻打Mac OS X操作系统,示意东欧的黑客们或许曾经在开发攻打技术。
由于很少面临要挟,大少数Mac用户并没有运转反恶意软件程序。Santorelli说:"要是有人在明年推出了阅读器破绽包,咱们会看到许多人会被感化。所以,你最后会遇到针对OS X的Zeus。"
苹果公司严厉控制Mac、比拟便捷的代码以及比拟杰出的安保模型,这让OS X比Windows来得安保。据Santorelli宣称,但OS X并不是从基本上比Windows 7更安保的一款操作系统。针对OS X的恶意软件之所以数量比拟少,要素在于面向OS X的运行程序数量少得多。
2008年,计算机迷信家Adam O'Donnell应用博弈论推算出:一旦Mac机占到计算机装置总量的大概17%,恶意软件对OS X来说就会开局成疑问。据NetMarketshare.com网站宣称,如今,Mac机约占美国计算机装置总量的11.5%,约占环球装置总量的5%。
有迹象标明公开立功分子对Mac发生了兴味,这标明苹果用户要小心了。去年10月,Koobface病毒的一个版本攻打了OS X用户,该病毒在Facebook用户中宽泛流传。攻打者应用了Mac机上Java软件存在的破绽,将Mac机变成了僵尸网络的指挥和控制主机。
原文链接:
【编辑介绍】