下一代安全的内幕故事

　　【51CTO.com独家译稿】当伊朗总统马哈茂德·艾哈迈迪－内贾德在去年11月份宣布该国的核计划遭到软件后，他了许多安全研究人员的猜测：原因是Stuxnet大爆发，了控制处理铀所用的离心机电机的关键系统。

　　内贾德对这起造成的影响轻描淡写，但是安全研究人员认为，造成的范围要比他所说的广泛得多。EricByres是专门制造和控制系统安全的Tofino工业解决方案公司的首席技术官兼联合创始人；他表示，伊朗人访问与工业控制系统安全有关的网站的流量稳步增长，这表明该国的IT专家在寻求解决持续性的办法。

　　Byres表示，伊朗人没有办法清除掉Stuxnet。他称，从一台机器上清除Stuxnet很容易，"但是在网络上，Stuxnet就如同，因为它极具侵略性，能够以各种各样的方式来进行。"

　　Stuxnet在去年7月份首次被确认，它可以四个之前未知的安全漏洞，通过USB存储棒和网络共享区来。它可以感染用来管理工业控制系统的Windows系统，覆盖嵌入式控制器，破灭那些系统。

　　欢迎进入到未来的网络安全世界：当今最先进、最成功的会是将来很平常的安全挑战。网络犯罪可能会试图同样谋求Stuxnet的这种能力：在网络上持续潜伏，隐藏在嵌入式设备里面。他们势必还会仿效其他采用的手法；比如说，Zeus擅长于浏览器会话，而Conficker可以做到不被关闭。

　　者们还在改变运作方式，采用新的方式来开发和手法。网络间谍行动日益利用社交网络来寻找容易下手的目标。就拿网络行动"极光行动"（OperationAurora）来说，涉嫌来自中国的者利用社交网络，锁定了谷歌及其他公司的员工，然后向他们发送针对性的电子邮件，目的是感染那些公司的关键计算机。

　　此外，软件开发人员社区在支持先进的即插即用恶意软件，比如针对银行的Zeus特洛伊木马。像Conficker那样动态生成的域将使得安全人员更难查明僵尸网络的指挥和控制网络。

　　最后，与我们将来要面对的那种网络造成的长远影响相比，Stuxnet给伊朗核计划造成的影响可能要小得多。赛门铁克公司的全球情报网络主管DeanTurner说，就Stuxnet而言，它变得不太像针对金融和电力等行业的，而是更像"有的放矢的"。"Stuxnet针对的是具体目标，即电机的变频部件。"

　　安全专家长期以来就，嵌入式控制系统很容易受。2007年，美国能源部的测试表明，针对嵌入式系统的可以控制电力公司的发电机，引起发电机自毁。大多数工厂也由嵌入式系统和可编程逻辑控制器来控制。

　　在Stuxnet出现之前，这种还仅限于理论上的。而现在，凡是能接触到代码的人都有办法来嵌入式系统。而且Stuxnet代码广泛，感染了全球各地的计算机。Tofino公司的Byres说，Stuxnet为编写可编程逻辑控制器的代码提供了一堂"速成课"。我们迟早会开始看到各种各样的"专门蠕虫"伺机控制系统。

　　嵌入式系统通常把物理系统和数字系统连接起来，所以一旦者控制住了它们，也就控制住了关键系统。此外，代码可以隐藏在嵌入式系统里面，让得以持续存在，因而很难清理干净。

　　托管安全提供商SecureWorks的首席技术官JonRamsey表示，私营公司不大可能长期不受到Stuxnet带来的，他提到"极光行动"就是袭击私营公司的最先进的第一起事件。者通过"极光行动"表明："干嘛不行业企业……干嘛不拥有许多知识产权、在全球市场具有高度竞争力的大公司？"Ramsey如是说。

　　者专业化

　　关于这些先进和所采用技术的知识在迅速开来。一个主要原因是，者创建了自成体系的一整套聊天室、论坛、投件箱和技术刊物，以支持和扩大他们的行动。者在那里交流思想，培养特定的专长。某个小组帮助磨练流行软件方面的技能；另一个小组编写恶意脚本，植入到流行的恶意软件里面。还有些小组致力于发展和僵尸网络，窃取数据。

　　Zeus就是证明这种专业化的一个典例。这个针对银行的特洛伊木马通过网络钓鱼和过式下载，从网站开来，它有一个庞大的生态系统，旗下的地下程序员编写可植入Zeus的垃圾邮件活动模板和可以利用特定漏洞的脚本工具包。犯罪可以购买一个脚本工具包来运行MozillaFirefox浏览器的计算机，购买另一个脚本工具包来AdobeAcrobat的漏洞。Zeus的性更是推动了其普及程度，还大大增强了能力。据赛门铁克声称，现在Zeus的变种超过了9000个。

　　赛门铁克的Turner表示，Zeus的一整套开发机制让用户可以花更少的钱搞更大的。这是下面这个趋势的一方面：网络犯罪正变得更高效，对行动进行了优化，从每次事件中捞到最大的好处。迈克菲公司的全球安全战略和风险管理主管BrianContos表示，一些先进的恶意软件会将与之竞争的、缺乏效率的程序从它们感染的系统上删除，甚至还会给那些系统打补丁，目的是为了从被感染的机器捞到最大的好处。恶意软件使用一台计算机来从事多种，比如窃取数据和获取登录资料。Contos表示，毫无防备的者看起来也从中受益，因为他们的机器运行更顺畅了，但其实已到了感染。

　　者还在利用自动化技术来提高效率。他们不是世界上的每个互联网地址，而是侧重已知属于运行容易受到的特定软件（如WordPress）的计算机及其他流行博客平台的地址。垃圾邮件发送者购买即开即用的垃圾邮件活动模板。而僵尸网络经营者利用Web界面来和控制由受危及系统组成的网络。

　　网络软件开发、支持和整个配套机制方面会出现所有这些创新，源动力是钱。许多网络犯罪现在不是共享手法，而是变得更加隐秘，将自己的代码和方法当成知识产权那样来。

　　Contos表示，以前你要是参加DEFCON黑客大会这样的会议，大家会共享工具。现在不再是这样了。而现在他们忙于开发零日，"因为他们想赚钱。"

　　明天的正在形成

　　适逢其时的

　　网络犯罪手法的改变使得另一种：网络更容易组织和执行。我们也可以从最近针对万事达、维萨和亚马逊等网站的服务中一窥网络犯罪的未来，这些是为了报复这些网络与维基解密网站有业务往来。

　　虽然网络和服务不是什么新，但支持它们的技术变得越来越好，也工具变得越来越先进--这个趋势会继续下去。比如说，一个名为Anonymous的组织实施的维基解密采用了一种名为低轨道离子加农炮（LOIC）的程序。该程序让任何者只要输入IP地址，都能加入针对目标网络或系统的大军。

　　互联网安全公司Renesys的副总裁兼总经理EarlZmijewski表示，三个因素导致了分布式服务屡屡。首先，受到的系统拥有比以往任何时候都要多的带宽，所以者只要危及比较少的系统，就能对目标造成相当大的影响。其次，许多用户继续在运行旧软件，因而者更容易接管他们的计算机，让它们成为僵尸网络的一员。第三，目前还是没有轻松的办法来对付服务。虽然内容分发网络能起到帮助，但最有效的防御还是使用一个专门的网络，在恶意流量进入到目标服务器之前先将它们过滤掉。

　　由于这三个因素，僵尸网络经营者拥有了巨大威力。迈克菲的Contos表示，比如说，Conficker危及了640万个系统，为它提供了每秒28TB（注：1TB＝1012字节）的聚合带宽。他说："这超过了亚马逊和谷歌的带宽总和--这实在太大了。"

　　安全正将自己安插到用户与互联网之间。这种"浏览器中间人"（man-in-the-browser）--针对银行的Zeus特洛伊木马广泛使用这种--让者可以控制用户能看到的一切。如果用户依赖被Zeus感染的计算机，他会误以为自己将100美元的电费划到电力公司账户，实际上7000美元被划到了另一个地方属于网络犯罪团队某个的账户。用户确认交易后，他看到的只是付款100美元，而实际上银行接到的是转账7000美元的请求。

　　银行安全公司Trusteer的首席技术官AmitKlein说："你从来不知道自己上当，等到上银行分行查账后才恍然大悟。这种最先由其他恶意软件采用；但是拜Zeus所赐，这种现在变得极其普遍。"

　　Zeus及其他在避开旨在消除银行诈骗的措施，比如双因子验证。由于是实时进行的，而且从者的计算机上发动，所以常规措施不管用。

　　路由器地址打不开更好的防御

　　许多公司想当然地以为，仅仅遵守法律要求的安全控制措施就够了。但是单单遵守还不行。SecureWorks的Ramsey表示，先进的会避开众所周知的安全要求。要是每个人都使用同样的技术和控制措施，"那么犯罪就会改动手法，那些类型的防御机制，"他说。

　　美国联邦存款保险公司要求银行应使用双因子验证和加密技术，正是这一要求促使犯罪开发出了Zeus，以避开那些措施。恶意广告是表明者在避开防御机制的另一个例子，这种网上广告把点击广告的用户引到恶意网站。这些避开防火墙的手段是，通过互联网进入。据SecureWorks声称，许多公司发现互联网是第一大途径。

　　Trusteer的Klein表示，像反病毒软件这些常规防御机制对付先进的效果并不好。Stuxnet在了一年多后才被发现；Zeus经常避开基于特征的防御机制。

　　赛门铁克的Turner表示，公司需要全面的防御，而不是仅仅需要技术。他说："我们必须开始讨论我们该如何在网上共享信息、如何使用安全系统。政策及实施与技术本身来得一样重要。"

　　网络边界是关键，但由于像iPad和iPhone这些消费级移动设备进入到公司企业，连边界这项工作都变得更为复杂。Turner表示，随着个人设备与企业之间的界线日益模糊，"我们已增加了我们的机密数据或企业数据拥有的接触点的数量。"

　　公司不但要找出潜在，还要找出最宝贵的资产。SecureWorks的Ramsey表示，公司需要了解、这些要的目标，以及如何目标。

　　公司还必须确定有多少用户和系统可以访问重要信息、哪些对象值得。Turner表示，它们必须实施一套数据分类系统，确定最宝贵的知识产权，然后将安全经费和人员重点投入到这部分数据上。与试图一视同仁地所有数据相比，企业成功一小部分数据的可能性要大得多。

　　IT经理也不能再忽视网络上计算机和由器之外的其他部件。安全研究人员已证明，越来越像小型服务器的打印机可以作为进入企业网络的跳板，而Stuxnet正是通过嵌入式控制器一的。

　　Turner说："我们不得不开始考虑技术的不同部分。阀门归工程师管理，而网络归IT人员管理，"我们必须让它们可以说相同的语言。

　　公司还必须关注更好的检测和响应机制。Ramsey表示，网络异常检测和情报服务可以识别在企业网络已成功找到立足点的。但检测并不能有效地防御这些。他说："所需的成本低于清理所需的成本；潜伏时间越长，重新控制自己的IT系统所需的成本就越高。"

　　如果关注一下将来司空见惯的先进，防范工作显得尤为重要。正如Stuxnet告诉我们的那样，这类程序持续时间越长，造成的就越大。最终，防御人员必须完善防御机制，以便时时比抢先一步。

　　严加防范，应对将至的

　　不要单单遵守。法律要求的安全控制措施很少足够安全。

　　扩大关注范围。技术不是安全工作的全部；还要关注政策及实施。

　　移户。所有那些新设备都让你的数据面临风险。

　　分析你的数据。确定自己的最宝贵信息，然后重点这部分信息。

　　仔细观察一切。数字系统和物理系统的所有部分现在都面临风险。

　　2011年会是Mac盛行的一年？

　　今年，网络犯罪可能会将注意力转向Mac，这是他们之前基本上没去碰的一种平台。SteveSantorelli以前是伦敦厅的一名侦探，现在是安全研究组织TeamCymruResearch负责全球对外联系的主管，他表示，俄罗斯黑客《Xakep》里面的几篇文章着重介绍了如何MacOSX操作系统，表示东欧的黑客们可能已经在开发技术。

　　由于很少面临，大多数Mac用户并没有运行反恶意软件程序。Santorelli说："要是有人在明年推出了浏览器漏洞包，我们会看到许多人会被感染。所以，你最后会遇到针对OSX的Zeus。"

　　苹果公司严格控制Mac、比较简单的代码以及比较出色的安全模型，这让OSX比Windows来得安全。据Santorelli声称，但OSX并不是从根本上比Windows7更安全的一款操作系统。针对OSX的恶意软件之所以数量比较少，原因在于面向OSX的应用程序数量少得多。

　　2008年，计算机科学家AdamODonnell利用博弈论推算出：一旦Mac机占到计算机安装总量的大约17%，恶意软件对OSX来说就会开始成问题。据NetMarketshare.com网站声称，如今，Mac机约占美国计算机安装总量的11.5%，约占全球安装总量的5%。

　　有迹象表明地下犯罪对Mac产生了兴趣，这表明苹果用户要小心了。去年10月，Koobce病毒的一个版本了OSX用户，该病毒在Facebook用户中广泛。者利用了Mac机上Java软件存在的漏洞，将Mac机变成了僵尸网络的指挥和控务器。

　　【51CTO.com独家译稿，非经授权谢绝转载！合作转载请注明原文出处及出处！】