【IT168 报告解读】根据最新一期中国互联网络信息中心(CNNIC)《第23次中国互联网络发展状况统计报告》显示,截至2008年底,我国互联网普及率以22.6%的比例首次超过21.9%的全球平均水平。网民规模已经接近3亿,较2007年增长41.9%,互联网普及率达到22.6%。如此高的网民数量增长势必带来更加迅猛的互联网安全问题,综合来看,当前网络安全形势严峻的原因主要有以下三点:
一是由于近年来中国互联网持续快速发展,我国网民数量、宽带用户数量、.cn 域名数量都已经跃居全球先进位,而我国网络安全基础设施建设跟不上互联网发展的步伐,民众的网络安全意识薄弱,中小企业大多采用粗放式的安全管理风格,这三者相加直接导致中国互联网安全问题的突出;
二是随着技术的不断提高,攻击工具日益专业化、易用化,攻击方法也越来越复杂、隐蔽,防护难度较大;
三是电子商务领域不断扩展,与现实中的金融体系日益融合,为网络世界的虚拟要素附加了实际价值,这些信息系统成为黑客攻击牟利的目标。
一、病毒木马仍是互联网安全主流问题
木马是一种由攻击者秘密安装在受害者计算机上的窃听及控制程序。计算机一旦被植入木马,其重要文件和信息不仅会被窃取,用户的一切操作行为也都会被密切监视,而且还会被攻击者远程操控实施对周围其他计算机的攻击。木马不仅是一般黑客的常用手段,更是网上情报刺探活动中的主要手段之一。虽然2007年年中国内著名木马制作者—“灰鸽子”工作团队停止对“灰鸽子”的开发,让07年的木马发展随之阻碍,但是随着2008年灰鸽子改进版、网游大盗系列新木马的出现,中国互联网木马又趋向愈演愈烈之势。
根据公安部公共信息网络安全监察局2008年病毒疫情调查报告统计,62.7%的被调查单位发生过信息网络安全事件,比去年减少3%。感染计算机病毒、蠕虫和木马程序的情况依然最为突出,其次是网络攻击、端口扫描、垃圾邮件和网页篡改。
公安部公共信息网络安全监察局2008年病毒疫情调查报告网络安全事件类型统计
在2008年中,病毒木马呈现爆发性增长,制作病毒木马门槛的降低和背后的高利益诱惑都是其主因。从金山毒霸“云安全”中心监测数据可见一斑,2008年,金山毒霸共截获新增病毒、木马13899717个,与2007年相比增长48倍。
金山毒霸监测数据
虽然2008年总体来说计算机病毒数量仍然居高不下,但总体病毒感染量的下降也在一定程度上反映出国内的网民在安全意识方面有了一定的提高,网络安全防范措施有所增强。另一方面则体现在安全厂商在与病毒木马的争斗中逐渐取得上风。
公安部公共信息网络安全监察局2008年病毒疫情调查报告感染率统计
从感染的计算机比率来看,病毒疫情最严重的月份集中在上半年,下半年则有所好转,这与往年的数据走向相一致,上半年依然还是病毒防治的重点。
公安部公共信息网络安全监察局2008年病毒疫情调查报告不同时期感染情况统计
附录1:公安部公共信息网络安全监察局公布2008十大流行病毒
据公安部统计在2008年十大计算机病毒列表中,“网游大盗”取代“木马代理”成为今年最流行的电脑病毒。
根据公安部公共信息网络安全监察局公布的“2008年全国信息网络安全状况和计算机病毒疫情调查结果”显示,2008年最流行的前十大病毒是 Gamepass(网游大盗)、AutoRun、JS.Agent、Delf(德芙)、KillAV (AV终结者)、 Gpigeon(灰鸽子)、Small及其变种、JS.RealPlr、JS.Psyme、HTML.IFrame。
国家计算机病毒应急处理中心副主任张健分析,“网游大盗”属于木马程序,这表明各种木马程序依然是主要的安全威胁。这种病毒会盗取用户的账号、密码等信息并发送到指定的信箱或者网页中。“AV终结者”也具有窃取用户的游戏账号和密码的功能。
根据江民和金山的报告统计,木马也是杀毒厂商防治的重点。
金山毒霸监测中心监测数据
附录2:国家互联网应急中心(CNCERT)2008年木马数据分析
2008年上半年,国家互联网应急中心(CNCERT) 对常见的木马程序活动状况进行了抽样监测,发现我国大陆地区302526个IP地址的主机被植入木马。我国大陆地区木马活动分布情况如图 所示,木马被控制端最多的地区分别为河北省(10%)、北京市(10%)、山东省(9%)、江苏省(9%)和广东省(9%)。
2008 年上半年中国大陆地区被木马控制的计算机IP 分布图
中国大陆地区外木马控制端分布统计
国家互联网应急中心(CNCERT)监测发现大陆地区外98230个主机地址参与控制我国大陆被植入木马的计算机,与去年同期相比增长26.4%。控制端IP按国家和地区分布如图所示,其中位于中国台湾(65%)、美国(8%)、中国香港(5%)、韩国(3%)和越南(2%)的木马控制端数量居前五位。
2008 年上半年通过木马控制我国计算机的境外IP 分布图
二、2008年垃圾邮件内容向时事经济方向发展
随着全球经济问题成为新闻关注的焦点,垃圾邮件也利用人们对经济形势的担忧策动新的攻击。包含恶意代码URL链接的垃圾邮件的数量有所增加,载有恶意软件(不仅仅是恶意代码的链接)的电子邮件数量也在不断增加。
根据互联网中心反垃圾邮件协会调查统计,电子邮件中发现的恶意软件比例大幅度上升。这些包含恶意软件链接的电子邮件不只为推销某种产品,其目的是要用病毒和特洛伊木马感染计算机。
同时赛门铁克的垃圾邮件报告也显示出近似的结果: “经济问题”正困扰着世界各地人们的心,当然也包括把经济状况当作噱头发布消息的垃圾邮件散播者。随着美国总统大选热逐渐达到顶峰,垃圾邮件将为您带来更多关于巴拉克.奥巴马的一切,当然条件是获取您的个人信息。
赛门铁克所确定垃圾邮件比例,2007年10月到2008年9月数据
在这些垃圾邮件附件的恶意软件中,大部分是以ZIP及RAR文件出现。其邮件中包含了这样的题目:“第三次世界大战的开始”。邮件内容部分的URL中包含了相关的域名cnnworld.org,这显然是利用了美国著名电视网的名字。URL将用户指向一个网站,网站的外观很正规,上面展示了CNN的内容,网站鼓励用户下载一个有关美国总统的视频。
垃圾邮件越来越具有攻击性,技术手法也更复杂,我们不断看到垃圾邮件发送者将美国房地产市场的下滑和全球经济形势的不稳定作为一种工具来加强垃圾邮件的攻击。垃圾邮件发送者利用人们对当前事件的浓厚兴趣,力图从其攻击目标中搜集个人信息。
附录3:互联网中心反垃圾邮件协会2008年第三次垃圾邮件调查报告
1. 每周数量:中国网民平均每周收到垃圾邮件的数量为17.86封 中国网民平均每周收到垃圾邮件的数量为17.86封,与去年同期相比,增加1.17封,增幅为7.0%;与上季度相比,减少了0.49封,减幅为2.6%。
2. 每周比例:中国网民平均每周收到垃圾邮件所占的比例为57.89% 。
中国网民平均每周收到垃圾邮件的比例为57.89%,与去年同比上升了2.04个百分点,但是较上季度58.21%的比例相比却有所减少,降幅为0.5%。自2007年以来,中国网民平均每周收到垃圾邮件的比例在连续三个季度上升的基础上,首次出现下降。
3. 主要内容:零售业推销、旅游交通业推销、违法出售票据证件
用户收到的垃圾邮件的内容中,零售业推销所占比例最高,为22.27%,与上季度相比增加了13.04%,增幅达到141.27%;其次是旅游交通业推销,所占比例为10.40%,与上季度相比增加了7.69%;违法和不良邮件中违法出售票据证件类所占比例为10.36%,与上季度相比增加了1.70%,
4. 主要影响:浪费时间、浪费资源、传播病毒
垃圾邮件对普通用户带来的影响包括浪费时间、浪费资源、传播病毒等。其中浪费时间所占比例最高,达到了27.36%;其次是浪费资源,占16.92 %;此外,传播病毒占16.15%。
5. 企业用户选择邮件服务提供商时最主要考虑的因素:邮箱的安全稳定性
在企业用户选择邮件服务提供商时考虑的最主要因素中,邮箱安全稳定性所占的比重最高,达到了31.77%;其次是防病毒反垃圾功能,所占比例为16.22%;此外,邮箱空间大小占13.78%,品牌知名度占12.89%,邮箱价格占12.67%,邮箱速度占10%。
6. 企业用户对规范许可邮件的建议:邮件服务商技术控制、政府立法和行业协会监督
有25.47%的企业用户认为应该通过邮件服务提供商在技术上的控制来实现邮件许可营销;22.22%的用户认为由政府立法进行约束;21.63%的用户认为应该通过行业协会对发送企业的行为进行进监督管理,率先规范引导许可邮件行为。
7. 政府立法的必要性:超过六成用户认为政府非常有必要立法规范邮件发送行为
面对垃圾邮件的泛滥,在电子邮件的发送是否需要政府规范方面,61.58%的企业用户认为政府非常有必要;有31.55%的用户认为政府规范的作用不大;有6.87%的用户认为政府没有必要。
附录4:2008年年度垃圾邮件热点
全球垃圾邮件分类:
垃圾邮件分类数据来源于赛门铁克探测网络(Symantec Probe Network)的信息分类搜集库。
垃圾邮件来源地区
“经济才是关键”
“经济才是关键,笨蛋”是比尔•克林顿(Bill Clinton)在 1992 年总统大选期间针对老布什(George H.W. Bush) 提出的选举口号。垃圾邮件散播者同样以当前的经济焦点问题作为幌子,例如最近的政府救市组合措施和利率下调事件。
赛门铁克监测到一个宣称来自美国财政部长Henry Paulson的垃圾邮件攻击。该邮件表示,Paulson已经根据联合国指示, “以合法方式向您的银行帐号电汇100 万美元”。但是,为了拿到该笔款项,收件人必须提供个人信息。为了试图令该邮件更具真实性,邮件甚至一开始就提供了Paulson的个人信息,但这看起来很荒谬。
作为经济援助组合措施一部分,美国国会暂时提高了美国联邦存款保险公司 (FDIC) 的存款保险,即到 2009 年 12 月 31 日之前,每名储户的存款保险从 10 万美元增加到 25 万美元。 随着人们对FDIC越来越多的关注 ,赛门铁克在 10 月跟踪到一封宣称来自FDIC的垃圾邮件。该垃圾邮件声称“电汇到您帐号里的资金被盗”。收件人被要求检查他们的账单,即电子邮件的附件。而收件人一旦打开附件就会遭受恶意程序的攻击,成为垃圾邮件的受害者。
奥巴马成垃圾邮件新卖点
随着美国总统大选热逐渐达到顶峰,垃圾邮件散播者决不会放过这样的机会。2008 年 10 月,赛门铁克连续监测到以总统选举礼物卡为诱饵的垃圾邮件。要求收件人完成关于选举的调查,并承诺填写后可获得免费礼物卡。这种礼物卡垃圾邮件攻击可以捕获大量个人信息。
10 月赛门铁克还发现到一种新的与竞选有关的垃圾邮件攻击,该类攻击已被垃圾邮件散播者命名为 “巴拉克纪录片( Barackumentary )”。垃圾邮件散播者提供的是关于巴拉克.奥巴马的免费DVD ;但是,为了收到这一“免费的”视频,收件人必须向发件人提供个人信用卡详细信息。
抽奖骗局继续上演,与 “419 ”垃圾邮件类似
与尼日利亚或“ 419 ”垃圾邮件类似的抽奖骗局在继续上演。2008年10月赛门铁克发现两封值得注意的抽奖骗局类垃圾邮件。其中一封以 2010 年南非世界杯足球赛为目标,并声称与南非 2010 世界杯组委会相配合,特举办彩票抽奖活动,收到电子邮件的“幸运者”即赢得价值80万美元的头奖。为了领取奖金,电子邮件收件人需联系某付款行并且向其提供个人信息。
而在本月监测到的另一起抽奖骗局类垃圾邮件则与 2012 年的伦敦奥运会有关。尽管距其举办还相隔四年时间,该抽奖骗局类垃圾邮件声称,收件人已经赢得95万英镑。同样,收件人也需要联系付款行以获得该笔奖金。
使用模糊技术的URL 攻击瞄准德语环境网络
在 2008 年 9 月期间, 赛门铁克监测到大量针对德语环境网络的垃圾邮件攻击。许多消息在 URL 中使用模糊技术,插入空格企图躲过基于 URL 的过滤器。
这些垃圾邮件首先包含明显的色情文本,然后诱使用户直接把网站 URL 输入浏览器。这些垃圾邮件也包含英文随机文本,企图使消息随机分布从而躲过垃圾邮件过滤器。
假期来临:垃圾邮件的好时机
随着2008 年假期的临近,垃圾邮件散播者开始发动又一轮的季节性垃圾邮件轰炸,使用电子邮件兜售诸如药物,产品或为娱乐场所招揽生意。
三、政府类网站仍是安全隐患大户
长期以来中国政府网站以当地政府的对民窗口形象展示在公众面前,但网站整体安全性差,缺乏必要的经常性维护,某些政府网站被篡改后长期无人过问,还有些网站虽然在接到报告后能够恢复,但并没有根除安全隐患,从而遭到多次篡改。这直接影响到政府在互联网对公众的传播形象,政府网站的被篡改也从侧面让公众质疑互联网的安全性。
国家互联网应急中心(CNCERT)2008年互联网安全报告
据国家互联网应急中心(CNCERT)2008年互联网安全报告分析,2008 年1 月至6 月期间,中国大陆政府网站被篡改数量基本保持平稳,各月累计达2242个。与去年上半年同期监测情况相比,增加了41%。2008 年上半年中国大陆被篡改的网站中政府网站的数量及其所占比例月度统计如图所示。从中可以看出,每月被篡改的gov.cn域名网站约占整个大陆地区被篡改网站的7%而gov.cn 域名网站仅占.cn 域名的2.3%2,因此政府网站仍然是黑客攻击的重要目标。
附录5:对我国网站实施篡改攻击的主要黑客情况
据国家互联网应急中心(CNCERT)2008年互联网安全报告分析,2008 年上半年,国内外黑客(组织)对我国网站攻击频繁,平均每天就有数百起的网站被黑以及网页被篡改事件发生。2008 年1 月至6 月我国大陆地区网站被篡改数量分布, 3 月和5 月网站被攻击事件发生最为频繁,被篡改网站数量分别为9055个和6915 个。
在对我国网站实施攻击的黑客(组织)中,统计各月篡改攻击排名前 5 名的情况如表所示,可以看到,reDMin、sinaritx、roselare 等较为活跃。
2008 年上半年对我国网站进行篡改攻击的黑客排名
四、2008年互联网不良信息呈现“三足鼎立”之势
互联网不良信息大致可以分为“违反法律”、“违反道德”、“破坏信息安全”三大类别。目前,互联网上的“违反法律”类信息涉及很多种类,主要包括低俗信息、管制品买卖信息、诈骗信息以及网络销赃等多方面内容,最为突出的就是“淫秽色情类”低俗信息。
而“违反道德”类信息或打擦边球(如成人信息),或钻法律空子(如“代孕”、“伴游”、“赴香港产子”),或披着高科技外衣(黑客技术交流、强制视频软件下载等)。这类信息一旦“过头”,造成了严重的后果和影响,就很容易演变为“违反法律类”信息。
“破坏信息安全”类信息含有病毒、木马、后门,可能对访问者电脑及数据构成严重的安全威胁。当用户点击某些网页时,不经意中就有可能感染病毒或木马,轻者导致电脑罢工,重者导致大面积网络瘫痪。网康科技报告指出,从木马病毒的编写、传播到出售,整个过程已经完全产业化,“破坏信息安全”类信息将是未来网民们安全、健康上网的最大威胁。
不良信息 TOP 10
报告显示,“网康互联网内容研究实验室”根据三大类不良信息的活跃度,列出了前10名(破坏信息安全的恶意程序常见于这十大不良信息中,约占总量的70%以上):
两大空间存在不良信息
相对于不良信息内容上的多元化趋势,其“生存空间”却非常的集中。不良信息的生存空间主要有两种:
第一,来自于独立服务器。先前,主要在国内通过托管服务器或者租用服务器空间的方式来提供相关内容。但随着国家监管力度的加强,有人开始将托管服务器放置到国外,以避过国家相关部门的检查。比如,一些太平洋上岛国的法律是允许从事色情业务的,在这类国家建立色情网站不仅合理合法,而且成本低廉。90%以上的情色网站都是通过这种方式建立起来的。
第二,由于国内的主流网站聚集了数量庞大而且粘合度极高的网民,因此,也有别有用心的人在这类网站的BBS、博客、播客、社区上散布情色信息,以吸引更多的关注。
三大途径传播不良信息
随着互联网应用的深入,不良信息通过越来越广泛的途径传播开来。不良信息的传播途径主要有三个:
一、搜索引擎。搜索引擎页面能够将网民需要的信息汇总起来,给用户提供丰富的选择,一些不良信息的制造者就利用搜索引擎的进行信息传播。不过,现在的搜索引擎网站监管力度很强,不良信息量已经非常少。
二、垃圾邮件。现在网民的邮箱经常被垃圾邮件“骚扰”,这其中大部分是不良信息,比如反人类反政府类信息、办假证、卖发票、伴游等各类违法信息。
三、IM即时通信软件,如MSN、QQ等,网民在上网聊天时经常遇到各类弹出链接,钓鱼网站信息大都通过此途径传播。
五、2008互联网安全报告解读总结
当今社会,互联网已成为重要的国家基础设施,在国民经济建设中发挥着日益重要的作用。随着我国政府信息化基础建设的推进,信息公开程度的提升,网络和信息安全也已成为关系到国家安全、社会稳定的重要因素,社会各界都对网络安全提出了更高的要求,采取有效措施,建设安全、可靠、便捷的网络应用环境,维护国家网络信息安全,成为社会信息化进程中亟待解决的问题。
应对当前存在的网络安全问题,没有一劳永逸的解决方法。重视网络安全应急组织建设、重视与国内相关网络安全应急组织的交流协作;提升信息化管理水平,加强内部的网络安全管理;密切关注网络安全的态势与技术发展,做好信息系统的运行维护与安全防护工作;做好用户网络安全教育培训,提高用户安全意识。总之,做好网络安全保障工作,不仅要靠基础硬件设施的投入,还需要着重打造网络安全的软环境,安全意识与安全管理同等重要。
附录6:赛门铁克2009年安全趋势展望
2009年安全趋势展望:
1.恶意软件变种爆炸式增长 –恶意软件的新变化包含了数百万不同的威胁,并且多以一个核心恶意软件的形式进行传播,而这也是近期攻击的主要表现方式。这便导致了大量少有的恶意软件攻击状况。根据赛门铁克全球智能网络传感器获取的数据显示,当前现状已经到达了转变的关键节点。目前恶意软件的开发数量已经大大超过合法软件。为了应对这些新兴威胁,必须部署像基于信誉的安全技术等检测方法。
2.高级网络威胁 – 随着越来越多网络服务的推出,以及浏览器脚本语言逐渐统一为同一种解译标准,赛门铁克预计基于网络的新型威胁将持续增长。
3.经济危机 – 全球经济危机将会成为众多新型攻击利用的主要时机,其中包括网页仿冒(例如谎称某家银行即将破产)。另外,攻击还可能围绕经济危机主题,通过其它欺诈形式进行,例如许诺可以轻易获得贷款以及资金的电子邮件。此类垃圾邮件的目标将有可能锁定为房产被查收和失业人群,内含仿冒招聘网站的垃圾邮件也将有所增长。
4.社交网络 –2008年与社交网站相关的威胁有明显增长。这些威胁包括通过网页仿冒获取用户帐号或假借社交 之名提高在线威胁的“成功率”。垃圾邮件发件人近来多选择欧洲、中东以及非洲地区作为发送社交网站内容的目标—其中一例有超过200万名赛门铁克用户曾收到过。这些威胁将对企业的IT部门构成的挑战日趋严峻,主要是由于新近员工更倾向于利用公司资源访问此类网站。
5.垃圾邮件比例将增长 – 根据赛门铁克的监测,垃圾邮件在McColo事件发生前后的24小时内下降了65%.我们预计垃圾邮件比例将在未来回升至75%到80%.命令控制系统将会重建,更为重要的是,这将会导致垃圾邮件发件人继续使用更为强健的端到端僵尸网络。在当前动荡的经济环境下,全球许多网页寄存公司也会愿意协助此类垃圾邮件活动。
6.虚拟机安全 – 虚拟化技术将会整合到安全解决方案中,为用户提供独立于环境的解决方案,并且面对通用操作系统环境可能造成的混乱,可避免受到其所产生的影响。这一技术将为银行业等敏感交易提供安全的环境,并保护安全组件等关键基础架构,从而实现通用操作系统的全面防护。
