【IT168 专稿】也许你的电脑现在正被别人窥视,也许你使用计算机的每个动作正在被别人记录,也许你的声音正被别人窃听,也许你的账户密码正被秘密盗取,也许你的计算机正在被当作从事违法犯罪活动的工具……而当这些悄悄发生的时候,你却一无所知,因为你的电脑已经成为被别人控制的“僵尸电脑”。而“僵尸网络”就是由成千上万台这样的电脑一起组成的。这些被别人控制的电脑就像一群“僵尸”,执行这个幕后控制者神秘的攻击命令,进行各种破坏活动。
“僵尸”危害 日趋明显
日前,一个人气很旺的商业网站,却被“网络黑帮”敲诈了5000元“网络畅通费”。遭遇敲诈的福州某品牌运动服装代理商赵女士对此很是郁闷,其经营的是一个品牌运动产品网站。去年以来,网站人气很旺,但最近常有客户反映,网站常无法登录或访问。后来赵女士才知道,她的网站被一种利用“僵尸网络”的恶意攻击程序给黑了。无奈之下,赵女士只好破财消灾,很不情愿的向黑客所指定的帐户中打入了5000元钱,网站才得以恢复。
“他们经常使用的方式之一是DoS(拒绝服务)攻击。”据专家介绍,“DoS攻击往往可以通过一台或有限几台主机给被攻击方造成很大的破坏,黑客们通过其控制的‘僵尸网络’策划进攻。就像一条路只能容许10人通过,但安插了20个木头人放在路上,其他人就不能通过了。”
这样的遭遇并不仅限于赵女士一个人,去年下半年以来,一群利用“僵尸网络”攻击为手段、敲诈勒索商业网站的不法分子在互联网上频频作案,其所引发的互联网安全问题,也日益严重。
“僵尸网络”这个名字是国家计算机网络应急技术处理协调中心于2005年1月4日命名的,命名“僵尸”最能够体现其危害性的特点。所谓“僵尸网络”,就是黑客利用互联网用户的计算机构造的用于实施各种破坏活动的网络。
黑客通过某种手段,在互联网用户不知晓的情况下,悄悄地把一个“僵尸程序”放在其计算机中。当用户开机后,黑客则可以对所有这些被安装了“僵尸程序”的计算机实施控制。这样,互联网用户的计算机就像“僵尸”一样被黑客所操纵,而借助很多这样的计算机,黑客就可以掌握一个网络上可以用于进行各种破坏活动的“僵尸军队”。目前,在我国发现的最大的一个“僵尸网络”控制着约十万台计算机。国外曾经出现过40多万用户被“僵尸网络”控制的事件。
新问题带来新挑战
“僵尸网络”只是用于网络敲诈吗?不久前,美国一些黑客攻击了宾夕法尼亚的一家水处理厂,并且控制了那里的服务器。后来发现,原来是该工厂一名员工的笔记本电脑中了病毒,病毒又传给了服务器,该服务器就被一个“僵尸网络”控制了。这个“僵尸网络”主要被用来发垃圾邮件,而垃圾邮件给“僵尸网络”操纵者带来收入。由此可见,“僵尸网络”的危害表现是很多种的,只要可以获得利益,那控制“僵尸网络”的黑客们可以说无恶不作。
“僵尸网络”其实就是黑客们的一个工具,不同的人使用就有不同的动机。目前,“僵尸网络”最普遍的用途是犯罪动机或者破坏目的。使用“僵尸网络”进行攻击的种类主要包括:分布式拒绝服务攻击、发送垃圾邮件、监听网络流量、扩散新的恶意软件、安装广告条和浏览器助手、操控在线投票和游戏以及大规模身份窃取等。
目前 ,“僵尸网络”针对网络数据信息资产的攻击还不是很多,但是美国著名安全公司Websense首席执行官Gene Hodges先生认为,“僵尸网络”的攻击今后会越来越多地针对网络中的信息和数据,而不是网络本身。他还引用了一个很有意思的故事:“大约60年前,我们国家有一个抢银行的人,当警察问他为什么要抢银行,他回答很简单,就是银行里有钱”。随着中国经济的不断发展,世界上的黑客们已经把攻击的重点从欧美转向了中国,其方式也将不限于针对网站流量的DoS攻击,原因很简单,因为这里有钱。
攻击者制作了僵尸程序之后,需要将僵尸程序植入到尽量多的互联网主机上,才能构成一个威力强大的僵尸网络。僵尸程序本身通常并不具备自我传播的能力,需要借助其他自动或手动进入用户计算机的方式来蔓延自己。僵尸程序典型的蔓延方式是利用蠕虫,因为蠕虫是能够自主传播入侵用户计算机的最普遍的手段。另外一种值得注意的方式是,利用网站中嵌入的恶意代码。这些恶意代码会利用浏览器的漏洞,在用户访问这些网页的时候在其计算机中植入僵尸程序。
实际上处心积虑的攻击者会利用各种方式隐蔽地扩大僵尸计算机的数量。“口令蠕虫”这样的例子从僵尸网络构建的角度来说是失败的,因为其扩张的速度太快,容易引起网管或安全人员的注意。在实际的案例中,攻击者会花费一两年的时间慢慢积累所控制的计算机的数量。至于如何能将程序植入受害者的计算机中,则可以说不择手段。
安全防护 任重道远
Gene Hodges先生曾经对同事们开过一个玩笑,说那些制造病毒的人都是找不到女朋友的年轻人,他们成天在自己的卧房里坐着写病毒,也不跟女孩子交谈,现在这些黑客们已经长大了,有女朋友了,也结婚了,也开始需要用自己付款的方式买了房子,这时候他们就要赚钱,开始做专门害人的恶意代码。虽然说这个话的时候是开玩笑,但目前黑客攻击的重心确实已经发生转变了。
目前,最容易受到攻击的行业包括金融行业、医药行业、电信行业以及一些高科技企业,因为这些行业有钱。而保护信息资产的安全与保护网络设施的安全是完全不同的。如果企业的电子邮件系统坏掉了2个小时,其实关系不是很大,但是企业绝不能允许把自己商业秘密信息盗窃出去,所以它们之间差别很大。
当今的“僵尸网络”入侵和病毒已经没有关系了。病毒是不断在复制和传播的,其中最明显的就是蠕虫病毒。当今的“僵尸网络”威胁,很多已经不再具有复制功能,严格意义上来讲,它们已经不再是病毒,而只是待在那里,等待上当用户自己找上门来。当用户在浏览网頁时,他们就会自动安装到用户的电脑上,并可能控制电脑的操作。当你浏览网站时,很多不同的程序就会下载到你的电脑上,并且记录你的键盘记录数据,从而获取用户的隐私信息,比如信用卡密码等。它们还可以查看你的硬盘,获取所需要的用户名和密码。所有这些行为的目的就是为了获取数据。这些威胁都是非常安静的,而不像以前的病毒,通过大规模地发作,引起公众的注意。这种新型的威胁是无法通过传统安全工具来解决的。据澳大利亚的一家数据公司调查,80%的“僵尸网络”是无法通过传统安全产品来解决的。对于“僵尸网络”,我们更应该通过一些Web过滤、访问控制、身份管理等内容安全产品进行解决。
随着我国在诸如“僵尸网络”等内容安全方面威胁的不断加剧,也给与其相关的安全市场带来了巨大的发展机会,众多安全厂商纷纷加大了在内容防护、Web过滤、身份管理等方面的投入。据悉,赛门铁克、McAfee等知名安全厂商已开始进行了相应产品的研发。日前,Web过滤技术供应商Websense公司宣布在北京建立产品研发中心,并将在此后建立其亚洲服务支持中心,对所有亚洲企业用户提供技术支持和相应产品服务。
在很长时间里,我们对“僵尸网络”的蔓延听之任之。现在僵尸网络已经蔓延到公共网络的各个角落。根据赛门铁克公司日前发布的《第10期互联网安全威胁报告》显示,我国已经成为“僵尸网络”感染电脑数目最多的国家,在全世界470万台受感染电脑中,中国用户占到了近20%。我们不应再继续放松对“僵尸网络”警惕,而是应该坚决地铲除僵尸网络,以及造成其蔓延的安全漏洞。
