【IT168 专稿】2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开，本届年会主题是“网络促进发展 安全创造价值”。23日进入会议第二天，在分会之“ISP & ICP安全”会上，JPCERT/CC情报安全分析员林永熙介绍了日本近期资安事件。以下是JPCERT/CC情报安全分析员林永熙发言实录：

　　主持人闫宏强：下面，请JPCERT/CC情报安全分析员林永熙先生介绍日本近期资安事件。

　　林永熙：我先介绍自己，不是日本人，是台湾人，但在日本已经工作十几年了，非常感谢主办方邀请我参加这次会议。但是，在中国演讲是第一次，中文有什么不好的话，请多多的包涵。大家对日本的资安事件比较了解，就不在这里过多介绍了。

　　JPCERT/CC于1992年正式成立，已经有13年历史了。2003年正式注册了法源依据，我一直在担任APCERT秘书长，已担任六年了。2006年，参加了日本总务省和经济产业省合作计划，建立了“Cyber Clean Center”，担任僵尸网络分析，主要是监测蜜罐系统，对漏洞来源进行登记，把资讯转给防毒厂商。防毒厂商会根据终极漏洞做报表程序，出台升级程序。组织主要对事件和漏洞进行处理和监测，在国内进行事件处理、漏洞资讯发布，和国外也也合作。

　　我们在日本的用户约9千万，非用户2千9百万，网络用户数从52%达到72.3%。宽频用户占73.4%，窄频用户占26%，平均的连接速度最快的国家是韩国11M，日本仅次于韩国8M，香港是7.6M，罗马尼亚是6.9M，瑞典是5.8M，排在前三位都是亚洲国家。

　　(图)频宽/月费比较。韩国最便宜，接下来是日本，然后是其他国家。

　　(图)平均月费—1M价格。最便宜的是韩国首尔，日本居于其次，最贵的是美国纽约。

　　(图)月费—有线电视CATV。最便宜的是韩国首尔，日本居第二。

　　(图)月费—光纤。韩国、日本的价格都还可以。

　　(图)光纤与DSL消长。日本的DSL消费呈负增长，光纤消费呈正位增长。

　　(图)网际网路总流量超过1000G，在短短三四年就增长了四倍。

　　(图)日本连网方式主要是PC，占90.8%，PDA和PHS连接占9%，游戏机、电视连接占6.2%，日本人使用网络主要是发邮件。

　　资料库注射攻击的攻击原理是，用一个网站通过攻击手法输入文字或图片，注入到数据库里面窃取数据库的资料。2009年的时候，第一阶段有所改变，攻击者将恶意脚本直接放到受害站，修改资料库。执行恶意脚本之后，连接受害者，受害者一旦点击网站，就进入到了被中毒的网站，用户也就直接中了病毒。黑客篡改网页也是植入恶意脚本，但目标已转为拜访网站的访客。

　　攻击来源，主要来自亚洲、日本，爷爷一些来自美洲，但没有看到来自欧洲或其他国家。

　　攻击特点更加进化，利用cookie进行攻击，设计模糊化攻击程序码，系统管理者不易察觉，大量的攻击工具都是直接针对应用产品的。

　　我们采用的应用对策主要是对许多网站连结资料库进行运作，以提供更多的服务，但依然有多数网站未采取防范措施。我们发现很多网站如果被实施漏洞扫描，客户断不显示资料库系统讯息，我们建议客户不要显示资料库系统讯息。

　　案例：2008年4月日本资安事件发生，黑客主要是盗窃用户的信用卡，公司对所有泄漏顾客资料的用户全部赔偿了现金券，相当于1亿日币，对受到损失的客户做了补偿，他们被攻击的损失很大。

　　毒害原理：通过在网站植入错误的ID，用户通过用户端查询恶意网站而受到病毒侵害。

　　(图)漏洞报告图。

　　(图)毒害漏洞报告数。2008年9月18日12：00，有很多人报告了自己的DNS漏洞。

　　我们应用对策主要是探用DNS，补DNS漏洞。

　　(图)日本资安事件外泄了7232763人的资料，事件数1373件，预测损失2亿多日币。

　　日本经常采取完全的P2P方式，不需要中央服务器，非常坚牢。

　　Winny病毒比较有名，在日本也叫“山田病毒”，Winny的作者争议比较多，作者本身没有恶意行为，第一次判处有期徒刑1年，第二次大阪高等裁判所判处无罪。P2P病毒作者于2008年1月逮捕，但没有对其进行判处，唯一惩罚了盗窃卡通漫画的版权。

　　如果的资安事件波及外泄事件组织，日本的公家机关在这个事件中非常紧张，因为泄漏了他们很多隐私资料。近来我们搜到日本非常多国内拍卖网站有大量的钓鱼信件，这些网站的首页设在美国，窃取帐号的脚本却设在日本国内，因为通过美国运行商处理的话需要花一些功夫，他们只把首页挂在那边。这个拍卖网站的日本厂商会给用户一个月的试用时间，等试用期过了之后就取得用户的帐号放在脚本里面，这个事件一直持续到今年2月份。

　　目标是社交工程攻击，手法是给你发一个邮件，邮件内容比较敏感，让你不得不开，在你打开邮件的时候，他们尝试攻击。2006年攻击警察，警察想办法应对丑闻;攻击防卫厅和企业窃取了下一期防御计划书等等事件。

　　JPCERT/CC内部员工和外部厂商有合作计划，方法是通过邮件添附无害执行档，统计档案被执行率。

　　(图)日本邮件被病毒攻击版式。我们对邮件文章做过四次监测，文章监测的难度越来越高。

　　测试总结：用户被骗的程度越来越高，新进员工是最脆弱的群，演练实施之后的收获也是低成本的。

　　(图)韩国DDOS攻击事件摘要。DDOS不断反复攻击，不断下载攻击清单，最后大量发送勒索邮件，这只是一个障眼法，最后自己把病体破坏掉。韩国受DDOS攻击严重的是韩国及美国的政府机关和企业。

　　(图)发起DDOS攻击恶意程序特征。一部分是恶意软件嵌入;一部分是大量发送垃圾邮件发送，发送出去的垃圾邮件名都是无效的邮件名。资料破坏的特征是提醒你下载问津，如果打开这个连接就会自动下载破坏程式。值得注意的是他们执行的红色档案是韩国政府内部行政网路，还有金星软件公司的软件程式，他们主要是针对韩国发起的攻击。

　　(图)恶意程式机制鸟瞰图。

　　据我们所知，这次受到攻击的有5-6万人，我们帮助他们做IP地址分析，在这里不方便公布名字。JPCERT/CC设立有内阁官方情报安全中心、网络警察。JPCERT/CC每年会出十大威胁文件，针对机关、个人或系统管理者来做威胁的介绍。

　　如果各位有问题需要交流，欢迎发邮件过来，谢谢各位。