【IT168 资讯】以“互联网安全新思维”为主题的OWASP2011亚洲峰会在11月8日-9日成功举办。本届大会以“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。Imperva高级策划师Noa Bar Yosef女士为我们深入介绍了2011年五大黑客攻击事件。
▲Imperva高级策划师Noa Bar Yosef女士演讲
Noa首先谈到,“目前,黑客攻击日趋自动化,以前是每个小时有27个攻击,每两分钟一次。你想想你坐在家里,每两分钟就有人想撬你的锁。我们发现在高峰的时候,每秒钟有7个试图攻击。这么高的攻击量,一定是因为自动化了。37%是directory traversal,4%是rfi,36%是XSS,23%的sqli,最流行的收集数据的方法。攻击者、黑客都是一帮人,都来自同一个来源,比如我们在一个主机上会发现攻击者来自于同一个黑客或者同一台主机。比如说30%的攻击事件只有10个黑客来源。”
下面是2011年最大五次黑客攻击事件:
1、RSA
2011年3月,Data related to SecureID tokens给攻击了,他们被钓鱼攻击的,钓鱼文件里面有一个恶意的邮件,不知情的员工点击了邮件,然后公司就受到了攻击。黑客通过钓鱼进入最大量的机器或者用户。当大量的机器受到钓鱼邮件攻击以后,下一步黑客在这个基础上发动第二个层次的攻击。越来越严重,发现来自内部的攻击,这些攻击也不是自愿的,而是因为他们收到钓鱼邮件,打开钓鱼邮件,就在内部成了攻击的平台。很多用户在公司上班的时候,并没有小心。
2、美国800万被攻破的网站
为什么800万个网站全球,为什么有这么大量的网站受害呢?其中的原因就是用谷歌,我们发现黑客每年送800万个恶意的软件给谷歌,这充分证明的自动化的危害。比如说恶意的查询不是从同一个IP来的,就是因为黑客把它分布给不同的IP。工作原理是这样的,一个攻击者的第一件事获得一个僵尸网络,在它的控制之下,拥有全球受害机的僵尸网络,接下来黑客就会得到分布搜索工具,这就叫做Dorks,通过查询具体的措施。
3、LulzSec’s 50天的黑客
还有很大的攻击事件,他们去年从5月21号号召所有的黑客攻击任何系统,在未来的50天之内,包括美国很大的新闻网络,索尼、亚历山大州的公共安全部门,他们没有选择性,5天他们说向任何的组织都可以发动攻击,口号是为了好玩。
4、Sony
2011年索尼出于无奈关闭了他们的网络,看上去他们成员聊天记录可以看到,他们用的手段都是很常用的,主要因为我们的数据没有安全的储藏和保护,安全应该是一个公司的基本的组成部分,永远不可以忽略。其实这对于公司来讲是很实际的问题,比如说索尼受到攻击以后第二点,它的股票是直线下降。
5、出售政府网站
这张单子给政府和军事机构的网站,你可以花99块钱,可以买到怎么样去攻击意大利一个国家部门的网站。这又一次证明了黑客了自动化造成的危害。同时也证明了SQL注入成为了一个非常有利可图的工业。
比如说索尼的攻击事件使得7000多万个信用卡资料被盗用,如果我们看到黑客用的自动化的工具,他们把这个软件装进去以后,按一个键,就可以显示很多受到攻击的网站。我们之所以发现了软件,是因为这个软件留下的踪迹,但是很多软件的踪迹是不容易追踪的。
Noa谈到:“我们刚才看了2011年五个最大的攻击事件,我们可以看出来事故不可以避免的,大部分的攻击者是找容易攻击的目标,他们用的手段很简单,比如说SQL注入,避免受到SQL注入工具的技术其实早已经存在,可以很轻易的部署到,我们可以发现很多黑客是累犯,他们30%的攻击事件是有十个黑客来源。我想重申一下,对付攻击的办法是有的,就等着我们去部署。我们要加强对这些黑客累犯的防护,可以大大减少被攻击的可能性。怎么样知道哪个是攻击累犯呢?我们有两种办法,一是白单,一是黑名单。攻击日趋自动化,我们怎么样去对付这些自对的攻击呢?有一个很有效的办法,把程序故意的变慢,比如程序慢一秒钟,对于人是不会察觉的,对自动攻击有一个很有效的打击作用。事故是不可以避免的,当事故发生了以后,我们要找到踪迹,很多系统的记录,就是我们的朋友,我们应该在里面尽量找出攻击者的来龙去脉保护系统。”
很多攻击通过钓鱼软件,为什么用户会打开钓鱼软件呢?这并不是技术问题,这是人的问题。我们应该教育终端用户存在的危险,好让他们怎么样保护自己,保护他们所在单位。我们还需要考虑到有一些终端用户,由于他的不小心或者教育程度不够,在他的电脑给侵入过的,他自己都不知道,但是他已经不自愿的成为了黑客的攻击平台。
相关链接:
OWASP2011演讲PPT下载专辑http://topic.it168.com/factory/owasp_2011/index.html
OWASP2011专题报道http://safe.it168.com/topic/2011/11-7/OWASP2011/index.html