10大严重安全问题及预防措施

故乡的云

黑客，诈骗者和专门窃取隐私的人，他们攻击电脑和窃取隐私的花招总是层出不穷。这里列举了最新的攻防策略，以便广大用户有所了解做好防备。
　　虽然笔者经常打上最新的系统补丁，定期更新病毒库并扫描系统，但读完这篇文章后也感到非常震惊，一个新的木马（Trojan.Winloginhook.Delf.A），可能是太新的缘故，以至笔者的杀毒软件没有任何反应。它是否木马家族的一个变体还是一种全新的攻击方式？现今的安全威胁，就算安全意识再高的人也变得不堪一击。
　　当然，有不少措施可以最大限度的降低风险。做好防御的第一步是要弄清楚自己正面对的是什么问题，所以这里列出了10个用户应该知道的严重安全问题。为了保护自己，应该知道怎么打补丁，并保证杀毒软件是最新的。此外，本文还提供了相应的建议，以避开这些威胁或在中招后减少损失。
　　一.傀儡机军团
　　危险程度：　高 　　可能性：　　高 　　目标：　　Windows用户
　　Botnet（“僵尸网络”,又称“波特网”,是英语单词“BOTNET”的翻译语,国际上通常将集中控制的、数量庞大的受害电脑群称为“BOTNET”）曾经是技术犯罪高手的专利，他们通过远程控制被感染的PC来发送垃圾邮件，发动网络攻击，或借这些傀儡机传播间谍软件。但是，这都已成过去，现在就算是菜鸟级的攻击者也能够生成自己的botnet并进行攻击，而这都归咎于数码犯罪天才开发了用于这些目的的工具。
　　不少人通过创建并售卖功能齐全的bot开发工具来赚钱，通过这些工具，牧人（对那些运行botnet的人的称呼）可以自己进行攻击。而这些工具的售价从20美元到3，000美元不等，罪犯可以通过它来创建功能齐全的botnet和其它恶意软件，从可定制的蠕虫到按键记录程序等都可以实现，可怕的是，这完全没有任何技术要求。
　　更加聪明的网络控件
　　情况变得越来越严重。在创建了一个新的bot并发送给信任的电脑用户后，黑客就可以通过先进的命令控制工具来方便的操纵网络。
　　Sites的团队Sunbelt和安全机构iDefense Labs的快速响应团队已经发现了一种新的基于网页的botnet控件，他们称之为Metaphisher。与发送文本命令不同，牧人通过控件提供的高度图形化界面，精心设计符合习惯的图标和直观的控件，只需通过简单的点击就能完成攻击。
　　据iDefense Labs透露，在全球被Metaphisher控制的bot已经感染了超过100万部电脑。它甚至对本身与bot牧人间的通讯信息进行加密，并且几乎能够传播受感染电脑上的所有信息给控制bot的人--包括用户的地理位置，已经安装的Windows补丁和除了IE外用户机上运行的浏览器。
　　施法官员在对近期犯罪的调查中发现，所有这些易于使用的工具和控件无疑导致了大批的电脑被感染。例如，加州一个21岁的青年由于违反了《联邦反电脑欺诈与滥用法案》而被判入狱57个月。他经营了一间拥有多达400，000台基于botnet的被感染系统的公司。并且，去年秋季荷兰逮捕了三名bot牧人，估计他们已经控制了多达150万台傀儡PC。
　　较低的进入门槛意味着，就算通过法律将部分牧人绳之于法，但每天都不断会有新人加入。南卡罗莱纳州的一托管安全服务提供商Lurhq的高级安全研究员Joe Stewart表示，之所以有那么多人不断的进入这一行业是因为他们看到有人从事这行业并从中获利。

Botnet网络
　　工作原理：通过简单工具快速部署Bot
　　1. 一个潜在的犯人花费少量的金钱在线购买到一个建bot工具
　　2. 不要求任何技术，犯人就可以构建出一个杀毒厂商还不能识别的bot
　　3. 犯人通过电子邮件把bot以附件形式发送或上传到某个恶意网站上
　　4. 这个botnet通过发送垃圾邮件，间谍软件和发动拒绝服务攻击迅速获得金钱
　　防御措施
　　1. 避免浏览不熟悉的网站并且不要点击可疑电子邮件中提供的连接，bot基本是通过这样的方式传播的。
　　2. 警惕电子邮件的附件，尽管邮件好像是某个熟人发来。
　　3. 考虑使用其它浏览器，Firefox和Opera是个不错的选择。IE已经成为黑客的最爱。

故乡的云

二.被窃取的数据在网上自由流窜

　　危险程度： 　高 　　　可能性： 中等 　　　　　目标： Windows用户

　　黑客通过按键记录程序来窃取用户的银行帐号和密码。而在一个没有任何保护措施的ftp上存放敏感数据无疑等于自投罗网。

　　不幸的是，安全研究人员在过去屡屡见到这样的事发生。

　　反间谍软件公司Sunbelt Software的Alex Eckelberry透露，他公司在调查一个还没流传的特别广的按键记录程序时就发现了那么一个ftp服务器。这个服务器上提供了多达1GB偷来的证书，而这些证书都是在4月期间窃取到的。

　　按键记录程序不但能够捕捉到用户输入的任何内容，而且还能够进行屏幕截图，此外还能够从受Windows保护的存储区域内获取数据，而这个地方正是IE保存密码的地方。

　　这个ftp服务器上其中的一个日志文件记录了很多美国银行客户的密码，还有Buy.com、Yahoo、Hotmail和其它电子邮件账户的用户名和密码，还有其它在线娱乐场所和网站的账户细节。而危险也是跨国性的：这个日记以多种语言记录，除了其它流行的语种外海包括德语，西班牙语，匈牙利语，土耳其语和日语。 并且记录的IP地址更是遍布全球。

　　Sunbelt的Eric Sites表示，由于有如此多的可用数据，所以就没出现创建新按键记录程序热潮了。据商业与法律执行委员会Anti-Phishing Working Group透露，在4月共发现有180多个不同的按键记录程序，比去年同期发现的77个大幅增加，但对比前三个月有细微下滑。

　　防御措施

　　1. 安装一个能够阻止不明程序与外网进行通讯的防火墙，以阻止按键记录程序反馈数据。免费软件ZoneAlarm防火墙就能实现这样的功能；而Windows XP集成的防火墙就无能为力了。

　　2. 定期修改密码，并且不要在多个网站上使用相同的用户名和密码。关于密码设置的技巧，可以阅读Steve Bass最新的“Keep it Secret，Keep It Safe”。

故乡的云

三.钓鱼者伪造合法站点
　　危险程度： 高 　　可能性： 　高 　　　目标：所有网络用户
　　钓鱼是最有利可图的犯罪手段之一，并且它还在持续急速增长。据Anti-Phishing Working Group最新的统计数据显示，在2006年4月，新的独立钓鱼网站到达了11，121个之多，几乎是去年4月发现的2854个网站的四倍。
　　用户可能会认为钓鱼者的网站很容易识破，以为这些网站都存在低级的拼写错误，并且网页简陋。但是，现在的钓鱼者很少手工创建一整个银行网站了。相反，他们通过强大的服务器端软件把真实银行网站的文本，图片和连接通通拉过来。用户输入的所有查询都会转到原真实站点，当然登陆数据除外。这部分数据会落入钓鱼者手中。
　　有些钓鱼站点做得实在太专业，就连很小心有经验的冲浪者也会上当。
　　浏览器被劫持
　　钓鱼者的目的就是要诱骗用户浏览某个伪造的网站。或许根据过去的经验，不要相信声称是从你银行发来的并要求你点击链接以确认帐户信息的链接。但是，现今的钓鱼者采取的是更加强逼性的手段来使用户的浏览器指向他们的站点。
　　一种称为智能重定向的恶意软件技术，就算用户正确的输入了银行的网址，但是浏览器还是会鬼使神差的转向钓鱼者的网站。在被感染用户电脑上运行的恶意软件，监控着世界各地活动的成百上千个假银行站点，一旦用户想登陆某个银行的站点，它就会自动重定向到某个活动的假站点。如果某个假站点被合法取缔了，那么这个智能重定向技术会把受感染电脑带到另外一个躲过检查的站点。
　　只要还有利可图，那么罪犯就会不断的锻炼技能和开发新技术。安全硬件制造商CounterStorm的Michael Rothschild表示，目前来说，的确非常有利可图，好的带有证书的信用卡信息可以卖到70美元一张。

网络钓鱼
　　工作原理：引诱警惕的人就范
　　1. 某位细心谨慎的用户在浏览器地址栏上输入银行的URL。
　　2. 在用户机器上的恶意软件把用户重定向到某个钓鱼网站。
　　3. 通过实时的从真实的银行网站上获取文本和图片，使得钓鱼网站看起来与真的没有什么区别
　　4. 在输入银行账户之后，就算是细心的用户也会落入老练的钓鱼者的圈套。
　　防御措施
　　1． 提防从任何公司发来的电子邮件，不要被它表面所欺骗。好的钓鱼站点和欺诈电子邮件没有什么明显的缺点。
　　2． 自己手动输入银行的URL或者通过书签登陆；避免点击电子邮件的链接。
　　3． 在浏览器的工具栏上，查看站点是否带有锁状标记，有的话说明站点是安全的。记得是工具栏上，而不是网页上。
　　4． 使用现有的，并且能够在进入某个已知钓鱼站点时对用户发出警告的反钓鱼工具栏。

故乡的云

四.人为的安全漏洞
　　危险程度： 　高 　　　可能性： 高 　　　　　目标： 所有人

　　用户可以升级Windows和其它应用程序、安装安全软件来保护电脑，但一个永远都不可能被修补的缺陷是：人为的错误。
　　在线的罪犯不断的改变作案手段来引诱网络用户，并且越趋隐蔽。
　　近来发生的eBay拍卖陷阱充分说明了社会工程是多么的有效（社会工程（social engineering）陷阱，通常是利用大众的疏于防范的小诡计，让受害者掉入陷阱。该技巧通常以交谈、欺骗、假冒或口语用字等方式，从合法用户中套取用户系统的秘密，例如：用户名单、用户密码及网络结构）。根据US-CERT和网络安全公司的报告表示，聪明的钓鱼者正通过eBay网站上的一个隐患来把拍卖链接添加到eBay的网页上。这些链接会把用户带到另外一个网站，并要求用户输入eBay的登陆信息。毫无疑问，用户会对那些要求点击并输入帐号信息的电子邮件存在戒心。但是，当你点击了可信的eBay网站上某个链接后再要求输入信息，那就算最谨慎的人都会放下戒备束手就擒。
　　当然，对电子邮件也要加倍小心。聪明的诈骗者盗取或购买到电子邮件地址，他们不发送垃圾邮件，而是发送看起来像是从某个真实地址发来但带有病毒的邮件。用户很可能会点击看起来是从“某人@用户公司.com”地址发来的Word文档或电子邮件中的链接。
　　加上近日在微软Word中发现的零日利用漏洞，这种通过虚假电子邮件地址进行攻击的方式就变得更加有效了。你一旦打开恶意电子邮件中的.doc附件就会中毒。
　　防御措施
　　1. 订阅专注安全的RSS Feed来获得最新的网络威胁信息。推荐的feed有：

F-Secure

，

卡巴斯基

和

Sophos

。
　　2. 获得尽可能多的安全建议和产品评论。推荐网站有：

PCWorld的间谍软件与安全信息中心

。

故乡的云

五.诈骗者重定向用户浏览器到其欺诈网站
　　危险等级： 　高 　　　　可能性： 　高 　　　　目标： 商业用户
　　用户可能每天都在使用域名系统（DNS）。它能够把如“www.pconline.com.cn”的域名转换成计算机用于识别网络上其它电脑的数字IP地址。它的作用对于因特网来说必不可少。
　　但是，根据网络公司The Measurement Factory透露，全球75%的DNS服务器仍然运行着旧的或者是配置错误的DNS软件。这些系统对于很大一部分攻击来说都是非常脆弱的，计算机安全研究与教育组织SANS Institute已经把DNS软件列为20个最危险的网络隐患之一。例如，攻击者就是利用错误配置的DNS服务器来发动拒绝服务攻击，迫使反垃圾邮件机构Blue Security从此关门大吉。
　　有多种方法可以实现攻击。其中一种方法是“缓存中毒”，这样攻击者可以同时锁定使用DNS服务器的所有用户。用户输入的可能是一个合法的网站，但结果是转向到恶意网站并最终在用户电脑上种植恶意软件。
　　另一种致命的攻击手段是：攻击者把虚假请求发送给递归式的DNS服务器，而服务器把应答的响应数据发送到受害者那里。响应包含了比原来请求包含更多的数据，这样就极大的增强了攻击的效果。倒霉的受害者忙于应付这些垃圾数据因此不能响应正常的用户请求。

网络欺诈
　　预防措施
　　向企业的IT部门确认DNS服务器不是递归式的，并且其上的软件保证是最新。用户可以阅读US-CERT报告以获得更多的信息。【

点击下载US-CERT报告

】

故乡的云

六.病毒与Rootkits同流合污
　　危险程度： 　高 　　　可能性： 中等 　　　　目标： Windows用户
　　Rootkits是恶意软件开发者梦寐以求的东西：它们允许蠕虫，bot和其它恶意软件隐藏其中而不被发现。这些文件都不会显示在Windows Explorer中，而进程也不会显示在任务管理器，可怕的是，目前很多杀毒软件都不能查到藏在Rootkit中的恶意软件。这也就是恶意软件作者对其如此情有独钟的原因。
　　读者比较熟悉的可能就是去年11月闹的沸沸扬扬的Sony防拷贝Rootkit事件。攻击者很快就利用Sony Rootkit来隐藏他们的恶意软件。Sony的软件能够隐藏所有以“$sys$”开头的文件或进程。所以恶意软件作者也相应的把他们的文件改名。
　　在三月，西班牙杀毒软件厂商Panda Software表示，发现了带有Rootkit功能的Bagle蠕虫变体。更糟的是，与botnet情况相似，Rootkit作者也在出售工具或者甚至免费提供，这无疑助长了带有Rootkit功能恶意软件的泛滥。
　　尽管攻击者现在基本都是为恶意软件合成Rootkit功能，但不排除会有新的攻击方式。例如，安全机构eEye就已经发现了攻击者和有可能会把文件隐藏在硬盘的启动扇区中。此外，在一月，Next-Generation Security Software的安全顾问John Heasman就宣布，通过BIOS的高级配置与电源接口（ACPI）功能，Rootkit可以把恶意代码隐藏到电脑的BIOS之中。
　　一个由微软与密歇根州研究人员进行的项目揭开了Rootkit研究的密码。他们设计了一种方法，首先把操作系统“撬起来”跟着把一个称为SubVirt的软件放到底层运行。对于目前所有的操作系统来说，它都能正常运行，并且这个“虚拟机”彻底控制了OS所能及的东西，还能非常简单的实现自我隐藏。
　　幸运的是，这种技术实现起来很有难度，并且一旦运行的状况会很明显－系统会变得非常缓慢并且某些文件名会被修改。现在来说，这样的Rootkit还处于试验阶段，以概念验证代码的方式存在；离攻击者能利用的阶段还为时尚早。
　　高风险的捉迷藏
　　找出现今相对没那么危险的Rootkit对于安全软件厂商来说是一项极大的挑战。
　　检测Windows电脑上的Rootkit就像是在漆黑的房间中用手电筒照某个物体，并通过物体在墙上的投影来识别各个物体。如F-Secure的BlackLight和Sysinternal的RootkitRevealer这些专业软件，它们根据Rootkit具有的不规则特性来扫描Windows文件系统和内存。
　　但是这些软件并不是在每种情况下都适用。例如最近，广告软件Look2Me通过禁用一个关键的系统调用而把BlackLight废掉了。这个发现虽然出于偶然，但是Rootkit作者无疑会高度关注这件事，并且会在下一版的恶意软件中加以利用。

Rootkit隐藏病毒
　　工作原理：隐藏的恶意软件在PC上安营扎寨
　　1. 带有木马的Rootkit通过被下载而入侵电脑
　　2. 恶意软件对系统作出深层的改动以躲过杀毒软件
　　3. 木马在系统上种植木马和间谍软件
　　防御措施
　　1. 安装具有Rootkit查杀功能的杀毒软件。卡巴斯基和F-Secure最新版的杀毒软件已经提供这样的功能，而其它杀毒软件应该也会很快增加这功能。
　　2. 安装如F-Secure的BlackLight和Sysinternal的RootkitRevealer的Rootkit检测工具，它们都是免费提供下载的。其它扫描器也会逐渐可用；读者可以到

这里

获得更多信息。

故乡的云

七.病毒拜访你的手机
　　危险程度： 中等 　　可能性： 低（美国），中等（欧洲，亚洲） 目标：手机及智能电话用户

　　似乎开发针对PC的病毒还不满足，攻击者现在把目标转移到手机上面来了。与PC病毒一样，部分手机病毒通过造成系统崩溃和破坏其操作系统的方式肆虐。其它比较无聊的病毒只是会改变程序图标或者令到设备更难使用而已。
　　当然，部分病毒完全是冲着钱而来的。一个感染俄国用户手机的木马会发送文本信息到某个收费服务。

允许？不允许？
　　目前来说，这些病毒在美国还不是什么大问题，但是在欧洲和亚洲已造成极大的威胁。
　　像现实世界的很多生物战剂一样，手机病毒也需要彼此物理靠近才能传染到其它手机上。蓝牙功能是最通常的感染方式。例如，Mabir病毒就是通过SMS短信传播的。
　　大部分的手机病毒都是针对Symbian操作系统，只有很少一部分是针对Windows Mobile和基于Java的手机。手机病毒持续增长，截至到2006年5月15日，已经发现了有211种变体，比2005年底的数字增加了156。
　　防御措施
　　1. 禁用手机或PDA上的“打开”蓝牙功能，以断绝这种最普通的感染方式。
　　2. 密切留意电话帐单，看看有没有不明的收费项目。
　　3. 安装移动版杀毒软件。F-Secure，卡巴斯基，McAfee和趋势都有相应移动版的产品。

故乡的云

八.护照也有恶意软件？
　　危险程度： 中等 　　　可能性： 低 　　　　目标： 广大消费者
　　护照，剃须刀或者宠物猫有可能携带计算机病毒吗？听来好像很方缪，但最近荷兰研究人员的发现证实了这种可能性。
　　RFID（射频识别）芯片非常的小，成本也不高。它可以嵌入到标贴或宠物ID标签当中，并且，它们很快就会用于驾照和美国护照上面，以用于短距离传输电子信息。
　　虽然这种传输数据的方法很成功，但是部分RFID技术的实际实现存在安全隐患。例如，在某些标签上的信息可以被重写，并且其它标签可以在超于正常距离外被读取。
　　为了利用这些隐患，荷兰大学的研究人员进行了备受争议的概念验证研究，他们通过修改过的RFID和类似病毒的命令来“感染”存储标签记录的后台数据库。理论上，通过这种方法可以造成RFID系统崩溃或运行恶意代码。
　　很多安全专家都指出，通过在RFID阅读器和数据库间集成有效中间件合理构建的系统，对这些攻击起到一定的防御作用。并且，敏感的RFID芯片可以通过加密和屏蔽外壳来拒绝获得未经要求的恶意有效载荷。计划实施的美国护照就会结合使用这两种方法。
　　这次研究又一次说明了这样一个基本观点：几乎任何系统都有漏洞。那么，要小心身边的猫了。
　　防御措施
　　1. RFID信号不能穿透金属和金属边的箱子。如果带有RFID安全护照，那么请把它们放到金属的名片盒子或其它类似的金属物中。

故乡的云

九.利用个人信息进行敲诈
　　危险等级： 中等     　可能性：　 低 　　　　目标： Windows用户
　　这种攻击虽然很少见，但是在全球都有发生。
　　Cryzip是一个敲诈用软件，它能够搜索到硬盘上44中不同类型（如微软的Word和Excel）的文件，并把它们压缩成一个带密码保护的Zip文件。跟着它通知受害人，要求把300美元存到从99个e-gold（简称EG，被称为网络时代的货币，基于网上支付平台，国际上越来越多的公司和商店接受e-gold的支付方式）账户中随机选择的一个账户中。一旦受害人支付了，罪犯就会提供相应的密码。
　　目前来说，这些敲诈软件还不是很先进，并且攻击范围有限。但是，这还处于威胁的初期，一旦罪犯技术成熟后，更大的威胁也随之而来。
　　工作原理：敲诈，恶意软件风范
　　1. 用户胡里胡涂的访问了某个恶意网站，跟着敲诈木马软件潜入PC。
　　2. 敲诈软件把整个“我的文档”压缩成一个带密码保护的文件。
　　3. 用户收到勒索金钱的信息，或者要求购买某在线商店的物品，以作为要回密码的报酬。
　　防御措施
　　1. 如果你不幸成为受害者，那就去报警。不要支付金钱，并且不要访问任何勒索信息中提供的连接。
　　2. 记下勒索信息中的细节，并关闭受感染的电脑。启动另外一台没被感染的电脑，通过刚才记录的细节信息在网上搜索，很可能可以找到相应的密码。
　　3. 试一下使用能恢复误删文件的程序以恢复丢失的文件。然而，某些文件是完全不能恢复的。

[ 本帖最后由 故乡的云 于 2006-7-29 11:41 编辑 ]

故乡的云

十.没有安全的避风港：威胁肆虐所有平台



　　危险程度： 高 可能性： 低 目标： Windows，Mac，Linux用户
　　面对Windows用户遭受的无尽攻击，Mac和Linux用户可能暗自得意。但是，这些一度认为是安全天堂的系统，现在越来越有必要处理它们自己的问题了。
　　随着恶意的人开始关注一份报告指出的OS X的70个安全漏洞，Mac也被攻击中。在二月，第一个恶意软件就利用了其中的一个隐患攻击了OS X Tiger：它就是所谓的Oompa-loompa即时通讯蠕虫。IE用户已经习惯了某个IE的bug会导致“远程代码执行”的警告，而现在Mac用户也要提高警惕了。
　　Apple最近发布的三个安全补丁就是修复了其Safari浏览器的安全漏洞。
　　针对Linux的蠕虫也不少。针对Linux系统的恶意程序在2004年到2005年间翻了一倍。
　　最新的隐忧是跨平台病毒的出现：单个程序就可以感染两个或多个类型的系统。
　　在4月就出先了能同时攻击Windows和Linux的概念验证病毒。这个病毒由杀毒软件厂商卡巴斯基开发，但是它不会造成破坏。它的名称有Virus.Linux.Bi.a和Virus.Win32.Bi.a，只能感染一种Linux文件格式（ELF）和一种Windows文件格式（PE）。并且它是基于旧的Linux单元，这些单元在新的系统中已经不再使用。不过这也足以促使Linux之父Linus Torvalds开发相应的补丁了。
　　Windows的广泛使用也意味着恶意软件的伤害范围同样广泛。但是其它系统的流行，也逐渐变成攻击者的目标。
　　OS漏洞一览
　　以下列出的安全公告显示，微软并不是唯一一个遭受隐患困扰的公司，但是Apple看起开推出补丁的速度更为迅速。

系统补丁一览
　　防御措施
　　1. 考虑安装Mac版或Linux版的杀毒软件，Panda，McAfee和赛门铁克都有对应系统版本的产品。
　　2. 无论用户的是什么系统，保证系统打好补丁，并且确认补丁是最新的