至少僅僅靠安全意識上的加強是遠遠不夠的,而且很少有人將歷史教訓放在心上。紅色代碼的爆發就充分地說明人們常常即使已經知道存在某種安全威脅,但卻事不關己,高高掛起,自己還沒有遭到攻擊就賴得補救。而企業有限的安全預算也制約著信息安全領域的發展。另外,一些人還會出于某種目的花費大量的時間去研究新的攻擊方法和手段,盡管如此,我們還是可以嘗試著去預測隱伏著的可能的這些攻擊。.
筆者時常被問," 什么樣的潛在性網絡攻擊會使你在半夜醒來?" 筆者想可能下面的這些就足以使我半夜驚醒:.
1、超級蠕蟲.
無論是手段的高明性,還是破壞的危害性,計算機網絡受到蠕蟲的威脅都在激增。在我們的民意調查中顯示人們仍舊將這一威脅看作是計算機網絡將面臨的最大威脅之一,有超過36%的人認為超級蠕蟲的威脅應該擺在第一位。.
超級蠕蟲,它一般被認為是混合蠕蟲。它通常能自我繁殖,并且繁殖速度會變得更快,傳播的范圍會變得更廣。更可怕的是它的一次攻擊就能針對多個漏洞。例如,超級蠕蟲潛入系統后,不是僅僅攻擊某個漏洞,而是會嘗試某個已知漏洞,然后嘗試一個又一個漏洞。 .
超級蠕蟲的一枚彈頭針對多個漏洞發動攻擊,所以總有一個會有效果。如果它發現你未打補丁的地方,那你就在劫難逃了。而事實上沒有哪家公司的系統完全打上了所有的補丁。.
很多安全專家逐漸看到的通過IM(即時消息)進行傳播的蠕蟲就可以說是一種超級蠕蟲。黑客將一個鏈接發給IM用戶后,如果用戶點擊鏈接,蠕蟲就會傳播給該用戶的IM地址簿上的所有人。有了IM,用戶將隨時處于連接狀態,所以也隨時會受到攻擊。
為對付未來的超級蠕蟲我們所能做的將是: .
.
對外部可訪問系統進行安全加固, 像Web服務器,郵件服務器和DNS服務器等,盡量將它們所需要開放的服務減少到最小。 .
給系統及時打上補丁、及時更新防病毒軟件,對員工進行安全宣傳和教育。.
使用基于主機的入侵檢測系統和預防工具, 例如Symantec的 Intruder Alert 3.6 可以阻斷或迅速發現蠕蟲的攻擊。.
2、隱秘攻擊(Stealthier Attacks).
現在越來越多的黑客把攻擊后成功地逃匿IDS的檢測看作是一種藝術,有許多新工具將能使他們在攻擊用戶的系統后,不會留下任何蛛絲馬跡,有多種高級黑客技術將能使之成為可能,而這些技術已經被廣泛地為專業黑客和一些高級的腳本菜鳥(Scripts Kids)所采用:.
多變代碼.
這些惡意軟件其本身可能是一種病毒,蠕蟲,后門或漏洞攻擊腳本,它通過動態地改變攻擊代碼可以逃避入侵檢測系統的特征檢測(Signature-based detection ,也可稱為模式匹配)。攻擊者常常利用這種多變代碼進入互聯網上的一些帶有入侵偵測的系統或IDSes入侵者警告系統。.
Antiforensics.
攻擊者可操作文件系統的特性和反偵測伎倆進行攻擊來逃避IDS的檢測。.
例如通過利用像Burneye這樣一個工具,可以掩蓋黑客對系統的攻擊企圖,使用Defiler的工具Toolkit可以覆蓋黑客對目標文件系統所做的修改留下的蛛絲馬跡。.
隱蔽通道.
為了和后門或者惡意軟件進行通訊,攻擊者必須建立一條非常隱蔽的通信通道。為此,攻擊者常常將通訊端口建立在一些非常常用的通信協議端口上,像HTTPS或者SSH。
內核級后門(Kernel-level root kits) .
.
通過從系統內核控制一個系統,攻擊者獲得對目標系統的完全控制權限,而對受害者來說卻一切都似乎風平浪靜。.
嗅探式后門(Sniffing backdoors).
通過將后門和用戶使用的嗅探器捆綁在一起,攻擊者能夠巧妙地繞過用戶使用的傳統的通過查看正在監聽的端口來發現后門的檢測方法,使受害者被種了后門卻還一直蒙在鼓里。.
反射式/跳躍式攻擊.
與其直接像目標系統發送數據,很多攻擊者覺得還不如利用TCP/IP欺騙技術去以誤導正常的檢測,隱蔽攻擊者的真實地址。象反射式DoS攻擊就是例證。有關反射式DoS攻擊的詳細信息,請參見安絡科技七月巨獻:網絡攻擊機制和技術發展綜述。.
針對以上這些詭秘的攻擊,作為用戶又該如何防范和阻止呢?.
如果你的系統遭到這種攻擊,你需要能夠迅速地檢測出來,而且要知道攻擊者具體在你的系統上干了寫什么。為了能夠察覺出這種入侵,需要同時使用基于網絡和基于主機上的入侵檢測系統和防病毒產品,并仔細檢查你的系統日志。一般用戶可能不具備這種專業能力,可以尋找一家高專業水準的信息安全簽約服務商,為您提供高水平的反入侵服務。.
一旦你發現自己的系統有什么異常,你必須確保你的事件緊急響應小組在取證分析上有豐富的經驗,能夠熟練使用像@stake的免費TASK工具或者Guidance Software的商業軟件EnCase,因為這兩個工具都能非常仔細對系統進行分析,并且非常精確地隔離攻擊者的真實破壞活動。重點部門的事件響應小組可以和專業安全服務商共建,明確分工,及時處理。.
3、利用程序自動更新存在的缺陷.
主流軟件供應商,像Microsoft和Apple Computer等都允許用戶通過Internet自動更新他們的軟件。通過自動下載最新發布的修復程序和補丁,這些自動更新工具可以減少配置安全補丁所耽誤的時間。.
但是程序允許自動更新的這個特征卻好比一把雙刃劍,有有利的一面,也有不利的一面。攻擊者能夠通過威脅廠商Web站點的安全性,迫使用戶請求被重定向到攻擊者自己構建的機器上。然后,當用戶嘗試連接到廠商站點下載更新程序時,真正下載的程序卻是攻擊者的惡意程序。這樣的話攻擊者將能利用軟件廠商的自動更新Web站點傳播自己的惡意代碼和蠕蟲病毒。.
在過去的六個月中,Apple 和 WinAmp 的Web站點自動更新功能都被黑客成功利用過,所幸的是發現及時(沒有被報道)。Apple 和 WinAmp 后來雖然修復了網站的緩沖溢出缺陷,并使用了代碼簽名(Code Signing)技術,但基于以上問題的攻擊流一直沒有被徹底清除。.
為了預防這種潛在的攻擊威脅,需要嚴格控制和管理安裝在你的內部網機器上的軟件,禁止公司職員隨意地安裝任何與工作無關的應用軟件。在這里,你可以使用軟件管理工具來強迫執行,像 Microsoft 的 SMS,LANDesk SOFTware 的 LANDesk。這兩個工具只要二者擇其一,你就可以配置你的內部升級服務器,如通過在工具中對微軟軟件升級服務器相關選項進行配置,你可以具體選擇哪個修復程序和補丁允許被安裝。為保護你的網絡,可使用sniffer測試所有的補丁,如發現網絡流量不正常或發現開放了陌生的端口則需引起警覺。
4、針對路由或DNS的攻擊 .
.
Internet主要由兩大基本架構組成:路由器構成Internet的主干,DNS服務器將域名解析為IP地址。如果一個攻擊者能成功地破壞主干路由器用來共享路由信息的邊界網關協議(BGP),或者更改網絡中的DNS服務器,將能使Internet陷入一片混亂。.
攻擊者通常會從頭到腳,非常仔細地檢查一些主流路由器和DNS服務器的服務程序代碼,尋找一些能夠使目標程序或設備徹底崩潰或者取得系統管理權限的緩沖溢出或其它安全缺陷。路由代碼非常復雜,目前已經發現并已修復了許多重要的安全問題,但是仍舊可能存在許多更嚴重的問題,并且很可能被黑客發現和利用。DNS軟件過去經常發生緩沖溢出這樣的問題,在以后也肯定還可能發生類似的問題。如果攻擊者發現了路由或DNS的安全漏洞,并對其進行大舉攻擊的話,大部分因特網將會迅速癱瘓。.
為了防止遭到這種攻擊,確保你的系統不會被作為攻擊他人的跳板,應采取如下措施:.
對公共路由器和外部DNS服務器進行安全加固。如果公司的DNS服務器是為安全敏感的機器提供服務,則應為DNS服務器配置防火墻和身份驗證服務器。.
確保DNS服務器安裝了最新補丁,對DNS服務器嚴格監控。.
如果你認為是由ISP的安全缺陷造成的威脅,確保你的事件緊急響應小組能夠迅速和你的ISP取得聯系,共同對付這種大規模的網絡攻擊。.
5、同時發生計算機網絡攻擊和恐怖襲擊.
這可以說是一場雙重噩夢:一場大規模的網絡攻擊使數百萬的系統不能正常使用,緊接著,恐怖分子襲擊了一個或者更多城市,例如一次類似9/11的恐怖爆炸事件或者一次生化襲擊。在9/11恐怖襲擊事件后,美國東部的幾個海岸城市,電話通信被中斷,驚恐萬分的人們不得不通過E-MAIL去詢問同事或親人的安全。由于這次襲擊,人們發現 Internet 是一種極好的傳媒(還有電視傳媒)。但是我們不妨假設一下,如果此時爆發超級蠕蟲,BGP和DNS被遭到大舉攻擊,那么在我們最需要它的時候它也將離我們而去,可以想象將是一種什么樣的糟糕場面。但是這又并不是不可能發生的。.
我們要居安思危,為這種災難的可能發生作好應急準備是相當困難的:.
作好計算機的備份工作;.
除給緊急響應小組配備無線電話外,還需配備全雙工傳呼設備;.
要確保你的計算機緊急響應小組有應付恐怖襲擊的能力;.
要假想可能出現的恐怖襲擊場面以進行適當的演習,以確保真正同時發生網絡攻擊和恐怖襲擊時,他們能夠迅速、完全地進入角色。.
也許有人會認為我們這樣做可能都是杞人憂天,但是,筆者有理由相信這樣的事情在未來的5年中是完全有可能發生的,只不過所使用的攻擊技術可能是我們在上面所列舉出來的,可能是我們所沒有預計到的。.
