文章来源　

安络科技　

2004年网络安全年终点评文摘　

二、网络安全圈·事件·中国
1.国家加强信息安全保障，颁布系列文件
　　在中办27号文件后，国家日益重视信息安全，2004年1月，召开了《全国信息安全保障工作会》，强度了极防御、综合防范的安全方针。开始在国内实施等级保护法。
专家点评：
　　此后围绕这这个进行了一系列的标准和技术的研讨，直接引发了安全市场的积极响应，这无疑是整个信息安全行业的东风。

2.WAPI认证
2003年12月1日，国家认证认可监督管理委员会发布2003年第113号公告，2004年6月1日起，对无线局域网产品实施强制性认证。 但是由于国外厂商的反对，经过一段时间的博弈，最终WAPI被无限制延期。
专家点评：
　　虽然是2003年提出的公告，但是此后围绕这这个进行了一系列的斗争，其风波甚至到了国家领导人的层面，导致了国际政治层面的博弈。影响力何其深远，早已超过了信息安全行业甚至是IT行业的范畴，因此值得大书一笔。

3.电子签名法
　　《中华人民共和国电子签名法》已由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过，现予公布，自2005年4月1日起施行。
专家点评：
　　该法被认为是中国首部真正电子商务意义上的立法。大大促进了电子商务和电子政务的发展，可以说是业内外人士期盼已久的举措，叫好声一片。

4.网络打黄专项行动
　　中国掀起一场围剿色情网站的人民战争，违法和不良信息举报中心”网站于6月10日正式面向社会。以开通举报中心网站为契机，党中央、国务院及时决定开展打击淫秽色情网站专项行动。到目前为止，已接到各类公众举报95000多件次。根据举报中心转交的公众举报，国家执法和行政机关依法关闭违法网站1287 个，其中淫秽色情网站1129个，提供赌博渠道、从事迷信活动、宣扬邪教的网站114个。
专家点评：
以人民战争的形式来塑造安全，这是一种新的思路。这次专项行动同时也开拓了无限商机--至少内容过滤厂商尝到了甜头。

5.MD5安全露破绽
2004年9月，在美国召开的2004国际密码学大会上，山东大学教授王小云关于成功破解MD5的报告引起国际密码界轰动。据称她的研究成果作为密码学领域的重大发现宣告了世界通行密码标准MD5受到严重挑战。
专家点评：
　　信息安全的核心技术的突破。她获得了国际密码学会议Crypto’2004的全场掌声，最重要的是，这条消息给了我们信心，让我们向这些国内的扎扎实实进行安全的基础研究的学者致敬。

6.网络金融服务的安全问题
　　网银大盗I、网银大盗II、证券大盗等一系列目的性非常鲜明的病毒出现，证明了以金融犯罪为唯一目的病毒开始大规模出现在公众视野。
专家点评：
　　典型的信息化带来的问题，此类木马等已经成为一种非常有效的通过软件技术和网络进行的金融犯罪现象。

三、网络安全圈·事件·世界
1.多家国际大公司产品源代码泄露
　　2 月12日，微软在互联网上发现了非法传播的一部分不完整的Windows2000和WindowsNT4产品代码，经过调查发现泄漏的部分Windows 2000源代码并非源自微软，而是微软的长期合作伙伴Mainsoft。5月，一个俄罗斯安全网站报道 Cisco IOS 12.3 操作系统的源代码被盗。据报道，一些恶意分子进入了 Cisco 的内部网络并盗取了至少800M的源代码，而且盗取者不久后在 IRC 上公布了2.5MB的概览。而去年《半条命2》源码被骇客利用微软漏洞偷窃一案也告破，FBI最终抓了骇客。
专家点评：
　　如果你有一定的资源，在骇客的地下交易中，能够看到更多著名企业知名产品的源代码。

2.多家公司加强整合，并购风潮骤起
　　Cisco 以500万美元收购了安全软件开发商Twingo系统公司，以3900万美元收购了开发反DOS（拒绝服务）攻击软件的厂商Riverhead网络公司， 10月又以7400万美元的现金收购网络安全软件开发商Perfigo公司。这在Juniper面前却不是很起眼，因为Juniper用40亿美元并购 NetScreen。
所有这一切到了2004年底，都被震惊了，因为赛门铁克花了135亿美元将VERITAS收归旗下，在此前不久，赛门铁克刚刚收购了前身为著名黑客组织L0pht的@stake公司。
专家点评：
　　今年似乎是并购年，这里并没有完整列出并购名单，比如McAfee收购Foundstone等。与这些企业相比，中国的安全企业还太小太脆弱，我们需要快速成长。

3.客户端安全引起重视，火狐狸咬了微软一口
　　IE浏览器的市场占有率降到了90%以下，异军突起的是Firefox！
　　浏览器漏洞成为最新的热门网络病毒攻击途径，其中又以微软IE为甚，而偏偏IE在2004年漏洞频发，计算机应急响应中心，也就是CERT的一个公告 (http://www.kb.cert.org/vuls/id/713878)，给了Firefox绝佳的机会，于是火狐狸便窜入公众的视线。
专家点评：
　　随着企业和个人对服务器安全的重视，这方面可利用的漏洞在逐渐减少，骇客们开始关注浏览器、应用程序和客户端，我们需要注意的或许不仅仅是浏览器，下一个是什么？Office？

4.利用搜索引擎的攻击初现头角
　　2004 年在拉斯维加斯举行的BlackHat大会上，有两位安全专家分别作了名为　You found that on google ? 和　google attacks 的主题演讲，骇客们利用搜索引擎的技巧正式浮出水面。之后一只名为Santy的蠕虫先是利用google，而后利用yahoo大摇大摆地传播(http://www.pconline.com.cn/pcedu/softnews/bingdu/0412/524786.html)。至于Google新近推出的Desktop搜索软件，在11月份也被发现存在安全漏洞……
专家点评：
　　搜索为王的2004之后，骇客们还会想出什么样的招数？只能说，创意无限。

1. 历史悠久的自我防御技术 　
　　早自过去的档案型、开机型或宏型病毒，即开始采用加密、压缩、自我编码、变体引擎（McTation Engine或Polymorphic Engine）、更名感染等技术，藉此逃避防毒软件的侦测及追捕。这些病毒自我防御技术，仍为目前流行的恶性程序所沿用。 　
　　除此之外，一些恶性程序还具备自我检查及反防毒软件（Anti-Antivirus）的能力，他们会在计算机被启动的同时，卸载系统中的防毒软件或防火墙软件。 　
　　不过，目前恶性程序的发展趋势似乎有了转变，虽然过去的自我防御功能仍继续沿用，但已非关注的重点。因为反病毒公司针对新病毒的解决方案的推出迅速及时，所以他们追求的重点已转变成「快、狠、准」，也就是尽可能地在最短的时间内，预期造成一定的影响或达到一定的目的。更有甚者，许多恶意程序甚至设定自我毁灭时间。

2.令人眼花撩乱的庞大变种 　
　　变种的老祖宗应该可以上溯自1997、98年间甚为流行的千面人病毒。如今的恶性程序除了展开全球性传播的"水平繁衍"外，并藉由不断的变种进行延绵好几十代的"垂直繁衍"。更可怕的是，这些恶性程序还结合不同的混合式攻击技术，让每代的变种各具不同"邪恶"特性及破坏力，或是每隔一代海纳百川地加入新的"毒术"。
　　如今恶意程序传宗接代的能力一个比一个强，动辄几十代，甚至打破30代大关，像Bagle、MyDoom、NetSky及Korgo等蠕虫，平均不到10天就推出新的变种。其中，最可怕的莫过于Korgo蠕虫，在短短三个月多内，就接连繁衍出高达27代的变种，换句话说，其不到3天就变种一次。

　 （病毒家族对照表）

3.乱"件"齐发的垃圾邮件 　
　　为了达到最终感染及传播的目的，黑客多半会采用社交工程学（Social Engineering）来引诱收信者打开附件或连结，进而启动或下载攻击程序。此外，过去也有不少病毒邮件，进而发展出不用开启邮件及附件，只要浏览就会中毒的技术。 　
　　在信件传播方面，由于采用微软讯息应用程序接口（MAPI）来发病毒邮件，很容易会被防毒软件拦截到，所以黑客多半都会改用专属的SMTP外寄邮件服务器，绕过防毒软件的拦截网来发送病毒信。 　
　　自从Melissa宏病毒开启恶意程序搭乘电子邮件的首例之后，许多恶意程序，尤其是造成重大影响的蠕虫几乎都是以垃圾邮件为作恶的工具，垃圾邮件的问题也开始被广泛注意。 　
史上利用垃圾邮件最彻底、最成功的蠕虫当推Sobig.F，该蠕虫每隔几秒钟就会自动向受害计算机中的所有通讯簿名单发出毒件，因而登上史上传播最迅速的宝座，莫怪乎有人称其为史上最强力的超级邮件发送机（Mass Mailer）。

4.难以抗拒的诱惑－社会工程 　
　　社交工程是利用人性弱点，并透过威胁、利诱的手法来进行骗取对方信任或遵从某个动作的技术。这种诈骗手法，对于该手法读者应该不致于太陌生，因为之前没多久，相信很多人应该曾接到一些诈骗电话，像是谎称自己是警察人员，并告知接听者的银行账号被盗领，或是"你儿子现在在我手上，快拿两百万过来"等云云，这些就是运用社交工程的显例。 　
　　基本上，对于大部分的企业而言，技术面的问题好解决，但是牵涉到人性面的问题就相当棘手难防了，也因为如此，社交工程已成为蠕虫、特洛伊木马等恶意程序惯用的技术之一。 　
　　尤其对个人而言，面对每日眼花瞭乱的邮件实在很难防，而网上琳琅满目的MP3音乐、共享软件或图文件的诱惑力更难扺挡，偏偏这些东西是黑客运用社交工程的最佳试炼场。

5.有洞就钻 　
　　在过去，软件上的臭虫（Bug）顶多会造成软件或系统稳定性或兼容性上的问题，但如今却成为黑客攻击的主力目标。赛门铁克亚太区技术安全顾问林育民表示，如今许多软件及平台都存在许多漏洞，而后一版本的软件大多仍会继续沿用之前版本的组件，所以漏洞有可能也会流传到不同版本之中。如此一来，便成为黑客及蠕虫攻击的目标。所以系统弱点及软件漏洞已成为目前计算机安全上的重大课题。 　
　　根据Gartner Group今年4月的分析报告指出，2003年有25％的网络攻击事件来自于已知漏洞。面对漏洞问题，唯一最直接的解决方法就是下载厂商提供的修补程序（Patches）。对于企业而言，由于软件系统种类繁多、数量庞大，所以必须搭配漏洞及弱点管理工具，以进行固定的扫描、侦测及修补作业。对于个人而言，修补漏洞一直是件不得不做，但又极其困扰的事情。最主要是因为操作系统会随着软件、游戏或硬件的安装、解除，档案的进进出出或其它不当的操作而终至变慢、甚至当机的地步，换句话说，为求系统稳定，操作系统每隔一段时间是要重灌的。也因为如此，重灌计算机也意味着要重灌之前所有安装过的修补程序。 　　　
事实上，黑客也最爱利用旧漏洞。根据Gartner Group今年4月的分析报告指出，2003年有25％的网络攻击事件来自于已知漏洞。所以凡是系统或软件有任何漏洞，都是非补不可的。

6.就是要你消受不起－DDoS 　
　　所谓DDoS就是在网络上透过搜寻、扫描漏洞及殖入后门等方式，以整合更多的攻击来源，以对主要目标展开更猛烈持久的服务封锁。阻断式服务攻击（Denial-of-Service；DoS）已成为目前黑客及蠕虫的主要攻击方式之一，这种手段的好处在于，可以结合更大的攻击能量，同时真正发号司令的黑客不容易被抓到。透过DoS攻击，网站会被大量而密集的封包所淹没，结果导致网站用户无法正常进入网站，享受应有的内容或服务。 　
　　如今的蠕虫、特洛伊木马或BOT遥控程序则采用更大规模的分布式阻断服务攻击（Distributed DoS；DDoS）手法，形成对企业、网站更长时间的"封锁"及更大的损失。 　
2004年1月底，Yahoo、Google等搜寻引擎网站更受到MyDoom蠕虫的DDoS攻击，而造成相当大的损失。

7.混合式攻击 　
　　通过不同攻击技术的结合，恶意程序得以用更快的传播速度、更多样化的管道及更强的破坏力展开突击。目前"纯纯"的恶意程序已经愈来愈少，即使是也多半会在变种的下几代中不断添加新的攻击技术及特性。 　
　　不同种类的恶意程序有其自身的特性，比如病毒具备其它恶意程序所没有的感染力，蠕虫则提供无人能敌的主动散播能力，至于远程摇控能力最强的当推特洛伊木马。而混合式攻击就是截长补短地整合病毒、蠕虫、木马、间谍程序或网络钓鱼的特性，以及网络漏洞、系统弱点扫描的新一代恶意程序技术。而单靠传统单一的防毒软件是无法有效应对的，目前资安厂商则主张多层次的主动防御方案以为因应。