作者:Konstantin Sapronov
· 系统中的计算机安全
· 人也是系统安全中的一部分
· 系统安全上的弱点和一些例子
· 结论
写这篇文章的目的并不是为了惊吓用户,也不是为了促使用户为自己的计算机购买安全软件。一个很简单的理由就是去分享我作为一名病毒分析员在工作中所产生的一些想法。这些想法都是从我在分析源码,在论坛中所阅读到的文章,以及读者每天请求帮助的大量的信件中产生的。
系统中的计算机安全
信息安全不能认为只是一个单一的、分离的个体。它是一个整体的措施,必须当做一个系统来看。信息安全和其它任何系统一样,不管哪些重要还是不重要,是一个能够结合许多不同的方面和目的的系统。这就意味着没有单一的方面或者目的用途能够被忽略掉;如果一个系统的某个区域或部分被忽略掉,系统将不能正确的起作用。
一般来说,信息安全和安全的区分很少。举个例子,毕竟没有人愿意在庭院的棚子里安装一个带有安全锁的笨重的安全门。同样的道理,一辆具有很好轮胎的汽车,如果它的闸是不安全的,那么汽车也将不安全。保护反对病毒 cyber 威胁的工作也具有相同的原则:不管是用在台式计算机,还是一个组织的服务器或者是一个公司的网络,所有可能存在的弱点都应该是安全的。虽然在这篇文章中我将不会讨论任何的这些方面应该怎样做才是安全的,但是数据也应该通过安全的路径传输;那些信息工作者也将被看做是系统安全的一部分,因为他们是确保数据交换和系统总体安全这条链子上的一部分。
人也是系统中的一部分
现在有各种各样的安全软件可以提供,包括防火墙、入侵检测系统、反病毒软件方案等等。各类型软件被设计来执行非常具体的功能, 并且使用这样的软件将有助于保护系统的安全。但是, 使用最先进的技术和最安全的算法的最佳的软件, 并不能保证系统 100% 安全。这是因为在软件的发展和实施中涉及到人为因素, 并且人常犯错误。结果作为任一个系统的部份,人为因素总是安全系统的弱点所在。
人为因素是许多对计算机和系统的攻击为什么成功的原因。当然, 有许多具体的例子。让我们看一看,黑客、病毒制造者和其它恶意用户利用人为因素, 选择人为错误去攻击计算机系统。
安全系统上的弱点和一些例子
很多用户不了解自己使用的软件所包含的弱点对他们的计算机或系统所造成真正的安全风险。多数用户把他们自己的计算机作为一个黑匣子; 他们并不了解计算机怎么工作, 并且在实际上, 他们真的不想知道。他们想要与吸尘器、冰箱、洗衣机, 或其他家用电器相似的方式使用计算机,而没有必要了解它们是怎么执行它们的功能的。而且许多用户认为病毒、黑客, 和其它的 cyber 威胁只简单是安全软件提供商的事情。在一些方面, 谁又能责备那些在安全领域工作的一些用户呢?他们认为计算机病毒只是发生在愚笨的用户身上,反病毒软件也只是浪费金钱。"我将只安装一个不容易受病毒感染操作系统,并且软件本身没有任何弱点, 因此我将没有什么好担心的" 等这些理论。
然而,低估潜在的安全威胁仅仅是问题的一部分。人为因素在制定和实施安全策略和规则方面起到了作用,并且许多潜在的、可利用的漏洞都出现在安全策略起草的阶段。
无线网络安全处于一个令人悲痛的状态,这是由于当无线协议被开发时,就已犯下了错误的这个事实。当时就如写了很多程序错误一样,也写了很多安全程序。但是, 我能肯定的是当程序员和测试者继续辨认已经存在的漏洞的时候, 因为疏忽而产生的新的漏洞将继续。甚至实施最谨慎的软件开发方案时, 又会带入人为因素到这个方案中。 如果你们的系统管理员只有很少的培训,那么就是世界上最好的防火墙也不能保证你们系统的安全。
当我写这篇文章的时候,一种蠕虫病毒正在互联网中蔓延。Lupper 蠕虫通过已知的系统漏洞传播,如果一个系统管理员通常在看到了系统漏洞后,并及时安装系统补丁,那么系统漏洞就不会被 Lupper 蠕虫利用。对所有的蠕虫来说,这是一个标准的模式。通常的情形是,一个漏洞公告被发布以后,大多数的用户不会注意到这点;虽然然后的概念代码证明被发布并且说明这个漏洞是怎样被利用的,但是多数用户不了解情况的重要性,也没有采取行动。Lupper 蠕虫利用了这个方面,事实也证明了安全漏洞的发布在最初的一些时期并没有引起用户足够重视。
另一个对安全不负责任的例子是用户怎样对待机要信息的。一个在日常生活中近似的情况是:谁会把他们自己的钥匙留在门锁外面,或者是挂在任何人都可以取到的钩子上?没有人会这么做;但是很多系统用户使用空密码,或者是用户名作为密码,使得它外部人员很容易进入系统。作为选择,我们采取让系统管理员要求用户使用难猜测的密码,并且更好从安全角度方面来考虑密码;从理论上来讲,这个方式很好;但是我常常看见这些所谓的“安全”密码写在纸上,并把它放在用户的桌面上,或者是贴在显示器上。当恶意的用户利用这种情况也就并不令人吃惊了。
另一个人为因素是恶意用户充分的利用人的好奇心。在某些时候,我们大多数人都遇到电子邮件蠕虫,我们也知道这些蠕虫通过邮件附件去传染信息。因此对于病毒的制造者和恶意程序的使用者来说,发送蠕虫出去仅仅只完成一半的工作。蠕虫必须被激活才能进一步传播,这个工作就需要用户打开邮件附件来完成。你可能认为用户对那些不明信息的附件变的很机警,因此不会打开附件。很不幸的是,蠕虫 cyber 和 vandals 制造者知道怎样去钩起用户的好奇心。大多数用户都将会打开一封包含有很吸引人信息的邮件附件,如下图所示:
为什么要打开可疑的附件?
有趣的事实是,尽管反病毒提供商一直强调不要打开可疑的邮件附件,但是打开邮件附件的用户数仍然稳定不变。这个可以解释的一个事实是病毒的制造者一直在不停地寻找新的办法去利用人的好奇心。
但是,电子邮件蠕虫不只通过附件的传播消息。最近,用户收到了一个到蠕虫体的链接地址,而不是蠕虫文件本身。用户仍是激活蠕虫的一部分,用户仍被说服去点击链接地址,目的是为了激活蠕虫。这看起来很简单:让我以 Email-Worm.Win32.Monikey,为例。它发送邮件时如下图所示:
Email-Worm.Win32.Monikey发送邮件图
看起来, 这似乎是完全正常电子邮件, 告诉用户,他/她接受了一个 e 问候的卡片。它主要是吸引用户为了观看卡片而去点击链接,并且发送这个电子邮件病毒的恶意用户一直都在统计点击的用户数量:信任的用户, 为了观看不明信息的卡片将激活蠕虫。因此答案是什么呢? 恶意的电子邮件和真正的电子邮件怎样才能区别呢?下图就是通过 POSTCARD.RU 服务发送的合法的电子邮件:
通过 POSTCARD.RU发送的合法电子邮件
首先,应该突出的是显示在上图屏幕中标记 1 的电子邮件使用的是 HTML 编码-这就是蠕虫病毒常常用来伪装自己 URL 地址的方式,看起来好像是链接到 POSTCARD.RU。屏幕中标记2显示了来自 POSTCARD.RU 的电子邮件包含有一个警告,并且阐明所有来自 POSTCARD.RU 的电子邮件都只是纯文本的;任何包含有 HTML 信息的邮件都是不合法的,是潜在的恶意程序。如果用户想去浏览他们的卡片,他们将复制这个网址链接到浏览器中-一个真正的链接然后将使e卡片显示出来。在这种情况下,用户决不要点击这个 HTML 链接;就象很多其它的用户一样,当打开这个包含有邮件蠕虫的网站时,病毒然后就被激活了。
一种很相似的方法在最近的垃圾邮件传播中使用到。消息陈述了“如果您不想从我们的邮件列表中订阅, 请点击下面的链接”。你可能想问出来什么问题――当然用户并不想接受很多的垃圾邮件,因而就使用这个链接设法去取消订阅。当用户点击链接的时候,一个含有检查订阅数据库字段的 HTML 的页面被打开了,然后显示一条消息“你的地址已经被移除了”。但是这所有都是幻觉,在事实上有两个恶意程序将被下载到受害者的计算机上。
这两个木马是 Trojan-Dropper.Win32.Small.gr 和 Trojan-Spy.Win32.Banker.s。在这里有一个清楚的教训――垃圾邮件发送者并不担心用户需要和想要什么,一旦他们获得了一个计算机地址,不管用户采取任何取消定制的措施,他的计算机都会收到垃圾邮件。事实上,尝试取消定制常常会导致更多的垃圾邮件,或者是恶意程序被下载。处理垃圾邮件的最好办法是直接删除不想要的邮件信息。
2005 年的夏天出现了一种新类型的垃圾邮件程序,这通过聪明设计的电子邮件很明确的绑定一个用户群。恶意的用户发送垃圾邮件到企业用户的邮箱地址,而包含好像是来自他们的经理的邮件信息。这就是通过作了地址域的欺骗而实现的。但是,真正返回的地址是恶意用户的地址,这是看不到的。当然,很谨慎的员工都很可能想知道他们的经理想告诉他们什么事情,因此他们将打开附件同时也就安装了恶意程序。应该提醒的是这种事件并没有广泛流行,因为那些负责安全的组织设法阻止这些垃圾邮件信息到达更广范的地方。
当恶意程序通过电子邮件传播时,发送者常常在目前流行的反病毒解决方案中起到了作用。这可以说是一石二鸟:用户安装恶意程序,反病毒提供商查杀它。最后有一点应该被强调――如果当用户收到好像是来自反病毒公司的很多信息时,那么他们迟早都会认为那是反病毒公司发送的升级包,结果就会阻止他们的反病毒数据库升级。当然,这个也就使反病毒软件失去了它的大部分作用。因此必须要强调的是没有那家反病毒公司通过大量邮寄的方式提供升级包,用户也不应该在自己的计算机上安装通过邮件传输的程序。电子邮件蠕虫 Email-Worm.Win32.Swen 通过把自己包装为微软发布的安全更新包而成功的传播。当用户安装可疑的补丁后,这个蠕虫设法在全球感染了几十万台计算机。蠕虫的制造者很有耐心的等待当用户很有可能安装更新包的这段时间,但是他也被最近的 Lovesan 时间所吓唬了。
这个案件表明了病毒制造者为了在全世界感染更多计算机而采取怎样的方式。他们做这件事情非常的迅速和有效――最近是事件包括大量的邮件木马的出现,它是紧接在恐怖分子在伦敦地铁制造爆炸案,莫斯科的电力中断,美国卡特林娜的飓风。为了诱惑用户打开附件或点击链接,发送的是关于这些事件和其它灾难做比较的信息。
恶意程序采用与即时通讯程序(ICQ、 Miranda 等。)一样的通讯方式。
计算机是怎样被即时通讯的邮件蠕虫感染的呢?多半是恶意用户发送蠕虫体的一个链接给用户,当用户点击链接的时候蠕虫就被激活了。为了使用户点击链接,通过使用相同的方法进行邮件传输。但是在一些情况下象邮件蠕虫 Trojan-PSW.Win32.LdPinch 显示的那样,cyber 病毒罪犯使用了更高明的手段。病毒制造者认为接受链接的用户,他们大概会想聊天或者至少对你说声谢谢。所以病毒制造者们对接受者用户很可能要问的问题或短语专门开发了一个答案包。
尽管有这些新的、更加老练的方式,病毒的制造者们并没有忘记一个很老的、用过的、测试的方式――使用链接,这些链接地址和已经信任的地址只是一点不同,当然这不同之处首先是不明显的,不仔细看是看不出来的(例如:把字母 I 该为 L)。这个就是持续有效的常常诱惑用户点击链接地址的方式。在 2005 年夏天有一个例子是我们拦截了通过MSN信使传播的蠕虫病毒。通过这个蠕虫病毒发送链接“http://www.vbulettin.com/xxxxxxx”,这个链接看起来象是一个反病毒出版物的站点。不出所料,许多用户信任这个链接,而没有意识到病毒公报实际上位于 www.virusbtn.com 站点上,这样一点击,就把蠕虫激活了。
用户通过一些方式或者上面所有提到的方式的另外一种接受到恶意程序。虽然许多用户传播了恶意程序,但是也有一些用户由于重复的警告和没有点击链接或打开附件。结果,病毒制造者需要找到其它的,更有效的方式去吸引这些具有安全意识的用户。如果用户不直接接受任何的东西,但是只在上网的时候感染到了恶意程序,这将会更加有效。正因为这样,越来越多的的合法网站上都被放置了恶意程序。恶意程序用户自然会选择流行的网站,经常是那些知名公司的网站。虽然恶意程序在被清除之前,被放置在合法的网站上仅仅是几天的时间,但是这已经有足够的时间让上万台机器感染病毒。
上面所提到的是电子邮件蠕虫 Monikey 的一个例子。被病毒感染的信息包含一个到放置蠕虫体网站的一个链接地址。蠕虫放置在完全合法的站点,并且我们也无法准确的知道这是怎么实现的。但是,我们怀疑进入网站的账户被窃取了而且数据被蠕虫 Monikey 的制造者所用。令妥协站点的管理员吃惊的是,虽然他们删除了蠕虫体,也没有阻拦被误用的帐户。但是蠕虫持续在显示以下公告的相同站点出现,在向用户保证网站所有者没有发送出大量邮件的情况下,并解释网站已经妥协了,并道歉。
网站妥协的公告
来自 Nizhni Novgorod 的 Cyber 艺术品破坏者病毒产生了一个通过互联网传播它们的恶意程序的更加有创造力的方法。他们提供可以六分钟感染一台计算机的木马程序给那些愿意放置木马在他们网站上的网站管理员。让人担心的是相当多的网站管理员都愿意这样做。
所有上述情况说明,当用户上网时存在各种各样的安全威胁。
当然也有利用人为因素的其它方式,社会工程学的利用应当作为一个单独的题目。有时恶意程序用户不知道从哪开始去尝试击穿系统。一个被尝试的和被测试的方法是去知道目标组织里面的某个人。这个提供一个所要攻击范围的立足点,常常不是通过技术而是简单的利用人容易犯错这一点。举个例子,一位潜在的黑客告知目标组织可能被攻击,并且表明他/她是一个职员,还留下他的各种信息从电话号码到 IP 地址。这些信息然后能被用来攻击目标组织的网络。
结论
在人们生活的每一个区域,计算机的使用越来越广泛。潜在的利益促使计算机病毒犯罪的不断的增加,使用计算机病毒犯罪的技术正在迅速的演变。
在当今的世界中,创建一个可靠的和有效的安全系统不在是一件容易的事情。计算机系统存在许多的潜在的弱点,不断的侦测新的漏洞和不断的安装补丁这将是一个无止境的过程。使用新的技术来替代过时的技术,只是用来解决目前存在的问题;因为这些新技术也有它们自己的弱点。但是黑客,病毒制造者和恶意用户为了躲避用户正在使用的安全软件,正在不停的使用新的手段。不管怎样,用户有能力去平衡自己的系统。很不幸的是,不可预料的(或者可预料的)人为因素能够使对安全系统的共同努力完全白费。
尽管如此,我希望这篇文章能够引起一些读者对信息安全更深的认识,并且更多的关注安全的问题。
来源:卡巴斯基实验室
