過去十年，所有的網(wǎng)絡(luò)安全教訓(xùn)差不多皆可歸咎于互聯(lián)網(wǎng)。如果沒有互聯(lián)網(wǎng)，我們可能從不會認識什么網(wǎng)絡(luò)釣魚、網(wǎng)絡(luò)犯罪、數(shù)據(jù)泄漏或者僵尸網(wǎng)絡(luò)。那么，就讓我們回顧一下過去的十年間都發(fā)生了哪些令人恐懼的網(wǎng)絡(luò)安全災(zāi)難，并牢牢記住我們從每一次災(zāi)難中應(yīng)該吸取的教訓(xùn)。

1. 網(wǎng)絡(luò)戰(zhàn)

所有重大的后果都是由小事逐漸引發(fā)的?；氐?000年的2月，加拿大的一位網(wǎng)名叫Mafiaboy的年輕人利用互聯(lián)網(wǎng)流量發(fā)起自動洪水攻擊，導(dǎo)致多家著名網(wǎng)站——包括亞馬遜、CNN、Dell、eBay和雅虎等——瞬間崩潰，這就是后來被稱作DDoS攻擊的肇始。

這個Mafiaboy網(wǎng)民的真名叫Michael Calce，后來被指控犯了55項傷害罪，法院判罰拘禁8個月。Calce后來將其經(jīng)歷寫成了書，書名叫做《Mafiaboy：我怎么攻擊互聯(lián)網(wǎng)以及它為何會崩潰》。一些專家認為，所有的安全威脅都會經(jīng)歷從網(wǎng)絡(luò)迷到牟利者再到政治罪犯的一輪進化，DDoS也不例外：信奉機會主義的犯罪分子后來便開始利用DDoS攻擊各類賭博網(wǎng)站，開始勒索贖金了。

2007年5月，DDoS攻擊轉(zhuǎn)向政治領(lǐng)域，數(shù)千名俄羅斯同情者封鎖了愛沙尼亞政府的各大網(wǎng)站，而這一切的起因只是因為愛沙尼亞的一座蘇聯(lián)二戰(zhàn)紀念碑被挪走了。這場攻擊持續(xù)了整個夏天，最后還是多個國家的CERT（計算機緊急響應(yīng)中心）共同努力才逐漸將其平息下去。翌年，俄羅斯的黑客組織又用DDoS手段向格魯吉亞政府發(fā)動了攻擊。

這之后，還有多個國家的政府網(wǎng)站和軍事網(wǎng)站遭到過有組織的DDoS攻擊。

2. 惡意軟件促成強大聯(lián)盟

病毒和蠕蟲一直都很活躍，但是2001年的夏天，一個頗具進攻性的蠕蟲威脅說要封殺白宮的官方網(wǎng)站。這個叫紅色代碼的新型病毒集病毒與蠕蟲為一體，其危害之大引起了多方關(guān)注。FBI國家基礎(chǔ)設(shè)施防護中心、美國CERT、聯(lián)邦計算機事故反應(yīng)中心（FedCIRC）、美國信息技術(shù)協(xié)會（ITAA）、SANS學(xué)會和微軟等機構(gòu)前所未有地專門為此召開了一次聯(lián)合新聞發(fā)布會。

兩年后，微軟再次與美國特勤局、FBI，以及后來和Interpol等聯(lián)手，提供25萬美金懸賞當時轟動一時的Sobig、MSBlast和其他重要病毒的制作者信息。

如此規(guī)模的公私合作是不多見的，2009年4月1日午夜，當Conficker蠕蟲在互聯(lián)網(wǎng)上大肆傳播時，政府和企業(yè)再次聯(lián)手。多家相互競爭的防病毒企業(yè)與政府部門聯(lián)合成立了Conficker工作組，遏制了Conficker病毒的大爆發(fā)。到今天為止，該工作組還在繼續(xù)監(jiān)控這個蠕蟲。很顯然，各個安全機構(gòu)擱置分歧，聯(lián)合行動，以反對共同的敵人，會使他們的力量更為強大。

3. 社交網(wǎng)站頻遭攻擊

在已過去的這個十年之初，企業(yè)的安全專家和企業(yè)員工之間在使用即時通信工具，以及使用P2P網(wǎng)絡(luò)上相互較勁。因為這些應(yīng)用會在企業(yè)的防火墻上鑿出很多漏洞，為惡意軟件開放各種端口。

這場較勁最初關(guān)注的是服務(wù)器的80端口；但是到了這個十年快結(jié)束的時候，人們的擔憂普遍轉(zhuǎn)向了Facebook、Twitter和其他Web 2.0應(yīng)用。

2005年，一名青年制造了在MySpace上傳播的Samy蠕蟲，使安全業(yè)界一下子開始關(guān)注Web 2.0的核心問題，即用戶貢獻的內(nèi)容可能含有惡意軟件的問題。

2009年，Twitter占據(jù)了舞臺中心，自然也招來了惡意軟件的光臨，即短網(wǎng)址的危險。Twitter還遭受過垃圾郵件的大量騷擾。

4. 有組織的病毒和有組織的犯罪

自從1999年的梅麗莎病毒大爆發(fā)以來，電子郵件所攜帶的病毒在2000年以ILOVEYOU的面貌達到了一個爆發(fā)高峰，該病毒在5個小時里就阻塞了全球范圍內(nèi)的e-mail服務(wù)器。

當經(jīng)過改良的垃圾郵件過濾器可以阻塞大量郵件列表、惡意軟件編碼器時，病毒和蠕蟲便開始轉(zhuǎn)向了自我傳播，比如MSBlast（該病毒利用了遠程程序調(diào)用進程的一個漏洞）和Sasser（該病毒利用了互聯(lián)網(wǎng)信息服務(wù)進程的漏洞）。也差不多是在這個時侯，病毒和蠕蟲開始利用SMTP來繞過e-mail過濾器，讓大量沒有免疫力的電腦按照隨機選擇的網(wǎng)址發(fā)送大量的藥品廣告垃圾郵件。

2004年，就在微軟的懸賞計劃終于捕捉到了Netsky和Sasser病毒的作者Sven Jashen之后不久，單一個人在父母家中的地下室里研制病毒的圖景出現(xiàn)了變化，有財政支持（多半由色情網(wǎng)站和藥品公司提供）的有組織犯罪開始取而代之。比如像俄羅斯商業(yè)網(wǎng)絡(luò)（RBN）這類組織就曾精心策劃過多次垃圾郵件傳播活動，其中就包括拉高出貨垃圾股的網(wǎng)絡(luò)詐騙活動。

5. 僵尸網(wǎng)絡(luò)

獲得了財政支持的有組織犯罪集團使得惡意軟件不斷推陳出新，并且廣泛傳播。

2007年，暴風(fēng)蠕蟲開始聯(lián)絡(luò)受到暴風(fēng)蠕蟲感染的電腦，形成了一個受感染電腦組成的網(wǎng)絡(luò)，全部使用Overnet P2P協(xié)議。該協(xié)議可以讓這一網(wǎng)絡(luò)的經(jīng)營者很容易就能發(fā)起一次垃圾郵件活動，或者利用受感染電腦發(fā)起一次DDoS攻擊。

暴風(fēng)蠕蟲并非唯一這樣做的病毒。另一個病毒Nugache也在構(gòu)建一個僵尸網(wǎng)絡(luò)。此外還有很多其他的病毒在這么做。今天，僵尸網(wǎng)絡(luò)已經(jīng)開始感染Mac OS和Linux。你的電腦到底是否已成為僵尸網(wǎng)絡(luò)的一分子，這種概率目前已接近50/50。

6. 阿爾伯特·岡薩雷斯

在過去數(shù)年間所發(fā)生的最大的幾次數(shù)據(jù)泄漏案件，雖然不是有組織的犯罪，但也是多人聯(lián)合實施的，受害的公司有戴夫與巴斯特食品公司、漢納福德兄弟連鎖、Heartland支付系統(tǒng)和TJX等，這還只是其中的一小部分而已。一個叫阿爾伯特·岡薩雷斯的罪犯與其同伙一起通過上述公司的Web網(wǎng)站植入了惡意軟件代碼，然后進入了這些公司的內(nèi)部網(wǎng)絡(luò)，從而盜走了未加密的大量信用卡數(shù)據(jù)。

為了防范此類數(shù)據(jù)泄漏犯罪，美國支付卡行業(yè)協(xié)會（PCI）在2005年特此提出了12條規(guī)定，要求其成員必須遵守。PCI安全委員會每兩年會更新這些規(guī)定。其中包括對信用卡數(shù)據(jù)的端到端加密。

7. 日益詭詐的釣魚網(wǎng)站

比垃圾郵件更為有效，但是還未成熟的數(shù)據(jù)泄漏方式就是網(wǎng)絡(luò)釣魚。其概念是頗有創(chuàng)意地設(shè)計一封電子郵件，誘惑接收者去訪問一個精心設(shè)計的、看上去完全合法的網(wǎng)站，從而盜取你的個人信息。這些網(wǎng)站通常會使用fast-flux技術(shù)，可迅速切換域名，可有效防止執(zhí)法人員對源頭網(wǎng)站進行追蹤。

利用一些銀行和電子商務(wù)網(wǎng)站的logo和網(wǎng)頁設(shè)計，一下兒釣魚網(wǎng)站看上去和所模仿的網(wǎng)站一模一樣，和幾年前網(wǎng)頁上通篇充斥著拼寫錯誤的釣魚網(wǎng)站已不可同日而語。那么防范這類釣魚欺詐的最好辦法是什么？就是不要去點擊！

8. 老協(xié)議，新問題

在互聯(lián)網(wǎng)協(xié)議的演進過程中，今天的一些協(xié)議所執(zhí)行的功能已遠遠超出了最初設(shè)計它們時的功能。這種過分擴展的協(xié)議的最著名的例子，就要算DNS了。正如IOActive的研究人員Dan Kaminsky在2008年解釋的那樣，這個協(xié)議對于各種攻擊而言到處都是漏洞，其中就包括Cache poisoning（緩存投毒）。

DNS將一個網(wǎng)站的常用名（比如www.pcworld.com）轉(zhuǎn)換成一個數(shù)字的服務(wù)器地址（比如123.12.123.123）。緩存投毒的意思就是說所儲存的常用名網(wǎng)址可能是不正確的，會把用戶鏈接到一個受感染的網(wǎng)站而不是用戶真正想去的網(wǎng)站（但用戶卻一無所知）。

同樣，PhoneFactor的研究人員Marsh Ray在SSL/TLS協(xié)議中也發(fā)現(xiàn)了一個漏洞，該漏洞可以在節(jié)點兩端進行認證時實施中間人攻擊。

此類漏洞的公布加快了新的標準的建立，例如DNSSEC和新版的SSL/TLS，前者可對DNS系統(tǒng)中的數(shù)據(jù)進行認證。在未來數(shù)年中，各個標準組織將會開展對現(xiàn)有協(xié)議的替代工作。

9. 微軟的補丁周二

十年前，微軟只在它覺得有必要時才發(fā)布補丁。有時候會拖到周五的下午才發(fā)布，這等于說犯罪分子有整個周末的時間可以對所發(fā)布的補丁實施反向工程，然后在系統(tǒng)管理員下周一安裝補丁之前就能充分利用補丁的漏洞。

而從2003年秋天開始，微軟發(fā)布補丁開始遵循一個簡單的程序：每個月的第二個星期二發(fā)布。這就是著名的“補丁周二”，已經(jīng)延用了6年之久，每月發(fā)布一大堆補丁。Oracle的補丁是每季度發(fā)布，Adobe最近宣稱也要每季度發(fā)布補丁，蘋果是唯一一家沒有固定發(fā)布周期的主要廠商。

10. 發(fā)現(xiàn)漏洞付酬

多年來，獨立的研究人員們一直在爭論，新發(fā)現(xiàn)的漏洞究竟應(yīng)該立刻公之于眾，還是應(yīng)該等到廠商發(fā)布了該漏洞的補丁之后再公布。在某些情況下，廠商沒有再與研究人員聯(lián)系，或者沒有優(yōu)先考慮公布漏洞的事情，所以研究人員就會自行公布這些漏洞。從防御的角度講，罪犯們肯定不愿意漏洞被公布，因為這些漏洞信息在黑市上可是搶手貨。

經(jīng)過多年的反復(fù)爭論之后，最近有那么一兩家安全公司已經(jīng)決定支付研究人員封口費。作為交換，安全公司將與涉及到的廠商共同協(xié)作，檢查補丁是否能夠及時完成，而該廠商的客戶是否能夠比普通公眾提前得到詳盡的漏洞信息。

比如說，在CanSecWest應(yīng)用安全大會上，Tipping Point就將1萬美元的年度獎頒給能夠黑掉指定系統(tǒng)的研究人員。近些年來，發(fā)現(xiàn)漏洞給予報酬的程序已相當成熟。舉例來說，在微軟2009年12月的補丁周二，共發(fā)布了5個IE漏洞補丁，而這些漏洞都是在iDefence零日項目激勵程序的作用下被發(fā)現(xiàn)的。

【編輯推薦】

1. 企業(yè)網(wǎng)絡(luò)安全：端點與網(wǎng)關(guān)的結(jié)合之道
2. 網(wǎng)絡(luò)安全服務(wù) 路由器挑大梁
3. 事故頻發(fā)待完善 我國網(wǎng)絡(luò)安全形勢嚴峻