網(wǎng)絡(luò)世界中正義與邪惡之間的斗爭���,越來越多地開始使用自動化工具���。
去年,具有自動搜索功能的蠕蟲病毒開始出現(xiàn)�����。該病毒利用古狗公司(Google)的搜索引擎自動搜索那些論壇系統(tǒng)軟件有漏洞的網(wǎng)站���,然后黑了這些網(wǎng)站���。去年秋天,金融服務(wù)行業(yè)發(fā)現(xiàn)��,試圖從客戶賬戶中竊取錢財?shù)尼烎~式攻擊案例急劇上升��,而造成這個結(jié)果的主要原因�,則是出現(xiàn)了一種新型工具包,使釣魚式攻擊變得更加容易實現(xiàn)��。
同時�����,一些票販子開始利用軟件來破解電子商務(wù)網(wǎng)站上完成交易時需要輸入的波狀字體確認碼,試圖以此自動地進行大量訂票����,隨后可以高價售出。而那些發(fā)垃圾郵件的人��,則試圖繞過互聯(lián)網(wǎng)服務(wù)供應(yīng)商為了防止大量注冊電子郵件賬號而設(shè)置的圖像識別障礙�����,采用腳本來欺騙上網(wǎng)者為他們解決圖像難題�。另外�,在網(wǎng)上,傀儡程序每天24小時都在不斷尋找有漏洞的系統(tǒng)����。
歡迎進入機器大戰(zhàn)!在這里�����,肉機大軍(被黑客控制和利用的計算機)不斷制造垃圾郵件和惡意代碼��,對家庭用戶的PC和商業(yè)世界的IT系統(tǒng)進行攻擊�。根據(jù)安全供應(yīng)商的統(tǒng)計�����,每6~15秒就能發(fā)現(xiàn)一起軟件攻擊�����,并有一臺聯(lián)網(wǎng)的不設(shè)防PC被攻陷����?���!澳切┠軖呙鐸P地址屏蔽的自動化工具不間斷工作,永不停歇����。”IT服務(wù)供應(yīng)商薩維斯通訊公司(Savvis Communications Inc.)副總裁兼首席安全官比爾·漢考克(Bill Hancock)在電子郵件中說道�����。
正義之士開始反擊����。他們采取的一個手段就是更好地屏蔽垃圾郵件�。垃圾郵件是很多自動攻擊所使用的通道�。另一個手段就是把網(wǎng)絡(luò)自身轉(zhuǎn)換成一臺安全設(shè)備。美國電報電話公司(AT&T)是美國最大的IP數(shù)據(jù)運營商�����。這家公司每天要對通過其IP骨干網(wǎng)的1.7PB數(shù)據(jù)信息進行分析��,尋找新的攻擊�,這樣,公司就可以為自己的網(wǎng)絡(luò)設(shè)計專有的算法���,讓網(wǎng)絡(luò)不需要人工干預(yù)�����,利用這些算法就能自動發(fā)現(xiàn)并防范這些攻擊?!皩ψ詣臃婪稒C制的需求非常大,”美國電報電話公司安全服務(wù)總監(jiān)斯坦利·昆塔納(Stanley Quintana)說���,“自動實時減震是解決這個問題的一個辦法���。但是���,要具有良好的實時減震,唯一方法就是具有良好的實時智能�。”
自動攻擊的影響面非常巨大�����,以至于由美國聯(lián)邦政府資助的追蹤網(wǎng)絡(luò)攻擊項目最終被迫停止����。卡內(nèi)基-梅隆大學(xué)軟件工程學(xué)院下屬CERT協(xié)調(diào)中心(CERT Coordination Center)����,每年都會統(tǒng)計網(wǎng)絡(luò)攻擊的數(shù)量。2000年��,有21 ,756起攻擊報告����,每次攻擊都涉及到了成千上萬的網(wǎng)站;2001年有52,658起��;2002年有82,094起��;2003年則達到了137,529次。但從去年起����,這個中心停止了攻擊數(shù)量的統(tǒng)計?�!坝捎谧詣庸艄ぞ叩膹V泛使用����,對網(wǎng)絡(luò)系統(tǒng)的攻擊已經(jīng)變得非常普遍。單純攻擊數(shù)量的統(tǒng)計�,對于評估攻擊的范圍與影響而言,已經(jīng)起不到什么作用�。”該中心認為�����。
自動化并沒有改變網(wǎng)絡(luò)犯罪的技巧�,只是改變了網(wǎng)絡(luò)犯罪的目標(biāo)�����。在美國經(jīng)濟大蕭條時期有一個強盜名叫偉力·薩頓(Willie Sutton)�����。當(dāng)問他為什么要搶銀行時,他說:“因為那兒有錢���?���!痹谌缃竦男畔⑸鐣?����,罪犯的目標(biāo)變成了電腦�����。利用越來越先進的自動化工具����,他們可以在世界的任何地方遙控進行他們的犯罪勾當(dāng)?���!澳切┫M麖娜找嫫占暗幕ヂ?lián)網(wǎng)中獲得利益的罪犯,推動了這些自動化工具的發(fā)展?�!蔽④浌荆∕icrosoft)安全業(yè)務(wù)和技術(shù)部門的產(chǎn)品管理總監(jiān)吉提斯·巴斯度卡斯(Gytis Barzdukas)說���。
特洛伊木馬就是一種罪犯們掌握的自動化工具之一�。這些惡意程序裝扮成正常的電子郵件附件或者通過在線下載��,以病毒感染的方式入侵電腦�。當(dāng)電腦被感染后,黑客可遠程控制這臺機器�,把它變成一只肉機。另外��,他們還可能埋伏在電腦中作為間諜軟件�����,監(jiān)視一些諸如社保號碼和網(wǎng)上銀行密碼等信息�����。這些信息可以通過直接的方式傳給黑客�����,或者以間接方式傳輸出去��。(當(dāng)受害人想訪問合法的電子商務(wù)網(wǎng)站時�����,就會彈出釣魚式網(wǎng)站���,從而竊取用戶的信息����。)去年11月����,一個被稱為Banker-AJ的木馬病毒就利用這種技術(shù)攻擊了英國銀行的顧客,其中包括阿比國民銀行(Abbey)�、巴克萊銀行(Barclays)、EGG銀行��、匯豐銀行(HSBC)�����、勞氏銀行(Lloyds TSB)�����、全國建屋互助會(Nationwide)和國民西敏銀行(Natwest)。
這起事件并不是孤立的����。去年10月,在巴西有53個人因為使用木馬程序(主要通過病毒轉(zhuǎn)播)從網(wǎng)上銀行的客戶那里盜取了3,000萬美元而被逮捕���。去年12月�,德國警察逮捕了5名男子��,罪名是利用類似釣魚式的欺詐手段���,騙取了德國郵政銀行(Postbank)客戶大約3萬歐元�。
同月�,澳大利亞悉尼4個高校學(xué)生因為替一個在澳大利亞和俄羅斯以外運作的全球網(wǎng)上銀行詐騙團伙使用木馬程序盜取網(wǎng)上銀行密碼而被逮捕。
隨著互聯(lián)網(wǎng)節(jié)點數(shù)量的增加���,計算機處理器速度的提高����,以及連接計算機的帶寬上升�����,網(wǎng)絡(luò)犯罪的自動化正成為可能���。罪犯們已經(jīng)學(xué)會如何在發(fā)現(xiàn)一個軟件漏洞后迅速行動���,趕在供應(yīng)商發(fā)布補丁前就感染機器?����!胺缸锛瘓F通常以離岸方式聘用專家和程序員�����,然后展開攻擊�,”巴斯度卡斯說,“如果人們的計算機系郴肪趁揮屑笆備攏揮寫蟶喜茍?�,或者窚\H菀贅腥究艸絳潁刂芇C并把他們變成肉機)�����,那么�,攻擊的速度就會快很多����,而且攻擊會變得更加自動化��?����!?BR>反垃圾郵件和反病毒軟件供應(yīng)商Sophos公司(Sophos Plc)去年5月估計�,有超過30%的垃圾郵件來自于肉機。網(wǎng)絡(luò)設(shè)備廠商Sandvine公司(Sandvine Inc.)去年6月指出�,垃圾郵件木馬(把PC變成肉機)制造了多達80%的垃圾郵件。賽門鐵克公司(Symantec Corp.)負責(zé)安全響應(yīng)的高級主管文森特·偉佛(Vincent Weafer)介紹說��,控制這些PC的黑客����,以每臺PC每周3~8美分的價格出租出去。肉機的租用者可以用他們來發(fā)垃圾郵件��,提供色情內(nèi)容���,共享盜版音樂�,或者發(fā)起攻擊以制造更多的肉機��,或者進行拒絕服務(wù)(Denial of Service)攻擊。
傀儡程序指能自動執(zhí)行某些功能的程序�����,功能范圍從良性的(比如查找電視廣告價格)到惡性的(比如尋找有漏洞的系統(tǒng)來感染)都有��。他們是加速定位與感染漏洞系統(tǒng)的關(guān)鍵性自動化工具之一���。一家名為IDefence公司(IDefence Inc.)的電腦安全公司認為,已知有效的傀儡程序(可以使用任意次數(shù))的數(shù)量��,已經(jīng)從2003年的750種急劇上升到去年8月的2,300種以上��。
“對付這些攻擊�����,依靠人工管理已經(jīng)越來越難��?��!被萜展痉?wù)部門副總裁兼首席技術(shù)官(CTO)托尼·雷德蒙(Tony Redmond)說�。這個部門負責(zé)制定惠普公司的安全行動策略����。
跟上機器的步伐不僅僅是速度�,容量也是一個問題��。IT服務(wù)商Perot系統(tǒng)公司(Perot System Corp.)屏蔽了80%收到的電子郵件���?!斑@是一個很高的比例����。”首席信息官(CIO)邁克·麥克拉斯基(Mike McClaskey)說�。
根據(jù)電子郵件安全公司MessageLabs公司(MessageLabs Ltd.)的統(tǒng)計,在2004年����,每16封郵件中有一封帶病毒,2003年則是每33封帶有一個病毒��。而根據(jù)Sophos公司統(tǒng)計�����,去年12月,每10封郵件就有一封帶有Zafi-D蠕蟲病毒�。反釣魚工作組(Anti-Phishing Working Group)的數(shù)據(jù)顯示,從去年7月到11月�,釣魚網(wǎng)站數(shù)量平均每月增長28%,增長的可能原因就是自動化以一種新的釣魚工具包形式出現(xiàn)����。反釣魚工作組是一個由金融機構(gòu)、網(wǎng)上零售商���、互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)�����、執(zhí)法機構(gòu)和安全供應(yīng)商組成的行業(yè)協(xié)會���。
機器大戰(zhàn)的另一大戰(zhàn)場��,則是在全自動區(qū)分計算機和人類的圖靈測試(Completely Automated Public Turing Test to Tell Computers and Humans Apart�,或Captcha)上。Captcha圖像例如圖像�、波形字母或者其他難以被計算機識別的元素,被ISP用來阻止垃圾郵件制造者大量申請免費郵箱�����。票販子用光學(xué)字符識別軟件破解Captcha,并在網(wǎng)上大量訂票���,讓真正的觀眾無法以票面價格訂到票子�����?��!肮鈱W(xué)字符識別軟件有約10%的準(zhǔn)確率來破解舊的Captcha,這已經(jīng)能滿足票販子的需求了�����?�!奔幽么笪髅桑@瓭纱髮W(xué)(Simon Fraser University)計算機科學(xué)助理教授格雷格·莫里(Greg Mori)在電子郵件中寫道��。
演出票務(wù)市場的領(lǐng)先公司Ticketmaster公司不愿透露他們用“相當(dāng)高的成本和資源”來對付這類挑戰(zhàn)的措施��?�!肮鈱W(xué)屏障和票數(shù)限制是消費者直接能看到的���,但還有很多其他反欺詐措施是在幕后的�����?!?Ticketmaster公司戰(zhàn)略與商業(yè)開發(fā)執(zhí)行副總裁大衛(wèi)·歌德博格(David Goldberg)說。
另一種垃圾郵件制造者用來繞過類似的回應(yīng)系統(tǒng)(通過讓發(fā)送郵件者回答問題來確認發(fā)送者究竟是人還是批量郵件程序)的自動方法涉及到色情內(nèi)容���。電子郵件軟件商Sendmail公司(Sendmail Inc.) 產(chǎn)品營銷總監(jiān)J·F·沙利文(J.F.Sullivan)說:“色情肉機像普通的肉機一樣發(fā)送垃圾郵件�����,但是一旦他們收到要求回答問題的電子郵件�,他們就在色情網(wǎng)站上張貼這個信息�����,給回答問題的訪客提供賬號���。服務(wù)器發(fā)出要求回答的問題,然后收到答案����,并開始發(fā)送垃圾郵件。無論IT行業(yè)付出了多大的努力,自動化還是讓垃圾郵件制造者保持了生存能力����。“垃圾郵件制造者知道哪類反垃圾郵件技術(shù)在使用�,”反垃圾郵件公司Cloudmark公司(Cloudmark Inc.)創(chuàng)始人兼首席科學(xué)家威普·V·普拉喀什(Vipul Ved Prakash)說,“而且他們正在設(shè)計能夠擊敗那些技術(shù)的自動機器”�����。
工業(yè)測試與自動工具廠商國家儀器公司(National Instruments Corp.)的企業(yè)通訊管理員賴安·特雷維諾(Ryan Trevino)已經(jīng)直觀地看到了這個問題�。在去年的前兩個季度,公司每天接收的郵件平均數(shù)量從12.5萬封上升到了16萬封����,他說?����!拔覀冏⒁獾?,公司內(nèi)部的垃圾郵件過濾器的作用降低了,”他說�����,“我們看見更多的用戶在遭受病毒和釣魚式攻擊?�!?BR>情況是變好了還是變壞了��,以及自動化工具是否能夠反擊����,這個問題的答案取決于你問的是誰。一些專家認為�����,互聯(lián)網(wǎng)向3G手機�、PDA、視頻游戲機和工控系統(tǒng)等的擴展���,加上軟件和Web服務(wù)的復(fù)雜性不斷提高�����,都不可避免地會增加安全問題。而另外一些人則不同意這種悲觀的說法����,并提出建議認為��,最佳實踐和創(chuàng)新技術(shù)���,加上嚴格的執(zhí)法和用戶教育,可以降低風(fēng)險�����。
Perot系統(tǒng)公司的麥克拉斯基認為����,環(huán)境正在變得越來越危險?��!暗抑赖氖?����,對于我們公司和我們的許多客戶而言���,通過努力,我們在2004年阻擋了很多攻擊��?�!彼f,“在2003年不斷上升的這類進攻��,給很多公司����,包括我們公司,敲響了警鐘�。”
麥克拉斯基提到了Sybari軟件公司(Sybari Software Inc .)的反垃圾郵件軟件���,以及微軟公司軟件升級服務(wù)具有的自動打補丁能力�,加上其他的系統(tǒng)自動升級工具����,比如賽門鐵克公司的諾頓反病毒企業(yè)版,使情況有了很大轉(zhuǎn)變�。國家儀器公司的特雷維諾表示,他公司最新采用的由Proofpoint公司(Proofpoint Inc.)開發(fā)的反垃圾郵件軟件(去年11月安裝)��,就已經(jīng)帶來了很好的效果��。
供應(yīng)商也應(yīng)該做出反應(yīng)�。微軟公司的巴斯度卡斯介紹了公司所采取的步驟,比如視窗(Windows)XP SP2軟件的發(fā)布�����,自動打補丁�����,還有要求對面向互聯(lián)網(wǎng)的技術(shù)����,進行安全測試的大范圍改造。正如去年比爾·蓋茨(Bill Gates)所描述的�����,未來版本的視窗將包含“主動保護技術(shù)”�����,包括更加主動�����、適應(yīng)性更強的抵御攻擊的動態(tài)系統(tǒng)保護功能�,對包含病毒和蠕蟲的行為的功能性屏蔽,以及降低惡意流量的應(yīng)用感知防火墻等技術(shù)��。
安全供應(yīng)商已經(jīng)發(fā)現(xiàn)了比自動化攻擊更加聰明的辦法。全安公司(Whole Security Inc.)和Sana安全公司(Sana Security Inc.)都提供不依賴于規(guī)則和簽名的安全軟件���,這樣��,在出現(xiàn)新的攻擊和建立屏蔽它的簽名之間的幾小時空隙期間���,就可以保護系統(tǒng)。Prevx公司(Prevx Ltd.)已經(jīng)將它的企業(yè)安全軟件版本對消費者免費開放�,以幫助有漏洞的PC加強防護。防御軟件公司(Fortify Software)開發(fā)了能找出軟件代碼中安全漏洞的自動工具��。而Determina公司則開發(fā)了一個防止入侵系統(tǒng)�,可以防止內(nèi)存緩沖溢出錯誤帶來的危害。今年年初���,惠普公司披露說�,將在其一些產(chǎn)品中加入“病毒扼殺”(VirusThrottling)技術(shù)�����,以降低病毒傳播速度�。
顧能公司(Gartner)安全分析師約翰·佩斯卡托(John Pescatore)認為,網(wǎng)絡(luò)必須內(nèi)置更多的保護。網(wǎng)絡(luò)產(chǎn)品供應(yīng)商思科系統(tǒng)公司(Cisco )正在朝這個方向行動��,并開發(fā)了網(wǎng)絡(luò)準(zhǔn)入控制程序����。這個程序是思科系統(tǒng)公司與多家IT供應(yīng)商合作的項目��,目的是讓企業(yè)網(wǎng)絡(luò)能夠自動檢查設(shè)備的安全軟件和設(shè)置�,并且只允許進行及時更新后的設(shè)備接入網(wǎng)絡(luò)。
誰會最終贏得機器大戰(zhàn)呢�?最有可能的是,這場戰(zhàn)爭將在未來不斷升級��。不管是每天夢想攻破最佳防御的罪犯們��,還是不斷掃描互聯(lián)網(wǎng)尋找他們可以攻擊的系統(tǒng)的傀儡程序�����,一個客觀的現(xiàn)實就是:在網(wǎng)絡(luò)世界����,邪惡勢力將永遠不會休眠。
不斷的斗爭:垃圾郵件制造者是如何保持技術(shù)領(lǐng)先的?
使用自動化技術(shù)來戰(zhàn)勝垃圾郵件制造者和網(wǎng)上詐騙者���,至今的成果仍不明顯��。原因是垃圾郵件制造者為了對付反垃圾郵件技術(shù)而不斷地開發(fā)出新的手段�����,使得網(wǎng)絡(luò)上的正義之士疲于奔命�。
幾年前,貝葉斯分級ǎ˙ayesian Classification)是過濾垃圾郵件的可靠方法����。“貝葉斯分級法的前提是用戶收到的合法郵件與垃圾郵件是很不同的���,”反垃圾郵件公司Cloudmark公司(Cloudmark Inc.)創(chuàng)始人兼首席科學(xué)家威普·V·普拉喀什(Vipul Ved Prakash)說�����,“正常郵件中的所有詞語����、短語和URL都與垃圾郵件中的詞語����、短語和URL很不相同。”
為了打敗貝葉斯過濾器����,垃圾郵件制造者求助于“貝葉斯毒藥”。這種方法采用連接到合法詞語數(shù)據(jù)庫(一般不在垃圾郵件中出現(xiàn))的程序���,然后把這些詞語插入電子郵件����。收件人通?���?床坏竭@些詞語(比如空白文本空白背景)���,主要是為了應(yīng)對垃圾郵件過濾器���。
“自動機會不停地從合法詞典里選擇詞語,”普拉喀什說���,“在一個貝葉斯過濾系統(tǒng)中���,這些合法詞語看上去似乎與垃圾郵件的關(guān)聯(lián)概率較低,程序就會把它歸為合法郵件?!?BR>但這還沒有結(jié)束。用戶看到這封郵件后�����,仍然會把它歸為垃圾郵件���。所以���,用戶可以屏蔽它,并以此郵件為范本來訓(xùn)練過濾器��?����!白罱K的結(jié)果就是����,那些合法的詞語都變成了垃圾郵件詞語?�!逼绽κ舱f�����。這就完全破壞了貝葉斯分級器的有效性,因為它已經(jīng)用完了區(qū)分垃圾與合法郵件的詞語���。
垃圾郵件制造者是非常成功的��,有時����,他們的對手都試圖采用一些他們慣用的手段����。Lycos歐洲公司(Lycos Europe N.V.)去年開發(fā)了一個屏保程序�����,它可以利用用戶的計算能力組織針對垃圾郵件網(wǎng)站進行分布式拒絕服務(wù)攻擊�����。受到公眾的批評以及垃圾郵件制造者的報復(fù)后�,Lycos歐洲公司最終收回了這個軟件。Gartner公司分析師約翰·佩斯卡托(John Pescatore)把這種手段比作“肉包子打狗”��,他更希望高科技企業(yè)能開發(fā)出有效的產(chǎn)品。
“一些好的防御措施已經(jīng)開始出現(xiàn)�。”佩斯卡托說���,“但是���,希望反擊的想法從來沒有兌現(xiàn)過。大部分的罪犯整天沒有別的事情可干��,而正義的人卻有實際工作��。你不可能贏得這場戰(zhàn)斗�。”
