過去十年，所有的網(wǎng)絡(luò)安全教訓(xùn)差不多皆可歸咎于互聯(lián)網(wǎng)。如果沒有互聯(lián)網(wǎng)，我們可能從不會(huì)認(rèn)識(shí)什么網(wǎng)絡(luò)釣魚、網(wǎng)絡(luò)犯罪、數(shù)據(jù)泄漏或者僵尸網(wǎng)絡(luò)。那么，就讓我們回顧一下過去的十年間都發(fā)生了哪些令人恐懼的網(wǎng)絡(luò)安全災(zāi)難，并牢牢記住我們從每一次災(zāi)難中應(yīng)該吸取的教訓(xùn)。

1. 網(wǎng)絡(luò)戰(zhàn)

所有重大的后果都是由小事逐漸引發(fā)的?；氐?000年的2月，加拿大的一位網(wǎng)名叫Mafiaboy的年輕人利用互聯(lián)網(wǎng)流量發(fā)起自動(dòng)洪水攻擊，導(dǎo)致多家著名網(wǎng)站——包括亞馬遜、CNN、Dell、eBay和雅虎等——瞬間崩潰，這就是后來被稱作DDoS攻擊的肇始。

這個(gè)Mafiaboy網(wǎng)民的真名叫Michael Calce，后來被指控犯了55項(xiàng)傷害罪，法院判罰拘禁8個(gè)月。Calce后來將其經(jīng)歷寫成了書，書名叫做《Mafiaboy：我怎么攻擊互聯(lián)網(wǎng)以及它為何會(huì)崩潰》。一些專家認(rèn)為，所有的安全威脅都會(huì)經(jīng)歷從網(wǎng)絡(luò)迷到牟利者再到政治罪犯的一輪進(jìn)化，DDoS也不例外：信奉機(jī)會(huì)主義的犯罪分子后來便開始利用DDoS攻擊各類賭博網(wǎng)站，開始勒索贖金了。

2007年5月，DDoS攻擊轉(zhuǎn)向政治領(lǐng)域，數(shù)千名俄羅斯同情者封鎖了愛沙尼亞政府的各大網(wǎng)站，而這一切的起因只是因?yàn)閻凵衬醽喌囊蛔K聯(lián)二戰(zhàn)紀(jì)念碑被挪走了。這場(chǎng)攻擊持續(xù)了整個(gè)夏天，最后還是多個(gè)國(guó)家的CERT（計(jì)算機(jī)緊急響應(yīng)中心）共同努力才逐漸將其平息下去。翌年，俄羅斯的黑客組織又用DDoS手段向格魯吉亞政府發(fā)動(dòng)了攻擊。

這之后，還有多個(gè)國(guó)家的政府網(wǎng)站和軍事網(wǎng)站遭到過有組織的DDoS攻擊。

2. 惡意軟件促成強(qiáng)大聯(lián)盟

病毒和蠕蟲一直都很活躍，但是2001年的夏天，一個(gè)頗具進(jìn)攻性的蠕蟲威脅說要封殺白宮的官方網(wǎng)站。這個(gè)叫紅色代碼的新型病毒集病毒與蠕蟲為一體，其危害之大引起了多方關(guān)注。FBI國(guó)家基礎(chǔ)設(shè)施防護(hù)中心、美國(guó)CERT、聯(lián)邦計(jì)算機(jī)事故反應(yīng)中心（FedCIRC）、美國(guó)信息技術(shù)協(xié)會(huì)（ITAA）、SANS學(xué)會(huì)和微軟等機(jī)構(gòu)前所未有地專門為此召開了一次聯(lián)合新聞發(fā)布會(huì)。

兩年后，微軟再次與美國(guó)特勤局、FBI，以及后來和Interpol等聯(lián)手，提供25萬美金懸賞當(dāng)時(shí)轟動(dòng)一時(shí)的Sobig、MSBlast和其他重要病毒的制作者信息。

如此規(guī)模的公私合作是不多見的，2009年4月1日午夜，當(dāng)Conficker蠕蟲在互聯(lián)網(wǎng)上大肆傳播時(shí)，政府和企業(yè)再次聯(lián)手。多家相互競(jìng)爭(zhēng)的防病毒企業(yè)與政府部門聯(lián)合成立了Conficker工作組，遏制了Conficker病毒的大爆發(fā)。到今天為止，該工作組還在繼續(xù)監(jiān)控這個(gè)蠕蟲。很顯然，各個(gè)安全機(jī)構(gòu)擱置分歧，聯(lián)合行動(dòng)，以反對(duì)共同的敵人，會(huì)使他們的力量更為強(qiáng)大。

3. 社交網(wǎng)站頻遭攻擊

在已過去的這個(gè)十年之初，企業(yè)的安全專家和企業(yè)員工之間在使用即時(shí)通信工具，以及使用P2P網(wǎng)絡(luò)上相互較勁。因?yàn)檫@些應(yīng)用會(huì)在企業(yè)的防火墻上鑿出很多漏洞，為惡意軟件開放各種端口。

這場(chǎng)較勁最初關(guān)注的是服務(wù)器的80端口；但是到了這個(gè)十年快結(jié)束的時(shí)候，人們的擔(dān)憂普遍轉(zhuǎn)向了Facebook、Twitter和其他Web 2.0應(yīng)用。

2005年，一名青年制造了在MySpace上傳播的Samy蠕蟲，使安全業(yè)界一下子開始關(guān)注Web 2.0的核心問題，即用戶貢獻(xiàn)的內(nèi)容可能含有惡意軟件的問題。

2009年，Twitter占據(jù)了舞臺(tái)中心，自然也招來了惡意軟件的光臨，即短網(wǎng)址的危險(xiǎn)。Twitter還遭受過垃圾郵件的大量騷擾。

4. 有組織的病毒和有組織的犯罪

自從1999年的梅麗莎病毒大爆發(fā)以來，電子郵件所攜帶的病毒在2000年以ILOVEYOU的面貌達(dá)到了一個(gè)爆發(fā)高峰，該病毒在5個(gè)小時(shí)里就阻塞了全球范圍內(nèi)的e-mail服務(wù)器。

當(dāng)經(jīng)過改良的垃圾郵件過濾器可以阻塞大量郵件列表、惡意軟件編碼器時(shí)，病毒和蠕蟲便開始轉(zhuǎn)向了自我傳播，比如MSBlast（該病毒利用了遠(yuǎn)程程序調(diào)用進(jìn)程的一個(gè)漏洞）和Sasser（該病毒利用了互聯(lián)網(wǎng)信息服務(wù)進(jìn)程的漏洞）。也差不多是在這個(gè)時(shí)侯，病毒和蠕蟲開始利用SMTP來繞過e-mail過濾器，讓大量沒有免疫力的電腦按照隨機(jī)選擇的網(wǎng)址發(fā)送大量的藥品廣告垃圾郵件。

2004年，就在微軟的懸賞計(jì)劃終于捕捉到了Netsky和Sasser病毒的作者Sven Jashen之后不久，單一個(gè)人在父母家中的地下室里研制病毒的圖景出現(xiàn)了變化，有財(cái)政支持（多半由色情網(wǎng)站和藥品公司提供）的有組織犯罪開始取而代之。比如像俄羅斯商業(yè)網(wǎng)絡(luò)（RBN）這類組織就曾精心策劃過多次垃圾郵件傳播活動(dòng)，其中就包括拉高出貨垃圾股的網(wǎng)絡(luò)詐騙活動(dòng)。

5. 僵尸網(wǎng)絡(luò)

獲得了財(cái)政支持的有組織犯罪集團(tuán)使得惡意軟件不斷推陳出新，并且廣泛傳播。

2007年，暴風(fēng)蠕蟲開始聯(lián)絡(luò)受到暴風(fēng)蠕蟲感染的電腦，形成了一個(gè)受感染電腦組成的網(wǎng)絡(luò)，全部使用Overnet P2P協(xié)議。該協(xié)議可以讓這一網(wǎng)絡(luò)的經(jīng)營(yíng)者很容易就能發(fā)起一次垃圾郵件活動(dòng)，或者利用受感染電腦發(fā)起一次DDoS攻擊。

暴風(fēng)蠕蟲并非唯一這樣做的病毒。另一個(gè)病毒Nugache也在構(gòu)建一個(gè)僵尸網(wǎng)絡(luò)。此外還有很多其他的病毒在這么做。今天，僵尸網(wǎng)絡(luò)已經(jīng)開始感染Mac OS和Linux。你的電腦到底是否已成為僵尸網(wǎng)絡(luò)的一分子，這種概率目前已接近50/50。

6. 阿爾伯特·岡薩雷斯

在過去數(shù)年間所發(fā)生的最大的幾次數(shù)據(jù)泄漏案件，雖然不是有組織的犯罪，但也是多人聯(lián)合實(shí)施的，受害的公司有戴夫與巴斯特食品公司、漢納福德兄弟連鎖、Heartland支付系統(tǒng)和TJX等，這還只是其中的一小部分而已。一個(gè)叫阿爾伯特·岡薩雷斯的罪犯與其同伙一起通過上述公司的Web網(wǎng)站植入了惡意軟件代碼，然后進(jìn)入了這些公司的內(nèi)部網(wǎng)絡(luò)，從而盜走了未加密的大量信用卡數(shù)據(jù)。

為了防范此類數(shù)據(jù)泄漏犯罪，美國(guó)支付卡行業(yè)協(xié)會(huì)（PCI）在2005年特此提出了12條規(guī)定，要求其成員必須遵守。PCI安全委員會(huì)每?jī)赡陼?huì)更新這些規(guī)定。其中包括對(duì)信用卡數(shù)據(jù)的端到端加密。

7. 日益詭詐的釣魚網(wǎng)站

比垃圾郵件更為有效，但是還未成熟的數(shù)據(jù)泄漏方式就是網(wǎng)絡(luò)釣魚。其概念是頗有創(chuàng)意地設(shè)計(jì)一封電子郵件，誘惑接收者去訪問一個(gè)精心設(shè)計(jì)的、看上去完全合法的網(wǎng)站，從而盜取你的個(gè)人信息。這些網(wǎng)站通常會(huì)使用fast-flux技術(shù)，可迅速切換域名，可有效防止執(zhí)法人員對(duì)源頭網(wǎng)站進(jìn)行追蹤。

利用一些銀行和電子商務(wù)網(wǎng)站的logo和網(wǎng)頁(yè)設(shè)計(jì)，一下兒釣魚網(wǎng)站看上去和所模仿的網(wǎng)站一模一樣，和幾年前網(wǎng)頁(yè)上通篇充斥著拼寫錯(cuò)誤的釣魚網(wǎng)站已不可同日而語。那么防范這類釣魚欺詐的最好辦法是什么？就是不要去點(diǎn)擊！

8. 老協(xié)議，新問題

在互聯(lián)網(wǎng)協(xié)議的演進(jìn)過程中，今天的一些協(xié)議所執(zhí)行的功能已遠(yuǎn)遠(yuǎn)超出了最初設(shè)計(jì)它們時(shí)的功能。這種過分?jǐn)U展的協(xié)議的最著名的例子，就要算DNS了。正如IOActive的研究人員Dan Kaminsky在2008年解釋的那樣，這個(gè)協(xié)議對(duì)于各種攻擊而言到處都是漏洞，其中就包括Cache poisoning（緩存投毒）。

DNS將一個(gè)網(wǎng)站的常用名（比如www.pcworld.com）轉(zhuǎn)換成一個(gè)數(shù)字的服務(wù)器地址（比如123.12.123.123）。緩存投毒的意思就是說所儲(chǔ)存的常用名網(wǎng)址可能是不正確的，會(huì)把用戶鏈接到一個(gè)受感染的網(wǎng)站而不是用戶真正想去的網(wǎng)站（但用戶卻一無所知）。

同樣，PhoneFactor的研究人員Marsh Ray在SSL/TLS協(xié)議中也發(fā)現(xiàn)了一個(gè)漏洞，該漏洞可以在節(jié)點(diǎn)兩端進(jìn)行認(rèn)證時(shí)實(shí)施中間人攻擊。

此類漏洞的公布加快了新的標(biāo)準(zhǔn)的建立，例如DNSSEC和新版的SSL/TLS，前者可對(duì)DNS系統(tǒng)中的數(shù)據(jù)進(jìn)行認(rèn)證。在未來數(shù)年中，各個(gè)標(biāo)準(zhǔn)組織將會(huì)開展對(duì)現(xiàn)有協(xié)議的替代工作。

9. 微軟的補(bǔ)丁周二

十年前，微軟只在它覺得有必要時(shí)才發(fā)布補(bǔ)丁。有時(shí)候會(huì)拖到周五的下午才發(fā)布，這等于說犯罪分子有整個(gè)周末的時(shí)間可以對(duì)所發(fā)布的補(bǔ)丁實(shí)施反向工程，然后在系統(tǒng)管理員下周一安裝補(bǔ)丁之前就能充分利用補(bǔ)丁的漏洞。

而從2003年秋天開始，微軟發(fā)布補(bǔ)丁開始遵循一個(gè)簡(jiǎn)單的程序：每個(gè)月的第二個(gè)星期二發(fā)布。這就是著名的“補(bǔ)丁周二”，已經(jīng)延用了6年之久，每月發(fā)布一大堆補(bǔ)丁。Oracle的補(bǔ)丁是每季度發(fā)布，Adobe最近宣稱也要每季度發(fā)布補(bǔ)丁，蘋果是唯一一家沒有固定發(fā)布周期的主要廠商。

10. 發(fā)現(xiàn)漏洞付酬

多年來，獨(dú)立的研究人員們一直在爭(zhēng)論，新發(fā)現(xiàn)的漏洞究竟應(yīng)該立刻公之于眾，還是應(yīng)該等到廠商發(fā)布了該漏洞的補(bǔ)丁之后再公布。在某些情況下，廠商沒有再與研究人員聯(lián)系，或者沒有優(yōu)先考慮公布漏洞的事情，所以研究人員就會(huì)自行公布這些漏洞。從防御的角度講，罪犯?jìng)兛隙ú辉敢饴┒幢还?，因?yàn)檫@些漏洞信息在黑市上可是搶手貨。

經(jīng)過多年的反復(fù)爭(zhēng)論之后，最近有那么一兩家安全公司已經(jīng)決定支付研究人員封口費(fèi)。作為交換，安全公司將與涉及到的廠商共同協(xié)作，檢查補(bǔ)丁是否能夠及時(shí)完成，而該廠商的客戶是否能夠比普通公眾提前得到詳盡的漏洞信息。

比如說，在CanSecWest應(yīng)用安全大會(huì)上，Tipping Point就將1萬美元的年度獎(jiǎng)?lì)C給能夠黑掉指定系統(tǒng)的研究人員。近些年來，發(fā)現(xiàn)漏洞給予報(bào)酬的程序已相當(dāng)成熟。舉例來說，在微軟2009年12月的補(bǔ)丁周二，共發(fā)布了5個(gè)IE漏洞補(bǔ)丁，而這些漏洞都是在iDefence零日項(xiàng)目激勵(lì)程序的作用下被發(fā)現(xiàn)的。

【編輯推薦】

1. 企業(yè)網(wǎng)絡(luò)安全：端點(diǎn)與網(wǎng)關(guān)的結(jié)合之道
2. 網(wǎng)絡(luò)安全服務(wù) 路由器挑大梁
3. 事故頻發(fā)待完善 我國(guó)網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻