安全新疆界
- 来源:互联网周刊
- 关键字:
- 发布时间:2010-02-08 13:22
SNS兴起与智能手机的大行其道,为网络安全拓展了新的疆界。
雅虎等门户网站一统互联网的时代,人们以为门户网站就是互联网的霸主;然而Google、百度等搜索引擎的出现改变了这一切,互联网进入了搜索时代;但搜索引擎也不是主宰互联网的霸主,MySpace、Facebook等SNS社交网站的兴起,特别是多端点接入网络,使人们看到了另一种网络生活方式。
SNS天堂的另一面
新的网络时代也带来了新的网络安全危机,而且和以往面临的情况还有所不同。就在人们兴奋地在SNS网站上结交好友时,也已经把自己暴露在众多安全隐患之中。隐患不仅包括由于各种SNS应用带来的更为复杂的病毒、木马等网络威胁,还有隐私泄露带来的更为严重的威胁。
首先是SNS网站本身的安全漏洞问题,每个网站或多或少都有一些漏洞。安全专家在2009年6月就披露了MySpace站点上的一些安全漏洞,比如没有管理权限的MySpace用户可以随意删除MySpace群公告,非好友群成员也可以在该群中发表和删除话题,被好友群禁止的用户仍然可以在该群中发言等。而Facebook则更为夸张,该网站的首页源代码直接被人曝光在了互联网上。
人们在SNS网站上结交朋友,表现自己,同时也同朋友分享大量图片、视频、Mp3音乐文件或者Flash等,然而这些很可能被别有用心的黑客用来散播病毒。前不久,微软的一个新图片漏洞就被黑客用来进行传播木马,同样的,黑客还可以编制出带有恶意程序的视频、音乐文件或者Flash小游戏来。
还有更为直接的,一些SNS网站上,用户可以编写自己的网页或者Html代码,这使得黑客制造出含有病毒、木马的网页更为容易得多。黑客可以借用当前热门的话题,将恶意代码添加到一个伪装成关于该事件的图片、视频或者网页中,由于SNS的交互性,传播起来就会很快。另外,SNS网站同样无法避免固有的浏览器安全漏洞问题。尽管这些都是第三方软件的漏洞,并非SNS网站本身的漏洞,但由于SNS网站上与这些软件相关的应用会更多一些,因而受影响也会更大。
SNS网站使用的各种新技术也带来了新的安全问题。比如和SNS网站的兴起分不开的AJAX(Asynchronous JavaScript and XML)技术,它是一种为使网页更趋近于应用程序而产生的技术,通过这一技术可以创建更炫更具互动性的网络应用。虽然这一技术本身并没有多少漏洞,但是因为它实际上是结合了多种不断改良的语言,这为黑客创造出更广泛的攻击面,增加了原有的一些问题发生的可能性。
其中最主流的攻击比如XSS跨站脚本攻击(cross-site scripting)。2007年12月,Google的Orkut社交网站就遭到这一攻击方式,成千上万会员的资料档案被感染。目前,XSS跨站脚本攻击依然是网站最主要的安全漏洞,大约70%的网站都存在跨站脚本攻击。另一个是CSRF跨站请求伪造(cross-site request forgery),黑客使用CSRF能轻易迫使用户的浏览器发送隐藏的HTTP请求,例如欺诈的网络传输请求,这可以改变用户的密码以及下载恶意文件。
此外,SNS网站还可能导致DDoS(分布式拒绝服务攻击)攻击。若受感染的数万、数十万PC在浏览一幅经过恶意构造的图片之后,向某一特定目标发起类似Slow SQL.Connection的请求,从而就会形成来自于SNS的分布式拒绝服务攻击。
黑客新目标
但SNS网站存在的这些问题并不是关键,最严重的危险是随着SNS网站的火爆,众多网络犯罪分子已瞄准了这一目标。2008年5月,俄罗斯最受欢迎的社交网站,拥有逾1200万名会员的Vkontakte,就遭到一个通过系统散播的蠕虫攻击,将硬盘的档案全部删除。
不过像上面这样删除档案的直接针对网站恶意攻击还是少数,在当前以牟谋经济利益为目标的网络犯罪行为下,人们面临的更多的是以盗取个人信息为目的个性化攻击。网络罪犯们正越来越多地采用社会工程技术,利用人性的弱点来获得最大利润,而SNS网站的互动特性使得使用者更容易遭受社交工程技巧的攻击。
McAfee在一份安全报告中指出,越来越多的用户在网络上发布自己的个人信息,而且用户生成的应用程序数量也在不断增加,这便给网络罪犯利用社交网络站点上的信息和漏洞进行攻击带来了机会。而且,由于网络罪犯的攻击越来越缜密和个性化,对于此类攻击,用户将极难警戒。
2008年5月,一封邮件通过商务社交网站LinkedIn发出,寄件者自称是居住在象牙海岸的22岁女孩,她的已故父亲留给她6500万元的遗产。寄件者称想把这笔财产转移到国外户口,需要你的帮助并会付给你大笔佣金,但需要你要先汇一笔小钱支付相关费用。数千万计的网站用户都收到了这一邮件,其中一些相信了其中的内容,最终上当受骗。
“网络罪犯正在制造计算机用户无法识别的攻击。钓鱼欺诈、电子邮件攻击、木马和很多其它攻击方式都是针对个人,即使最富经验的人也可能落入精心策划的社会工程陷阱中,”McAfee Avert Labs的高级副总裁Jeff Green表示,“不管你住在哪里或说何种语言,网络骗子都能利用人的本性,如恐惧、好奇心、贪婪和同情心等。罪犯了解人的弱点,并通过互联网大加利用这些弱点。对于网络骗子来说,利用这种方式赚钱或窃取敏感数据非常容易。”
金山互联网安全COO王欣认为,面对SNS文化的新趋势,安全问题不是单一杀毒厂商能够解决的,应该联合浏览器厂商、应该开发程序提供商等联合挺对威胁。“互联网是一个开放的市场,这就好比某家网吧存在安全隐患,应该加强这家网吧的安全建设,而不是自己再开一家网吧。所以同行之间的合作非常重要的。”
“我们的目标消费者年龄在18岁到35之间,精通计算机,一天基本上十几个小时都泡在互联网上。”PC Tools亚太及日本地区销售副总裁Rafal Potega认为PC Tools AntiVirus的优势是满足技术狂的使用习惯,他们可以根据自己的需要调整安全产品的工具栏和设置,甚至可以自己设计;并且欢迎和其它杀毒软件共同安装使用,而不造成冲突。
SNS网站给了用户结交朋友,表现自我的机会,但同时也带来了隐私泄露的威胁。大多数SNS网站采用实名制,或者鼓励实名制。实名用户在网站资料填写自己的真实身份资料,包括真实的姓名、生日、电话、地址等在内的隐私信息,这些隐私信息的泄露可能给用户带来很多麻烦,譬如垃圾广告的骚扰,甚至还被一些别有用心的人加以利用,比如冒用身份进行欺诈。
隐私的泄露有很多途径,首先是SNS网站可能将其出卖给广告商。加拿大渥太华大学四名法律系学生就起诉社交网站Facebook:在未征得其同意的情况下,把个人资料披露予广告商。
另一些隐私泄露的问题则来自SNS网站本身的漏洞,比如此前Facebook在测试新的网站用户界面时,其中一个漏洞导致网站8000万用户的生日信息被泄露。尽管目前很多SN s网站的都提供了相当完善的隐私保护功能,但事实上多数用户却并不知道如何利用这些功能来对自己的身份信息进行保护。此外,用户在SNS网站上发布的大量日志、照片等相关用户资料,已成为很多网络犯罪者觊觎的目标。
2010的“惊喜”
毫无疑问,2009年是社交网站迄今为止受到攻击最多的一年。但是与2010年相比,这些攻击可能根本不值一提。思科在其2009年《年度安全报告》中突出了社交网络对安全的影响,并探讨了人,而非技术在为网络犯罪创造机会方面所起的关键作用。可以预见,2010年信息安全方面将带来更多“惊喜”。
无论是通过数据中心、个人电脑或是移动设备,在当今世界里获取并分享信息比以往任何时候更自如、更便捷,然而这也使信启、保护、系统管理和数据存储成为了企业和个人用户最关注的问题。
在国家信息安全技术工程研究中心总工程师郭晓雷看来,智能手机和普通手机最大的区别在于它安装了操作系统,相当于一台移动的计算机。“目前计算机所遇到的诸如木马入侵、中病毒等安全问题,智能手机都会遇到,而一般手机由于功能相对单一,能安装和兼容的程序很少,风险就小很多。”
打开一封来历不明的邮件或彩信,都有可能导致智能手机中病毒或被植入木马程序,使手机被远程控制。一方面,木马程序可用来窃听用户所处环境的声音,另一方面会将手机里存储的通讯录、短信息等内容发送出去,而这一切都在用户毫不知情的情况下发生。
另外,越来越多的消费者会将各种类型的应用下载到自己的移动设备中,这使得运营商网络的安全性和可用性变得至关重要。一些集中注册和控制的应用软件提供者,通过限制可安装的应用类型来控制安全问题,结果却限制了终端用户和开发商的自由度,并使成本大大增加。虽然目前iPhone上的蠕虫病毒还不能自我传播,而依靠电脑来传播,但2010年,很有可能出现真正可以自我传播的病毒,严重威胁iPhone和Android等设备。
卡巴斯基实验室恶意软件高级研究员Roel Schouwenberg认为,随着用户将智能手机作为迷你PC来处理银行交易、游戏、社交网站和其他的业务,黑客将越发关注这一平台。“黑客们的兴趣逐渐由计算机转向智能手机,同时,一些研究机构和企业也开始针对手机安全研发防护产品,一场关于智能手机信息安全的暗战已经悄然开始。”
智能手机终端的安全问题不仅危害到用户的信息安全,更严重的是还可能危害到整个移动网络和通讯业务。“运营商更多转向开放式操作系统,并允许用户安装更多应用,这些新的平台和应用也给运营商的网络带来更多潜在风险,使网络的完整性受到破坏,并带来业务中断或额外的网络流量。”赛门铁克CTO办公室高级总裁John P.Kelly透露,赛门铁克正在将基于互联网信誉安全的机制移植到智能手机的领域。这项被称作“赛门铁克移动信誉安全”的技术(Symantec Mobile Reputation Security,SMRS)通过运营商定义的基于云的数据库,确定某个文件或应用的安全性,为智能手机提供有效的安全防护和修复功能,同时又不影响终端用户的自由度。
……
雅虎等门户网站一统互联网的时代,人们以为门户网站就是互联网的霸主;然而Google、百度等搜索引擎的出现改变了这一切,互联网进入了搜索时代;但搜索引擎也不是主宰互联网的霸主,MySpace、Facebook等SNS社交网站的兴起,特别是多端点接入网络,使人们看到了另一种网络生活方式。
SNS天堂的另一面
新的网络时代也带来了新的网络安全危机,而且和以往面临的情况还有所不同。就在人们兴奋地在SNS网站上结交好友时,也已经把自己暴露在众多安全隐患之中。隐患不仅包括由于各种SNS应用带来的更为复杂的病毒、木马等网络威胁,还有隐私泄露带来的更为严重的威胁。
首先是SNS网站本身的安全漏洞问题,每个网站或多或少都有一些漏洞。安全专家在2009年6月就披露了MySpace站点上的一些安全漏洞,比如没有管理权限的MySpace用户可以随意删除MySpace群公告,非好友群成员也可以在该群中发表和删除话题,被好友群禁止的用户仍然可以在该群中发言等。而Facebook则更为夸张,该网站的首页源代码直接被人曝光在了互联网上。
人们在SNS网站上结交朋友,表现自己,同时也同朋友分享大量图片、视频、Mp3音乐文件或者Flash等,然而这些很可能被别有用心的黑客用来散播病毒。前不久,微软的一个新图片漏洞就被黑客用来进行传播木马,同样的,黑客还可以编制出带有恶意程序的视频、音乐文件或者Flash小游戏来。
还有更为直接的,一些SNS网站上,用户可以编写自己的网页或者Html代码,这使得黑客制造出含有病毒、木马的网页更为容易得多。黑客可以借用当前热门的话题,将恶意代码添加到一个伪装成关于该事件的图片、视频或者网页中,由于SNS的交互性,传播起来就会很快。另外,SNS网站同样无法避免固有的浏览器安全漏洞问题。尽管这些都是第三方软件的漏洞,并非SNS网站本身的漏洞,但由于SNS网站上与这些软件相关的应用会更多一些,因而受影响也会更大。
SNS网站使用的各种新技术也带来了新的安全问题。比如和SNS网站的兴起分不开的AJAX(Asynchronous JavaScript and XML)技术,它是一种为使网页更趋近于应用程序而产生的技术,通过这一技术可以创建更炫更具互动性的网络应用。虽然这一技术本身并没有多少漏洞,但是因为它实际上是结合了多种不断改良的语言,这为黑客创造出更广泛的攻击面,增加了原有的一些问题发生的可能性。
其中最主流的攻击比如XSS跨站脚本攻击(cross-site scripting)。2007年12月,Google的Orkut社交网站就遭到这一攻击方式,成千上万会员的资料档案被感染。目前,XSS跨站脚本攻击依然是网站最主要的安全漏洞,大约70%的网站都存在跨站脚本攻击。另一个是CSRF跨站请求伪造(cross-site request forgery),黑客使用CSRF能轻易迫使用户的浏览器发送隐藏的HTTP请求,例如欺诈的网络传输请求,这可以改变用户的密码以及下载恶意文件。
此外,SNS网站还可能导致DDoS(分布式拒绝服务攻击)攻击。若受感染的数万、数十万PC在浏览一幅经过恶意构造的图片之后,向某一特定目标发起类似Slow SQL.Connection的请求,从而就会形成来自于SNS的分布式拒绝服务攻击。
黑客新目标
但SNS网站存在的这些问题并不是关键,最严重的危险是随着SNS网站的火爆,众多网络犯罪分子已瞄准了这一目标。2008年5月,俄罗斯最受欢迎的社交网站,拥有逾1200万名会员的Vkontakte,就遭到一个通过系统散播的蠕虫攻击,将硬盘的档案全部删除。
不过像上面这样删除档案的直接针对网站恶意攻击还是少数,在当前以牟谋经济利益为目标的网络犯罪行为下,人们面临的更多的是以盗取个人信息为目的个性化攻击。网络罪犯们正越来越多地采用社会工程技术,利用人性的弱点来获得最大利润,而SNS网站的互动特性使得使用者更容易遭受社交工程技巧的攻击。
McAfee在一份安全报告中指出,越来越多的用户在网络上发布自己的个人信息,而且用户生成的应用程序数量也在不断增加,这便给网络罪犯利用社交网络站点上的信息和漏洞进行攻击带来了机会。而且,由于网络罪犯的攻击越来越缜密和个性化,对于此类攻击,用户将极难警戒。
2008年5月,一封邮件通过商务社交网站LinkedIn发出,寄件者自称是居住在象牙海岸的22岁女孩,她的已故父亲留给她6500万元的遗产。寄件者称想把这笔财产转移到国外户口,需要你的帮助并会付给你大笔佣金,但需要你要先汇一笔小钱支付相关费用。数千万计的网站用户都收到了这一邮件,其中一些相信了其中的内容,最终上当受骗。
“网络罪犯正在制造计算机用户无法识别的攻击。钓鱼欺诈、电子邮件攻击、木马和很多其它攻击方式都是针对个人,即使最富经验的人也可能落入精心策划的社会工程陷阱中,”McAfee Avert Labs的高级副总裁Jeff Green表示,“不管你住在哪里或说何种语言,网络骗子都能利用人的本性,如恐惧、好奇心、贪婪和同情心等。罪犯了解人的弱点,并通过互联网大加利用这些弱点。对于网络骗子来说,利用这种方式赚钱或窃取敏感数据非常容易。”
金山互联网安全COO王欣认为,面对SNS文化的新趋势,安全问题不是单一杀毒厂商能够解决的,应该联合浏览器厂商、应该开发程序提供商等联合挺对威胁。“互联网是一个开放的市场,这就好比某家网吧存在安全隐患,应该加强这家网吧的安全建设,而不是自己再开一家网吧。所以同行之间的合作非常重要的。”
“我们的目标消费者年龄在18岁到35之间,精通计算机,一天基本上十几个小时都泡在互联网上。”PC Tools亚太及日本地区销售副总裁Rafal Potega认为PC Tools AntiVirus的优势是满足技术狂的使用习惯,他们可以根据自己的需要调整安全产品的工具栏和设置,甚至可以自己设计;并且欢迎和其它杀毒软件共同安装使用,而不造成冲突。
SNS网站给了用户结交朋友,表现自我的机会,但同时也带来了隐私泄露的威胁。大多数SNS网站采用实名制,或者鼓励实名制。实名用户在网站资料填写自己的真实身份资料,包括真实的姓名、生日、电话、地址等在内的隐私信息,这些隐私信息的泄露可能给用户带来很多麻烦,譬如垃圾广告的骚扰,甚至还被一些别有用心的人加以利用,比如冒用身份进行欺诈。
隐私的泄露有很多途径,首先是SNS网站可能将其出卖给广告商。加拿大渥太华大学四名法律系学生就起诉社交网站Facebook:在未征得其同意的情况下,把个人资料披露予广告商。
另一些隐私泄露的问题则来自SNS网站本身的漏洞,比如此前Facebook在测试新的网站用户界面时,其中一个漏洞导致网站8000万用户的生日信息被泄露。尽管目前很多SN s网站的都提供了相当完善的隐私保护功能,但事实上多数用户却并不知道如何利用这些功能来对自己的身份信息进行保护。此外,用户在SNS网站上发布的大量日志、照片等相关用户资料,已成为很多网络犯罪者觊觎的目标。
2010的“惊喜”
毫无疑问,2009年是社交网站迄今为止受到攻击最多的一年。但是与2010年相比,这些攻击可能根本不值一提。思科在其2009年《年度安全报告》中突出了社交网络对安全的影响,并探讨了人,而非技术在为网络犯罪创造机会方面所起的关键作用。可以预见,2010年信息安全方面将带来更多“惊喜”。
无论是通过数据中心、个人电脑或是移动设备,在当今世界里获取并分享信息比以往任何时候更自如、更便捷,然而这也使信启、保护、系统管理和数据存储成为了企业和个人用户最关注的问题。
在国家信息安全技术工程研究中心总工程师郭晓雷看来,智能手机和普通手机最大的区别在于它安装了操作系统,相当于一台移动的计算机。“目前计算机所遇到的诸如木马入侵、中病毒等安全问题,智能手机都会遇到,而一般手机由于功能相对单一,能安装和兼容的程序很少,风险就小很多。”
打开一封来历不明的邮件或彩信,都有可能导致智能手机中病毒或被植入木马程序,使手机被远程控制。一方面,木马程序可用来窃听用户所处环境的声音,另一方面会将手机里存储的通讯录、短信息等内容发送出去,而这一切都在用户毫不知情的情况下发生。
另外,越来越多的消费者会将各种类型的应用下载到自己的移动设备中,这使得运营商网络的安全性和可用性变得至关重要。一些集中注册和控制的应用软件提供者,通过限制可安装的应用类型来控制安全问题,结果却限制了终端用户和开发商的自由度,并使成本大大增加。虽然目前iPhone上的蠕虫病毒还不能自我传播,而依靠电脑来传播,但2010年,很有可能出现真正可以自我传播的病毒,严重威胁iPhone和Android等设备。
卡巴斯基实验室恶意软件高级研究员Roel Schouwenberg认为,随着用户将智能手机作为迷你PC来处理银行交易、游戏、社交网站和其他的业务,黑客将越发关注这一平台。“黑客们的兴趣逐渐由计算机转向智能手机,同时,一些研究机构和企业也开始针对手机安全研发防护产品,一场关于智能手机信息安全的暗战已经悄然开始。”
智能手机终端的安全问题不仅危害到用户的信息安全,更严重的是还可能危害到整个移动网络和通讯业务。“运营商更多转向开放式操作系统,并允许用户安装更多应用,这些新的平台和应用也给运营商的网络带来更多潜在风险,使网络的完整性受到破坏,并带来业务中断或额外的网络流量。”赛门铁克CTO办公室高级总裁John P.Kelly透露,赛门铁克正在将基于互联网信誉安全的机制移植到智能手机的领域。这项被称作“赛门铁克移动信誉安全”的技术(Symantec Mobile Reputation Security,SMRS)通过运营商定义的基于云的数据库,确定某个文件或应用的安全性,为智能手机提供有效的安全防护和修复功能,同时又不影响终端用户的自由度。
关注读览天下微信,
100万篇深度好文,
等你来看……
