2010年教育網安全態勢平穩讓病毒飛一會兒

文/鄭先偉

2010年教育網安全態勢平穩讓病毒飛一會兒

文/鄭先偉

2010年，教育網全年運行狀況良好，安全態勢基本平穩，未發生重大的安全事件。2010年的安全形勢以信息安全威脅為主，各類攻擊及木馬病毒等對網絡運行造成的危害不大，而對用戶信息安全造成的威脅巨大。

2010年，CCERT通過各種途徑（如投訴郵件、投訴電話、監控系統等）收到各類安全投訴事件達11182件，如圖1。

圖1 2010年全年教育網安全投訴事件統計

掛馬事件居投訴之首

在投訴事件里，對垃圾郵件的投訴數量最多，占所有投訴事件的58%；其次是網頁掛馬事件和端口掃描事件，分別占34%和7%。與往年數據相比，網頁掛馬和網絡欺詐事件數量有所增多，垃圾郵件的投訴數量有所減少，其他事件數量與往年持平。2010年，CCERT著重對涉及教育網內的網頁掛馬及網絡欺詐事件進行了專項處理。在處理過程中發現教育網內被掛馬的網站絕大多數都屬于學校的二級網站（如院系、研究所或行政部門的網站）。這些網站平時的用戶訪問量都較小，只有在特定的時間段才會出現訪問量增加（例如高考和高招期間），而黑客恰好是借助這個時期來進行掛馬攻擊的，因此教育網內網頁掛馬攻擊數量在5～8月這4個月中達到頂峰，造成這些網站被掛馬的原因是網站缺乏專業技術人員管理和維護, 由于存在各種漏洞導致被黑客攻擊利用。

在對這些有問題的網站進行處理的過程中我們發現這些被掛馬的網站所使用的Web服務程序及腳本語言主要是IIS+ASP（Windows系統）或Apache+php（Linux系統）這兩種組合。Windows系統下的IIS+ASP組合存在的漏洞主要是網頁代碼編寫不規范造成的（如SQL注入漏洞，跨站腳本漏洞等），而Linux系統下的Apache+php組合則存在系統漏洞（如系統版本偏低）、服務程序漏洞（Web服務程序版本偏低）和網頁代碼編寫不規范等多種漏洞。

另外在我們處理的網絡欺詐事件中，所有涉及的被黑客入侵控制后用來放置釣魚網頁的服務器均為Linux系統。

從上述分析我們可以看出，目前網絡上使用Linux系統的服務器的安全性要低于使用Windows系統的，這主要是因為Windows系統的自動補丁更新系統已經逐漸完善，管理員只要點點鼠標就能完成補丁的更新，而Linux系統則缺乏一個有效的自動補丁更新機制，補丁安裝往往需要人為判斷并手動下載安裝，這些操作可能需要較強的系統使用方面的知識，從而導致一些技術較弱的管理員放棄了對系統和軟件的補丁更新。

漏洞需有良好自動更新機制

2010年漏洞的發布情況呈以下特征：漏洞總數量增多，高危漏洞比例增多，0day漏洞的數量增多。以微軟產品的漏洞數量為例：微軟2010年共發布106個安全公告，修補了247個安全漏洞，比2009年微軟的漏洞總數190多了57個。

2010年微軟發布的這106個安全公告中有41個屬于等級最高的嚴重（Critical）級別，60個為重要（important）級別，另外5個為中等（moderate）級別。這些漏洞主要存在于操作系統、IE瀏覽器以及office軟件中，其中大部分的漏洞都可以通過網頁被利用（可以用來進行網頁掛馬攻擊）。微軟2010年的0day漏洞多達8個，并且部分漏洞迅速被大規模的利用來傳播木馬病毒，如年初的IE極光漏洞（MS10-002）及Windows快捷方式LNK文件自動執行代碼漏洞（MS10-046）。除微軟外一些其他的第三方軟件也是漏洞頻發，如Adobe公司的Adobe Reader/Acorbat和Flash player以及Mozilla公司的Firefox瀏覽器等都出現過多個0day漏洞。

漏洞數量的增多和0day漏洞的頻發一方面在考驗廠商的應變能力，另一方面則是在考驗用戶的安全意識和系統的安全防護能力。要及時為系統打補丁目前已經成為用戶的基本安全常識，但是當補丁數量達到一定程度的時候，光靠用戶的安全意識是不夠的，這時就需要廠商有良好自動補丁更新機制。在這點上一些大的廠商做得相對較好（如微軟、Oracle、Mizilla、Adobe），而一些規模較小的第三方軟件公司則還不夠完善，甚至于有些第三方軟件的漏洞在很長時間內都得不到修補。對于那些暫時沒有補丁程序可打的0day漏洞攻擊，用戶很多時候只能采取一些臨時性的手段來降低威脅，如及時使用其他軟件替代存在漏洞的軟件，不隨意點擊可疑的網絡鏈接、使用具有主動查殺功能的防病毒軟件等等。

易用的防毒軟件是關鍵

2010年層出不窮的病毒本身以及新的反病毒技術似乎并沒有引起大家太多的興趣。更多的人去關注與病毒有關新聞是源于反病毒廠商之間的口水戰。其實不管廠商們之間如何爭吵，如何吹噓各家的新技術，對于用戶來說一款操作簡單又能有效保護自己系統信息安全的防病毒軟件才是大家最想要的。2010年病毒沒有引起大家的關注，并不表示這年里的病毒危害不大，之所以沒有引起大家的關注是因為現在的病毒都有特定的目的，在沒有達到目的之前它們都會很好地隱藏自己。多數時候即便是用戶的系統感染了木馬病毒，在正常的系統使用過程中也不會有任何感覺，只有在用戶做與病毒感興趣操作的時候（如使用網上銀行、登陸網絡游戲等），病毒才激活自己的偷竊功能，所以真正能感知病毒的往往是那些已經造成損失的用戶。2010年值得特別關注的病毒是Stuxnet（國內叫超級工廠病毒）蠕蟲病毒，這個病毒利用了7個安全漏洞進行傳播，其中5個是針對Windows系統，另外兩個針對西門子SIMATIC WinCC系統，后者是許多工廠內通用的生產控制系統。在蠕蟲利用的5個Windows漏洞中有4個屬于0day漏洞，這些0day漏洞在病毒大面積傳播后的半年時間內才逐個得到修補。Stuxnet蠕蟲病毒還冒用了Realtek與JMicron兩家公司的數字簽名，以此來躲避反病毒軟件的查殺。跨平臺、使用0day漏洞提高感染率、具有良好的反查殺功能，Stuxnet蠕蟲病毒給未來病毒的發展指明了方向，套用時下最流行的一句臺詞：“讓病毒飛一會兒”，相信之后類似的病毒會越來越多。

移動終端將成未來病毒主攻目標

2011年網絡信息安全形勢將更加嚴峻，網絡攻擊將變得多元化，隨著三網融合的力度逐步加大，更多元化的系統終端也會帶來更多的安全問題。2011年類似手機這種移動的終端將逐漸成為主要的被攻擊目標。

而隨著漏洞挖掘技術的發展，漏洞的發現將變得更容易，一些用戶不是很多的專業軟件的漏洞將更多地被發掘出來，這些第三方軟件的漏洞給用戶帶來的威脅可能超過微軟產品漏洞帶來的威脅（因為微軟的漏洞能快速修補上，而第三方軟件漏洞修復則要困難很多）。

病毒將越來越多地利用0day漏洞進行攻擊，為了保護0day漏洞的可用性，病毒不像之前那樣漫天撒網,而會通過專業的論壇、即時通訊軟件的群組功能等特定的途徑進行傳播，以此來減少自身被反病毒軟件捕獲的可能性。這意味著2011年的網頁掛馬攻擊的整體數量將減少，但是掛馬攻擊的成功率將會提高，病毒的這種傳播趨勢也會給傳統的特征碼查殺病毒技術帶來新的挑戰。因此2011年的網絡與信息安全需要用戶投入更多的關注。

（作者單位為中國教育和科研計算機網應急響應組）