CERNET發布2011年度安全年報：2011年用戶隱私成黑客“香餑餑”

文/鄭先偉

CERNET發布2011年度安全年報：2011年用戶隱私成黑客“香餑餑”

文/鄭先偉

服務器安全由于各個信息系統應用層漏洞的大量存在而問題重要基礎信息服務系統重新成為黑客重點攻擊目標，搜索引擎排名優化成為黑客地下經濟產業的支柱產業。

2011年教育網整體運行平穩，無全網范圍的重大安全事件發生。隨著用戶安全意識和安全軟件技能水平的提升，整個互聯網的安全有了很大的改善，但是黑客們的攻擊方式也在不斷完善，整體安全形式依然不容樂觀。2011年互聯網網絡與信息安全總體呈現以下特征：個人系統的安全防護能力得到較大提升；服務器的安全則由于各個信息系統應用層漏洞（如SQL注入、跨站漏洞等）的大量存在而導致問題重重；基礎信息服務系統（如大型網站、郵件系統等）重新成為黑客重點攻擊的目標，這些大型信息系統中所存儲的用戶隱私信息成為黑客垂涎的“香餑餑”；搜索引擎排名優化（SEO）及販賣用戶隱私成為黑客地下經濟產業中的支柱產業。

教育網安全攻擊態勢分析

CCERT2011全年通過各種途徑（如投訴郵件、投訴電話、監控系統等）收到各類安全投訴事件達5947件，通過對各類安全投訴事件的分析，我們總結出七個特征。

垃圾郵件投訴

垃圾郵件的投訴依然高居榜首，這說明發送垃圾郵件這種低成本的網絡攻擊手段依然是不法商人廣告營銷方式的首選。

端口掃描

從投訴事件中被掃描的端口來看，針對TCP 22端口（SSH服務端口）進行掃描的次數最多，其次是TCP 80端口（Web服務端口），這說明針對SSH服務的口令暴力破解攻擊和通過Web服務端口進行的應用層攻擊（如SQL注入等）受黑客的青睞。

網頁掛馬

隨著服務器及用戶端安全防護措施的增強，網站掛馬的攻擊成功率較以前大大降低。由于獲取不到足夠的利益，攻擊者轉變了攻擊思路，很多被控服務器不再用來做掛馬服務器，而是被用來做更賺錢的SEO（搜索引擎優化）工具。網頁掛馬攻擊有針對性地在某些特定的頁面（甚至是特定時段的特定頁面）上掛馬，以減少掛馬頁面被檢出的幾率。攻擊者在多媒體音視頻文件（如Flash、AVI、MP4等）中進行掛馬。由于多媒體文件多數需要專業的解碼軟件，所以大多數自動檢測系統及某些殺毒軟件對這類被掛馬的多媒體文件檢出率并不高。

系統攻擊

實驗采用一個壓電懸臂梁作為壓電能量轉換裝置,其壓電片材質為壓電陶瓷片,型號為PZT-5A,尺寸為60 mm×31 mm,基板尺寸為80 mm×33 mm×0.6 mm。采用RIGOL DG1022U信號發生器生成激勵信號,經LA-800線性功率放大器放大后驅動VT-500電磁激振器,作為壓電片的振動源。本文所提電路采用分立元件予以實現,其主要元器件型號及參數如表1所示。

從事后對被入侵系統的分析發現，有高達70%以上的網站服務器因為Web應用層存在漏洞（SQL注入漏洞、上傳文件限制不嚴格等）而被利用，而系統程序存在漏洞而導致的入侵比例大大降低。存在應用層漏洞的Web網站很多都是使用開源的內容管理系統搭建的，這些內容管理系統或多或少存在安全問題，網站的管理者也未在二次開發時修補。另外一些學校專有的Web在線應用系統（如論文在線提交系統、在線投稿系統等）存在的漏洞導致網站被入侵。

網絡欺詐

教育網內出現的釣魚網站主要都是仿冒國外的在線銀行或者是在線購物支付系統，未發現直接仿冒國內銀行網站的案例，這可能是為了有效規避法律制裁的一種表現。

DDoS攻擊

DDoS攻擊在教育網內時有發生，而且攻擊流量的規模呈大型化的趨勢（多數時候可達上G的攻擊流量）。攻擊方法依然以syn flood為主，有時也夾雜一些碎片攻擊和CC攻擊。在2011年處理的幾起較大規模的DDoS攻擊中，教育網內被攻擊的服務器都不是攻擊者原本要攻擊的目標，而是被第一受攻擊者進行惡意域名轉嫁造成的。

病毒

隨著國內國外各防病毒軟件的免費化進程的推進，用戶端安裝正版的殺毒軟件的比例大增，用戶的整體感染率大大降低。為了應對反病毒軟件的查殺，木馬病毒采用更底層的自我保護機制，如2011年新發現的Mebromi木馬病毒，用戶一旦感染該病毒后無論是重裝系統、格式化硬盤，甚至換掉硬盤都無法徹底清除，需要經過專業的人使用專業的工具才可能清除，對于這類病毒的最好的防范辦法就是不給其感染的機會。在病毒傳播方面，木馬更多的是采用偽裝進行傳播，它們會把自己偽裝成各種色情圖片、游戲外掛程序、破解程序、熱點視頻文件等引誘用戶下載運行，并且會在下載前以各種理由要求用戶關閉殺毒軟件再進行操作，有些用戶出于好奇或者特殊的目地就會關閉殺毒軟件并下載運行程序而被感染。

涉及應用程序的漏洞數量居首

2011年互聯網上公開發布的信息安全漏洞數量達7000多個，較2010年有所減少，全年的漏洞呈以下特征：

1. 在所有漏洞中，涉及各種應用程序的漏洞最多，占 62.6%，涉及各類網站系統的漏洞位居第二，占22.7%，而涉及各種操作系統的漏洞排到第三位，占8.8%。（注：根據CNVD漏洞庫數據統計結果獲得）

2. 應用程序漏洞中各類瀏覽器（IE、Firefox、Chrome、Safari）漏洞及可通過瀏覽器直接調用的應用程序（Adobe Acrobat／Reader、Flash Player、Realplay、Media Player、Java解析器等）漏洞占了大多數。瀏覽器中Chrome瀏覽器修補的漏洞數量最多，其次是Firefox瀏覽器，而IE瀏覽器和Safari瀏覽器公布的漏洞數量較前兩種開源瀏覽器的少很多。

3. 繼微軟公司之后，Adobe公司、Apple公司、Google公司、Mozilla公司及Oracle公司也成為補丁發布的大戶，這些公司幾乎每月都會定期針對旗下產品發布安全公告和補丁程序。

4. 一些使用面并不是特別廣泛的專業應用軟件（如工控系統、AutoCAD軟件）的漏洞數量也有所增多，利用這些漏洞攻擊者可以有針對性地攻擊一些特殊的目標。

5. 各類開源的網站內容構建及管理系統（CMS）的漏洞在2011年層出不窮且有快速增長的趨勢。

6. 移動通訊方面，Apple公司的IOS系統和Google公司的Android系統的漏洞數量大大增加，說明移動終端逐漸成為黑客的關注重點。

2012年安全趨于復雜

隨著學校接入帶寬及主干帶寬的升級、下一代互聯網的大規模應用、移動終端的應用等變化，2012年校園網安全趨勢將變得更為復雜，管理員需要特別關注之處：

1. 學校網站的安全形勢不容樂觀，2012年學校的網站依然是黑客攻擊的重點，那些使用開源CMS系統架設的網站尤其要當心。SQL注入漏洞仍然或多或少地存在于各類網站中（尤其是二級院系的網站）。一些之前認為危害不大的漏洞（如跨站腳本攻擊漏洞）或是不易利用的漏洞（如數據庫爆庫攻擊）隨著攻擊技術的發展也可能會給系統帶來巨大的危害。盡快全方位掃描自己轄區內所有網站的安全漏洞并及時修補，有條件的情況下可以使用專業的Web應用層防火墻對網站提供保護。

2. 用戶隱私信息正在成為黑客竊取的目標。學校的信息系統內保存著大量的學生隱私信息，這些信息可能成為黑客的攻擊目標。不要想當然地認為這些信息系統使用的是自主開發的系統又是運行在專有網絡或是內網里就萬無一失，實際上專業的攻擊往往都是從內部發起的。檢查數據庫中存儲的用戶敏感信息（如賬號密碼）是否進行加密存儲，如果沒有，請盡快加密。

3. 移動終端給用戶帶來全新的網絡體驗，但是也給網絡管理員帶來更大的管理難度，日見增多的終端設備所使用的系統多種多樣，而且多數都沒有有效的安全防護措施，一旦有相應的病毒出現，可能給用戶造成損失，也給網絡帶來沖擊。學校要加大用戶在這方面的安全意識宣傳。

4. 帶寬的增長帶來的不僅僅是網速的全面提升，它也可能給大規模拒絕服務攻擊提供更多的惡意流量。

5. 隨著IPv6網絡規模的擴大，針對IPv6網絡的攻擊也會逐漸出現，一些支持IPv6的安全設備應該提前準備妥當。

（作者單位為中國教育和科研計算機網應急響應組）