2010網(wǎng)絡(luò)安全問題越發(fā)嚴(yán)重，各種網(wǎng)絡(luò)攻擊層出不窮，黑客攻擊也越發(fā)容易，網(wǎng)絡(luò)犯罪已經(jīng)成為公眾最為關(guān)心的話題之一，網(wǎng)絡(luò)戰(zhàn)爭(zhēng)也被給出了絕對(duì)定義，更有人說我們即將迎來網(wǎng)絡(luò)的劫難。如果2011年的網(wǎng)絡(luò)間諜活動(dòng)仍然與2010年一樣的話，那么我們將看到大量針對(duì)特定目標(biāo)的一次性攻擊，這些攻擊不僅會(huì)令研究者感到驚訝，還會(huì)繼續(xù)損害企業(yè)。

上述這段話來自于Mikko Hypponen，他是來自于赫爾辛基的安全服務(wù)公司F-Secure的首席技術(shù)官。在2011年度RSA會(huì)議上，討論關(guān)于網(wǎng)絡(luò)間諜時(shí)，Hypponen以最近發(fā)生的攻擊事件為例，展示了網(wǎng)絡(luò)犯罪分子是如何在受害公司、政府組織或個(gè)人毫不知情的情況下竊取數(shù)據(jù)的。

Hypponen注意到，互聯(lián)網(wǎng)上的間諜活動(dòng)與以經(jīng)濟(jì)為目的的間諜活動(dòng)截然不同，因?yàn)槭芄舻哪繕?biāo)明確而具體——大多數(shù)是國(guó)防承包商、公共部門組織、政府及其部門機(jī)構(gòu)和宣傳組織——攻擊者很少會(huì)因?yàn)榻?jīng)濟(jì)目的而攻擊這些組織，如親西藏的組織以及內(nèi)蒙古少數(shù)民族支持者團(tuán)體。

Hypponen說幾乎所有的定向攻擊都是通過電子郵件、在線聊天或者網(wǎng)頁滲透發(fā)生的。他說，大部分的攻擊都很相似：始于一封從一個(gè)看起來受信任的同事、客戶、伙伴或者朋友那里發(fā)來的電子郵件，聊著日常話題。

然而，實(shí)際上這些郵件都是攻擊者制作和發(fā)送過來的；郵件中包含了能夠觸發(fā)并打開受感染系統(tǒng)后門的代碼，通過后門犯罪分子可以不受阻礙地盜取數(shù)據(jù)、監(jiān)視用戶并將用戶的電腦并入其不斷擴(kuò)大的僵尸網(wǎng)絡(luò)中。

許多電腦被感染都是因?yàn)橛脩羧狈Π踩庾R(shí)或者僅僅是因?yàn)檫\(yùn)氣不好，Hypponen說，以網(wǎng)絡(luò)間諜為目的的定向攻擊成功率很高，因?yàn)楣粽邔ｉT研究了目標(biāo)可能會(huì)感興趣的內(nèi)容，然后以此創(chuàng)建惡意的郵件或其他文檔，并以合法的、第三方的身份發(fā)送這些郵件。

更糟的是，Hypponen說道，這類攻擊者越來越多地使用一次性的惡意軟件，導(dǎo)致反惡意軟件系統(tǒng)難以檢測(cè)。

“通常，如果在實(shí)驗(yàn)室里我們有一個(gè)惡意軟件樣本，那也就意味著我們有該軟件的成百上千的樣本，”Hypponen說，但是在這些事件中惡意軟件是唯一的；研究人員以前從沒見過它們，以后也不會(huì)再次見到。

然而，一個(gè)保持不變的趨勢(shì)是，搭載惡意代碼的文件始終是那幾類。根據(jù)F-Secure公司的數(shù)據(jù)，2010年61%的定向攻擊依賴于惡意PDF文件；剩下幾乎所有的都是感染微軟的Office文檔，包括Word、Excel和PowerPoint。

具有諷刺意味的是，進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)的攻擊者常常在郵件或者文件中包含有關(guān)網(wǎng)絡(luò)攻擊的信息。Hypponen展示了一封談?wù)摼W(wǎng)絡(luò)沖突的惡意電子郵件，該郵件被發(fā)送至一個(gè)關(guān)注網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的郵件列表，以整個(gè)列表內(nèi)的人為目標(biāo)。

他還提到了一個(gè)例子。一位安全分析師發(fā)現(xiàn)諾貝爾和平獎(jiǎng)主頁上已被成功植入惡意軟件。他通報(bào)了這個(gè)問題，不久之后收到一封感謝他的電子郵件，附件中有一份PDF文件，邀請(qǐng)他參加即將到來的諾貝爾和平獎(jiǎng)的受獎(jiǎng)儀式。但問題是，這份郵件是偽造的，那份PDF文件實(shí)際上是一次定向攻擊。

Hypponen說，目前仍然很難檢測(cè)網(wǎng)絡(luò)間諜活動(dòng)，但他推薦指導(dǎo)用戶不要打開意外的電子郵件附件。如果用戶收到了此類郵件，他們應(yīng)該首先向郵件發(fā)送者確認(rèn)。他還指出，大多數(shù)PDF漏洞都是針對(duì)Adobe Reader的缺陷，因此企業(yè)應(yīng)該鼓勵(lì)使用另外的PDF閱讀器，以降低被成功攻擊的可能性。

“Adobe reader是我見過的最差的軟件，然后就屬Q(mào)uickTime，”Hypponen說道。

Marc，一位來自美國(guó)政府機(jī)構(gòu)的與會(huì)者，希望保持匿名。他說，很明顯用戶應(yīng)該避免使用Adobe Reader，但問題是用戶并不知道它是多么不安全，也不知道換一個(gè)PDF閱讀器是多么重要。

另一位與會(huì)者Harry Bryson，來自英國(guó)，目前在惠普公司做軟件工程師。他說，惡意的PDF文件與社會(huì)工程學(xué)相結(jié)合，使得網(wǎng)絡(luò)間諜活動(dòng)難以被停止。

【編輯推薦】

1. 新攻擊如雨后春筍 你需要知道的六個(gè)安全問題
2. 當(dāng)網(wǎng)站遭遇DDoS攻擊的解決方案及展望
3. 社會(huì)工程學(xué)攻擊的三個(gè)典例
4. DDoS攻擊 揮之不去的夢(mèng)魘