信息安全的趋势和策略（上）

　　　　　　　　　　　　　　　　－胡司令－

　　互联网的爆炸式发展，信息资源共享的巨大需求，成就了企业机构信息网络化
的大趋势，随之而来的网络安全问题也日渐显著。从上世纪９０年代末开始，光是
公开的系统安全漏洞就呈每年翻倍递增之势。信息安全已成为信息时代人类面临的
挑战和当务之急。

（一）信息安全的趋势和焦点

网络金融犯罪

　　网络银行骇客（ｃｒａｃｋｅｒ，破坏者；有别于ｈａｃｋｅｒ，黑客）、网
络商业间谍、军事间谍……近年来层出不穷。然而我们所看到和听到的，仅仅是冰
山的一角。技术的进步，道德的沦陷，加上立法不健全，骇客们的目的更加明确。
以金融犯罪为唯一目的病毒开始大规模出笼，诸如此类的木马程序已成为一种有效
地通过网络和软件技术进行的金融犯罪现象。

密码标准破解

　　２００４年在美国召开的国际密码学大会上，山东大学的“巾帼英雄”王小云
教授作了成功破解ＭＤ５密码的报告，在密码界引起“地震”。她的研究成果尽管
仍是实验性的，但作为信息安全核心技术的重大发现，已使世界通行的密码标准Ｍ
Ｄ５遭到空前的挑战。

客户端安全

　　万维网浏览器因其漏洞，成为除电子邮件之外的网络病毒攻击的另一大通道。
这方面，尤以微软的ＩＥ浏览器为甚。ＩＥ在２００３到２００４年，同微软操作
系统一样，漏洞频发，惨不忍睹。电脑应急响应中心ＣＥＲＴ公布的警告，给了“
网景”浏览器的孪生兄弟“火狐狸”ｆｉｒｅｆｏｘ一个绝佳机会。于是，去年Ｉ
Ｅ浏览器的市场占有率一下降到９０％以下。

　　随着人们对信息安全的重视，防火墙的普及和加强，大多数服务端口都已被封
住。从开放度和数量上看，目前主要剩下的只有电子邮件服务和万维网站服务的端
口，成为黑客和骇客们最为频繁地关注和利用的目标（当然还有一些网络实时交谈
、瞬时通信、文件交换以及新的大众应用程序服务）。

　　尤其在当人们加强了众矢之的的服务器之安全防范、这方面的漏洞逐渐减少的
情况下，攻击者们开始更多关注起客户端来：包括邮件程序、浏览器、其它客户应
用程序等。如何把病毒、蠕虫、后门、木马或间谍软件等从外部网络一路送到企业
内部网上的客户端，并移植到那些电脑上，成了骇客们绞尽脑汁想要达到的目的。
所以，我们除了要留意易招惹病毒等攻击的浏览器之外，还有另一个广开的门户：
电子邮件及其用户程序。此外还有其它的常用程序，如微软办公软件，ＰＤＦ软件
等，一旦与对外联系的浏览器或邮件程序结合使用，而可能带来的后果。

病毒、蠕虫、间谍软件、钓鱼事件

　　１９８８年，康乃尔大学电脑系研究生、美国国家电脑安全中心主任之子小莫
里斯造出世界上第一个“网络蠕虫”（现在他摇身一变成了麻省理工教授），宕掉
网上６千至９千台主机，不到１２小时废掉了整个互联网（ＣＥＲＴ一个月后便诞
生了）。２００１年秋的“红色代码”只用９小时便感染了全球２５万台网站服务
器。２００３年初的“ＳＱＬ监狱”２９分钟感染了７万５千台数据库服务器；同
年夏天的“震荡波”更是波及全球“视窗”用户电脑，瘫痪了无数企业和机构的内
部一般电脑及网络。

　　蠕虫和病毒从８０年代末的唯一一例，猛增到近两年每年超过六万例。“红色
代码”、“蓝色代码”、“员理管”、“ＳＱＬ监狱”、“震荡波”、“我的毁灭
”、“网天”、“悲狗”、“信使射手”……，千僖年以来一连串病毒和蠕虫的出
现，给依赖于信息和网络的全球经济造成了巨大损失。而且，病毒和蠕虫越来越多
样化，甚至蠕虫、病毒编写组织开始相互对抗，频繁推出更新版本，造成推波助澜
的效果。

　　家用个人电脑的调查显示，平均每台电脑中藏有２８个间谍软件，它们被越来
越多的公司及个人利用，其目的从初期简单收集用户电脑信息，演变成为收集银行
密码帐号等资料。至于网络“钓鱼”，网络钓客以假网站引钓一些银行或交易网站
的客户端用户上钩，也已屡见不鲜。

垃圾邮件与病毒邮件

　　处理和过滤垃圾、病毒邮件，近年来已成了一个十分复杂棘手的问题，让邮件
服务商大伤脑筋。现在的情形是，中了“毒”的电脑在其主人毫无知觉的情况下，
从主人存档的电子通讯录里，伪造第三者送信人地址，向通讯录中其它地址自动发
送复制的病毒或垃圾邮件。而且其标题往往伪装得平常无奇，有时内容还被打包加
密。这种伪装和变数往往给识别和过滤过程带来很大困难。

　　目前反垃圾邮件技术手段的例子，包括“雅虎”的“Ｄｏｍａｉｎ　Ｋｅｙｓ
”，利用公、私钥加密技术为每个邮件地址做一个唯一的签名，实现对发信人的身
份验证。还有“美国在线”正试验一种名为“Ｓｅｎｄｅｒ　Ｐｅｒｍｉｔｔｅｄ
　Ｆｒｏｍ”（ＳＰＦ）的新电子邮件协议，禁止通过修改域名伪造邮件地址。

　　笔者认为，反垃圾、病毒邮件的最终解决方案，只有等到比较高效的检查内容
的（准）智能型邮件过滤软件出台，或者是全新电子邮件协议的引入，尤其是（短
期内）能与入侵探测系统协同工作的邮件服务器的问世。

分布式拒绝服务攻击

　　现在的“拒绝服务”，很少再有是一台或少数几台机器发起的了，而是所谓“
分布式”的。攻击者们躲在互联网后，控制成百上千事先已被黑过、并悄悄植入了
木马或后门的僵尸电脑（或曰“肉鸡”），甚至由蠕虫来自动进行传播和攻击。笔
者注意到，越来越多的拒绝服务攻击开始专门针对域名服务器，因为该类服务器常
常位于第三者网络，不容易及时引起注意。而其效果却等同于直接攻击目标网点。


利用搜索引擎的渗透攻击

　　２００４年的拉斯维加斯“黑帽”大会上，有两位黑客的演讲，是如何利用著
名搜索引擎“股沟”（ｇｏｏｇｌｅ）的安全漏洞攻击其所列的网站。“股沟攻击
”技术从此正式浮出水面。这种攻击其实算不上多少新鲜，它利用搜索引擎快速查
找存在漏洞的主机以及含有敏感数据的信息。让人担忧的是，这种过去由黑客手动
操作的攻击，目前已经可通过一种新的蠕虫病毒来自动进行。

　　在“股沟”上可以搜集到很多相关有用的信息，通过逐步分析，确认漏洞，然
后利用、扩大漏洞，并最终扩大战果，成功渗透侵入很多网站。举例来说，用“股
沟”能查到很多直接在远端机器上执行命令的ｐｈｐ　ｗｅｂｓｈｅｌｌ的后门，
相当于一个可运行ＵＮＩＸ命令的远程登录终端。如此一来，你也许可以直接更改
那个主机上的网站主页，搜集用户名并进一步猜测破解密码，或者从ｗｅｂｓｈｅ
ｌｌ提升权限，甚至达到根用户的最高级别。

　　第二个例子，是利用“股沟”查找源码暴露的ｉｎｃ文件获取站点的敏感信息
。许多ｐｈｐ程序员习惯上喜欢把一些常用代码或配置存在一个．ｉｎｃ文件中。
这样便出现一个安全隐患。如果一个服务器上ｐｈｐ代码写错，客户端的浏览器查
看该文件网页时，可能会直接显示ｐｈｐ的源代码行以及详细的路径。所以，当网
站ｐｈｐ代码有错或者解析出问题时，包括攻击者在内的任何一个互联网用户，都
可以一览无余地看到．ｉｎｃ文件的内容，而其中常常能淘出些用户密码之类的重
要信息。

　　利用搜索引擎的高级功能可以找到许多网站主机的密码文件、带有公开漏洞的
程序、配置通常失误的软件等，甚至含有早几年丑名远扬的微软网站服务器的联合
码漏洞之类的古董级主机。

　　看来当前的网络搜索引擎实在过分强大了。笔者预期，不久的将来，有一段相
当长的时间，这些功能将会受到限制，直到全球服务器的整体安全水平提升到新的
高度。

　　（未完待续）