传说中的“狼”真的来了。此前好像更多地存在于传闻中的网络病毒,利用网络空间的漏洞,给普通人的现实生活撕开一道道口子。
5月12日开始爆发的勒索蠕虫病毒Wannacry已经影响到100多个国家,导致全球数十万主机被感染。
国内的情况同样严重,因为遭受勒索蠕虫病毒的攻击,一些信息化的工厂车间被攻陷,企业不得不停工;部分加油支付系统的终端也中招,用户加油后无法正常支付;某些大学生的毕业论文被锁死,屏幕上只留下一片攻击者勒索比特币的红色界面。
虽然在病毒爆发的第二天,一名英国研究员就无意间发现 WannaCry病毒的隐藏开关(Kill Switch)域名,意外遏制了病毒的进一步扩散。但5 月 14 日,病毒的升级版WannaCry 2.0 又卷土重来,并取消了 Kill Switch。
之后的研究表明,Wannacry病毒是利用美国国家安全局(NSA)黑客武器库泄露的黑客工具“永恒之蓝”(Eternal Blue)开发的。这或许是普通人离“网络军火”最近的一次,也是网络安全教训最直接的一次。
内网不再是安全自留地
“一些号称与外网隔离的内网,在这次勒索病毒肆虐中成为重灾区,在不能连接外网的情况下,只能用效率低下的办法救援。”5月17日,在针对WannaCry勒索病毒召开的媒体沟通会上,360集团董事长兼CEO周鸿祎一语道破了此次网络病毒事件带来的新挑战:内网不再是网络安全的自留地。
事后看来,本次勒索病毒的爆发主要集中在许多使用内网隔离的办法维护网络安全的地方,例如高校、医院、政府机构和事业单位等。此类单位所使用的内网大多仍开放用户使用445端口(支持文件共享的网络端口),而我国个人网络用户的445网络端口大多已被网络运营商屏蔽。
此外,因为不能连接外网,所以在本次勒索病毒爆发之后不能及时修补漏洞,升级安全软件,进一步增加了“中招”的概率。腾讯安全实验室专家马劲松以高校为例,分析了本次勒索病毒爆发实践中,原本被认为能带来安全保障的内网隔离手段不再安全的原因。
马劲松表示,许多高校通常接入的网络是为教育、科研和国际学术交流服务的教育科研网,此骨干网出于学术目的,大多没有对445端口做防范处理。而且,一些高校学生为了打局域网游戏,有时会关闭电脑防火墙,这会导致电脑接收445端口的数据,给黑客攻击留下可乘之机。
目前,针对这次勒索病毒事件,各大网络安全厂商都已经推出相应解决方案。以腾讯电脑管家为例,两天之内连续发布“勒索病毒免疫工具”“文件恢复工具”等,用户可以此保护电脑安全。
马俊松提醒,虽然此役过后,相同手法的病毒攻击将不会大规模出现,但全面爆发的勒索病毒侵入了用户生活工作的方方面面,也让大家意识到了网络病毒的威胁与严重后果。
中国科学院信息工程研究所信息安全国家重点实验室主任林东岱则认为,这次病毒事件对于用户和安全厂商来说将带来网络安全观念上的改变。“以前我们可能用内网这类办法防止网络攻击,但这次的病毒事件说明,他们也可以反过来利用我们自己的技术手段来攻击、勒索我们。”
身为信息安全研究专家,林东岱深知此次勒索病毒攻击,采取的技术并不新颖。但网络攻击的思路改变后,将提高相应的网络安全防御成本。他把这次病毒事件的情节和影响类比为“9·11”事件:以前为了应对劫机,航空公司会假定恐怖分子也想活着,所以相应的培训都是让大家尽量别激怒劫机者,但忽然发生的“9·11”事件表明,劫机者也可能根本不想活命,此时原有的培训反倒可能成为伤害所有人的工具。
“永恒之蓝”背后的“永恒漏洞”
病毒爆发后,网络安全界发现,这款勒索蠕虫病毒是针对微软系统的“永恒之蓝”漏洞进行传播和攻击的。一旦电脑感染该病毒,被感染电脑会主动对局域网内的其他电脑进行随机攻击,局域网内没有修补漏洞的电脑理论上将无一幸免地感染该病毒。
在上述媒体沟通会上,周鸿祎也强调了网络漏洞的重要性,他把网络漏洞比喻为“网络军火”,一个大家没发现的漏洞就可能引发全球性病毒的爆发。在中国青年报·中青在线记者采访时,许多专家都认为“永恒之蓝”背后所反映的网络安全漏洞问题值得反思。在“永恒之蓝”的背后,永恒存在的网络漏洞随时都是公众网络安全的潜在威胁。
马劲松表示,此次病毒感染急剧爆发的主要原因在于,其传播过程中利用了“永恒之蓝”漏洞。上海斗象科技有限公司市场副总裁、漏洞盒子负责人李勇也认为,这次病毒大规模爆发最大的特点就是利用通用型系统或者设备的漏洞进行攻击,造成大规模的危害。
“白帽黑客”华建乐(化名)也对记者表示,在整个事件中,作为传播媒介的微软系统漏洞MS17-010是最关键的。华建乐认为,本次病毒爆发事件中,攻击者采取的是敲诈勒索“这种明目张胆的方式来攻击”,这其实并不是明智之举,甚至更像是榨取“永恒之蓝”这个系统漏洞的最后价值。
这也就意味着,本次勒索病毒事件和“永恒之蓝”漏洞可能只是冰山一角,还有更多的漏洞和通过漏洞展开的攻击尚未被人知晓。根据国家信息安全漏洞共享平台(CNVD)的统计数据,2016年CNVD共收录通用软硬件漏洞10822个,较2015年的漏洞收录总数8080环比增加34%。其中高危漏洞有4146个(占比38.3%),可用于实施远程网络攻击的漏洞有9503个,可用于实施本地攻击的漏洞有1319个。
在CNVD的统计中,此次勒索病毒事件中被利用的“永恒之蓝”漏洞所属的“零日”漏洞(0day)在去年共收录2203个。这类安全漏洞又被称为零时差攻击,在被发现后将立即被恶意利用,因而往往具有很大的突发性与破坏性。
随着越来越多智能设备投入使用,网络安全漏洞所带来的威胁也与日俱增。360互联网安全中心发布的《2016年中国互联网安全报告》显示,个人信息泄露主要是黑客利用网站存在的安全漏洞非法入侵和网站内部人员非法盗卖;金融行业网站漏洞威胁更加复杂化,传统的银行、保险,新兴的第三方支付、互联网P2P等领域都曝出不少高危漏洞;网站漏洞实施挂马攻击重新兴起,并呈现一定程度爆发趋势。
此外,一个更加令人担忧的问题是,在移动互联网时代越发重要的手机也存在众多安全漏洞。上述《报告》指出,目前大多数安卓系统手机都存在安全漏洞,而用户手机未能及时更新而存在安全漏洞的重要原因之一,是手机厂商普遍未能实现其定制开发的安卓系统与安卓官方同步更新,而且延时较大。
漏洞安全治理急盼良方
为应对与日俱增的网络漏洞威胁,目前不少科技公司都设立了漏洞奖励机制,只要“白帽黑客”或其他技术人员发现并提交漏洞,就会获得奖励。而乌云、补天等漏洞反馈、众测平台也会接收并公布漏洞,以帮助企业发现漏洞并及时补救。另外,也有一些安全企业提供代码审计类的产品,希望在产品上线之前先发现是否存在漏洞。
不过,在华建乐看来,在数量众多且复杂多样的网络漏洞威胁面前,上述做法似乎都不太够用。因为高危漏洞往往需要人工发掘才能发现,而且在发现后很容易就会被转入地下黑色产业链,直到利用价值逐渐减低,才逐渐浮出水面。
“三分靠技术,七分靠制度。”华建乐说,在网络漏洞安全防范中,已经积累了许多经验和技术,但这些经验和技术的推广仍受制于现实的制度障碍和执行困难。对此,林东岱也深有体会。据他介绍,企业(集团)漏洞扫描漏洞、等级保护测评高危漏洞等技术手段是目前比较合适的网络漏洞防范手段,也有一部分企业在推行。“但很多还是没做,所以怎么推行到位还是一个问题。”
为何合适的网络漏洞防范技术难以推行?这跟网络安全行业的特殊性有关。“出了事都很关心,不出事大家都不愿去做,这也是我们做安全行业的人经常遇到的一个苦恼。”林东岱曾接触过许多企事业单位的网络安全管理部门,他发现很多企业在一开始不愿意去做网络安全的事,总是把安全放到业务和营利后考虑。
金山软件股份有限公司首席安全专家李铁军也注意到了这类现象。他说,相比于个人用户,许多内网企业用户仍然没有及时修复系统、安装更新补丁的习惯,即使早就有了帮助隔离的内网用户更新补丁的技术工具,依然有相当多的单位未采用。
在网络安全领域从业多年,李铁军希望这次勒索病毒事件能促进网络安全管理部门意识到病毒爆发背后的制度问题。“对管理者来说这是一个很好的机会。”他说,塞翁失马焉知非福。李勇也表示,在黑客的攻击行为变得更加多样化的新环境下,此次勒索病毒事件再次说明和教育了大家,企业的网络安全建设不是简单的买一两台设备和一套系统,而是一个系统工程,需要在IT投资、人员能力、威胁情报收集、开发和运维保障、业务迭代等多方面开展,并且动态地进行。
他建议企业要尽快建立漏洞安全威胁情报搜集渠道,提前感知并预判安全威胁,从而缩短发现威胁和发生威胁的时间差,有效避免和减少损失。“因为黑客攻击是在暗处,而且从网络安全的建设来看,防止攻击是100%防不住的。”
本文转自d1net(转载)
