安全新疆界

SNS興起與智能手機(jī)的大行其道，為網(wǎng)絡(luò)安全拓展了新的疆界。

雅虎等門戶網(wǎng)站一統(tǒng)互聯(lián)網(wǎng)的時(shí)代，人們以為門戶網(wǎng)站就是互聯(lián)網(wǎng)的霸主；然而Google、百度等搜索引擎的出現(xiàn)改變了這一切，互聯(lián)網(wǎng)進(jìn)入了搜索時(shí)代；但搜索引擎也不是主宰互聯(lián)網(wǎng)的霸主，MySpace、Facebook等SNS社交網(wǎng)站的興起，特別是多端點(diǎn)接入網(wǎng)絡(luò)，使人們看到了另一種網(wǎng)絡(luò)生活方式。

SNS天堂的另一面

新的網(wǎng)絡(luò)時(shí)代也帶來(lái)了新的網(wǎng)絡(luò)安全危機(jī)，而且和以往面臨的情況還有所不同。就在人們興奮地在SNS網(wǎng)站上結(jié)交好友時(shí)，也已經(jīng)把自己暴露在眾多安全隱患之中。隱患不僅包括由于各種SNS應(yīng)用帶來(lái)的更為復(fù)雜的病毒、木馬等網(wǎng)絡(luò)威脅，還有隱私泄露帶來(lái)的更為嚴(yán)重的威脅。

首先是SNS網(wǎng)站本身的安全漏洞問題，每個(gè)網(wǎng)站或多或少都有一些漏洞。安全專家在2009年6月就披露了MySpace站點(diǎn)上的一些安全漏洞，比如沒有管理權(quán)限的MySpace用戶可以隨意刪除MySpace群公告，非好友群成員也可以在該群中發(fā)表和刪除話題，被好友群禁止的用戶仍然可以在該群中發(fā)言等。而Facebook則更為夸張，該網(wǎng)站的首頁(yè)源代碼直接被人曝光在了互聯(lián)網(wǎng)上。

人們?cè)赟NS網(wǎng)站上結(jié)交朋友，表現(xiàn)自己，同時(shí)也同朋友分享大量圖片、視頻、Mp3音樂文件或者Flash等，然而這些很可能被別有用心的黑客用來(lái)散播病毒。前不久，微軟的一個(gè)新圖片漏洞就被黑客用來(lái)進(jìn)行傳播木馬，同樣的，黑客還可以編制出帶有惡意程序的視頻、音樂文件或者Flash小游戲來(lái)。

還有更為直接的，一些SNS網(wǎng)站上，用戶可以編寫自己的網(wǎng)頁(yè)或者Html代碼，這使得黑客制造出含有病毒、木馬的網(wǎng)頁(yè)更為容易得多。黑客可以借用當(dāng)前熱門的話題，將惡意代碼添加到一個(gè)偽裝成關(guān)于該事件的圖片、視頻或者網(wǎng)頁(yè)中，由于SNS的交互性，傳播起來(lái)就會(huì)很快。另外，SNS網(wǎng)站同樣無(wú)法避免固有的瀏覽器安全漏洞問題。盡管這些都是第三方軟件的漏洞，并非SNS網(wǎng)站本身的漏洞，但由于SNS網(wǎng)站上與這些軟件相關(guān)的應(yīng)用會(huì)更多一些，因而受影響也會(huì)更大。

SNS網(wǎng)站使用的各種新技術(shù)也帶來(lái)了新的安全問題。比如和SNS網(wǎng)站的興起分不開的AJAX(Asynchronous JavaScript and XML)技術(shù)，它是一種為使網(wǎng)頁(yè)更趨近于應(yīng)用程序而產(chǎn)生的技術(shù)，通過這一技術(shù)可以創(chuàng)建更炫更具互動(dòng)性的網(wǎng)絡(luò)應(yīng)用。雖然這一技術(shù)本身并沒有多少漏洞，但是因?yàn)樗鼘?shí)際上是結(jié)合了多種不斷改良的語(yǔ)言，這為黑客創(chuàng)造出更廣泛的攻擊面，增加了原有的一些問題發(fā)生的可能性。

其中最主流的攻擊比如XSS跨站腳本攻擊(cross-site scripting)。2007年12月，Google的Orkut社交網(wǎng)站就遭到這一攻擊方式，成千上萬(wàn)會(huì)員的資料檔案被感染。目前，XSS跨站腳本攻擊依然是網(wǎng)站最主要的安全漏洞，大約70％的網(wǎng)站都存在跨站腳本攻擊。另一個(gè)是CSRF跨站請(qǐng)求偽造(cross-site request forgery)，黑客使用CSRF能輕易迫使用戶的瀏覽器發(fā)送隱藏的HTTP請(qǐng)求，例如欺詐的網(wǎng)絡(luò)傳輸請(qǐng)求，這可以改變用戶的密碼以及下載惡意文件。

此外，SNS網(wǎng)站還可能導(dǎo)致DDoS(分布式拒絕服務(wù)攻擊)攻擊。若受感染的數(shù)萬(wàn)、數(shù)十萬(wàn)PC在瀏覽一幅經(jīng)過惡意構(gòu)造的圖片之后，向某一特定目標(biāo)發(fā)起類似Slow SQL.Connection的請(qǐng)求，從而就會(huì)形成來(lái)自于SNS的分布式拒絕服務(wù)攻擊。

黑客新目標(biāo)

但SNS網(wǎng)站存在的這些問題并不是關(guān)鍵，最嚴(yán)重的危險(xiǎn)是隨著SNS網(wǎng)站的火爆，眾多網(wǎng)絡(luò)犯罪分子已瞄準(zhǔn)了這一目標(biāo)。2008年5月，俄羅斯最受歡迎的社交網(wǎng)站，擁有逾1200萬(wàn)名會(huì)員的Vkontakte，就遭到一個(gè)通過系統(tǒng)散播的蠕蟲攻擊，將硬盤的檔案全部刪除。

不過像上面這樣刪除檔案的直接針對(duì)網(wǎng)站惡意攻擊還是少數(shù)，在當(dāng)前以牟謀經(jīng)濟(jì)利益為目標(biāo)的網(wǎng)絡(luò)犯罪行為下，人們面臨的更多的是以盜取個(gè)人信息為目的個(gè)性化攻擊。網(wǎng)絡(luò)罪犯?jìng)冋絹?lái)越多地采用社會(huì)工程技術(shù)，利用人性的弱點(diǎn)來(lái)獲得最大利潤(rùn)，而SNS網(wǎng)站的互動(dòng)特性使得使用者更容易遭受社交工程技巧的攻擊。

McAfee在一份安全報(bào)告中指出，越來(lái)越多的用戶在網(wǎng)絡(luò)上發(fā)布自己的個(gè)人信息，而且用戶生成的應(yīng)用程序數(shù)量也在不斷增加，這便給網(wǎng)絡(luò)罪犯利用社交網(wǎng)絡(luò)站點(diǎn)上的信息和漏洞進(jìn)行攻擊帶來(lái)了機(jī)會(huì)。而且，由于網(wǎng)絡(luò)罪犯的攻擊越來(lái)越縝密和個(gè)性化，對(duì)于此類攻擊，用戶將極難警戒。

2008年5月，一封郵件通過商務(wù)社交網(wǎng)站LinkedIn發(fā)出，寄件者自稱是居住在象牙海岸的22歲女孩，她的已故父親留給她6500萬(wàn)元的遺產(chǎn)。寄件者稱想把這筆財(cái)產(chǎn)轉(zhuǎn)移到國(guó)外戶口，需要你的幫助并會(huì)付給你大筆傭金，但需要你要先匯一筆小錢支付相關(guān)費(fèi)用。數(shù)千萬(wàn)計(jì)的網(wǎng)站用戶都收到了這一郵件，其中一些相信了其中的內(nèi)容，最終上當(dāng)受騙。

“網(wǎng)絡(luò)罪犯正在制造計(jì)算機(jī)用戶無(wú)法識(shí)別的攻擊。釣魚欺詐、電子郵件攻擊、木馬和很多其它攻擊方式都是針對(duì)個(gè)人，即使最富經(jīng)驗(yàn)的人也可能落入精心策劃的社會(huì)工程陷阱中，”McAfee Avert Labs的高級(jí)副總裁Jeff Green表示，“不管你住在哪里或說(shuō)何種語(yǔ)言，網(wǎng)絡(luò)騙子都能利用人的本性，如恐懼、好奇心、貪婪和同情心等。罪犯了解人的弱點(diǎn)，并通過互聯(lián)網(wǎng)大加利用這些弱點(diǎn)。對(duì)于網(wǎng)絡(luò)騙子來(lái)說(shuō)，利用這種方式賺錢或竊取敏感數(shù)據(jù)非常容易。”

金山互聯(lián)網(wǎng)安全COO王欣認(rèn)為，面對(duì)SNS文化的新趨勢(shì)，安全問題不是單一殺毒廠商能夠解決的，應(yīng)該聯(lián)合瀏覽器廠商、應(yīng)該開發(fā)程序提供商等聯(lián)合挺對(duì)威脅?！盎ヂ?lián)網(wǎng)是一個(gè)開放的市場(chǎng)，這就好比某家網(wǎng)吧存在安全隱患，應(yīng)該加強(qiáng)這家網(wǎng)吧的安全建設(shè)，而不是自己再開一家網(wǎng)吧。所以同行之間的合作非常重要的。”

“我們的目標(biāo)消費(fèi)者年齡在18歲到35之間，精通計(jì)算機(jī)，一天基本上十幾個(gè)小時(shí)都泡在互聯(lián)網(wǎng)上。”PC Tools亞太及日本地區(qū)銷售副總裁Rafal Potega認(rèn)為PC Tools AntiVirus的優(yōu)勢(shì)是滿足技術(shù)狂的使用習(xí)慣，他們可以根據(jù)自己的需要調(diào)整安全產(chǎn)品的工具欄和設(shè)置，甚至可以自己設(shè)計(jì)；并且歡迎和其它殺毒軟件共同安裝使用，而不造成沖突。

SNS網(wǎng)站給了用戶結(jié)交朋友，表現(xiàn)自我的機(jī)會(huì)，但同時(shí)也帶來(lái)了隱私泄露的威脅。大多數(shù)SNS網(wǎng)站采用實(shí)名制，或者鼓勵(lì)實(shí)名制。實(shí)名用戶在網(wǎng)站資料填寫自己的真實(shí)身份資料，包括真實(shí)的姓名、生日、電話、地址等在內(nèi)的隱私信息，這些隱私信息的泄露可能給用戶帶來(lái)很多麻煩，譬如垃圾廣告的騷擾，甚至還被一些別有用心的人加以利用，比如冒用身份進(jìn)行欺詐。

隱私的泄露有很多途徑，首先是SNS網(wǎng)站可能將其出賣給廣告商。加拿大渥太華大學(xué)四名法律系學(xué)生就起訴社交網(wǎng)站Facebook：在未征得其同意的情況下，把個(gè)人資料披露予廣告商。

另一些隱私泄露的問題則來(lái)自SNS網(wǎng)站本身的漏洞，比如此前Facebook在測(cè)試新的網(wǎng)站用戶界面時(shí)，其中一個(gè)漏洞導(dǎo)致網(wǎng)站8000萬(wàn)用戶的生日信息被泄露。盡管目前很多SN s網(wǎng)站的都提供了相當(dāng)完善的隱私保護(hù)功能，但事實(shí)上多數(shù)用戶卻并不知道如何利用這些功能來(lái)對(duì)自己的身份信息進(jìn)行保護(hù)。此外，用戶在SNS網(wǎng)站上發(fā)布的大量日志、照片等相關(guān)用戶資料，已成為很多網(wǎng)絡(luò)犯罪者覬覦的目標(biāo)。

2010的“驚喜”

毫無(wú)疑問，2009年是社交網(wǎng)站迄今為止受到攻擊最多的一年。但是與2010年相比，這些攻擊可能根本不值一提。思科在其2009年《年度安全報(bào)告》中突出了社交網(wǎng)絡(luò)對(duì)安全的影響，并探討了人，而非技術(shù)在為網(wǎng)絡(luò)犯罪創(chuàng)造機(jī)會(huì)方面所起的關(guān)鍵作用?？梢灶A(yù)見，2010年信息安全方面將帶來(lái)更多“驚喜”。

無(wú)論是通過數(shù)據(jù)中心、個(gè)人電腦或是移動(dòng)設(shè)備，在當(dāng)今世界里獲取并分享信息比以往任何時(shí)候更自如、更便捷，然而這也使信啟、保護(hù)、系統(tǒng)管理和數(shù)據(jù)存儲(chǔ)成為了企業(yè)和個(gè)人用戶最關(guān)注的問題。

在國(guó)家信息安全技術(shù)工程研究中心總工程師郭曉雷看來(lái)，智能手機(jī)和普通手機(jī)最大的區(qū)別在于它安裝了操作系統(tǒng)，相當(dāng)于一臺(tái)移動(dòng)的計(jì)算機(jī)?！澳壳坝?jì)算機(jī)所遇到的諸如木馬入侵、中病毒等安全問題，智能手機(jī)都會(huì)遇到，而一般手機(jī)由于功能相對(duì)單一，能安裝和兼容的程序很少，風(fēng)險(xiǎn)就小很多?！?/p>

打開一封來(lái)歷不明的郵件或彩信，都有可能導(dǎo)致智能手機(jī)中病毒或被植入木馬程序，使手機(jī)被遠(yuǎn)程控制。一方面，木馬程序可用來(lái)竊聽用戶所處環(huán)境的聲音，另一方面會(huì)將手機(jī)里存儲(chǔ)的通訊錄、短信息等內(nèi)容發(fā)送出去，而這一切都在用戶毫不知情的情況下發(fā)生。

另外，越來(lái)越多的消費(fèi)者會(huì)將各種類型的應(yīng)用下載到自己的移動(dòng)設(shè)備中，這使得運(yùn)營(yíng)商網(wǎng)絡(luò)的安全性和可用性變得至關(guān)重要。一些集中注冊(cè)和控制的應(yīng)用軟件提供者，通過限制可安裝的應(yīng)用類型來(lái)控制安全問題，結(jié)果卻限制了終端用戶和開發(fā)商的自由度，并使成本大大增加。雖然目前iPhone上的蠕蟲病毒還不能自我傳播，而依靠電腦來(lái)傳播，但2010年，很有可能出現(xiàn)真正可以自我傳播的病毒，嚴(yán)重威脅iPhone和Android等設(shè)備。

卡巴斯基實(shí)驗(yàn)室惡意軟件高級(jí)研究員Roel Schouwenberg認(rèn)為，隨著用戶將智能手機(jī)作為迷你PC來(lái)處理銀行交易、游戲、社交網(wǎng)站和其他的業(yè)務(wù)，黑客將越發(fā)關(guān)注這一平臺(tái)。“黑客們的興趣逐漸由計(jì)算機(jī)轉(zhuǎn)向智能手機(jī)，同時(shí)，一些研究機(jī)構(gòu)和企業(yè)也開始針對(duì)手機(jī)安全研發(fā)防護(hù)產(chǎn)品，一場(chǎng)關(guān)于智能手機(jī)信息安全的暗戰(zhàn)已經(jīng)悄然開始?！?/p>

智能手機(jī)終端的安全問題不僅危害到用戶的信息安全，更嚴(yán)重的是還可能危害到整個(gè)移動(dòng)網(wǎng)絡(luò)和通訊業(yè)務(wù)?！斑\(yùn)營(yíng)商更多轉(zhuǎn)向開放式操作系統(tǒng)，并允許用戶安裝更多應(yīng)用，這些新的平臺(tái)和應(yīng)用也給運(yùn)營(yíng)商的網(wǎng)絡(luò)帶來(lái)更多潛在風(fēng)險(xiǎn)，使網(wǎng)絡(luò)的完整性受到破壞，并帶來(lái)業(yè)務(wù)中斷或額外的網(wǎng)絡(luò)流量?！辟愰T鐵克CTO辦公室高級(jí)總裁John P.Kelly透露，賽門鐵克正在將基于互聯(lián)網(wǎng)信譽(yù)安全的機(jī)制移植到智能手機(jī)的領(lǐng)域。這項(xiàng)被稱作“賽門鐵克移動(dòng)信譽(yù)安全”的技術(shù)(Symantec Mobile Reputation Security，SMRS)通過運(yùn)營(yíng)商定義的基于云的數(shù)據(jù)庫(kù)，確定某個(gè)文件或應(yīng)用的安全性，為智能手機(jī)提供有效的安全防護(hù)和修復(fù)功能，同時(shí)又不影響終端用戶的自由度。