Top
首页 > 老文章 > 正文

红色代码所带来的安全启示

  席卷全球的红色代码蠕虫风暴,不仅给全球造成超过10亿美元的损失,而且对许多国家的国家安全构成了重大威胁,连美国的FBI也不得不认真对待。面对如此凶猛的病毒袭击,我们怎样才能获得真正的安全?
发布时间:2001-09-04 16:21        来源:        作者:严潇潇
  席卷全球的红色代码蠕虫风暴,不仅给全球造成超过10亿美元的损失,而且对许多国家的国家安全构成了重大威胁,连美国的FBI也不得不认真对待。面对如此凶猛的病毒袭击,我们怎样才能获得真正的安全?   今年7月19日,一种名为“红色代码”(Code Red)的新的网络蠕虫在全球因特网大爆发,在爆发最初的9小时内就攻击了25万个计算机系统。美国白宫官方网站19日当天即遭到攻击,美国国防部为加强防范,被迫于23日关闭下属的大多数军事网站。联邦调查局国家基础设施保护中心主任迪克说,因特网已经成为美国国家安全与经济稳定的关键因素,而红色代码对因特网构成了重大威胁。   7月31日,红色代码在蛰伏一段时间后,再次大举袭击,几天内造成全球15万台计算机瘫痪。据初步估计,红色代码及其变种给全球因特网及相关产业造成的损失超过10亿美元。   8月初,破坏性更强的变种红色代码Ⅱ在亚洲爆发。包括韩国、日本等许多政府网站在内的数百个计算机系统都遭到了红色代码Ⅱ的攻击。8月6日,红色代码Ⅱ登陆中国,据国家计算机病毒应急处理中心统计,在短短3天内,国内遭到红色代码Ⅱ攻击的用户就达180余家,被感染的服务器超过200台。为此,当天晚上,国家因特网应急小组协调办公室发布紧急通报:“红色代码Ⅱ病毒疫情严重,已对正常的网络通信和服务构成重大威胁。”   
“划时代”的恶性代码
  席卷全球的红色代码风暴,使计算机用户前所未有地强烈感觉到自己处于岌岌可危的状态;而一个个安全漏洞,造成世界许多国家政府网站受到威胁的事实,使网络安全又一次提升到国家安全的高度,令美国FBI都不敢小觑。

恶性代码的主要种类

病毒

一种通过感染文件进行传播的程序。cih即普通病毒的典型。

蠕虫

批量邮送型 传播需要有人动作,这通常意味着打开被感染电子邮件中的附件。典型是前期的安娜・库尔尼科娃蠕虫。防御该蠕虫只要求人们被动地拒绝电子邮件附件及使用防病毒软件。

不同于病毒,蠕虫感染的不是文件,而是整个硬盘或计算机系统。因为蠕虫不靠文件到文件的传送途径传播代码,所以需要一种方式把自己发送至其他计算机系统。

网络意识型 通过安全漏洞潜入另一台计算机,不需要有人动作就能传播。典型是linux ramen蠕虫和w95/bymer。防御该蠕虫则要求人们修补安全漏洞、为系统加口令及使用个人防火墙。

特洛伊木马

不同于蠕虫和病毒,特洛伊木马的目的不是传播,而是找到特定目标,即运行某种程序的计算机主人。在系统内开后门或在幽默动画内隐藏动过手脚的程序,就是特洛伊木马的典型。

  这次爆发的红色代码之所以具有如此大的破坏性,是因为它所利用的是在全球范围普遍存在的一个安全漏洞,即微软服务器软件IIS(Internet Information Server)的漏洞,攻击运行Windows 2000/NT系统的电脑。因特网调研公司称,全球主机采用微软IIS软件的网站有近600万个。被红色代码攻击后,网站的因特网连接速度会放慢,甚至完全瘫痪;更危险的是,其变种红色代码Ⅱ是继1988年莫里斯蠕虫后又一里程碑性质的突破,它集中了多种恶性代码,包括“蠕虫”、“特洛伊木马”及“黑客”的特征,能使黑客对系统随心所欲地进行破坏。应付这样被病毒专家“誉”为划时代的智能化的恶性代码,仅靠杀毒软件是不够的。   
不设防
  近年来,随着电子商务的迅速崛起,许多企业开始大规模开展网上商务活动。然而,在开创及发展时,几乎所有的网站都更注意便利和实用性,而忽略了最不能忽略的安全问题。未进行操作系统相关安全配置、未进行CGI程序代码审计、DoS攻击未作任何防范、安全产品使用不当、未建立相关的安全制度、安全意识和技术欠缺的问题比比皆是。比如,导致出现恶意攻击者冒用他人账号进行网上购物等严重后果的一大原因,就是未进行CDGI程序代码审计。   数字时代,电子邮件成为因特网上的第一应用,但邮件及其附件也迅速成为计算机病毒的主要传播载体。每逢邮件病毒大爆发,全球都会造成巨大经济损失,因为邮件病毒的恶劣之处在于,它能以几何级数增长的方式传播。而一般邮件服务提供商,特别是免费邮件服务商,在提供网上服务的同时,很少为用户的安全提供保护,未设置病毒检查与过滤机制,这样的邮件系统就是一座“不设防的城市”。   
被动防护
  即使是进行了安全防护的系统,对企业与个人用户而言,一般也只能抵御那些经过分析并增加了相应解决方法的病毒。这些方法天生就是被动的办法,在任何新病毒面前并不顶事。   一些公司为了在更早的阶段逮住蠕虫,开发出了所谓的“数字免疫系统”,能在任一系统受到首次新感染后就把新的扫描定义和软件发送给所有顾客,从而在蠕虫攻击达到高潮之前保护计算机。但这些方案同样也是被动的方法,因为它的有效性也取决于蠕虫被发现的速度。   另外,在软件安装运行后又填补漏洞的补丁方案同样问题重重。源源不断的补丁软件和其他修正方案,让普通系统管理员应付不及,而有时因为安装了补丁还引发了系统的其它问题。比如,有的服务器打上补丁程序后立即丢失信用卡号码或其他个人资料,对电子商务的交易造成重大损失。因此人们对于让软件用户自己下载并安装相关设备以避免险情发生的方式,也提出了质疑。   
软件开发商站出来?
  这次红色代码蠕虫主要利用了微软系统的漏洞,使人们不禁要问:微软等软件开发商要不要为自己的产品负责?美国计算机紧急响应小组(CERT)协调中心就指出:虽然系统管理员应对本系统安全负责,但软件开发商也要开始为自己的软件负起更多责任。中心负责人Jeffrey Carpenter说,系统管理员没必要修补软件漏洞。他说:“正如我们从红色代码蠕虫及其他分布式攻击事件看到的那样,如果所使用的软件发现新的漏洞,即使安全措施一向做得较好的网站也会受到严重影响。”虽然CERT并未提到微软及IIS缺陷的名字,但矛头显然针对这家软件业巨擘及其在今年头7个月所发现的40个Bug。负责人Carpenter说:“红色代码引发的种种问题将继续存在,除非开发商首先大幅减少产品中漏洞的数量。”
红色代码在全球第一轮爆发
  系统管理员研究及培训机构SANS甚至认为,微软认证系统工程师培训中缺少足够的系统安全培训,也是造成红色代码及其他蠕虫病毒肆虐的因素之一。
红色代码在全球第二轮爆发
  对于这些意见,微软的发言人称,微软同意CERT关于软件质量亟需提高的观点,但同时强调,软件没有缺陷是不可能的。他说:“只要软件是用人手编写的,就始终存在软件错误,而其中一些会导致安全漏洞。”尽管口头上比较强硬,但是在红色病毒爆发一个月后,微软公司第一次推出了两个以帮助其用户保护系统为目标的工具软件。这两个工具软件能让用户评估自己的微软产品的安全级别,并检测是否安装了必要的补丁的工具软件,它们分别称为HFNetChk和微软个人安全顾问,前者面向企业局域网,后者则针对小型企业和家庭用户。Aberdeen集团的分析家认为,微软此举说明,这个软件巨擘开始意识到系统安全对用户十分关键,如果不开始采取此类措施,微软将逐渐失去用户,特别是企业用户中的阵地。   
主动参与
  值得庆幸的是,新型网络安全产品已经让人们看到了解决网络安全问题的希望。新型安全产品不再单纯依靠识别病毒的特征,或用补丁掩盖漏洞,而是致力于从内部检测网络,并在要害位置设置软件哨兵,这些软件哨兵互相对话,并检查公司业务流程,将其与一系列预设的规则进行对照,从而对网上哪些行为属于正当行为做出智能决定,从网络内部杜绝病毒或蠕虫侵入的可能。   软件提供商在为用户提供软件或服务的同时,也应该多为用户的安全保护考虑,在软件发布以前就要求零安全漏洞,虽然是太过完美的要求,但是增加相应软件的安全保护工具,指导用户安全使用系统或软件,从而减轻最终用户面临的压力,应该是比较易于实现并有效的安全保护机制。而软件应用提供商能否为用户做这些事,预计会成为将来用户选择服务商的参考因素之一。   从国家网络安全保障的整体结构来说,建立一套高效的应急体系应该是十分必要的。这个体系应该能够快速地掌握国内外的病毒形势,从而为用户提供最快捷的警告和最权威的指导。   科学技术永远是双刃剑,技术的发展在推动应用系统升级的同时,也必然会使新的病毒技术相应浮出。持续、稳定的安全环境需要来自方方面面坚持不懈地参与。重视安全,提高认识,并积极行动,是红色代码风暴留给我们的警示。
请进入"网络安全"专区查看更多文章
查看有关"网络安全"的行业动态
(责任编辑 kayuma hequan@staff.ccidnet.com
加载更多

专题访谈

合作站点
stat