我记得,1988年11月2日,开始于戈达德太空飞行中心的一个普通的日子,我是在数据通信分公司工作。在这一天结束时... ...嗯,事实上,那一天永远不会结束。我们只是不停地战斗,使我们的服务器和网络起死回生。我们的SunOS和VAX / BSD系统,该系统被连接到互联网,已经放慢停了下来。
我们还不知道,但我们正在与第一个网络传播的恶意软件程序:the罗伯特•莫里斯网络蠕虫病毒。在我们的“一天”的24小时后,我们收到了由美国加州大学伯克利分校和我们重新联机。
事实证明,Morris蠕虫病毒是不是一个蓄意攻击。这是一个错误的自复制程序,导致它的速度繁殖如此之快,带来了下来(当时小得多)上网。这是近20年前,并最终将其曝光,罗伯特·莫里斯小不打算发泄他做的严重破坏。他无非是想获得实在的数量有多少系统被连接到网络。
相比之下,如今的恶意软件造成的破坏不那么明显,但蓄意伤害却大得多。大多数21世纪的黑客制作恶意软件不是为了炫耀他们的技能,也不是为了纯粹的恶意取乐而破坏系统。他们制造的恶意软件隐藏在你的系统中,这样他们就可以利用你的个人信息和PC资源来赚钱。欢迎来到资本主义黑客时代。
作为回应,安全供应商推出了反恶意软件程序,我们陷入了一场似乎无休止的战斗在破解者和我们的网络,我们的电脑和我们的个人信息的安全捍卫者之间。目前看来,坏人正在获胜。现在的恶意软件比以往任何时候都多。
在这个角落,挑战者号…
也许“恶意软件”不是正确的词。从历史上看,病毒、蠕虫和类似的攻击者都是打了就跑的攻击者——侵入,干掉一些文件,并试图在它们被发现和清除之前跳到另一台电脑上。现代入侵程序被设计成蜷缩在你的系统中,就像在家里一样,但它们不是用来破坏你的计算机或文件的。它们并不像著名的电脑病毒ILOVEYOU那样具有恶意,ILOVEYOU曾在2000年摧毁了Windows系统中不计其数的文件。
不,他们在那里等待机会抢夺的重要密码或信用卡号,把你的关怀下PC变成一个凌晨2点垃圾发电,并伤害您的用户和数据,而不是你的机器。你可能甚至不是主要目标。其中一个更令人不安的传言,虽然一个很难证明,是可以不作用于代表或有组织的网络犯罪人员,而是由恐怖分子或政府机构的一些恶意软件。波罗的海国家爱沙尼亚的网站,例如,通过大规模的DDoS(分布式拒绝服务)攻击命中去年由什么被认为是一组俄罗斯黑客。
不,你要知道,那病毒如梅丽莎、爱虫病毒和震荡波没有造成巨大的损失;他们所做的。但用户可以采取相对较少、相对简单的预防措施来避免感染,比如永远不要打开通过电子邮件发送给他们的可执行附件。或者他们可以通过不使用Outlook来实践安全计算——这是一个系统漏洞自称是电子邮件客户端。然而,如果你使用最新的病毒检测程序,并且使用安全的电子邮件,那么你很有可能是安全的。
这些类型的威胁仍然存在。我自己的细心照料AV设置仍然认为postcard.exe他出生于2005年的某个时候,每周来这里两三次。像明信片这样的老式木马仍然存在,这一事实表明,每分钟都有一个傻瓜诞生。每一次“疑似嫌犯”在附带今日新闻的电子邮件中发送有毒附件,就会引发一波又一波的感染,这意味着现在你随时都可以看到带有“额外”东西的奥运主题垃圾邮件。用户仍然会点击任何飘过的闪亮物体。以及最近“鱼叉式钓鱼”(spearphishing)的巨大成功,通过发送有针对性的电子邮件来俘获高管的电脑自称包括传票表明愚蠢的点击在整个公司食物链中都有发生。
然而,真正的问题是,人类发现麻烦制造者的所有简单方法风暴袭击不要对抗21世纪的恶意软件。现在,当你访问一个已经被破解的站点时,大多数恶意软件都会出现,而不是像电子邮件附件或可移动媒体那样大块大块地出现无人防守的带有访问者添加链接的社交网络页面,隐藏了CSRF(跨站点请求伪造)攻击。你点击一个看似链接的东西(你甚至可以看到你想看到的页面),与此同时,你的电脑正在下载最新的攻击代码(可能还会在此过程中窃取你存储的cookie)。
还有一件事:麦金塔迅速流行的不仅仅是好人。最近的成功在针对Mac电脑的黑客攻击中,CanSecWest的Pwn 2自己的竞争对手,MacBook Air的安全系统在防御系统被攻破之前Windows Vista机器也在竞争中,显示了没有安全,即使是在平台上,通常认为在某种程度上免疫Windows用户已经面临多年的问题。接下来呢?大多数观察家预测,期待已久的针对移动用户的恶意软件热潮即将到来。
…在这个角落里,防守队员
根据赛门铁克几乎占所有威胁的三分之二检测在2007年。毫无疑问,2008年还会有更多。到2009年,Jari Heinonen,亚太副总裁f - secure集团。预计,“病毒和木马[马]总数会通过一百万的目标。”(事实上,正如一些报道所称的那样,事实并非如此。)这些新生的恶意软件害虫比以往任何时候都更难发现,这使得反恶意软件的作者不仅要跟上不断上升的威胁潮流,而且要与看起来完全独特的威胁作斗争。
过去,杀毒程序只需检测病毒的简单签名(由该病毒的可执行代码生成的唯一数字序列),就能识别入侵者并将其摧毁。然后。这是现在。今天,任何自重的恶意软件程序都是多态的。这是一种有趣的说法,意思是每次复制一个副本时,病毒就会不断改变自己,这样在抗病毒程序中,病毒看起来就不完全一样了。而且,这些程序越来越多地使用服务器端多态,这意味着感染在到达您的机器之前发生了突变,因此您的防病毒包甚至不能通过注意到它携带了突变引擎的代码来发现可疑的入侵。
另一个常见的恶意软件技巧是简单地掩饰当前的bug使用一个包装程序。一个打包器,就像你可能保存的压缩和解压文件的Zip工具一样,将非社交程序压缩成无法识别的格式。然后,当时机成熟的时候(最近很可能是在它到达后的某个随机时间),这个bug会打开它的包,开始把你的电脑弄得一团糟。其他出现的伪装技术包括加密,以及针对基于脚本的攻击的混淆尝试。
反恶意软件的人们继续为新旧恶意软件程序的所有多态、打包、加密、混淆的“荣耀”提出签名。你可能猜到了,这并不容易。防病毒公司现在运行实验室24/7为您的安全程序生成最新的签名。
对付恶意软件的一个更现代和有效的方法不是看程序是什么样子的,而是看它们能做什么。这种技术叫做启发式。这个词本身来源于希腊语,意思是“经验法则”,而在人脑中进行的实践,是创造力和常识的结合。在安全软件的“大脑”中,它需要应用行为规则,而不是简单的模式匹配。
例如,你的反恶意软件可能会觉得有些奇怪,一个新的计划似乎已经打开您的Outlook和Gmail地址簿,无需任何用户命令的能力。“嗯,”扫描器对自己说,“这并不好看。”而且,当然,这是正确的。
还有一种方法是简单地给可疑程序一些虚拟空间,使系统的其余部分得到保护。这被称为沙盒——做它的工作,看看会发生什么。如果它试图在你的财务文件上胡作非为,我们知道它是一个坏蛋。有些项目提供沙箱;其他的则需要设置管理员。
0和英雄
你可能已经注意到所有这些反恶意软件技术的一个特点:它们都是被动的。那不是很好。但就目前的情况来看,工程师们肯定有问题需要应对;只有这样,他们才能发布程序更新来处理最新的问题。零日(Zero days,又名0days)是目前人们熟悉的安全漏洞的缩写,目前还没有针对该漏洞的补丁。看到零日漏洞对恶意软件栅栏的双方意味着什么,可以了解双方如何管理这种情况。
恶意软件的编写者可能会将零日发现的消息互相传递几天或几周,直到受害软件的制造者知道有麻烦了。在一些情况下,没有得到大型软件供应商关注的研究人员公开了他们的信息,要么是为了证明他们知道这些,要么是为了让制造商感到羞愧,让他们做正确的事情并进行修补。
但即使不再是零日,比赛也没有结束。例如,就在Vista的零日安全问题被修复的同一天,恶意软件的制造者们就开始像海狸一样加速改造他们的恶意软件来使用那个“修复的”安全问题。
那是什么你说什么?他们为什么这么做,当孔已经修补?他们这样做是因为一个极大的系统运行Windows,他们知道,他们越早得到他们重新焕发活力的垃圾程序在那里,有漏洞的系统的更大数量仍然会剩余期间找到“漏洞窗口”。
这种情况在一定程度上是因为专有的操作系统和程序依赖于由默默无闻安全的误区部分:如果没有人知道有一个洞,逻辑是,那么没有人可以利用它。这样的作品,只要没有人知道孔是存在的。但是,如果有人不知道这个洞 - 这是始终通过补丁终于发布了它的时间的情况下,由于恶意软件的派系之间良好的通讯 - 那么就完全没有保障。该bug嘉年华新闻在2006年和2007年期间,在安全研究人员宣布,他们将显示一个错误在一个特定的软件或操作系统每天一定量的时间,都是基于这个想法羞辱制造商的晦涩的安全性的心态。按照逻辑,如果研究人员可以在一周或一个月的时间里每天指出一个不同的漏洞,企业将被迫在其安全意识中解决系统性问题。
你的第一道防线,当然,尽快力所能及的更新软件并及时了解所发生的事情在那里。如果你是一个网络或系统管理员,你需要留意的零日跟踪新闻网站,如Secunia公司公告按产品上市。如果你看到这样一个名单孔中列出的产品,你知道的程序或操作系统都有一个已知的安全问题。我们希望,该方案的供应商,或白帽子黑客或研究人员,将一个坏人利用的问题之前,有一个可用的补丁。在此期间,这些纤夫会给你你需要留意的不明原因的行为与新漏洞的软件的信息。这通常但并不总是意味着软件厂商必须尽快力所能及的,但有时第三方甚至研究者谁首先发现了问题,都会有一个补丁准备更快补丁。
安装第三方补丁与让在微风中零日瓣的危害是风险承受能力的问题,大多数IT专业人员将面临至少一次在他们的事业;唉,没有一个放之四海而皆准的所有答案。如果你很不幸足以让一个零日攻击反正打,有很多方法至少检测和限制这种攻击造成的损害。
在这里,我们从以PC为中心的保护搬开监控网络。如果你的公司没有网络审计和网络入侵防御的工具,它需要他们。游戏的名称是寻找意外的网络流量和网络扫描活动。例如,有地球上没有任何理由,乔 - 在会计工作站应努力达到一个SMTP服务器时,有没有别的操作自己的机器上,因为他是请病假。