CIOI:这给整个社会造成了什么样的损失呢?
杜跃进:在这次东京研讨会上,僵尸网络有一个关键词是“Theopportunityforeasymoney(容易挣钱的机会)”。现在,网络攻击已经形成了一个比较成熟的产业链,所以它背后的人已经不再像以前的黑客那样,仅仅是出于兴趣,或者恶作剧而发动攻击。
根据我们2006年所做的调查结果显示,在我国,网络攻击地下产业链的产值达到了2.38亿元,造成的损失有76亿元。在这个地下 产业链中,僵尸网络扮演着重要的角色。僵尸网络竟然能造成如此巨大的损失,怎样才能有效遏制?
目前来说,还无法有效遏制。因为这不是一个用户,或者一个部门就能够解决的问题。其中会涉及到很多问题。在这次3月份东京的会议上,大家也认为僵尸网络不是一个技术问题,而是一个社会问题。通常社会问题就更复杂些。
作为专业技术人员,我们都很想铲除僵尸网络。我国曾经有一个成功铲除僵尸网络的案例,但是它之所以能够成功,是因为其中有太多的巧合。例如,那是第一次发现这样的情况,国家有关部门接到报告后非常重视,直接参与协调,公安执法部门的力量快速介入,同时,那个僵尸网络的一个指挥控制用的服务器就在国内,而且这台服务器真正的主人非常配合我们的工作,最后才通过足够的线索找到犯罪人。但并不是每一次都能够有这么多的“恰好”和多方配合。
CIOI:这其中面临的困难主要在哪里?
杜跃进:首先,有很多网络安全事件,但是却没有人会去投诉一个僵尸网络。因为刚才我说了,受害者看到的问题是具体的攻击行为,而不是僵尸网络,或者更确切地说,僵尸网络往往是隐藏在现象背后的原因,而受害者看到的却是表面的现象,例如挥之不去的垃圾邮件、网络阻塞等。况且关于网络犯罪,在我国目前的现行法律上还有很多不完善的地方,在法律执行上也遇到很多新问题。例如,受害者报案的时候要先提供证据,可是到哪里能够搜集到证据呢?就算是受害者有足够的技术水平,但是有些类型的攻击根本不会入侵受害者的机器,受害者到哪里去取证据呢?没有证据就无法立案。退一步说,就算立了案,其实也面临很多问题。因为在现实中,执法很多都是属地化的。可是网络攻击却是“无极限”的,一种攻击也许是从太平洋某个岛国发起的,它动用了环太平洋的网络资源,最终受害者也许在中国,这样的一个跨国、跨洲的案例应该去哪儿立案?应该如何处理?况且各个国家的法律也不一样。这就要求各国执法部门之间开展有效的合作。
CIOI:针对企业而言,僵尸网络攻击的威胁主要有哪些?
杜跃进:通过这次东京会议,我们也做了一个总结,僵尸网络现在实现的手段是越来越复杂,通过控制那些中了僵尸程序的计算机,僵尸网络可以发起各种各样的攻击。这些攻击所造成的威胁,常见的大约有三类。
第一类是我们通常所说的数据安全的问题,也就是数据被窃取、破坏等。比如很多的网站背后都有数据库,如果仅仅作为一个浏览者,所能看到的内容是有限的。由于网站的数据库可能会有隐私,其中包括一些商业机密或个人秘密。攻击者有可能就会绕过这个网站去破坏其后面的数据库,窃取其中的企业核心数据。这一类攻击可能会造成企业数据的丢失。
第二类是关于可用性的问题,也就是让被攻击者不能继续对外服务。有些企业可能从事网络经营活动,比如提供音乐下载服务,或者提供在线的运营服务,对于这些网站,系统能不能在网络上持续工作,将直接关系到它的收入。如果这个网站两天不能被访问或者能访问的人很少,就会直接影响到企业的销售额。类似的还包括电子商务类网站。这类企业所面临的威胁,除了数据被盗之外,还会因为黑客的攻击而导致系统不能正常提供服务。
第三类属于仿冒欺骗,受攻击的企业并非直接在网络上从事经营活动,比如银行,针对它们会出现仿冒网站,也就是我们常说的“网络钓鱼”。仿冒网站对企业本身也会有损失,首先是声誉问题,虽然出现这样的事故并不是企业的错,但这会对企业的品牌有一定影响。这类情况跟上面两种威胁又不一样,企业的数据并没有丢失,企业的系统也完全正常。由于这类危害是攻击者在企业外部实施的,所以企业防范起来会更困难。
CIOI:就像你所说的,这些攻击的形式很常见,那企业在遭受到这些攻击时会意识到这是僵尸网络攻击吗?
杜跃进:一般情况下企业可能都不会意识到。包括数据窃取、拒绝服务攻击,甚至包括垃圾邮件,通常人们都不会联想到这可能是由僵尸网络发起的。所以我个人认为僵尸网络还有一个关键词是“隐藏”。僵尸网络总是藏在这些攻击背后,让被攻击的人永远意识不到它的存在。企业在描述它所受到的攻击时,只会说我受到拒绝服务攻击了、我的网站被别人仿冒了等,而不会说我被僵尸网络攻击了。
CIOI:那企业应该如何发现这些由僵尸网络发起的攻击呢?
杜跃进:就像刚才所说的,一般企业在受到攻击时看到的往往不是僵尸网络,而是Bot(僵尸)程序。僵尸程序可能大家不熟悉,但是换个词可能就明白了。这个僵尸程序就是我们通常所说的“病毒”。此前我在做报告的时候曾经说过:“现在已经没有病毒了。”这不是在开玩笑。看看排行榜上的病毒,分析一下它的命名你就会发现,绝大多数都是蠕虫(Worm)、木马(Trojan)、后门(Backdoor)、间谍软件(Spyware)等。单纯的病毒(Virus)已经很少了,所以我才这么说。
当然我这么说并不是为了哗众取宠,我的意思是原来传统的病毒威胁已经没有了,但问题却变得更加复杂、严重了:原先病毒的威胁只是会在某一天发作,会使你的数据丢失,计算机不能使用。但现在几乎没有什么病毒再进行这样的破坏了。如果病毒不发作、不破坏数据,对企业和用户的危害是什么呢?危害不在这个程序本身,而在于外界,来自于外面跟这个“病毒”联络的人。所以对于一个企业来说,它可能会看到一个所谓的病毒,但是这个病毒真正的威胁来自于其背后隐藏的一根隐约的线。如果你站到一个更高的角度,你可能会发现,这根线最后会连到一个地方,那就是僵尸网络。但一个企业,往往只能看到局部,因此它眼里看到的只是病毒。
|
