当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 面临什么新威胁 PC安全终极指南(中)

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 面临什么新威胁 PC安全终极指南(中)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 104 ::
收藏到网摘: n/a

相关文章: 面临什么新威胁 PC安全终极指南(上)

  在本文中,我们将介绍上述计算机用户面临的新威胁,并且告诉您如何防患未然。此外,我们还对最新的反间谍软件进行了评测。

  Internet犯罪:网络文明走向毁灭?(一)

  一位分析人士认为,Internet是历史上最大的犯罪场所。Internet正陷入混乱,这是法律和秩序缺失的黑暗时代。

  早期的黑客是具有创新精神的试验者,他们都很年轻,来自技术重镇,比如伯克莱或者剑桥。他们有很高的技术水平,同时蔑视法规。这种人现在仍然存在,并且在继续制造麻烦。不过,各种网络非法活动十年来不论在规模还是密集程度上都大大提高了。

  在过去,病毒数量有限,而且比较简单。现在的病毒则四处泛滥,快速发展而且非常复杂。过去的信用卡欺诈案件都很蹩脚,而现在则出现了国际信用卡诈骗犯罪。计算机网络密码窃取活动正在演变成复杂的ID伪造,进而入侵银行以及在线拍卖网站。过去,发送垃圾邮件在网络中仅仅是“不道德的”行为,但是现在已经泛滥成灾。根据电子邮件安全公司IronPort的统计数据,去年五月份,世界上每天有129亿封垃圾邮件,很多垃圾邮件都是极其可恶的。

  新的犯罪形式层出不穷,蔓延速度之快以至于一些专家都很难掌握出现的新术语,比如钓鱼(Phishing)、鱼叉捕鱼(Spear phishing)、网址嫁接(Pharming)、分布式拒绝服务攻击(DDOS)、DDOS勒索(DDOS protection rackets)、间谍软件(Spyware)、变脸软件(Scumware)、网站涂改(Web site defacement)、僵尸攻击(Botnets)和击键记录(Keylogging)等等。

  Internet带来了犯罪形式花样翻新的“黄金时代”。由于“.com”泡沫的出现,寻找新商业模式的狂热运动促使了网络犯罪的大量出现。数据加密是一种防御手段,但是同样也能用来进行犯罪。网上曾经出现过这样古怪的事情——黑客入侵用户的计算机,加密其中的数据,然后进行勒索,要求计算机的主人付钱来得到解密数据的密码。这种犯罪形式如此之新,以至于现在连个名字都还没有。我们只能祈祷它永远不要有名字,因为如果有了名字,就意味着这种犯罪形式已经非常常见了。

  来自计算机工业年鉴的数据显示,目前世界上网民的数量已经达到了10亿。充斥高技术的地球村正在逐步变成一个冷漠无情、犯罪丛生的大都会。所有那些骗子们用来诈骗刚刚进城的乡巴佬的伎俩都可以数字化。骗子们有着源源不断的犯罪对象:新网民、容易受骗的人、太年轻的人或者言语不通的人。

  现实中存在一种现象,假设你是第一次购买计算机的新手,看上了一台计算机。这台计算机很便宜,软件安装的很合理,所有的配件都是即插即用的。如果售货员推荐你安装反病毒软件、系统工具以及防火墙,这时你就会想,真的有必要安装这些东西吗?

  其实,一旦连接到网上,你会发现自己的计算机能和各种各样的其他计算机建立连接,这将为很多居心不良的人提供可乘之机。即便你有足够的勇气做这惊险的一跃,你装备的东西其实是不足以保护你自己的。“恶意软件的受害者不会是技术人员,而是那些没有定期查看安全公告的人,他们对于黑客来说就像成熟的果实一样唾手可得,” 一位安全专家如是说。

  麻烦无处不在

  安全问题存在于各个层面。

  Richard Clarke在911袭击期间担任美国国家安全委员会反犯罪顾问,曾经写过一本书批评布什当局的反恐政策。他说,电子商务系统往往非常脆弱,因为这些系统都是仓促之间构建起来的,必须进行全面的再设计,必须使用更多的安全措施,否则将来就要不停地修修补补。Clarke以微软的Windows操作系统为例,十年前有几个人会想到Windows中隐藏了如此之多的足以导致系统被入侵的漏洞、缺陷和错误?

  新兴产业总是仓促发展,因此很有可能重蹈早期Internet发展的覆辙:马虎草率、匆忙开发,那些天真的技术先锋人士往往忽略这样一个事实,即犯罪分子总有一天会变得和他们一样聪明。例如,Google的Web Accelerator用户反映,这种软件所使用的缓存技术可能导致陌生人访问受密码保护的站点,Google已经不再提供这种软件,同时表示这种软件不能再支持更多的用户了。 最根本的威胁是:网络恐怖袭击可能导致Internet本身瘫痪。

  犯罪也外包

  Internet是全球性的,而法律总是地区性的,当我们和网络犯罪浪潮作斗争时,必须面临这个根本问题。我们生活在这样一个世界中——在打击网络犯罪时,往往找不到罪犯分子的踪迹。

  国际组织——比如ICANN、WSIS、 IETF、W3C——是培育Internet并促进其发展的主力,但他们力量有限,职能定位模糊,以至于很多人甚至不知道这些缩写词是什么意思。这四个组织分别是互联网名字与编号分配机构 (Internet Corporation for Assigned Names and Numbers)、世界信息社会高峰会议(World Summit on the Information Society)(下属于联合国)、互联网工程工作组(Internet Engineering Task Force)以及万维网论坛(World Wide Web Consortium)。

  这些国际组织无法对付网络犯罪,他们没有枪、没有警徽,也没有监狱。从理论上说,这些组织以及其他组织能够解决一些随着Internet架构老化而出现的问题:例如,开发下一代Internet的计划,它将采用备受关注的IPv6,IPv6是对目前广泛采用的IPv4的改进。但是现在的互联网已经太老、太大,处于无政府的状态,靠某个组织来解决问题已经不可能。

    Internet与生俱来的全球性问题短期内不可能在世界范围内同步解决,因此各国政府必须捡起权杖,履行自己的职责。政府拥有制定并实施法律和规章的动力、手段和机会。他们有枪、钱以及监狱。如果要问哪个国家对互联网的发展具有根本影响,那肯定是美国。

  如果有人怀疑美国对互联网的影响力,那他应该注意下面这件事情。美国政府最近将ICANN的DNS根服务器纳入了自己的管理之下。DNS根服务器是互联网域名和地址系统的核心,也是互联网国际化的基本架构。今年八月份,也就是在ICANN正式推出新的顶级域名.xxx之前几天(推出.xxx域名的意图是在互联网上建立色情业的虚拟红灯区),美国商务部命令ICANN将关于.xxx的合同暂时搁置。世界上很多其他国家也不欢迎这种域名,但是只有美国政府有能力阻止这种域名投入使用。

  政府之外力量

  反网络犯罪相关的组织或者会议将会越来越多,参与者包括银行、电话公司、安全机构、开发商、政府、以及安全专家。其目的在于,重建正在遭到蚕食的互信和相互理解。

  事实上大型公司往往倾向于使用其自己的实力进行自我保护,预防网络犯罪造成的侵害,而不是依靠执法部门,从整体上看这会对反网络犯罪的努力产生负面的影响。她说,由美国计算机安全协会推出的每年一份的计算机犯罪和安全调查显示,政府当局收到的关于计算机犯罪的报告中只有一小部分来自公司。

  目前而言,“隔离”可能是最为行之有效的安全措施,也就是将数据备份后离线保管。但这种方法并不是最好的。

  Internet犯罪:网络文明走向毁灭?(二)

  网络大扫除:专家意见

  要想提高网络安全水平,可以采用的措施非常多,但是大多数措施都会影响到网络价值的发挥,包括知识、商业和娱乐价值。关键在于,网络安全的起点必须公平。保障安全的措施应当提高网络用户进行掌控的能力,而不是削弱这种能力。

  ——Whitfield Diffie,Sun公司首席安全官,同时是公钥加密体系的先驱者

  开发者不能指望用户自己进行安全防护,开发者必须负起保障用户网络安全的责任。

  ——Blake Ross,Mozilla Firefox浏览器创始人之一

  网络安全相关的社会团体必须提供信息和必要的激励帮助用户改变网络使用习惯。具体来说,就是要教育网络用户、开发者以及机构正确地使用网络;对犯罪行为进行认定和惩处;让用户对使用非安全的软件和未受保护的系统以及不恰当地处置敏感信息等行为负起责任。

  ——Art Manion,Internet安全分析师,来自US-CERT(美国计算机应急处理组织)

  所有的人都是好人,而且通情达理——那样的时代远未到来,在那样的时代到来之前,我们仍然需要依靠立法和司法机构,至少要把他们带到网络世界中来。

  ——Patrick M. Kolla,Spybot Search & Destroy的开发者

  发布那种用户无法控制的软件的行为必须禁绝,也就是那种非自由的并且不尊重用户自由的软件。

  ——Richard M. Stallman,自由软件运动奠基人

  最重要的事情就是要教育最终用户。但是你要问了,谁来教育他们?我觉得这是开发商的责任,一个有用、有趣、安全的网络不仅符合最终用户的利益,更符合开发商的利益。关键的问题是,如何才能让这种教育既有趣又易懂,而不是令人厌烦和恐惧。另外,开发商还应当向最终用户提供进行自我保护的工具,因为网络安全不仅仅是技术问题,而且也是谁更值得信任的问题。

  ——Esther Dyson,CNet Networks’ Release 1.0的编写者,这是一篇关于正在涌现的数字技术的新闻通讯。

  信息经纪公司:使隐私处在危险中(一)

  盗取身份信息的窃贼将手伸向了大型消费者数据库,这些被盗取的消费者个人信息可能不仅仅被用来销售,甚至有可能用来进行犯罪。

  我知道你的名字;我知道你住在哪里;我知道你曾经生活过的地方;我知道你什么时间在哪里出生;我知道你有几张信用卡;我知道你使用信用卡的情况;我知道你的所有保险理赔信息;我知道你的工作经历以及是不是有犯罪记录。

  甚至,我会把这些隐私信息以及其他更多敏感的个人信息公开出来。我要做的就是给那些个人信息经纪公司支付10美元到50美元,比如Intelius和ZabaSearch或者像Acxiom和ChoicePoint这样的大公司。只需要15分钟的时间,我们就能获得大量关于你的个人信息,数量之多可能连我自己都不敢想象。

  有了名字、地址、身份证号码,一个人可以借款、开设信用卡帐号、出租公寓,甚至犯罪,他会用你的名义干这些事情。所有这些事情和你自己做的事情会混成一团,你会莫名其妙地收到账单,更为糟糕的是,你可能被警察逮捕。用户数据上网大大提高了这些信息被窃取和滥用的风险。

  信息经纪公司搜集的信息不仅仅限于信用记录,而且还有大量其他个人信息。这些信息的收集渠道多种多样,包括私营公司、政府机构。得到这些信息后,他们会将信息卖给企业、执法机构,甚至卖给个人,只要那些人能够提供给他们觉得合法的依据。目前法律对信息交易的限制非常宽松,而且使用范围很窄,因此大多数信息经纪公司会自行其是,自己炮制相关标准。

  大多数信息经纪公司都没有全力保护用户的信息——被诈骗、将用户信息卖给可疑的人、数据库被黑客入侵这样的事情屡见不鲜。一些广为公众所知的事件涉及最大的个人信息经纪公司,比如Acxiom、ChoicePoint和LexisNexis。2005年早些时候,ChoicePoint披露,他们销售了来自全国各地的145,000位消费者的个人信息。据报道,这笔信息交易被认为是合法的,但买主其实是一个尼日利亚有组织犯罪团伙的成员。ChoicePoint表示,大约有750份消费者个人信息被人试图用于非法活动。LexisNexis宣布,他们在两年时间内总共发现了59起入侵事件,非法之徒入侵了该公司的个人信息数据库,涉及31万份来自美国的个人信息。

  Mickey Martinez是耶鲁大学法法律专业的学生,他是一起涉及信息经纪公司ChoicePoint的团体诉讼案中的原告,他收到了来自信息经纪公司的警告邮件,通知他个人信息被盗。“这是非常严重的行为。作为个人,不管我们多么谨慎小心都是不够的,那些信息经纪公司的粗枝大叶足以让我们的个人信息处在危险之中。”

  他还补充说,他非常小心,特意提供了内容简短的个人说明文档,要求信用卡公司不要发送信用卡交易通知书,而且从不在无线网络中使用金融业务,但是他的个人信息还是被泄漏了。ChoicePoint提供了为期一年的信用监视服务,但他认为这还不够。“至少他们应该提供时间更长的信用监视,并且应该提供某种形式的责任申明:如果出现了问题,他们必须承担赔偿责任,并且要解决问题,”他说。

  就个人信息保护不力而言,信息经纪公司并不是唯一的根源。在写作这篇文章的时候,隐私权利咨讯交流中心(www.privacyrights.org)列出了自二月份以来出现的80次信息泄露事件,涉及人数达到5000万。其中最严重的事件是,信用卡公司CardSystems出现的信息被盗。CardSystem对这次事件一直讳莫如深,但最终还是透露有4000万客户信息受到威胁。另外,CitiGroup未加密的备份磁带在通过联合包裹服务公司(United Parcel Service)运输时丢失,这些磁带中存放了390万份用户资料。

  不仅如此,信息经纪公司最近遭到了最严厉的批评。“类似ChoicePoint的事故是非常严重的,因为如果有组织的犯罪团伙购买这些信息,他们将会滥用这些信息,” RelyData公司(www.relydata.com)总裁Garnet Steen说,这家公司提供信用信息盗窃的恢复服务。“这种事情的后果和某所州立大学的数据库被入侵不可同日而语,因为那可能只不过是学习计算机的学生想放松一下神经。”

  如果你想要在一个国家工作、生活、购物,那么让商业机构获得和使用你的个人信息是不可避免的。问题的关键并不在于是否应该让信息经纪公司使用个人信息,而在于他们(而不是你)是否能够完全控制哪些人能看到你的信息。

  信息经纪公司:使隐私处在危险中(二)

  那个人不是我!

  出售个人信息的公司所面临的问题不仅仅是信息泄露。就如同信用报告机构一样,数据中出现错误是非常常见的现象,而且一些错误是合理的。

  我通过Intelius.com订购了一份关于我自己的背景资料,价格为50美元,如果其他人对我进行调查,也将获得同样的资料。我发现加利福尼亚有个人和我同名同姓,他受到了小额索偿法院的判决。更糟糕的是,我得到的资料中列出了几个和我同名同姓的重罪犯,其中一个来自北卡莱诺娜州,他甚至中名首字母(不是整个中名)和我也一样。这些信息不是错的。但他们和我并不是一个人,重名是比较麻烦的事情。我只希望那些订购了同样信息的人能够进行区别。

  值得关注的是,Intelius还向客户提供了身份监视服务。这项服务会对某个人的信用记录、股票交易、电话记录以及地址变更等情况进行监视,它的价格是每年95美元。

  法律行动

  大多数用户信息泄露都是在离线状态下发生的——有人偷了你的邮件,或者从收银的POS机上拷贝你的信用卡号码。网络上出现的身份资料泄露事件促使人们重新思考身份资料窃贼们的所作所为。“大多数人搞不清楚自己的信息是如何被盗的,”来自RelyData的Steen说,“许许多多原因不明的个人信息泄露就是通过Internet、通过电子化的方式、通过入侵实现的。”

  因此,立法者正在加紧这方面的立法工作,主要涉及三项基本的内容:个人信息的使用将受到限制,尤其是身份证号码;出现入侵时进行通报;对信用记录的访问进行限制。

  十年前,欧盟制定了一份影响深远的隐私纲要。这份纲要规定,收集数据必须有明确的目的,一旦目的达到,收集到的数据就不能继续保存。它还规定,数据必须准确而且是最新的,在未征得数据相关人允许的情况下,向第三方提供数据的行为必须受到限制。此外,进行数据提供时,如果接受数据方所在国家没有提供足够得力的隐私保护措施(比如美国),这份纲要对此类行为进行了规范。

  美国在2005年的Specter-Leahy个人数据隐私和安全法案包含了一些和欧洲的隐私纲要相仿的内容。这份法案对公司使用社会安全号码的行为进行了限制。它规定,一旦出现入侵事件,公司必须通知执法部门、消费者以及信用报告机构。另外它还规定,信息经纪公司必须建立相应机制,允许个人访问和修改数据。

  既要保护个人权利,又要满足那些合法数据使用者的需要,这是一件非常困难的事情。但是消费者应当对他们自己的个人信息有足够的控制权和使用权,现在这些权利得不到保障。

  广告软件:隐蔽的“财路”(一)

  广告软件用广告塞满你的计算机,影响其正常运行,其实这些广告软件背后正是一些知名的大公司。

  史密斯先生是美国阿肯色州Conway市的一位注册会计师,他永远不会忘记不久前发生的事情。

  史密斯当时正在网上寻找免费的剪贴画,突然发现了一个看起来不错的网站。还没有等他下载自己需要的内容,他的计算机已经被安装了广告软件。

  “突然之间,我的计算机中被塞满了弹出广告,” 史密斯说,“哗、哗、哗——IE窗口接二连三地打开,我的计算机很快就完全瘫痪了。”

  史密斯看到许多广告上面都附了开发商的“名片”:这个广告程序的名字叫Aurora,由位于纽约的Direct Revenue公司开发。

  Smith启动另外一台计算机,用Google查询关于“Aurora”的资料。她尝试使用反间谍软件清理这个广告软件,但是没有成功,于是又启动Windows任务管理器试图关闭程序,也没有奏效,最后她不得不请了一位计算机技术人员花了三天时间(每个小时50美元)来解决这个问题。她说,每次删除这个软件后,它都会换个名字重新安装。

  Smith表示,算上修复系统的花费和因为不能上网而耽误的时间,她在此次广告软件灾难中的损失将近5000美元。“令我感到非常震惊的是,这个广告软件来自名声很好人所共知的公司,”她说。“合法的商业机构使用这种手段做广告令我感到非常愤怒。”

  Smith的经历并非罕见,许多公司的产品和服务都是通过广告软件进行推广的,这种软件在用户的计算机中运行并显示广告,而且它们会根据用户在网上的活动选择广告的内容。我们在进行测试的计算机上安装了来自很多知名的公司的各种广告软件,比如美国克莱斯勒、Expedia、Microsoft,、Priceline以及Travelocity。

  Direct Revenue首席执行官Jean-Phillipe Maheu并不否认史密斯的计算机中安装了Aurora,但是他表示Aurora并不会弹出Smith所说的那么多广告窗口。他认为,Smith的计算机中可能存在不止一种广告软件。Maheu说,他的公司不会容忍“强制安装”的行为,也就是在不对用户进行警告的情况安装广告软件。他还表示,如果Direct Revenue发现合作伙伴采用这种手段,将会终止与其合作。

  一份全球安全调查报告显示,31%的商业机构认为,间谍软件明年将会发展成一大众要的安全威胁。

面临什么新威胁 PC安全终极指南

  无赖软件:CoolWebSearch会在你所访问的所有页面上添加广告链接,网站的拥有者也无法控制这些链接。

  广告软件:隐蔽的“财路”(二)

  广告软件是间谍软件吗?

  史密斯遭遇的是间谍软件还是广告软件?不同的专家对这个问题的回答可能不尽相同,因为他们对间谍软件的判断标准不同。

  狭义的标准认为,只有那些盗窃密码或者其他个人数据的软件才是间谍软件。但是根据广义的标准,只要广告软件在未征得用户许可甚至不知情的情况下擅自安装,那么它就成为了间谍软件。因此,根据安装过程的不同,同一个软件既有可能被当成间谍软件也有可能被当成广告软件。

  几乎没有人可以确切地知道广告软件行业每年的收入有多少。据估计,其年利润在2亿美元到20亿美元之间。如果把投资的因素也考虑进来,这个行业可以说正在蓬勃发展。

  美国的风险投资公司非常看好广告软件业,包括Direct Revenue、WhenU和180solutions。根据美国证券交易所档案,Technology Investment Capital去年向Direct Revenue投资670万美元,今年又追加了440万美元。Trident Capital今年夏天为WhenU提供了1500万美元资金。另外,去年180solutions得到了来自Spectrum Equity 的4000万美元投资。

  广告软件公司开发的软件会监视用户上网习惯,对于向这样的公司进行投资的举措,风险投资公司是如何解释的呢?“广告软件是即成事实” Trident Capital的一位经理Venetia Kontogouris说,“保护Internet消费者隐私的努力将会失败。”

  广告软件开发商和他们背后的资助者仅仅是这个新产业的组成部分之一,广告客户以及为这些广告客户工作的中间商也投入了大量资金。这些人还会向搜索引擎公司提供资金(在搜索网站上添加广告),将广告软件打包到其他软件中进行发布,并通过庞大的网络机构进行推广。

  漫长崎岖的道路

  有的广告软件会使用卑鄙的手段入侵用户的计算机。许多中间商也参与其中,从中渔利。

  通常的做法是,广告客户雇佣中间商或者代理商,出售广告空间。于是中间商或代理商从广告软件公司(比如Claria或者WhenU)那里购买了空间。

  广告软件开发商为了将广告软件装到用户的计算机上,想出了各种各样的办法。用户可能在不知情的情况下从广告软件开发商那里下载应用软件,比如屏幕保护程序,这些免费软件就会夹杂广告软件。有时候,用户要想使用一些Web游戏或者其他在线服务,必须安装广告软件,比如Zango.com就使用了这种模式,这个网站的运营商就是180solutions。

  许多广告软件公司还通过网站联盟帮助他们发布和推广广告软件。一些联盟成员会将广告软件和其他应用程序捆绑起来达到推广广告软件的目的。例如,如果用户安装文件共享程序BearShare,同时也会安装WhenU的广告软件Save。网站联盟成员也会从事广告软件的推广工作,例如他们会购买搜索引擎的关键字广告或者普通网站上的条幅广告。

  一些广告软件公司表示,他们禁止合伙伙伴以及网站联盟成员使用“无赖”手段在用户的计算机中“强制安装”广告软件。但是网站联盟成员受到的监督并不严格,在利益的驱使下仍然会采用一些“无赖”做法,在用户的计算机中秘密安装广告软件。来自Direct Revenue的Maheu说,网站联盟成员的活动是“最容易出问题的环节”。