曾幾何時(shí),我們堅(jiān)信防火墻是對付攻擊最好的利器,然而3月底出現(xiàn)的一個(gè)蠕蟲病毒徹底擊碎了我們的理念。防火墻與黑客的斗爭就好似一個(gè)亡羊補(bǔ)牢的游戲,如今這個(gè)專門替別人修補(bǔ)漏洞的利器竟然忘記修補(bǔ)自己的千瘡百孔。
網(wǎng)絡(luò)安全技術(shù)顧問托尼·布德瑞博士說:“現(xiàn)在幾乎所有的軟件都存在安全隱患或漏洞,如果你想最大可能地避免病毒及黑客攻擊,就請不要連接互聯(lián)網(wǎng),更不要完全相信你的防火墻……”
城門失守
2004年3月20日,一個(gè)星期六的早晨,重慶電信IDC機(jī)房的很多服務(wù)器突然出現(xiàn)異常情況,服務(wù)器似乎受到了溢出攻擊,系統(tǒng)運(yùn)行遲緩,而更加嚴(yán)重的問題是很多服務(wù)器重新啟動(dòng)后陷入了徹底的癱瘓狀態(tài),無法重新引導(dǎo)和修復(fù)。
與此同時(shí),全球網(wǎng)絡(luò)在短短的半個(gè)小時(shí)之內(nèi),已經(jīng)有30000多臺服務(wù)器和個(gè)人電腦受到了未知病毒的攻擊而陷入癱瘓狀態(tài)。
而且此次攻擊的目標(biāo)似乎很有針對性,這些被攻擊的機(jī)器都有一個(gè)相同的特征:安裝有ISS公司的網(wǎng)絡(luò)安全產(chǎn)品。
攻擊事件的罪魁很快被查明,結(jié)果令大眾非常吃驚,造成此次全球眾多服務(wù)器癱瘓的竟是一個(gè)名為Witty的蠕蟲病毒,而Witty利用的正是ISS安全系列產(chǎn)品的一個(gè)漏洞發(fā)動(dòng)針對性攻擊的。
Witty蠕蟲的傳播方式同沖擊波非常相似,它不需要欺騙用戶打開任何文件,它在感染一臺服務(wù)器后會(huì)迅速地將該服務(wù)器變成一個(gè)病毒傳播源,通過隨機(jī)生成的IP地址嘗試將病毒傳播到新的PC機(jī)或服務(wù)器上。
由于受到攻擊的目標(biāo)多數(shù)為網(wǎng)絡(luò)服務(wù)器,因此Witty感染的速度也驚人地快。
崩塌的安全支柱
“Witty的傳播速度實(shí)在令我們吃驚,在短短半個(gè)小時(shí)內(nèi)它就感染了多達(dá)32000臺機(jī)器,這可能是歷史上速度最快的惡意攻擊了。”ISS公司X-Force研發(fā)部門副總裁克里斯·勞蘭德顯然對Witty的到來沒有做好充分的準(zhǔn)備,“Witty每秒都會(huì)隨機(jī)產(chǎn)生20000個(gè)IP地址進(jìn)行攻擊,然后通過ISS產(chǎn)品的漏洞向服務(wù)器硬盤中的關(guān)鍵分區(qū)寫入垃圾數(shù)據(jù),覆蓋原有的重要系統(tǒng)數(shù)據(jù)。它摧毀了整個(gè)系統(tǒng)的穩(wěn)定性,這些破壞最終會(huì)導(dǎo)致多數(shù)系統(tǒng)在重新啟動(dòng)時(shí)‘藍(lán)屏死機(jī)’。”
ISS這次漏洞的出現(xiàn)主要是由于ISS安全產(chǎn)品的入侵檢測功能都依賴于一個(gè)名為 “iss-pam1.dll”的模塊,該模塊中包含了協(xié)議分析、攻擊特征描述等內(nèi)容。而iss-pam1.dll在解析著名的通訊軟件ICQ公開的ICQ v5通訊協(xié)議時(shí)對某些字段沒有處理好,因此導(dǎo)致了緩沖區(qū)溢出漏洞。
不過因?yàn)檫@是RealSecure、BlackICE等安全產(chǎn)品對系統(tǒng)接收到的數(shù)據(jù)包解析過程中出現(xiàn)的問題,所以黑客或病毒要觸發(fā)該漏洞時(shí),被攻擊者的系統(tǒng)上并不需要運(yùn)行ICQ。
iDefense的計(jì)算機(jī)安全專家肯·鄧哈姆表示,在大多數(shù)用戶系統(tǒng)中使用的反病毒軟件很難發(fā)現(xiàn)Witty蠕蟲,因?yàn)樗⒉粚⒆约簭?fù)制到硬盤上,也不修改注冊表,而是常駐內(nèi)存。互聯(lián)網(wǎng)病毒、蠕蟲以及其他惡意軟件往往在受到攻擊的PC上安裝軟件或是打開后門讓黑客控制PC,從而了解用戶的個(gè)人信息或是利用受感染的電腦發(fā)送垃圾郵件。但Witty蠕蟲卻并非如此,Witty蠕蟲自身并不以文件形式存在,它僅是一段UDP代碼,這種情形類似于CodeRed和SQL Slamer蠕蟲。而且大多數(shù)被感染的計(jì)算機(jī)將不得不重新安裝整個(gè)系統(tǒng),除非用戶決定買新的電腦。他說:“這種病毒的破壞目的非常明確,那就是以Raw Data方式摧毀硬盤數(shù)據(jù),導(dǎo)致用戶不得不重新安裝計(jì)算機(jī)操作系統(tǒng)和所有的軟件。”
其實(shí)早在3月18日,著名的安全公司eEye Digital Security就發(fā)現(xiàn)了ISS產(chǎn)品中的這個(gè)緩沖區(qū)溢出漏洞,并通知了ISS公司。但是就在ISS推出該漏洞補(bǔ)丁程序的3月20日,Witty蠕蟲也同時(shí)出現(xiàn)在互聯(lián)網(wǎng)上,這一切都讓ISS的技術(shù)人員和用戶措手不及。而ISS只能看著自己用戶的防火墻和系統(tǒng)一個(gè)個(gè)“失守”癱瘓。
3月20日~3月22日,僅僅過了兩天時(shí)間,ISS產(chǎn)品5%的用戶不同程度地遭到了Witty的“洗劫”,這家世界著名的網(wǎng)絡(luò)安全公司對那些由于自己產(chǎn)品漏洞而毀掉系統(tǒng)的用戶顯得如此無能為力。而Witty蠕蟲這種通過防火墻自身的漏洞發(fā)起破壞性攻擊的速度與威力也給全世界留下了深刻的印象。
還用不用防火墻
ISS這次城門失守在網(wǎng)絡(luò)安全軟件史上并不是頭一次,著名的殺毒軟件公司賽門鐵克也曾經(jīng)幾次城門失守,但是由于當(dāng)時(shí)黑客技術(shù)和病毒技術(shù)并沒有非常好融合,因此賽門鐵克幸運(yùn)地躲過了這些危險(xiǎn)的攻擊。
可如今的軟件體積越來越大,而軟件中的重復(fù)使用代碼率也相當(dāng)高,很多公司購買的重復(fù)代碼安全性更低,存在很多的漏洞。根據(jù)賽門鐵克一年兩次的《互聯(lián)網(wǎng)安全威脅報(bào)告》稱,2003年軟件公司和安全研究員共向公眾發(fā)布了2636個(gè)軟件安全漏洞,比2002年的2587個(gè)安全漏洞上升了2%。而從2001年至2002年,這一比率上升了81%。
賽門鐵克還稱:43%的網(wǎng)絡(luò)攻擊是由于蠕蟲病毒;而40%來源于探測系統(tǒng)漏洞(不全為惡意);另外17%是非蠕蟲導(dǎo)致的闖入系統(tǒng)嘗試。該報(bào)告中還描述,過去半年的賽門鐵克高級網(wǎng)絡(luò)的偵測中,約有1/3的電腦被MSBlast或Blaster蠕蟲病毒利用進(jìn)行攻擊。這是因?yàn)橐慌_電腦可以用作多個(gè)攻擊的工具,很多病毒極大程度地利用了這一點(diǎn)。后果“顯著”的SQL Slammer蠕蟲,在實(shí)現(xiàn)的攻擊數(shù)量中占1/4,僅利用了2.4%的電腦。這份報(bào)告最后指出,已經(jīng)有兩年以上歷史的紅色代碼和Nimda蠕蟲也仍在網(wǎng)絡(luò)上傳播。
Witty在傳播中,在被研究中,在被詛咒中。詛咒是無謂的,如果我們不能徹底戰(zhàn)勝這類病毒,那就應(yīng)該代之以感謝——感謝它帶給我們的啟示。
一時(shí)間,這個(gè)高速的網(wǎng)絡(luò)之上的每一個(gè)人似乎都陷入了自我檢討和反思;感謝它“救”了防火墻,雖然我們付出了幾萬臺機(jī)器“中招”的代價(jià),但它教會(huì)更多人要理性,并重新拋棄那些有防火墻就萬事大吉、天下太平的信念,就像當(dāng)年拋棄計(jì)算機(jī)防毒卡一樣。
結(jié)束語
最近又有安全組織發(fā)現(xiàn)Windows XP的瀏覽器在解析目錄中的“wmf”文件時(shí),如果目錄包含零長度記錄,就會(huì)發(fā)生異常,造成資源管理器崩潰。遠(yuǎn)程攻擊者可以發(fā)送惡意目錄中包含“wmf”文件的E-mail給目標(biāo)用戶,并通過用戶點(diǎn)擊來觸發(fā)此漏洞。
目前廠商還沒有提供補(bǔ)丁或者升級程序。
| 首頁 | 業(yè)界資訊 | 操作系統(tǒng) | 殺毒防毒 | 辦公軟件 | 下載 | 開發(fā)編程 | 硬件 | 培訓(xùn) | 貼圖 網(wǎng)址 | 互聯(lián)思考 | 常用軟件 | 沖浪寶典 | 聊天軟件 | 資料 | 硬件頻道 | 設(shè)計(jì) | 精英教育網(wǎng) |
