信息安全技术的研究-1

病毒攻击计算机病毒本质上是一个程序或一段可执行代码，并具有自我复制性及隐蔽性、传染性和潜伏性等特征，它利用软件的漏洞对计算机造成损害。 案例：熊猫烧香2007年2月12日，湖北省公安厅宣布，根据统一部署，湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下，一举侦破了制作传播“熊猫烧香”病毒案，抓获病毒作者李某，他于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播，并且还以自己出售和由他人代卖的方式，在网络上将该病毒销售给120余人，非法获利10万余元。“熊猫烧香”病毒作者李某是先将此病毒在网络中卖给了120余人，每套产品要价500～1000元人民币，每日可以收入8000元左右，最多时一天能赚1万余元人民币，作者李某因此直接非法获利10万余元。然后由这120余人对此病毒进行改写处理并传播出去的，这120余人的传播造成100多万台计算机感染此病毒，他们将盗取来的网友网络游戏以及QQ帐号进行出售牟利，并使用被病毒感染沦陷的机器组成“僵尸网络”为一些网站带来流量。（来源于新浪网） “熊猫烧香”事件，揭示了国内病毒灰色产业链，生产、制造、传播计算机病毒已不再是某个计算机狂热爱好者为了展示个人技术，体现个人能力的偶发事件，在利益的驱使下，制造计算机病毒已流水线化，更直接危害网民的经济安全。病毒的种类：普通网民在使用信息设备时，需要重视病毒对信息设备的影响，目前，流行于网络传播的病毒主要包括特洛伊木马程序、蠕虫病毒、脚本病毒、文档型病毒、破坏性程序和宏病毒等类型。其中特洛伊木马程序是最主要的病毒程序，占网络流传病毒的45%，其后是蠕虫病毒占25%，以及脚本病毒占15%。特洛伊木马有些特洛伊木马程序（简称“木马”）也叫作远程控制软件，如果木马能连通的话，那么可以说控制者已经得到了远程计算机的全部操作控制权限，操作远程计算机与操作自己计算机基本没什么大的区别，这类程序可以监视、摄录被控用户的摄像头与截取密码等，以及进行用户可进行的几乎所有操作（硬件拔插、系统未启动或未联网时无法控制）。而Windows NT以后的版本自带的“远程桌面连接”，或其他一些正规远控软件，如若未进行良好的安全设置或被不良用户篡改利用，也可能起到类似作用。但他们通常不会被称作病毒或木马软件，判断依据主要取决于软件的设计目的和是否明确告知了计算机所有者。用户一旦感染了特洛伊木马，就会成为“僵尸”（或常被称为“肉鸡”），成为任黑客手中摆布的“机器人”。通常黑客或脚本小子可以利用数以万计的“僵尸”发送大量伪造包或者是垃圾数据包对预定目标进行拒绝服务攻击，造成被攻击目标瘫痪。蠕虫病毒蠕虫病毒也是我们最熟知的病毒，通常在全世界范围内大规模爆发的就是它了。如针对旧版本未打补丁的Windows XP的冲击波病毒和震荡波病毒。有时与僵尸网络配合，可以造成大面积危害。主要使用缓存溢出技术。脚本病毒脚本病毒也叫灰色软件，包括间谍软件和流氓软件，是出品的一种收集用户浏览网页习惯而制订自己广告投放策略的软件。这种软件本身对计算机的危害性不是很大，只是中毒者隐私会遭到泄露，同时，一旦安装上它就无法正常删除卸载了。比如对Internet Explorer的广告软件会自动修改并锁定用户缺省主页的工具条。文件型病毒文件型病毒通常寄居于可执行文件（扩展名为.EXE或.COM的文件），当被感染的文件被运行，病毒便开始破坏电脑。破坏性程序破坏性程序运行后会对信息设备造成很大的破坏，如破坏性很大的“格盘炸弹”，运行程序后会自动格式化硬盘，原本只为“愚人”目的，但这种恶意程序运行后就会对用户重要数据造成很大的损失。与此相同的还有文档感染器（File infector）以及在DOS下的根扇区病毒等。宏病毒宏病毒的感染对象为Microsoft开发的办公系列软件。Microsoft Word，Excel这些办公软件本身支持运行可进行某些文档操作的命令，所以也被Office文档中含有恶意的宏病毒所利用。 免杀技术以及更新特征：免杀是指对病毒进行处理，使之躲过杀毒软件查杀的一种技术。通常病毒刚从病毒作者手中传播出去前，本身就是免杀的，甚至可以说“病毒比杀毒软件还新，所以杀毒软件根本无法识别它是病毒”，但由于传播后部分用户中毒举报，的注意并将之特征码收录到自己的病毒库当中，病毒就会被杀毒软件所识别。病毒作者可以通过对病毒进行再次保护如使用汇编加花指令或者给文档加壳就可以轻易躲过杀毒软件的病毒特征码库而免于被杀毒软件查杀。自我更新性是近年来病毒的又一新特征。病毒可以借助于网络进行变种更新，得到最新的免杀版本的病毒并继续在用户感染的计算机上运行，比如熊猫烧香病毒的作者就创建了“病毒升级服务器”，在最勤时一天要对病毒升级8次，比有些杀毒软件病毒库的更新速度还快，所以就造成了杀毒软件无法识别病毒。除了自身免杀及自我更新之外，很多病毒还具有了对抗它的“天敌”杀毒软件和防火墙产品反病毒软件的全新特征，只要病毒运行后，病毒会自动破坏中毒者计算机上安装的杀毒软件和防火墙产品，如病毒自身驱动级Rootkit保护强制检测并退出杀毒软件进程，可以过主流杀毒软件“主动防御”和穿透软、硬件还原的机器狗，自动修改系统时间导致一些杀毒软件厂商的正版认证作废以致杀毒软件作废，从而病毒生存能力更加强大。免杀技术的泛滥使得同一种原型病毒理论上可以派生出近乎无穷无尽的变种，给依赖于特征码技术检测的杀毒软件带来很大困扰。近年来，国际反病毒行业普遍开展了各种前瞻性技术研究，试图扭转过分依赖特征码所产生的不利局面。目前比较有代表性产品的是基于虚拟机技术的启发式扫描软件。 4.2 黑客攻击黑客攻击表现为具备某些计算机专业知识和技术的人员通过分析挖掘系统漏洞和利用网络对特定系统进行破坏，使信息设备的功能瘫痪、信息丢失或变得乱七八糟等，常见的攻击方式如拒绝服务攻击，即通过消耗网络带宽或频发连接请求阻断系统对合法用户的正常服务。案例：“肉鸡”这是形容那些在互联网上被“黑客”任意摆布的电脑的最新名词，也就是说，你的电脑可能会在毫不知情的情况下，遭到各种木马病毒的攻击，之后你的电脑就会在互联网上任人摆布，电脑里所有的信息，也会被人随意偷窥、窃取，甚至更换。在百度、谷歌等网络搜索肉鸡几个字，立刻出现大量的相关信息，网名叫“服务器”的人，声称手中有大量“肉鸡”出售，为了验证他出售的信息的真实性，他给记者发来一个文件，结果记者点击接收后，不到五秒钟，他就开始控制起记者的电脑。让我们吃惊的是，在记者没有对电脑进行任何操作的情况下，电脑里的鼠标自己在屏幕上移动起来，并点击打开了电脑中的照片、日记、各种资料等文件夹，更恐怖的是，电脑开始自己安装和删除一些程序，直到自动关机。通过他的软件，我们任何的秘密，对他来说都不成为秘密。当这些黑客掌握了非常非常多的“肉鸡”之后，可以用这些“肉鸡”来强行点击广告，通过点击几十万次向小广告商牟利；也可以将这些“肉鸡”租赁给一些企业向竞争对手发起DDOS攻击；还可以直接盗取“肉鸡”中的用户信息打包出售。总之，黑客在拿到“肉鸡”之后，他有各种各样的办法来“烹饪”你。另外网上有个叫抓“肉鸡”QQ群，进去以后，可以免费获得抓“肉鸡”的教程，只要下载一个软件，会使用电脑的，人人都可以成为黑客。2007年1月，福建泉州的蔡先生惊奇地发现，自己的21万元存款突然不翼而飞。短短五个月的时间里，江苏、福建、浙江、广东、湖北等21个省份，近500个储户，向各地警方反映自己银行帐户里的存款离奇失踪，警方发现，这只盗取钱财的“黑手”来源于网络，这些储户的电脑都中了一种名叫“密码结巴”的木马程序，电脑一旦中了这种病毒，用户在所有登录框里填写的信息，包括网上银行、股票、邮箱、游戏等各种帐号密码，都会悄悄地自动发送到指定的电脑上。而黑客利用这些信息克隆身份证、银行卡，大肆取款。（来源于腾讯网） 黑客已经是信息网络的最大威胁，从前概念中的黑客往往是一群拥有非常高超计算机技术的人员，具备非常丰富的计算机知识，而现在，成为一名黑客已不需要非常好的技术，一名没有进行过专业培训的普通人，在简单学习一两款黑客软件之后，就能成为黑客，并可以对网络和网民造成严重危害，大量窃取信息，造成大量损失，这一点是我们要警惕的。黑客的攻击方法：在黑客攻击的过程中，往往采用几种手段，在前期安装木马程序或在后期借助于隐蔽通道实现机密信息的窃取。包括：放置特洛伊木马程序特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等，诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在操作系统启动时悄悄执行的程序。当您连接到互联网上时，这个程序就会通知黑客，来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏的程序任意地修改您计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。网络监听网络监听是计算机的一种工作模式，在这种模式下，计算机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台计算机进行通信的信息没有加密，只要使用某些网络监听工具，例如sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。寻找系统漏洞许多系统都有这样或者那样的安全漏洞（Bugs），其中某些是操作系统或应用软件本身具有的，如Sendmail漏洞、win98中的共享目录密码验证漏洞、IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时加以修正。偷取特权利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个网络的绝对控制权。这种攻击手段，一旦奏效，危害性极大。归纳而言，黑客的这些活动导致的最终后果其实就是对一般信息设备或计算机系统应该拥有的保密性、完整性和可用性进行破坏。其中，保密性是指只有授权用户才能以对应的授权存取方式访问系统中相应资源和信息；完整性是指系统中的信息不能在未经授权的前提条件下被有意或无意地篡改或破坏；可用性是指系统中的信息应保持有效性，且无论何时，只要需要，均应支持合法授权用户进行正确和适当方式的存取访问。4.3 电脑维护不当1.台式电脑个人台式电脑的维护不当也是造成安全事件的重要原因之一，在维修电脑或废弃时的不安全操作，往往会造成非常严重的信息安全事件。案例：旧电脑泄密2008年11月，某部门在更新办公设备时，将一批旧计算机卖给旧货市场，导致计算机内存储的大量内部敏感信息失控。直接责任人张某受到行政警告处分，负有领导责任的李某受到通报批评。（来源于中共赣州市委办公厅网站）一般废弃的电脑使用时间较长，但其中残留的一些数据也可能包含重要信息，因此，在对废弃电脑进行出售和丢弃时，需要提前对设备存储单元进行处理。维修电脑导致泄密2005年12月31日陈某将职员谢某维修。谢某将陈某电脑内的资料备份，发现资料中有陈某的一些不雅照片，随后他与同事史某一起欣赏。数天后，史某将不雅照上传到了互联网上。对陈某造成很大的影响。（来源于新浪网）企业和个人的一些信息泄露，起因往往只是因为当事人维修电脑时的忽视。处理电脑的方式:在实际工作中，对信息设备的维护和销毁是安全防护的盲区，尤其是对办公信息处理设备的买卖、转送或销毁，常常出现以下情况：1.   将涉密载体作为废旧物品出售给废品收购站或再生资源集散市场；2.   将涉密载体进行赠送，如将淘汰的涉密计算机捐赠给希望小学等；3.   一些机构重使用、轻销毁，该销毁的不销毁、该集中销毁的分散销毁，甚至有的由个人私自处理，无人监督，不作登记，造成涉密信息的失控。上述行为造成的危害主要有：一是给境内外敌对势力或商业间谍窃密活动提供了可乘之机。二是极易造成国家或企业秘密在较大范围内泄露。三是私自销毁达不到专业销毁标准，可能无法消除涉密载体（特别是磁介质）中存储的重要信息，导致国家或企业秘密泄露。2.笔记本电脑笔记本电脑的最大风险是遗失和被盗。美国的一项调查结果表明，2012年57%的企业曾经发生过笔记本电脑被盗事件。案例：某国情报机构遗失手提电脑某国情报机构的一名特工人员在火车上因瞌睡而丢失了一装有秘密文件的手提电脑。在这之前，该国情报机构人员已有前科：有人在酒吧留下装有秘密资料的手提电脑；一高级军官的手提电脑在机场被盗；一位官员在车站买车票时，所携带的存有反恐部署的机密资料的笔记本电脑被偷走；负责核事务的国防部部长家中的笔记本电脑被盗。（来源于网易新闻） 违规使用致笔记本被盗2003年3月上旬，某研究所技术人员王某违反保密管理规定，私自将存有涉密信息的笔记本电脑和移动硬盘带回家。几天后，王某家中失窃，笔记本电脑和移动硬盘被盗，硬盘中存储的1份机密级报告、2份秘密级资料草稿和4份秘密资料草稿失控。王某因泄露国家秘密被给予行政记过处分。（来源于梅州市国家保密局网站） 会议中手提电脑被盗2002年7月 17日，涉密人员李某在北京某饭店参加全国某系统内部会议，中途出去接电话时，将正在使用的存有机密级工程项目资料的笔记本电脑随意放在会议室内的座位上。几分钟后，李某打完电话回来，发现笔记本电脑丢失，造成泄密。（来源于锡山区人保局网站） 接小孩途中笔记本电脑被盗2002年9月6日，某部委研究室涉密人员张某，携带涉密笔记本电脑开车外出。当他把汽车停在小学门前去接放学的孩子时，放在车内的存有关于统战政策的机密级国家秘密信息的笔记本电脑被盗。（来源于梅州市国家保密局网站） 笔记本电脑宾馆被盗某研究院研究员蔡某擅自携带一台存有军事秘密的涉密笔记本电脑，到某地参加军工科研会议。由于未采取有效的安全保密措施，致使涉密笔记本电脑在其所住宾馆内被盗，电脑内存储的重要的国防秘密失控。（来源于锡山区人保局网站） 涉密信息非法外带被窃2004年9月，某集团研究所副总工程师喻某等出差，入住招待所，当晚发现笔记本电脑丢失，随即报案。公安局立即组成联合专案组进行侦破，随后破获此案。该涉密笔记本电脑是招待所维修工人刘某所盗。案件侦破后，有关部门对该电脑进行了检测，电脑中共存有50份文件资料，经鉴定其中机密级3份、秘密级29份，内部资料14份。经检测，此电脑的内存信息已经被拷贝过。喻某严重违反保密规定，在笔记本电脑中存储大量国家秘密，未采取严格保密措施，研究所决定给予喻某行政警告处分和经济处罚。分别给予该所所长、党委书记经济处罚。（来源于公众信息网） 随着信息技术的快速发展，笔记本电脑价格已大为降低，使得笔记本电脑的使用者大为增加，已呈普及之势。在使用笔记本电脑的人群中，不乏涉密人员。以上案件中的当事人都是可以接触到国家秘密的人员。笔记本电脑应用普及化，而使用者的保密观念淡漠，保密管理不力，泄密事件屡屡发生，说明这一问题远远没有引起相应的重视。面对这一严重的情况，我们必须采取有力措施，加强管理。4.4 手机恶意软件随着智能手机的普及应用，恶意代码日益猖獗。截至2012年3月，仅广东移动全省就监测发现了手机恶意软件共977种，其中“屏蔽10086短信类”恶意软件235种案例：手机暗插了木马间谍软件某互联网巨头通过其运营的服务承认，能够远程控制用户Android手机中的应用程序。这也就等于说在我们使用的其生产的手机中，该公司暗插了木马间谍软件，随时都能监控我们的通信生活。（来源于搜狐） Android手机恶意软件2013年《Android手机游戏安全状况报告》指出：2012年全年及2013年1月、2月中，共截获到伪装、篡改Android游戏的手机木马及恶意软件（以下简称：游戏木马）、恶意广告插件共134927款，感染用户近2亿人次。其中，57%的游戏木马会在安装到手机中后，发生向用户推送广告、后台下载软件消耗用户上网流量的行为。26%存在后台发送短信恶意扣费的行为，14%会收集、上传用户隐私，2%存在系统破坏及其它恶意行为。数据显示，第三方应用商店、论坛是当前游戏木马的主要传播途径，另有23.4%存在于水货手机的ROM刷机包中，而时下流行的二维码、短网址也正在成为游戏木马集中的温床，有16.5%的手机木马借此来伪装传播。（来源于比特网） 手机病毒案例在SOHO现代城工作的李小姐是一名外企高管，平时有将重要文件存储在手机随身携带的习惯。某日中了名叫CrashDown.A的手机病毒，存储在手机内存卡里的文件资料全部丢失。由于事先没有备份，对工作造成很大影响，被老板降职。 （来源于腾讯网）手机的威胁：随着手机使用量的加大，泄密问题随之增多。因为手机不论处在通话、待机或关机状态都会泄密，越来越多的国家对此开始注意和警惕。智能手机安全问题很严峻，如垃圾短信、恶意短信、骚扰来电、网络木马、手机病毒、 隐私泄露等，已极大地影响了用户的信息安全甚至人身安全。目前智能手机的安全威胁主要存在以下几个方面。1） 远程控制木马远程控制木马可以接收攻击者远程发送的各种指令，进而触发恶意行为。与其他恶意软件在威胁方式上有较大不同，其威胁是动态的、可变的，恶意行为的类型根据攻击者下达的具体指令的不同而改变，因此使用户层面临着多个层次的安全威胁。隐私窃取、吸费扣费、恶意推广服务、更新和下载其他恶意软件。2） 话费吸取软件话费吸取软件定时在系统后台发送短信到增值业务服务提供商，大量定制增值业务，或自动拨打指定增值业务号码，并且能自动拦截相关业务定制后的确认短信和运营商的资费提醒短信，暗地里“吸取”用户的资费。3） 手机病毒手机病毒是一种具有传染性、破坏性的手机程序，将会导致用户手机死机、关机、个人资料被删、手机自动向外发送垃圾邮件等。从近几年的手机病毒分析报告来看，单纯的破坏性病毒减少，出于经济利益的病毒呈增长趋势，出于技术或心理原因而制作的手机病毒可能会渐渐被商业因素取代，智能手机病毒的表现形式趋于发送短信、彩信，电子邮件，浏览网站，下载铃声，蓝牙等多样化方式进行传播。从而导致个人信息泄露、自动拨打电话、自动发短（彩）信等，严重的会损毁SIM卡、芯片等硬件，导致用户无法正常使用手机。4） 系统破坏绝大多数系统破坏类恶意软件都会非法获取系统的最高权限，即Root 权限。获取最高权限后，恶意软件可以强行结束安全防护软件的进程，将自身程序移动到系统程序目录以伪装成系统应用，使自己无法被卸载，破坏了用户的手机系统。 随着目前智能手机用户数量的不断攀升，以及用户将越来越多的个人重要数据存储在手机中，网络犯罪分子们也将攻击的重点逐步转移向了智能手机设备。这种状况使得手机安全问题变得日益严峻。因此，保护手机信息安全势在必行。