項(xiàng)目五病毒概述

1、項(xiàng)目五 計(jì)算機(jī)病毒與防治,任務(wù)1 計(jì)算機(jī)病毒概述,內(nèi)容提要,互聯(lián)網(wǎng)時(shí)代的信息安全問題MSN,QQ,email,電子商務(wù)網(wǎng)站安全隱患互聯(lián)網(wǎng)信息安全典型問題舉例和演示對策與解決方法,當(dāng)前的社會管理形態(tài),1. 政府內(nèi)部信息化不完善2. 對外服務(wù)處于初級階段3. 職能部門系統(tǒng)相互獨(dú)立4. 缺乏交流和協(xié)作，自動 化程度低,未來的社會形態(tài),電子化、服務(wù)化、協(xié)作化、自動化的統(tǒng)一安全平臺系統(tǒng),物理世界至數(shù)字世界的映射,,政

2、府,,,居民,企業(yè),,物理世界,數(shù)字世界,,電子政務(wù),,,電子社區(qū),電子商務(wù),網(wǎng)絡(luò)時(shí)代的信息安全問題,全球信息化進(jìn)程是一 把“雙刃劍”，它推動社會進(jìn)步的同時(shí)，也帶來了不可忽視的信息安全問題.網(wǎng)絡(luò)政治、網(wǎng)絡(luò)經(jīng)濟(jì)、網(wǎng)絡(luò)文化等網(wǎng)絡(luò)社會形態(tài)正在加快形成，核心信息泄密、網(wǎng)絡(luò)經(jīng)濟(jì)犯罪、非法信息傳播、垃圾郵件、黑客攻擊等一系列信息安全問題嚴(yán)重威脅社會穩(wěn)定，維護(hù)網(wǎng)絡(luò)社會正常秩序，已迫在眉睫。,中美五一黑客大戰(zhàn),2001年5月1日是國際勞動節(jié)，5

3、月4日是中國的青年節(jié)，而5月7日則是中國在南斯拉夫的大使館被炸兩周年的紀(jì)念日。中國黑客在這幾個(gè)重大的紀(jì)念日期間對美國網(wǎng)站發(fā)起了大規(guī)模的攻擊美國部分被黑網(wǎng)站美國加利福尼亞能源部日美社會文化交流會白宮歷史協(xié)會UPI新聞服務(wù)網(wǎng)華盛頓海軍通信站,部分國外網(wǎng)站被黑截圖,國內(nèi)網(wǎng)站遭攻擊的分布,信息安全核心技術(shù)受制于人的問題,國家信息系統(tǒng)建設(shè)中使用的操作系統(tǒng)、關(guān)鍵芯片和核心軟件幾乎全部依賴進(jìn)口，客觀上留下了長期隱患,1991年的海灣戰(zhàn)爭首

4、次把網(wǎng)絡(luò)攻擊手段引入到戰(zhàn)爭中并發(fā)揮作用。美軍在戰(zhàn)略空襲發(fā)起前，以遙控手段激活預(yù)植在伊拉克防空系統(tǒng)打印機(jī)中的病毒芯片，使其從打印機(jī)竄入主機(jī)，造成伊拉克防空體系中的預(yù)警和C3I系統(tǒng)癱瘓，為美軍順利實(shí)施空襲創(chuàng)造了有利條件,“911事件”中，世貿(mào)中心最大的主顧之一摩根斯坦利由于精心構(gòu)造了遠(yuǎn)程防災(zāi)系統(tǒng)，雙子樓的倒塌并沒有給公司和客戶的關(guān)鍵數(shù)據(jù)帶來重大損失，幾天后在新澤西州恢復(fù)營業(yè)其它無災(zāi)備能力的企業(yè)損失慘重，很多企業(yè)由于無法恢復(fù)對其業(yè)務(wù)至關(guān)重

5、要的數(shù)據(jù)而被迫倒閉。,美國 “911事件”,數(shù)據(jù)存儲及容災(zāi)備份問題,信息內(nèi)容存儲解決方案所依托的主要存儲設(shè)備均為國外廠商的產(chǎn)品，缺少自主知識產(chǎn)權(quán)，等于把自己的信息存儲在別人的“口袋”里。,美國中央情報(bào)局成立專門部門，通過監(jiān)控國際互聯(lián)網(wǎng)，獲取了伊朗研發(fā)核武器的大量圖片，其中甚至包括核工廠內(nèi)部的清晰圖片，使得掌握了第一手資料及證據(jù)”。,信息失泄密控制的問題,涉密信息系統(tǒng)目前對內(nèi)部人員和管理的漏洞導(dǎo)致的泄密防護(hù)不足。針對信息流和用戶行為缺乏有

6、效的技術(shù)監(jiān)控措施，也缺乏先進(jìn)管理技術(shù)的應(yīng)用,美國CIA監(jiān)控互聯(lián)網(wǎng)獲取伊朗核情報(bào),關(guān)于即時(shí)通信技術(shù),新型應(yīng)用的不斷出現(xiàn),以多點(diǎn)組播為特色的應(yīng)用層通信模式獲得了極大的發(fā)展 通過中心節(jié)點(diǎn)的協(xié)調(diào)和調(diào)度,任何參與節(jié)點(diǎn)均可以通過固定頻道 信息交互類多點(diǎn)組播技術(shù)(即時(shí)通信技術(shù))和內(nèi)容共享類多點(diǎn)組播技術(shù)(文件共享技術(shù)),其中即時(shí)通信技術(shù)已經(jīng)成為當(dāng)今社會,尤其是青少年常用的通信方式目前互聯(lián)網(wǎng)中典型的多點(diǎn)組播與即時(shí)通信技術(shù)應(yīng)用的典型代表包括:MSN

7、Messenger,Yahoo Messenger,ICQ,QQ（OICQ）,網(wǎng)易泡泡,SKYPE,等等,快速發(fā)展的即時(shí)通信時(shí)代,根據(jù)comScore Networks公布了的數(shù)據(jù), 歐洲的IM(即時(shí)通信軟件)用戶數(shù)首次超過了美國，位居世界第一MSN Messenger也同時(shí)榮膺最受歡迎的IM行列，它占據(jù)了世界市場的61%的市場份額。根據(jù)此項(xiàng)調(diào)查，歐洲IM用戶數(shù)已達(dá)8200萬，占該地區(qū)網(wǎng)民總數(shù)的49%。而在美國，這兩個(gè)數(shù)字分別為69

8、00萬和37%。拉丁美洲網(wǎng)民使用IM軟件的比例最高，為64%。MSN Messenger在拉美時(shí)常占有率為90%、歐亞市場占有率為70%。當(dāng)前美國的即時(shí)通信市場中， MSN Messenger與AOL Instant Messenger相當(dāng)接近，與此同時(shí)，Yahoo! Messenger也緊隨其后。在美國以外的地區(qū)新的IM客戶端已經(jīng)開始立足，典型的例子就是Skype。目前，全球范圍內(nèi)14%的IM用戶已經(jīng)使用Skype，而在美國國內(nèi)

9、Skype的用戶數(shù)只占全美網(wǎng)民數(shù)的3%。亞太地區(qū)的在線語音聊天人數(shù)最多，26%的IM用戶已經(jīng)使用了Skype。在中國地區(qū),QQ使用群數(shù)量龐大,但已經(jīng)受到MSN Messenger嚴(yán)重挑戰(zhàn),MSN Messenger,MSN Messenger是當(dāng)前全世界最受歡迎的即時(shí)通信工具每日在線人數(shù)達(dá)到1.1億即將與Yahoo Messenger互通形成全球最大即時(shí)通信用戶群在我國影響力日益擴(kuò)大,2006年底臺灣地震導(dǎo)致MSN無法登錄甚至引

10、發(fā)國內(nèi)對于網(wǎng)絡(luò)可靠性的社會性討論2006年上海海底光纜被截?cái)嘁矊?dǎo)致類似安全事件,MSN Messenger帶來巨大的安全挑戰(zhàn),即時(shí)通信常見問題各類不良信息的泛濫與傳統(tǒng)網(wǎng)站相比,更加具有傷害性和欺騙性文字圖像音頻/視頻多伴隨現(xiàn)實(shí)生活中的后續(xù)行為,例如2005年4月16日在全國各地爆發(fā)的反日游行就是通過QQ,MSN等即時(shí)通信工具進(jìn)行串聯(lián)的使用面廣,多為活躍份子,容易形成規(guī)?；男涡紊W(wǎng)絡(luò)社區(qū)管理十分困難,MSN聊天形成的

11、藏獨(dú)支持者社區(qū),,,(MSN,SKYPE,QQ上)您收到過這些內(nèi)容的欺詐短信么?—恭喜您,您已被抽中頭獎(jiǎng),請登陸我們的網(wǎng)站領(lǐng)取:http://www.spoofsite.com.這樣的email是否熟悉,由于系統(tǒng)升級,數(shù)據(jù)庫需要修復(fù),為防止您的信息丟失,請登陸http://www.spoofsite.com,修改您的信息.,這是真的么?,,利用海底電纜中斷,中美網(wǎng)站服務(wù)器中斷聯(lián)系,如(yahoo,ebay, google,大部分服務(wù)

12、器在美國).黑客乘機(jī)制造欺詐信息,將用戶重定向到非法站點(diǎn).,黑客的目標(biāo)是什么,帳號個(gè)人信息現(xiàn)金,典型的web應(yīng)用模型,網(wǎng)絡(luò)欺詐的實(shí)施過程,,,非法網(wǎng)站,,黑客常用攻擊手段,繞過認(rèn)證跨站點(diǎn)攻擊XSS注入式攻擊Cookie 捕獲攻擊,繞過認(rèn)證,,1可猜測的用戶名"admin", "administrator", "root", "system",

13、"super". qa", "test", "test1", "testing", and similar names2商務(wù)邏輯可預(yù)測,,Phishing釣魚網(wǎng)站,phishing (fishing) 是攻擊者建立的一個(gè)誘餌，以此獲得用戶的真實(shí)信息和機(jī)密。這種方式在網(wǎng)絡(luò)時(shí)代同樣被運(yùn)用到網(wǎng)絡(luò)欺詐上，攻擊者通過email或已經(jīng)被黑的網(wǎng)站，要求用

14、戶填寫表格或確認(rèn)用戶信息，而這些表格往往和某銀行或金融機(jī)構(gòu)的合法用戶登陸或注冊界面非常相似，并且都帶有合法的logo，這使得分辨合法與非法網(wǎng)站更加困難。,http://www.antiphishing.org/,跨站點(diǎn)腳本攻擊,,在瀏覽器框中輸入:javascript:aviod(document.cookie="uc1=12345zzlsecuritytest "),,Cookie 捕獲攻擊,關(guān)于計(jì)算機(jī)病毒？,“計(jì)

15、算機(jī)病毒”為什么叫做病毒。首先，與醫(yī)學(xué)上的“病毒”不同，它不是天然存在的，是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性，編制具有特殊功能的程序。由于它與生物醫(yī)學(xué)上的“病毒”同樣有傳染和破壞的特性，因此這一名詞是由生物醫(yī)學(xué)上的“病毒”概念引申而來。 一組具有能夠進(jìn)行自我傳播的破壞性代碼或程序。,幾類典型的計(jì)算機(jī)病毒,與病毒相關(guān)的幾個(gè)概念陷門(trap door)：程序中的秘密入口點(diǎn)，知道陷門的人可以通過這樣的入口點(diǎn)繞過正常的安全檢查機(jī)制

16、邏輯炸彈(logic bomb)：內(nèi)嵌在合法程序中的條件代碼特洛伊木馬(Trojan horses)：木馬程序可以被用于進(jìn)行直接或者間接地達(dá)到未授權(quán)訪問資源的目的蠕蟲(worms)：通過網(wǎng)絡(luò)進(jìn)行傳播細(xì)菌(bacteria)：不停地復(fù)制自身現(xiàn)在的計(jì)算機(jī)病毒已經(jīng)綜合了這些概念，所有現(xiàn)在的防病毒軟件也往往綜合了相應(yīng)的對策。病毒與黑客技術(shù)的結(jié)合也使得防病毒的任務(wù)更加艱巨。,關(guān)于“特洛伊木馬”,希臘人攻打特洛伊城十年，始終未獲成功，后來建

17、造了一個(gè)大木馬，并假裝撤退，希臘將士卻暗藏于馬腹中。特洛伊人以為希臘人已走，就把木馬當(dāng)作是獻(xiàn)給雅典娜的禮物搬入城中。晚上，木馬中隱藏的希臘將士沖出來打開城門，希臘將士里應(yīng)外合毀滅了特洛伊城。后來我們把進(jìn)入敵人內(nèi)部攻破防線的手段叫做木馬計(jì)，木馬計(jì)中使用的里應(yīng)外合的工具叫做特洛伊木馬,來源于希臘神話中的特洛伊戰(zhàn)爭,莫里斯蠕蟲（Morris Worm）,時(shí)間1988年肇事者-Robert T. Morris , 美國康奈爾大學(xué)學(xué)生，其

18、父是美國國家安全局安全專家機(jī)理-利用sendmail, finger 等服務(wù)的漏洞，消耗CPU資源，拒絕服務(wù)影響-Internet上大約6000臺計(jì)算機(jī)感染，占當(dāng)時(shí)Internet 聯(lián)網(wǎng)主機(jī)總數(shù)的10%，造成9600萬美元的損失CERT/CC的誕生-DARPA成立CERT（Computer Emergency Response Team），以應(yīng)付類似“蠕蟲（Morris Worm）”事件,莫里斯事件,1988年11月2日晚，

19、美國防部戰(zhàn)略C4I系統(tǒng)的計(jì)算機(jī)主控中心和各級指揮中心相繼遭到計(jì)算機(jī)“蠕蟲”的攻擊。共約8500臺軍用計(jì)算機(jī)受影響，其中6000部無法正常運(yùn)行。美軍的通信和指揮一時(shí)陷入混亂狀態(tài)。 “蠕蟲”病毒以閃電般的速度迅速自行復(fù)制，大量繁殖，不到10小時(shí)就從美國東海岸橫竄到西海岸，使眾多的美國軍用計(jì)算機(jī)網(wǎng)絡(luò)深受其害，直接經(jīng)濟(jì)損失上億美元。,病毒攻擊成為嚴(yán)重的安全威脅,2001年7月以來，紅色代碼、藍(lán)色代碼、SirCam、Nimda、求職信等病毒不

20、斷出現(xiàn)，僅紅色代碼就造成全球26億美元的損失據(jù)CERT公布的數(shù)據(jù): 2006年在網(wǎng)絡(luò)上發(fā)生的黑客攻擊事件是2000年的四倍,2001年7月19日，全球的入侵檢測系統(tǒng)(IDS)幾乎同時(shí)報(bào)告遭到不名蠕蟲攻擊在紅色代碼首次爆發(fā)的短短9小時(shí)內(nèi)，以迅雷不及掩耳之勢迅速感染了250,000臺服務(wù)器最初發(fā)現(xiàn)的紅色代碼蠕蟲只是篡改英文站點(diǎn)主頁，顯示“Welcome to http://www.worm.com! Hacked by Ch

21、inese!”隨后的紅色代碼蠕蟲便如同洪水般在互聯(lián)網(wǎng)上泛濫，發(fā)動拒絕服務(wù)(DoS)攻擊以及格式化目標(biāo)系統(tǒng)硬盤，并會在每月20日～28日對白宮的WWW站點(diǎn)的IP地址發(fā)動DoS攻擊，使白宮的WWW站點(diǎn)不得不全部更改自己的IP地址。,紅色代碼,“紅色代碼”的蔓延速度,“紅色代碼”的蔓延速度,8小時(shí)之后,攻擊手段越發(fā)“高超”,漏洞發(fā)布到攻擊出現(xiàn)的時(shí)間越來越短Witty蠕蟲事件花樣翻新，防不勝防尼姆達(dá)蠕蟲：通過email、共享網(wǎng)絡(luò)資源、I

22、IS服務(wù)器傳播變種速度令人驚嘆黑客：從單打獨(dú)斗到“精誠”合作Botnet攻擊程序日益自動化、并輟手可得,攻擊范圍和時(shí)間的變化,攻擊復(fù)雜度與攻擊者的技術(shù)水平,關(guān)于商業(yè)欺詐追蹤與社會防范體系建立,保護(hù)信息安全的技術(shù)和手段,建立防范意識.統(tǒng)一的輸入入口,并且對輸入數(shù)據(jù)進(jìn)行確認(rèn).避免javascript腳本注入.合理使用SSL.CS和客戶的舉報(bào)和AVS郵件過濾可以幫助查找已經(jīng)生成的phishing連接.更多資料在http://p