網路攻擊新動向---目標將轉向網路服務
安全研究人員提出,隨著越來越多的人開始在生活中使用各種網路應用軟體和服務,比如電子郵件、即時通訊和網上支付等,網路罪犯們則追尋在消費者的後面,伺機竊取消費者的銀行帳戶資料和其他有價值的資料。
雅虎公司的電子郵件服務、Google公司的Orkut社群網路和eBay公司的PayPal網路支付服務的用戶是最近幾周被攻擊次數最多的目標。 這三家公司都已經承認它們的服務中存在安全漏洞並已經將漏洞修復。
在過去的幾年中,各種網路攻擊主要圍繞著微軟公司的產品而展開。微軟公司的Windows作業系統佔據了全球電腦作業系統近90%的市場份額,其安全性的影響力非常巨大。在過去幾年中,在產品屢屢遭到攻擊而感到羞憤難當之後,微軟公司逐漸加強了在安全方面的關注和投資,修復了其電子郵件軟體、瀏覽器和其他產品中的大量漏洞。最近,微軟公司更是開發出自己的安全產品,一舉進入安全產品市場。在這種情況下,網路攻擊的方向自然開始向其他方面轉移,比如上述三家公司的網路服務。同時,MySpace網路社區以及Google公司、雅虎公司和其他公司推出的網路日曆、網路簡信和其他網路服務的用戶數量與日俱增。這也必然是吸引網路罪犯們將攻擊的目標鎖定在這些網路服務上的原因之一。
國外一家安全機構在本月早些時候宣佈它發現了一種蠕蟲正在攻擊Orkut社群網。它可以欺騙訪問者去點擊圖片連接,它可以自動登入並將用戶的姓名、密碼和用戶經常用來儲存銀行資料的Windows文件傳送到蠕蟲新增者那裡去。
目前已經擁有8800萬註冊用戶的MySpace網站在去年10月份的時候曾經受到某個惡意軟體的攻擊,結果造成用戶們自動將無數的人都增加為自己的好友。那次網路攻擊使得MySpace網站出現了許多執行上的問題,並給安全研究人員們提了個醒,說明了各種網路應用軟體和服務中潛伏著大量的隱患。
安全專家們稱,由於用戶們逐漸開始會使用各種安全軟體以及安裝安全更新,網路攻擊者們不得不尋找新的攻擊途徑。」
聯邦政府資助的CERT調度中心的網際網路安全分析師尼克安內裡稱,那些曾經通過傳送惡意電子郵件發動大範圍攻擊的網路罪犯開始意識到針對那些聚集在網路社區中的小部分人發動攻擊會更有效一些。
他說:「他們向那些位址傳送電子郵件,同時使那些電子郵件好像是目標用戶們的好友所發出的,那麼他們的攻擊意圖就很有可能會得逞。」
網路編程語言的功能越來越強,效能越來越靈活,這也為網路攻擊提供了方便,因為這些變化使得網路瀏覽器開始向文字處理軟體、電子資料表及其他電腦程序靠攏。最近雅虎網站的蠕蟲就是利用了一種關於Ajax技術的有漏洞的指令碼來發動攻擊的。
這個蠕蟲並不要求用戶主動點擊附件,這就使得它比其他的蠕蟲更惡毒一些。 許多用戶僅僅是因為開啟了一份電子郵件就受到了該蠕蟲的感染。然後蠕蟲就會再把自己從用戶的位址薄傳送到遠端伺服器上。
雅虎公司、Google公司和PayPal系統迅速修復這些漏洞的能力說明,在對抗這些針對網站發動攻擊的蠕蟲和那些利用電腦中的安全漏洞來發動攻擊的蠕蟲之間是存在著很大的差異的。
PayPal幾乎是馬上就發怖了修復措施,公司女發言人阿曼達皮雷斯說,公司只是修改了其伺服器上的幾條程式碼就解決了問題。
相反,微軟公司等修復個人電腦中的安全漏洞的其他公司不得不讓無數的用戶去下載和安裝安全修正檔才能解決問題。這個程序相對要更費時一些。
安全專家們稱,隨著時間的發展,網站開發人員將越來越能預測出他們的程式碼可能會被如何利用,但是在那時以前,網路罪犯們可能又已經將攻擊轉向其他的目標上去了。
|