本报告综合瑞星“云安全”系统、瑞星客户服务中心、瑞星互联网攻防实验室等部门的统计、研究数据和分析资料,仅针对中国大陆地区2011年网络安全现状与趋势进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构作为互联网信息安全状况的介绍和研究资料,请相关单位酌情使用,如若本报告阐述之状况、数据与其他机构研究结果有差异,请使用方自行辨别,瑞星公司不承担与此相关的一切法律责任。
报告概要
2011年由病毒和木马造成的危害,比去年同期有一定上升,受害人数仍然在高位徘徊。目前黑客正在开始通过对大型互联网企业数据库的攻击,来获取以往不能得到的资料,在此基础上进行钓鱼、诈骗、社会工程学攻击等。
瑞星分析表明,目前威胁国内互联网安全的因素主要包括三个方面:病毒和木马等恶意程序、钓鱼诈骗、黑客“拖库”攻击。与2010年相比,由黑客“拖库”因素带来的安全问题显著上升,包括CSDN、天涯在内的一批互联网网站用户数据库被窃取,导致用户隐私大规模被泄漏,这给整个互联网行业带来巨大安全风险。
钓鱼诈骗带来的安全问题进一步显现。除了简单的“网页仿冒”钓鱼诈骗之外,2011年出现了多种诈骗方式,例如通过MSN和QQ进行“充值卡诈骗”,利用团购进行“假iPhone诈骗”等,这使得单个受害用户的受损金额与往年相比有很大增长。
蓬勃发展的电子商务成为黑客窥测的主要对象,网购、支付、配送、推广、售后等多个环节均遭到黑客有针对性的攻击。例如,有的黑客在购物网站开设网店,以超低价格吸引网民,在砍价、咨询的过程中把捆绑了病毒的图片或文件发送给受害者,这样就可以窃取用户的支付账号,进而窃取钱财。
瑞星安全专家表示,黑客和病毒攻击越来越有针对性,网购、游戏等特定人群面临较大安全风险,在可预见的时间段内,这个发展趋势仍将保持。
2011年,中国互联网安全领域呈现以下特征:
1、报告期内,瑞星共截获病毒922万个,比去年上升22.9%,其中木马病毒708万个,占据病毒总体数目的76.85%,是第一大种类病毒。
2、报告期内,瑞星共截获挂马网站347万个,比去年同期下降89.7%(去年同期为3382万)。分析认为,包括瑞星在内的主流安全厂商,在今年成功实施了“云安全”技术,打破了黑色挂马产业链的运行,使得网站挂马无利可图,迫使黑客逐渐放弃此种攻击手段。
3、钓鱼诈骗给网民带来巨大损失。2011年,瑞星共截获钓鱼网站约480万个,共有1亿9861万人次网民遭到钓鱼网站攻击,给网民造成的经济损失至少200亿元。每次社会热点,都成为黑客进行钓鱼的推手,例如2011年上半年的团购热,黑客就推出了大量假团购网站,通过出售假冒iPhone、假充值卡等获利。
4、假QQ、假“非常6+1”、假淘宝,成为排行前三的钓鱼网站类型,黑客常用的骗术仍然是传统的“你的QQ中大奖了,需要交几万的税”、“淘宝十周年,您抽中了iPad2,需要交200元邮费”。与往年不同的是,黑客开始利用新浪微博、QQ空间的漏洞,在上面架设钓鱼网站,使得这些网站的欺骗性增加。
5、全国各地陆续爆出案值从几万到几十万、上百万的黑客钓鱼案例,2010年瑞星曾经指出的黑客钓鱼潮得到了事实验证。这些案例通常受害人数不多,但案值很高,根据媒体报道,江苏省吴江市某90后黑客,通过淘宝网进行钓鱼诈骗,作案200余起,获利12万元。
6、针对大型互联网企业的“拖库”攻击愈演愈烈。包括索尼PSN、韩国《冒险岛》、中国CSDN等一批著名公司的用户资料被窃。黑客可以利用这些数据库,从中分析出用户的使用行为、购物习惯,有针对性地发动钓鱼攻击。临近年底,包括MSN、QQ等聊天软件均出现“充值卡”诈骗,专家怀疑与此类“拖库”攻击有关。
7、在黑客所有的主流攻击手法中,正在从以技术为主的“硬黑客攻击”发展到以心理学、社会工程学、商业数据分析等多个领域综合的“软黑客攻击”为主,这些攻击通常不会对用户形成明显的损害,但会极大地干扰用户的正常生活和商业秩序,例如黑客对搜索引擎发动的SEA(Search Engine Attack)攻击,通过病毒行为来干扰搜索结果的正常排序,从而把用户引导到恶意网站。
第一节 年度安全状况总结
(1)病毒数量高位波动,危害仍然不可小觑
报告期内,瑞星公司截获病毒922万个,比去年上升22.9%,受害网民11.7亿人次。从本年度新增病毒的种类来看,木马(trojan)共有7,087,420个,占76.85%,当之无愧成为所有恶意程序中最大的类别。
与往年不同的是,2011年新增的病毒中包括win32感染型病毒795,893个,占总体数量的 8.63%,已经取代后门(backdoor)成为第二大类。后门和黑客程序(hack)两类的数量几乎相等,皆以4.33%的比例并列第三。病毒释放器(Dropper)、蠕虫病毒(worm)和广告程序(adware)依次排列,比例分别为2.51%、2.29%和2.25%。
(2)十大病毒排行
2011年共11.7亿人次网民被病毒感染,按感染人数、变种数量和代表性进行综合评估,瑞星评选出了2011年的十大病毒。
(3)病毒技术趋势:病毒更简单 功能多元化
根据瑞星研发团队对2011年新增感染型病毒样本的感染行为分析来看,病毒的编译方式正在发生巨大的变化,从传统的低级汇编语言撰写逐渐转变为类似“汇编+C语言”这样的混合撰写模式,病毒用短小精悍的汇编引导部分,去加载C语言(或其他高级语言)编写的主体,这样结构简单、工作量更小,病毒运行也更加稳定而隐秘。
5月份,瑞星发布安全警告指出,“未来用高级语言编写病毒会在未来形成主流”,事实上,截至2011年度末,瑞星共截获感染型病毒(win32)约80万个,已经成为木马之后的第二大类恶意程序。这种病毒包括了下载运行、广告程序、盗取隐私、远程控制等多种功能模块。可以说,这类病毒的结构和编写越来越简单,而能实现的功能却越来越复杂和完善。
从瑞星截获的病毒样本来看,感染型病毒并不是以传播作为最终目的,而是作为其他病毒程序的跳板,将它们传播到计算机的各个角落后,再将其载体激活后完成最终的目的。这类病毒就像空军的“运输机”,它的作用就是骗过系统和杀毒软件,把各种各样的病毒运到目的地。
从感染型病毒的发展趋势来看,木马与病毒的界限越来越模糊,功能趋向统一化。传统意义上木马和病毒的区分主要在于他们的特征,木马善于潜伏并完成某种预先设定的功能,而病毒主要拥有感染传播的能力。就目前的感染型病毒的发展趋势来看,感染型病毒逐渐采纳了木马程序的编写手段和功能,而木马程序的传播途径上又存在着与感染型病毒趋近的趋势,这两种病毒“长得越来越像”。
恶意程序都是出于某种特殊目的而产生的,病毒的制作者也会考虑到各种不同恶意程序的优处和不足,并使之相互弥补和融合。但总体上,不论木马还是病毒的发展趋势都是向着简单高效的开发方式发展的,功能上的相互融合使感染型病毒拥有了前所未有的对被感染机器的控制能力和隐蔽性。
(4)挂马网站保持平稳
瑞星“云安全”数据中心的统计表明,2011年截获的挂马网站,比去年同期下降了89.74%。分析其中的原因,瑞星安全专家指出,“云安全”的成功应用、瑞星杀毒软件永久免费后安装量的增长,促使网民整体的安全防护能力比以前有较大提高,黑客挂马行为变得困难而高风险,从而打破了“挂马产业链”的黑色链条。
报告期内,瑞星共截获挂马网站3,471,148个,受害网民8065万。其中下半年截获110万,比上半年的236万有大幅下降。从数据上来看,单个挂马网站的侵害人数保持平稳,这说明黑客并未放弃网站挂马的攻击方式。
瑞星公司统计了黑客用来挂马的9大漏洞,存在漏洞的软件集中在浏览器和flash插件上,其中5个漏洞与IE有关,3个与Adobe Flash Player有关。Flash作为一种纯网络化、跨平台的应用,其在移动平台上的安全风险也不可低估,例如在安卓系统上,就有可以被利用来进行挂马的Flash漏洞,随着智能手机、平板运算能力的增加,未来可能在移动平台出现大量的挂马攻击。
目前,网络上仍充斥着大量“挂马网站”,广大网民应该提高安全意识,可以安装永久免费的瑞星杀毒软件和防火墙,其中含有的智能反钓鱼技术和防挂马技术,可以拦截钓鱼网站和挂马网站,帮助用户抵御安全风险。
(注)挂马网站:指的是被黑客植入恶意代码的正规网站,这些被植入的恶意代码,通常会直接指向“木马网站”的网络地址。木马网站:是一种利用程序漏洞,在后台偷偷下载木马的网页。这些网页通常放在黑客自己管理的服务器上,当用户访问时,会把许多木马下载到用户机器中运行。
第二节 席卷互联网的密码风暴
12月4日,匿名黑客将CSDN网站的密码库截图上传到专业安全论坛,但当时并未引人注目,21日有人在新浪微博上放出了这个密码库的迅雷下载地址。这验证了长久以来在互联网上存在的一个传言:国内多家大型网站曾被“拖库”,但因为没有确凿的证据无法得到验证(《瑞星2011上半年安全报告》中记录了相关内容)。
随后,包括天涯、新浪等一批著名网站数据库连续外泄,形成了2011年末影响整个互联网的安全大事件,给本已脆弱的互联网安全造成了巨大冲击。在本报告后半部分,瑞星专家剖析了黑客推广钓鱼网站的手法、增加用户信任度的方法等,在这些推广方式中,外泄的密码库起到了关键性的作用。
1、为什么会出现这样大规模的密码泄漏?
从已经公开的资料来看,这些网站不同程度地使用明文存储用户的数据库,这是造成如此大规模用户资料泄漏的根本原因。按照正常的安全流程,所有网站(不分大小,小网站也得加密)的数据库都必须经过加密后才能存储在服务器上,加密标准要求为:唯一、不可逆。
目前应用较多的不可逆加密算法包括RSA公司发明的MD5算法和由美国国家标准局建议的不可逆加密标准SHS(Secure Hash Standard-安全杂乱信息标准)等。
但事实上,很多网站、甚至是大型网站不知道什么原因,都采用了明文的方式把用户数据库储存在自己的服务器上。有的是整体库未加密(如CSDN),有的是某项业务的用户数据库未加密(如新浪爱问)。这就导致当黑客获取服务器权限之后,可以像看自己电脑上的文本文件一样浏览用户名和密码,导致大规模密码及其他信息外泄。
2、密码外泄是中国网站独有的吗,国外网站是什么情况?
事实上,互联网没有国界之分,即使强大如美、日、韩等国的互联网,进入2011年以来都面临着同类问题,在《瑞星2011年上半年安全报告》中指出,单单在上半年,就有日本索尼公司、美国wordpress等网站遭攻击,损失惨重。
4月21日下午,索尼PSN网络遭黑客攻击,波及包括美国、日本、欧洲等地几乎全球各地的所有PSN用户,PSN几乎陷入了彻底的瘫痪。黑客入侵者窃取了大约7700万份PSN个人信息以及2700万个Qriocity(云音乐服务)账户。
被窃的7700万份PSN个人信息当中,包括1000多万个信用卡账户,涉及57个国家和地区。而2700万个Qriocity账户中,也同时包含了用户的姓名、地址和密码等敏感信息。索尼数据遭窃案受影响的用户可能超过1亿人,堪称史上规模最大的用户数据失窃案。
4月,Wordpress.com遭到攻击,其服务器被黑客入侵,并盗走了部分源代码和资料,导致VIP客户的隐私信息外泄。在此次事件中可能泄露的众多网站源代码中,可能包括API密钥和Twitter、Facebook密码等敏感信息。WordPress.com服务于1800万博客和网站,其中包括TED、CBS和TechCrunch博客等,其服务网站占全球网站数量的10%。
3、针对这些密码外泄,普通网民可以采取的六种防范措施
目前我们看到的问题在于:大型互联网公司在服务器端出现了安全问题,用户即使在自己电脑上做再多的防护措施,也无济于事,用户面对这些密码泄露问题几乎毫无办法。
在这种情况下,普通用户只能通过采取下列措施来缓和密码外泄的风险,但不能从根本上解决密码泄漏问题:
(1)不要信任任何网站的安全防护措施,不要觉得他们是大网站就一定能保护好自己的密码。连CSDN这样的专业网站、天涯、新浪这样的领头羊企业都会出现密码外泄问题,我们只能假定一切密码都时刻面临外泄风险,在此基础上确定自己的安全策略。
(2)不要随意注册无关网站账号,不要透露太多的个人信息,用户名、账号和密码尽量用随机数字,这样可以把网络和现实生活的影响降到最低。例如,注册论坛的时候,ID wangxiaoming的安全性就比 wag@!Jdm这样的账号低。因为黑客在获取用户的账号和密码后,需要对其中的账号进行分类整理,一旦能把这些账号和身份证、银行卡等对应起来,就会展开诈骗或者钓鱼。我们需要做的就是打破这个循环,尽量不要让黑客了解到自己的信息。
(3)不要轻易在安全性低的网站购物,尤其是电商网站。一般的电子商务网站都会记录用户的银行卡信息(如果你使用银行卡支付),记录用户的电话号码(用来送货),有的会记录你的身份证号(比如你需要实名购买手机号码的时候),在这样情况下,黑客一旦攻击成功,会获取所有有价值的信息。如果有必要购物,可以采用”货到付款”的方式,送货地址可以填写公司地址(不要填写家庭地址)。
(4)注册网站账号之后,应定时更换密码。比如每个月把自己所有的账号密码都改为全新的密码。这样即使黑客窃取了你的密码,除非在一个月内进行登录、诈骗等,否则你就会改为新密码,从而使他窃取的密码失效。
(5)如果注册多个密码,用户的记忆力将会面临挑战,普通网民可以把账号密码写在随身的本子上,或者记录在手机上,瑞星手机安全软件就提供了密码记录功能。
(6)如果有必要,可以采取“密码和手机绑定”的方式,比如支付宝、银行都提供了这种方式来加强密码的安全性。这样绑定之后,一旦有账号变动异常,用户会及时收到消息,及时申诉降低损失。
本节小结
尽管“拖库”攻击是个存在很久的攻击手法,但直到2011年年底,这个概念才被普通网民所知。由于这种攻击针对的是互联网网站的服务器端,如果各大网站在服务器端仍然坚持目前这种安全水准的话,同样的泄密事件会一直存在下去,用户几乎毫无办法。本节主要讨论了普通网民应该进行的预防性措施,对于互联网网站应该如何预防此类攻击,瑞星公司将在随后发布的企业级安全报告中详细阐述。
第三节 钓鱼网站和社会工程学攻击
随着对2011年网络钓鱼案例、黑客攻击案例的统计分析,瑞星安全专家认为单纯地把那些利用社会工程学原理发动的网络攻击命名为“钓鱼网站”,已经不能准确描述这种攻击手法的本质,社会工程学攻击(利用人与人之间的信任、践踏社会基本的商业准则,夹杂在利益当中)使得国内网民面临比以往更大的安全风险。