|
“目前,管理员账户、密码等信息外泄的服务器可能涉及金融、电信、能源等重要领域,一旦遭到攻击,将会对国民经济和社会发展造成严重的打击,进而危及我国的国家安全!”
这不是危言耸听,而是未来极有可能爆发的重大事故。上月底,PuTTY、WinSCP等远程管理软件汉化版被曝出“存在后门程序”,安全专家经过分析发现,与传统在个人计算机上运行的“后门”不同,此次后门程序将主要攻击目标锁定在大型商用服务器上,具有更严重的危害性,需要引起相关部门、机构的重视。而从已截获的攻击源IP地址上看,其幕后推手可能来自海外国家,“与两年前的伊朗‘震网’事件类似,PuTTY‘后门’事件很可能是一次国家层面的有组织攻击行为。” 上万服务器成“定时炸弹” 近年来,我国不断推进各行业信息化建设,特别是在政府、金融、能源等关系国计民生的重要领域,信息化已成为不可或缺的一部分。其中,服务器及其承载的操作系统作为信息化建设的基础,在信息系统中处于非常关键的位置,如果因为发生安全事故而不能正常运行,就会带来停工、停产等影响正常工作的严重后果。在实际应用中,大型商用Unix操作系统(包括AIX、HP-UX、Solaris等)在金融、电信、能源等领域的核心服务器上获得了广泛的应用,为各领域核心业务系统的正常运行提供重要的支撑。。 “大型的商用服务器,如预置AIX、HP-UX、SOLARIS等操作系统的服务器,正是这次‘后门’事件的‘重灾区’。”一位不愿意具名的安全专家指出,PuTTY、WinSCP等软件是开源的管理软件,被广泛地用于远程管理AIX、HP-UX、Solaris等服务器。在此次“后门”事件中,PuTTY、WinSCP、SSH Secure等软件汉化版被植入后门程序,当用户使用这些软件登陆服务器时,后门程序将把管理员账户、密码、服务器IP、端口等信息发送给攻击者,从而使后者拥有对相关服务器的完全控制权。据不完全统计,目前已有上万服务器IP、账户、密码等惨遭泄露。 “对政府、金融、能源等机构来说,这些泄露出来的服务器就像是在信息系统中埋下的‘定时炸弹’,随时可能被引爆,从而给国家带来灾难性的损失。”该安全专家表示出了自己的担忧,“并且,在PuTTY‘后门’被曝光之前,内置后门程序的汉化版软件已经流转了半年时间。因此,可以肯定,现在公布的服务器名单只是冰山一角,相信还有更多的大型商用服务器用户对潜在的威胁浑然不觉。” 据了解,针对此次“后门”事件,国家互联网应急中心和中国反网络病毒联盟作了跟踪分析,目前已经确认的受害信息系统IP或域名共计1512个,其中有64个政府网站域名。“与网站服务器相比,运行国家核心业务系统的服务器遭到攻击后造成的危害更大,例如能源行业的电力调度系统、航天领域的生产管理系统等等,一旦因为遭受攻击而停运,将会给国民经济和人民生活带来难以预估的巨大损失!” 有组织攻击来自海外国家? 纵观PuTTY“后门”事件,不难发现,与以往后门程序漫无目的抢夺个人邮箱、网络游戏账号等不同,PuTTY、WinSCP等软件汉化版内置的“后门”更专注于窃取高端企业级用户,进而对政府、金融、能源等重要领域的信息系统进行持续深入渗透。而且,提供恶意PuTTY汉化版软件下载服务的网站还在百度上做了竞价排名,更表明此次事件不是个人行为,而是有组织、有预谋的攻击行为。更重要的是,经过对后门程序代码进行分析,发现接收受害服务器IP、账户、密码等信息的IP竟然来自美国。 “后门程序只存在于部分汉化版PuTTY、WinSCP等软件,相应的英文版软件并没发现‘后门’,说明攻击者的目标集中在中国。考虑到这些用户涉及政府、金融、能源等关系国家发展命脉的重要领域,此次‘后门’事件很可能是针对国家层面的攻击行为。”安全专家表示,近年来,随着国际竞争越来越激烈,很多国家都加强了网络攻防能力建设。2010年,美国成立了网络司令部,以打击敌对国家和黑客的网络攻击;今年上半年,美国更是发布了《网络空间国际战略》,可对网络入侵行为采取军事回击。此外,英、法、印等国也将网络空间安全提升至国家战略层面,国际信息安全形势变得越来越严峻。 观察人士指出,如今,信息技术已经融入人们的工作、学习和生活中,信息安全对国民经济、社会等各领域的发展具有非常重要的影响。“最显著的例子是2010年爆发的‘震网’事件,其‘主角’Stuxnet蠕虫俗称‘震网’,拥有一套完整的入侵和传播流程,可以突破工业专用局域网的物理限制,是第一个直接破坏现实世界中工业基础设施的恶意代码。统计数据显示,Stuxnet蠕虫感染了全球约45000个网络,伊朗第一座核电站“布什尔核电站”更是遭到攻击,严重阻碍了该国核工业的发展。” 那么,针对此次“后门”事件带来的安全威胁,国家命脉行业该如何防范,以避免类似“震网”事件在我国上演? 当前防护手段难以抵御潜在安全威胁 从安全产品自身的定位上看,杀毒软件主要是确保客户端的安全,无法为服务器端提供有效的安全防护,而此次攻击者最终的目标正是大型商用服务器。目前,服务器端的防护手段包括安装防火墙、IDS、IPS、UTM等产品,但都难以有效应对“后门”事件带来的潜在威胁。以防火墙为例,要保障正常的网络通讯以确保业务的运行,防火墙就必须开放端口,这就给攻击者以可乘之机,黑客可利用已泄露的账户、密码等信息,像正常管理员一样远程登录服务器,进而窃取、破坏服务器上的重要数据,或者阻止核心业务系统正常运行,甚至可以将目标服务器作为“跳板”,渗透内部网络上的其他服务器,从而使攻击的范围进一步扩大。 安全专家认为,当前主流的信息安全产品专注于防范网络层、应用层面临的安全威胁,而对系统层缺乏应对措施,根据“木桶理论”,整体安全防护水平取决于最薄弱的环节。正是国内信息安全防护体系建设上的缺陷,给恶意软件及黑客带来了可趁之机。为了推进国家信息安全保障体系建设,我国在2006年就发布了《信息安全等级保护管理办法》,对网络层、应用层、系统层等信息系统各层面的安全建设提出了要求,以推动等级保护工作在全国各领域的开展,只是没有引起用户足够的重视,从而影响了整体信息安全水平的快速提升,因此,当前国内信息安全建设仍然任重而道远。 |
|
|
