|
現(xiàn)在����,專家們已經(jīng)開始討論這樣一些問題:MyDoom病毒之所以能夠快速傳播�����,說(shuō)明阻止病毒攻擊的對(duì)策是不充分的�����。根據(jù)在全球范圍內(nèi)造成的危害以及所造成的嚴(yán)重后果�,MyDoom病毒和Sobig病毒的危害性分別位居第一位和第二位。為了防止安全專家過(guò)于將注意力集中于MyDoom病毒的組件——分布式拒絕服務(wù)攻擊(DDOS)���,讓我們不要忘記這兩種病毒的攻擊還是有一些共性的��,盡管人們?cè)?jīng)要求提供商團(tuán)體介入處理這些共性問題����,但是到目前為止這些提供商拒絕一起處理這些共性。
要不是那些一直想尋找到一種方法來(lái)把他們的資源變成資本的電子郵件技術(shù)公司和ISP的貪婪����,就不會(huì)導(dǎo)致這兩次垃圾郵件病毒的泛濫,那么現(xiàn)在這么多由于Sobig和MyDoom所造成的巨大損失都可能可以避免����。
哪些人或者公司將會(huì)出現(xiàn)在“最貪婪”列表中���?首先是那些通過(guò)他們的系統(tǒng)來(lái)傳遞大量因特網(wǎng)電子郵件的ISP����。這些群體甚至包括Yahoo�����!���,MSN��,Earthlink和AOL以及其他一些群體����。在我的列表中位于第二位的是那些編制電子郵件客戶端和服務(wù)器的電子郵件技術(shù)公司,其他公司使用這些技術(shù)來(lái)發(fā)送和接收電子郵件���。這個(gè)群體包括IBM��,微軟����,Novell以及Qualcomm(Eudora的生產(chǎn)廠家)�,當(dāng)然這里列出的只是極小的一部分。
不幸的是��,與社會(huì)責(zé)任相比較而言���,與阻止兜售信息郵件相關(guān)的潛在的財(cái)政收入好像更加誘人��。對(duì)于兜售信息郵件這個(gè)問題����,雖然我們一般都是直接譴責(zé)犯罪者���,但是上面所提到的技術(shù)公司也應(yīng)該因?yàn)闆]有正確處理這些問題而同樣受到譴責(zé)�。
最后,無(wú)論如何�����,作為因特網(wǎng)用戶����,我們也應(yīng)該受到一些譴責(zé),因?yàn)槲覀冊(cè)谶@些公司受到嚴(yán)重打擊的時(shí)候沒有為它分擔(dān)相關(guān)的責(zé)任——尤其是在金錢上���。
對(duì)當(dāng)前攻擊的分析
現(xiàn)在,讓我們來(lái)看一看MyDoom病毒攻擊是如何將電子郵件作為一個(gè)可以攻擊的弱鏈的�。也許,根據(jù)MyDoom大量的大字標(biāo)題���,專家們能夠預(yù)測(cè)下一步可能會(huì)發(fā)生什么事情����,但是我們幾乎無(wú)法對(duì)其采取任何行動(dòng)�����。對(duì)待病毒��,就象我們對(duì)待在南佛羅里達(dá)州著陸的颶風(fēng)Andrew一樣。我們看到它來(lái)了�����,我們也知道它的危害����,而且我們也知道它將在何處著陸,但是�,我們卻無(wú)法采取任何行動(dòng)來(lái)阻止颶風(fēng)所造成的浩劫。
MyDoom比Sobig危害更嚴(yán)重的一個(gè)原因是����,它利用了Sobig基本的電子郵件病毒原理,并在其中增加了DDoS組件����。在我以前的一篇分析報(bào)告中(在此文中,我再一次持有這種觀點(diǎn):我們的技術(shù)公司要對(duì)沒有及時(shí)阻止病毒的傳播承擔(dān)責(zé)任)����,缺少對(duì)這種攻擊的下一步可能進(jìn)化的方向的描述,但是我的解釋仍然留下了一個(gè)暗示�����。我是這樣解釋的,“如果Sobig使用DDoS這種攻擊方式�,那將更可怕,因?yàn)樗沓汕先f(wàn)的系統(tǒng)���,通過(guò)因特網(wǎng)向網(wǎng)絡(luò)的主干道發(fā)送大量請(qǐng)求����,從而阻塞了網(wǎng)絡(luò)交通�。”
在注意到SCO的因特網(wǎng)域名被MyDoom擊跨時(shí)��,我認(rèn)為受到DDoS攻擊之后���,系統(tǒng)將無(wú)法做任何事情。那么�����,究竟什么是DDoS攻擊呢��?所謂DDoS就是指分布在全世界的系統(tǒng)幾乎在同時(shí)向同一個(gè)實(shí)體發(fā)送請(qǐng)求(這個(gè)實(shí)體可能是一個(gè)網(wǎng)頁(yè)服務(wù)器���,F(xiàn)TP服務(wù)器���,電子郵件服務(wù)器或者是整個(gè)域等)��。如果有足夠多的系統(tǒng)來(lái)支持這種攻擊��,目標(biāo)(或者通向這個(gè)目標(biāo)的路徑)將無(wú)法承受這么多的請(qǐng)求����,包括合法請(qǐng)求都將無(wú)法通過(guò)這些路徑或者無(wú)法得到服務(wù)����,因?yàn)榫W(wǎng)絡(luò)實(shí)在是太擁擠,或者系統(tǒng)實(shí)在是太忙���。
Jeff Carlon����,SCO的全球IT基礎(chǔ)設(shè)施的主管�����,深知這種原理����。在我對(duì)他的訪談中��,Carlon解釋道���,隨著各種攻擊技術(shù)變得越來(lái)越高級(jí),對(duì)這些攻擊的檢測(cè)和防范也變得越來(lái)越難�����。
事實(shí)上���,通過(guò)MyDoon病毒發(fā)送的DDoS攻擊還是有一定的簽名特征的����,通過(guò)利用這個(gè)特征��,SCO從第一波攻擊中幸存,而微軟則成功的阻擊了這種病毒的攻擊�����。順便要提及的是���,微軟除了說(shuō)明這種病毒攻擊的目標(biāo)是它的網(wǎng)站外,幾乎沒有說(shuō)明它采取了什么措施來(lái)阻止這些DDoS攻擊的���,另外�,微軟還說(shuō)明了以下內(nèi)容:在這些病毒發(fā)動(dòng)攻擊時(shí),他們只是向自己發(fā)送請(qǐng)求��,因此那些受感染的計(jì)算機(jī)參與攻擊的數(shù)量也就大大減少了��。
同樣的���,由于MyDoom只是以Sobig的一個(gè)進(jìn)化版本形式出現(xiàn)��,因此我敢保證��,DDoS攻擊的進(jìn)化版還沒有結(jié)束���。例如,MyDoom DDoS攻擊的一個(gè)簽名元素是受感染系統(tǒng)向SCO的網(wǎng)站發(fā)送包的數(shù)量���、大小以及頻率�。發(fā)動(dòng)攻擊的犯罪者一定會(huì)修改這些特征使得新的病毒更難被檢測(cè)��,那些認(rèn)為犯罪者不會(huì)修改這些特征的人只會(huì)愚弄他們自己���。
試想將自己放在這樣一種環(huán)境中呆上一會(huì)兒:每個(gè)攻擊系統(tǒng)發(fā)送包的個(gè)數(shù)不同���,大小不同���,而且發(fā)送的頻率是隨機(jī)的,那么你用什么方法來(lái)斷定它是DDoS攻擊呢���?又怎么阻止這種數(shù)據(jù)包的發(fā)送呢�����?然而Carlon對(duì)此卻懷有一定的自信�����,那就是如果在很短的時(shí)間周期內(nèi)�,某一個(gè)系統(tǒng)向SCO的網(wǎng)站發(fā)送包的數(shù)量超過(guò)了64,000個(gè)的話����,那么這個(gè)系統(tǒng)可能在對(duì)SCO的網(wǎng)站發(fā)動(dòng)DDoS攻擊。但是�,新的攻擊將可能是參與攻擊的系統(tǒng)更多,而每個(gè)系統(tǒng)發(fā)送的數(shù)據(jù)包更少���,這樣使得人們很難將合法通信與偽造的通信進(jìn)行分離�。
雖然進(jìn)一步改進(jìn)以防止DDoS對(duì)網(wǎng)絡(luò)的攻擊�����,對(duì)于網(wǎng)絡(luò)來(lái)說(shuō)是一件很有意義的事情�����,但是我的擔(dān)心是���,如果我們將視線從真正的問題挪開�,也就是從拙劣的電子郵件系統(tǒng)上挪開�,那我們將永遠(yuǎn)看不到這個(gè)問題的結(jié)果。盡管第一輪DDoS類型攻擊中還有少數(shù)系統(tǒng)是通過(guò)攻擊者直接控制來(lái)進(jìn)行協(xié)同攻擊的���,但是在第二輪攻擊中則開始利用蠕蟲向不知情的參與者發(fā)送攻擊代碼��。對(duì)于第一輪攻擊�,通過(guò)使用常用的防止DDoS攻擊的工具就可以很容易的阻止���。但是��,對(duì)于第二輪攻擊�����,則需要在傳輸?shù)那把丶訌?qiáng)警戒——將蠕蟲拒之門外�����。不知你是否已經(jīng)注意到���,現(xiàn)在已經(jīng)很少這么近距離的接觸蠕蟲了���?同樣的,第三輪DDoS攻擊仍將主要集中于傳輸載體——電子郵件���。
和Sobig一樣��,MyDoom同樣以一種非常卑鄙的方式來(lái)發(fā)送它的負(fù)載����。MyDoom不僅讓其受感染的系統(tǒng)通過(guò)其郵件向其他的系統(tǒng)發(fā)送����,而且它還在發(fā)送的過(guò)程中欺騙發(fā)送者的地址�。如果你的系統(tǒng)已經(jīng)感染了���,那么它將向你的Outlook地址薄里的聯(lián)系人發(fā)送病毒電子郵件。它首先將FROM地址改變?yōu)槠渌牡刂范皇悄愕牡刂��,這樣可以使得接收者看起來(lái)這封郵件好像不是你發(fā)送的��。
如果已經(jīng)對(duì)因特網(wǎng)的電子郵件標(biāo)準(zhǔn)進(jìn)行了修補(bǔ)(實(shí)現(xiàn)這種修補(bǔ)是很容易的事情)�,通過(guò)這種修補(bǔ),可以確認(rèn)你在什么時(shí)候接收了一封電子郵件�����,而且這封郵件確實(shí)能夠證明自己的出處(一種認(rèn)證的形式)�����,那么�����,你自己的系統(tǒng)或者那些傳遞電子郵件給你的系統(tǒng)將能夠最終阻止你接收或者打開那些帶病毒的電子郵件����,從而防止你的系統(tǒng)被感染���。如果現(xiàn)在有這樣的一個(gè)認(rèn)證或者認(rèn)證系統(tǒng),Sobig 和MyDoom將不可能在全世界范圍內(nèi)傳播�。
不幸的是,盡管SOL給出了一種值得關(guān)注的認(rèn)證方法�����,這種方法稱為SPF�����,但是�,在全世界范圍內(nèi)卻沒有這樣的支持系統(tǒng)。原因如下��,一方面它能夠阻止電子郵件攜帶Sobig和Mydoom病毒��,同樣的�����,它也會(huì)阻止其他不想要的電子郵件����,如大家都熟悉的兜售信息郵件�。要想讓這樣的系統(tǒng)能夠正常工作��,那么就需要各個(gè)不同的電子郵件系統(tǒng)和提供商同意支持單一的認(rèn)證和信任標(biāo)準(zhǔn)����,這樣才能確保他們各自的系統(tǒng)相互之間能夠?qū)崿F(xiàn)無(wú)縫合作。到目前為止����,盡管大家都要求電子郵件研發(fā)團(tuán)體開發(fā)和支持能夠相互認(rèn)證和信任的標(biāo)準(zhǔn)��,但是這些電子郵件研發(fā)團(tuán)體的大多數(shù)成員仍然想使用自己生產(chǎn)的��、性能卓越而且具有較強(qiáng)的私有性的解決方案來(lái)打敗其他廠家的防止兜售信息郵件的解決方案����,從而獲得更多的客戶和財(cái)政收入。
舉一個(gè)例子����,雖然AOL在考慮使用SPF,但是Yahoo!卻在試驗(yàn)自產(chǎn)的解決方案����,這個(gè)解決方案稱為域名密鑰管理系統(tǒng)(Domain Keys)����,這個(gè)方案可能很快就會(huì)以法律宣判的形式結(jié)束����,因?yàn)槲挥谫M(fèi)城的ePrivacy Group宣稱他們擁有這項(xiàng)技術(shù)的專利。(專利問題只不過(guò)是私有技術(shù)的另一個(gè)問題����,也是專利在兜售信息郵件這場(chǎng)斗爭(zhēng)中無(wú)法占有一席之地的一個(gè)原因)
盡管如此,Sobig和MyDoom的“成功”還是鮮活的證明了這些無(wú)法進(jìn)行互操作的解決方案的實(shí)現(xiàn)是錯(cuò)誤的��。Sobig和MyDoom之所以能夠成功�����,是由于這些私有的解決方案對(duì)于兜售信息郵件的定義和識(shí)別的標(biāo)準(zhǔn)不同����,不同系統(tǒng)無(wú)法滿足其他私有電子郵件解決方案的標(biāo)準(zhǔn)。正如我已經(jīng)多次提及的那樣��,如果技術(shù)團(tuán)體和立法團(tuán)體不能及時(shí)正確的定義兜售信息郵件標(biāo)準(zhǔn)的話�����,在這場(chǎng)清理不想要的電子郵件的斗爭(zhēng)中,我們注定是要失敗的����。
在判斷一封電子郵件是否是不想要的電子郵件,首先要做的也是最重要的一步是:先不要采取任何行動(dòng)——看一看它是否是商業(yè)上的往來(lái)����、是否含有一定的HTML比例,或者該郵件中是否含有一定的字詞�����、字體或其他模式��。要有一定的把握能夠確認(rèn)該電子郵件的來(lái)源����,或者說(shuō)能夠在一定程度上確認(rèn)該電子郵件確實(shí)來(lái)自它所給出的地址�����。
雖然各個(gè)不同的電子郵件技術(shù)和服務(wù)提供商都知道這一點(diǎn)����,但是他們有各種各樣的理由不愿意合作����。這些原因中我最喜歡的一條理由是:要制定這樣的標(biāo)準(zhǔn)將會(huì)花費(fèi)很多的時(shí)間�。但有關(guān)制定Web服務(wù)標(biāo)準(zhǔn)(制定這個(gè)標(biāo)準(zhǔn)的領(lǐng)導(dǎo)者是微軟和IBM,這兩家正好也是電子郵件技術(shù)和服務(wù)提供商)的指定�����,卻以破世界記錄的速度被推出了�����。
因?yàn)橹贫ê椭С諻eb服務(wù)規(guī)格的速度越快�����,這些公司就能夠越快的從下一代因特網(wǎng)技術(shù)中獲得大量的財(cái)政收入�����。但是如果這些公司制定并支持阻止不想要的電子郵件的速度越快�,他們也就越快的失去這些市場(chǎng),從而導(dǎo)致財(cái)政收入的下降��。因?yàn)檫@樣的話,除了他們已經(jīng)賣出去的產(chǎn)品或者發(fā)送出去的產(chǎn)品之外��,他們也就沒有什么產(chǎn)品可以銷售���。
雖然很容易就能夠說(shuō)明他們是為了得到更多的錢�,也很容易證明貪婪才是真正的去掉那些不想要的電子郵件的障礙�����,但是最后我們還是只能責(zé)怪我們自己�����。到目前為止�,那些受到Sobig、MyDoom或者這兩者一起影響的人們已經(jīng)拒絕接受那些沒有采取行動(dòng)的公司的解釋���。除非我們采取行動(dòng),否則電子郵件將繼續(xù)變得沒有用處���,或者將會(huì)變成一個(gè)安全威脅����,那我們所能做的只能是像SCO的Carlon所說(shuō)的那樣�,Brigham Young大學(xué)將MyDoom的出現(xiàn)視為一種安全威脅�����,他們所采取的行動(dòng)就是關(guān)閉電子郵件服務(wù)���。
出處:
責(zé)任編輯:Yahoo
◎進(jìn)入論壇計(jì)算機(jī)技術(shù)版塊參加討論
|
