李建华 教授、博士生导师 上海交通大学信息安全工程学院 2007年1月8日 互联网时代的信息安全问题 李建华 教授、博士生导师 上海交通大学信息安全工程学院 2007年1月8日

内容提要 互联网时代的信息安全问题 MSN,QQ,email,电子商务网站安全隐患 互联网信息安全典型问题举例和演示 对策与解决方法

当前的社会管理形态 1. 政府内部信息化不完善 2. 对外服务处于初级阶段 3. 职能部门系统相互独立 4. 缺乏交流和协作，自动 化程度低 4. 缺乏交流和协作，自动 化程度低 公民或企业 公安局 海关 军事部门 税务局 其他部门

未来的社会形态 公民 企业 为公民提供的服务接口 为企业提供的服务接口 电子政府 电子化、服务化、 协作化、自动化的 统一安全平台系统

物理世界至数字世界的映射 电子 政务 电子 社区 政府 居民 电子 商务 企业 物理世界 数字世界

网络时代的信息安全问题 全球信息化进程是一 把“双刃剑”，它推动社会进步的同时，也带来了不可忽视的信息安全问题. 网络政治、网络经济、网络文化等网络社会形态正在加快形成，核心信息泄密、网络经济犯罪、非法信息传播、垃圾邮件、黑客攻击等一系列信息安全问题严重威胁社会稳定，维护网络社会正常秩序，已迫在眉睫。

中美五一黑客大战 2001年5月1日是国际劳动节，5月4日是中国的青年节，而5月7日则是中国在南斯拉夫的大使馆被炸两周年的纪念日。中国黑客在这几个重大的纪念日期间对美国网站发起了大规模的攻击 美国部分被黑网站 美国加利福尼亚能源部 日美社会文化交流会 白宫历史协会 UPI新闻服务网 华盛顿海军通信站

部分国外网站被黑截图

国内网站遭攻击的分布

信息安全核心技术受制于人的问题 国家信息系统建设中使用的操作系统、关键芯片和核心软件几乎全部依赖进口，客观上留下了长期隐患 1991年的海湾战争首次把网络攻击手段引入到战争中并发挥作用。 美军在战略空袭发起前，以遥控手段激活预植在伊拉克防空系统打印机中的病毒芯片，使其从打印机窜入主机，造成伊拉克防空体系中的预警和C3I系统瘫痪，为美军顺利实施空袭创造了有利条件

数据存储及容灾备份问题 信息内容存储解决方案所依托的主要存储设备均为国外厂商的产品，缺少自主知识产权，等于把自己的信息存储在别人的“口袋”里。 “911事件”中，世贸中心最大的主顾之一摩根斯坦利由于精心构造了远程防灾系统，双子楼的倒塌并没有给公司和客户的关键数据带来重大损失，几天后在新泽西州恢复营业 其它无灾备能力的企业损失惨重，很多企业由于无法恢复对其业务至关重要的数据而被迫倒闭。 美国 “911事件”

信息失泄密控制的问题 涉密信息系统目前对内部人员和管理的漏洞导致的泄密防护不足。针对信息流和用户行为缺乏有效的技术监控措施，也缺乏先进管理技术的应用 美国中央情报局成立专门部门，通过监控国际互联网，获取了伊朗研发核武器的大量图片，其中甚至包括核工厂内部的清晰图片，使得掌握了第一手资料及证据”。 美国CIA监控互联网获取伊朗核情报

关于即时通信技术 新型应用的不断出现,以多点组播为特色的应用层通信模式获得了极大的发展 通过中心节点的协调和调度,任何参与节点均可以通过固定频道 信息交互类多点组播技术(即时通信技术)和内容共享类多点组播技术(文件共享技术),其中即时通信技术已经成为当今社会,尤其是青少年常用的通信方式 目前互联网中典型的多点组播与即时通信技术应用的典型代表包括:MSN Messenger,Yahoo Messenger,ICQ,QQ（OICQ）,网易泡泡,SKYPE,等等

快速发展的即时通信时代 根据comScore Networks公布了的数据, 欧洲的IM(即时通信软件)用户数首次超过了美国，位居世界第一 MSN Messenger也同时荣膺最受欢迎的IM行列，它占据了世界市场的61%的市场份额。 根据此项调查，欧洲IM用户数已达8200万，占该地区网民总数的49%。而在美国，这两个数字分别为6900万和37%。拉丁美洲网民使用IM软件的比例最高，为64%。 MSN Messenger在拉美时常占有率为90%、欧亚市场占有率为70%。 当前美国的即时通信市场中， MSN Messenger与AOL Instant Messenger相当接近，与此同时，Yahoo! Messenger也紧随其后。 在美国以外的地区新的IM客户端已经开始立足，典型的例子就是Skype。目前，全球范围内14%的IM用户已经使用Skype，而在美国国内Skype的用户数只占全美网民数的3%。亚太地区的在线语音聊天人数最多，26%的IM用户已经使用了Skype。 在中国地区,QQ使用群数量庞大,但已经受到MSN Messenger严重挑战

MSN Messenger MSN Messenger是当前全世界最受欢迎的即时通信工具 每日在线人数达到1.1亿 即将与Yahoo Messenger互通形成全球最大即时通信用户群 在我国影响力日益扩大,2006年底台湾地震导致MSN无法登录甚至引发国内对于网络可靠性的社会性讨论 2006年上海海底光缆被截断也导致类似安全事件

MSN Messenger带来巨大的安全挑战 即时通信常见问题 各类不良信息的泛滥 与传统网站相比,更加具有伤害性和欺骗性 文字 图像 音频/视频 多伴随现实生活中的后续行为,例如2005年4月16日在全国各地爆发的反日游行就是通过QQ,MSN等即时通信工具进行串联的 使用面广,多为活跃份子,容易形成规模化的形形色色网络社区 管理十分困难 MSN聊天形成的藏独支持者社区

这是真的么? (MSN,SKYPE,QQ上)您收到过这些内容的欺诈短信么?—恭喜您,您已被抽中头奖,请登陆我们的网站领取:http://www.spoofsite.com. 这样的email是否熟悉,由于系统升级,数据库需要修复,为防止您的信息丢失,请登陆http://www.spoofsite.com,修改您的信息.

利用海底电缆中断,中美网站服务器中断联系,如(yahoo,ebay, google,大部分服务器在美国)

黑客的目标是什么 帐号 个人信息 现金

典型的web应用模型

网络欺诈的实施过程 非法网站

黑客常用攻击手段 绕过认证 跨站点攻击XSS 注入式攻击 Cookie 捕获攻击

绕过认证 1可猜测的用户名 "admin", "administrator", "root", "system", "super". qa", "test", "test1", "testing", and similar names 2商务逻辑可预测 Submit Reg Data Enter Conf Code Registration Success Figure 1 - Typical Registration flow Figure 2 - Directly accessing Registration Success page sets user state to “Confirmed” Figure 3 - Correct response; application requires completion of step 2

Phishing钓鱼网站 http://www.antiphishing.org/ phishing (fishing) 是攻击者建立的一个诱饵，以此获得用户的真实信息和机密。 这种方式在网络时代同样被运用到网络欺诈上，攻击者通过email或已经被黑的网站，要求用户填写表格或确认用户信息，而这些表格往往和某银行或金融机构的合法用户登陆或注册界面非常相似，并且都带有合法的logo，这使得分辨合法与非法网站更加困难。 http://www.antiphishing.org/

跨站点脚本攻击

在浏览器框中输入:javascript:aviod(document.cookie="uc1=12345zzlsecuritytest ")

Cookie 捕获攻击

关于计算机病毒？ “计算机病毒”为什么叫做病毒。首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。 一组具有能够进行自我传播的破坏性代码或程序。

几类典型的计算机病毒 与病毒相关的几个概念 陷门(trap door)：程序中的秘密入口点，知道陷门的人可以通过这样的入口点绕过正常的安全检查机制 逻辑炸弹(logic bomb)：内嵌在合法程序中的条件代码 特洛伊木马(Trojan horses)：木马程序可以被用于进行直接或者间接地达到未授权访问资源的目的 蠕虫(worms)：通过网络进行传播 细菌(bacteria)：不停地复制自身 现在的计算机病毒已经综合了这些概念，所有现在的防病毒软件也往往综合了相应的对策。病毒与黑客技术的结合也使得防病毒的任务更加艰巨。

关于“特洛伊木马” 来源于希腊神话中的特洛伊战争 希腊人攻打特洛伊城十年，始终未获成功，后来建造了一个大木马，并假装撤退，希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走，就把木马当作是献给雅典娜的礼物搬入城中。晚上，木马中隐藏的希腊将士冲出来打开城门，希腊将士里应外合毁灭了特洛伊城。后来我们把进入敌人内部攻破防线的手段叫做木马计，木马计中使用的里应外合的工具叫做特洛伊木马

莫里斯蠕虫（Morris Worm） 时间 1988年 肇事者 -Robert T. Morris , 美国康奈尔大学学生，其父是美国国家安全局安全专家 机理 -利用sendmail, finger 等服务的漏洞，消耗CPU资源，拒绝服务 影响 -Internet上大约6000台计算机感染，占当时Internet 联网主机总数的10%，造成9600万美元的损失 CERT/CC的诞生 -DARPA成立CERT（Computer Emergency Response Team），以应付类似“蠕虫（Morris Worm）”事件

莫里斯事件 1988年11月2日晚，美国防部战略C4I系统的计算机主控中心和各级指挥中心相继遭到计算机“蠕虫”的攻击。 共约8500台军用计算机受影响，其中6000部无法正常运行。美军的通信和指挥一时陷入混乱状态。 “蠕虫”病毒以闪电般的速度迅速自行复制，大量繁殖，不到10小时就从美国东海岸横窜到西海岸，使众多的美国军用计算机网络深受其害，直接经济损失上亿美元。

病毒攻击成为严重的安全威胁 2001年7月以来，红色代码、蓝色代码、SirCam、Nimda、求职信等病毒不断出现，仅红色代码就造成全球26亿美元的损失 据CERT公布的数据: 2006年在网络上发生的黑客攻击事件是2000年的四倍

红色代码 2001年7月19日，全球的入侵检测系统(IDS)几乎同时报告遭到不名蠕虫攻击 在红色代码首次爆发的短短9小时内，以迅雷不及掩耳之势迅速感染了250,000台服务器 最初发现的红色代码蠕虫只是篡改英文站点主页，显示“Welcome to http://www.worm.com! Hacked by Chinese!” 随后的红色代码蠕虫便如同洪水般在互联网上泛滥，发动拒绝服务(DoS)攻击以及格式化目标系统硬盘，并会在每月20日～28日对白宫的WWW站点的IP地址发动DoS攻击，使白宫的WWW站点不得不全部更改自己的IP地址。

“红色代码”的蔓延速度

“红色代码”的蔓延速度

8小时之后

攻击手段越发“高超” 漏洞发布到攻击出现的时间越来越短 花样翻新，防不胜防 黑客：从单打独斗到“精诚”合作 攻击程序日益自动化、并辍手可得 Witty蠕虫事件 花样翻新，防不胜防 尼姆达蠕虫：通过email、共享网络资源、IIS服务器传播 变种速度令人惊叹 黑客：从单打独斗到“精诚”合作 Botnet 攻击程序日益自动化、并辍手可得

攻击范围和时间的变化 Minutes Days 1980s 1990s Today Future Weeks Seconds 快速变化的威胁 全面框架 区域网络 多个局域网 单个局域网 单个pc 目标和破坏的范围 1980s 1990s Today Future 第一代 Boot viruses Weeks 第二代 Macro viruses Denial of service Days 第三代 Distributed denial of service Blended threats Minutes 下一代 Flash threats Massive worm-driven DDoS Damaging payload worms Seconds 快速变化的威胁

攻击复杂度与攻击者的技术水平 工具 高 攻击者 低 1980 1985 1990 1995 2000 猜口令 自我复制程序 口令破解 攻击已知漏洞 破坏审计 后门程序 干扰通信 手动探测 窃听 数据包欺骗 图形化界面 自动扫描 拒绝服务 www攻击 工具 攻击者 攻击者的 知识水平 攻击的复杂度 隐秘且高级的扫描工具 偷窃信息 网管探测 分布式攻击工具 新型的跨主机工具

关于商业欺诈追踪与社会防范体系建立 第三方安全工具 ISP 供应商 网页Toolbar 欺诈追踪系统 非法网页 Email网关 网站 用户举报 反钓鱼组织 欺诈追踪系统 ISP 供应商 网站 法律部门 非法网页 监督核查 执法 关闭 取证 警告 报告新的URL 收集非法URL 警告或关闭 第三方安全工具

保护信息安全的技术和手段 建立防范意识. 统一的输入入口,并且对输入数据进行确认.避免javascript脚本注入. 合理使用SSL. CS和客户的举报和AVS邮件过滤可以帮助查找已经生成的phishing连接. 更多资料在http://pages.ebay.com/securitycenter/index.html 不断升级系统及重要信息备份恢复

Q & A