标签归档: 网络犯罪

超出是与非的范畴?

几天前,微软宣布对动态DNS服务商No-IP发动大规模突袭,扣押了其22个域名。微软发言人表示此举理由充分:No-IP寄生了各种令人讨厌的恶意软件;No-IP是网络犯罪分子滋生的“温床”;No-IP是有目标性攻击的“集火点”;以及No-IP从不接受与任何公司的合作,也不曾试图彻底清除所有“危害”。就像大多数冲突事件,双方不停地相互指责,试图证明‘自己才是受害者,对方的行为完全错误’。

尤其是,No-IP已表示自己才是无辜受害者,并非常乐意在清除网络攻击根源方面与其他公司合作。本次突袭造成No-IP客户的强烈抗议,而No-IP也认定这是一次非法的攻击,原因在于互联网上哪里都有恶意软件,通过联邦法官授权而单方面中断No-IP的服务并不合规。

因发现几个恶意软件而关闭服务是否合法?…事实上恶意软件哪里都有?…

与此同时,此次突袭而造成的影响波及甚广:超过400万家网站受到牵连,其中有恶意的,当然也有毫无危害的网站,同时还影响了180万名用户。微软试图将那些干净的网站筛选出来,并恢复这些网站使其重新运行;但许多用户依然抱怨受到持续不断的干扰

调查谁是谁非似乎有些吃力不讨好,且极其艰难。因此,我将这一艰巨任务留给了我们伟大的新闻记者们。这里,我只是想提供一些客观的事实:第一手材料和数据,希望你能够借此而得出自己的结论:微软的行为是否合法,是否合乎规矩?

1)关闭22个No-IP域名的确有效遏制了约25%卡巴斯基实验室持续跟踪的有目标性的攻击。这一数字代表了在过去3年数千个网络间谍和犯罪组织。其中约1/4至少有该主机的一个命令与控制中心(C&C)。像叙利亚电子军和Gaza Team这样的黑客组织只使用No-IP,而Turla组织的90%主机使用的是No-IP。

2)我们可以确信,所有大型供应商都是No-IP动态DNS最不愿意合作的对象。比如,他们曾忽略了我们所有关于僵尸网络“沉洞”的邮件。

3)我们对现有恶意软件的分析显示,No-IP常被cyberswine用为僵尸网络控制中心。通过Virustotal扫描引擎的一个简单搜索即可确认这一事实,因为冰冷的数字是不会说谎:450万个唯一恶意软件样本都由No-IP产生。

4)然而,来自我们安全云(KSN)最新的数据能更全面地说明情况。下表是对前10大动态DNS服务的检测结果:

Beyond

那么,No-IP并非是检测到数量最多的一家,但相比于大多数域名而言,这一比例依然很高。

里再多提供一些比较信息:在.com域名内恶意主机占到总数的0.03%;而.ru域名这一数字则为0.39%;但在No-IP内这一比例达到了惊人的27.5%!

上述的数据结果是否让你有了些不同的看法:一周内,我们在No-IP检测到了约30,000个恶意域名,在同一周内,.com检测到最恶意的域名数量为429,000-几乎比前者高了14倍。此外,还在.ru检测到了146,000个感染程度最高的域名,几乎是在No-IP检测到的10倍。而上述提到的前10大动态DNS服务商检测到的恶意域名总和也只有146,000。

总结…

一方面,关闭成千上万的普通用户所广泛使用的服务:不正确。另一方面,关闭滋生恶意软件的“温床”是:正确且高尚的。

扣押No-IP域名的是非对错,根本无从下定论。

但数学站在了支持“微软错误”的一边,证明如下:

从数量上看,相比关闭所有No-IP域名而言,关闭一些像 .com、.net甚至.ru等含恶意软件最多的流行域名似乎能够更有效地防止恶意软件散播。更简单地说,就算关闭所有动态DNS服务商,对整个互联网的“净化作用”效果甚微。

因此,这一事件的是非对错根本无从下定论。

这起事件根本无法用是非对错的标准来评判,因为它远超出黑与白、对与错甚至好与坏的范畴,正如尼采所说的-谁能分辨?

在思考所有这些时,另一个想法突然出现在脑海中…

这进一步证明了,只要侵权的数量或犯罪的程度超过某个临界值,权力集团将因此而介入并冷不防地关闭你的服务,而根本不管什么互联网自由或经商自由的理念。人类社会的生存法则也同样如此:如果有东西让人讨厌,迟早会被清理的。

已有不少服务商不幸被加入了阻止服务清单中:Napster、KaZaA、eMule(电驴)和海盗湾(Pirate Bay)等,现在No-IP也终于“光荣入册”。

谁将成为下一个?

//比特币?一切已经开始了

一周网络负面新闻:2014年6月30日

股票市场遭黑客入侵,造成系统延迟百万分之一秒。

网络欺诈几乎无处不在,甚至股票市场也难以幸免。我们先来了解一下相关的历史…

股票经纪人曾一度被认为是受人尊敬且体面的工作,但光鲜外表的里面则是满满的艰辛。股票和证券交易员过去工作的艰苦程度难以想象,长时间站立在拥挤的交易所楼梯上,日复一日地顶着巨大的压力,不断透支着自己的身体。他们的工作就是不断地买卖证券、股票、债券以及金融衍生工具(不管它们叫什么),他们需要乘着一波又一波的汇率和价格行情,在恰当的时刻进行交易。不断在高压和高强度下工作使得他们的身体日渐衰弱,直至引发严重的心脏病,或因为一次交易失误而导致疾病。在短暂的休市时间,终于得到了片刻的喘息,而唯一的想做的就是快点结束这一切。总之,股票经纪人并非是外人所想象的那样光鲜亮丽,离世界上最好的工作相去甚远。

不管怎么说,这都是旧年往事了。当初日复一日的体力劳动已被自动化操作所取代。现在,股票经纪人不用再绞尽脑汁并在高压下使出浑身解数了:他们的很一大部分工作由计算机来完成-专业的程序能够自动决定买进和卖出的最佳时刻。换句话说, 股票经纪人的职业很大程度上已经转变为对计算机的训练。而计算机的反应时间,哪怕只是百万分之一秒,都对能否利用市场的瞬间涨幅进行获利交易起了关键的作用。这意味,计算机的位置离交易所越近,在交易中占得先机的机会也越大。反之亦然,离交易所越远的计算机则只能屡屡错失良机。而对于那些没有使用最新渐进算法的计算机,结果应该可想而知。

这一关键的反应时间最近被不知名的网络攻击者所篡改。一家对冲基金的系统受到恶意软件的感染,使交易能力延迟了数百微妙,但就是这转瞬即逝的时间恰恰决定了交易的成功与否。

请浏览:一周网络负面新闻:2014年6月30日

10年前的今天,首个手机恶意软件诞生—时间分毫不差!

在2004年6月15日,准确地说是莫斯科时间晚上7点17分(正好在10年前),计算机安全领域开启了一个全新的时代。我们首次发现了针对智能手机而开发的恶意软件。

它就是Cabir,通过无安全保护的蓝牙连接传播,感染所有使用塞班系统的诺基亚设备。随着这一发现被公之于众,人们终于知道除了针对计算机而开发的恶意软件外(这一点众所周知,但对于为数极少的隐士和僧侣,我持保留意见),还有针对智能手机的恶意软件。是的,消息一经公布,众多用户对此半信半疑—“我的手机被病毒感染了?别开玩笑了。”大部分人一时半会根本无法接受这一事实(有些则根本茫然不知)。但很快,我们的分析师们就将Cabir问题解决了。为什么我们将首款恶意软件命名为Cabir?为什么我们要在莫斯科总部建立一间特殊的屏蔽安全房间?Cabir是如何被F-Secure的一名员工终结的?最近在公司内网的一次访谈中,这些问题被一股脑儿地抛给了卡巴斯基首席安全专家Aleks Gostev,我想在这里有必要与你们一起分享一下,因为想要从他嘴里打听点什么并非易事…

顺便说一下,就在我们想使用两台设备对恶意软件进行分析时,发生了意想不到的状况:

请浏览:10年前的今天,首个手机恶意软件诞生—时间分毫不差!

网络新闻报忧 - 2014年6月4日

我曾说过新开的“网络新闻报忧”系列将每周(差不多吧)连载,说到做到,本周是第二期……

今天,主要的主题是围绕关键基础设施;尤其是值得警惕的各种问题和危险。例如,生产设备和核装置、交通、电网以及其他工业控制系统(ICS)。

实际上,根据上周的内容,这些信息已经算不上什么新鲜“新闻”,只是有点新闻的意思罢了:幸好关键基础设施安全问题并不是每周都有,至少值得一提的几乎没有。但我们在此仍要讨论的原因是,很可能最大的问题仍未浮出水面(虽然可以理解,但同样让人忧心),或者只是没人意识到这些问题(黑客可能会悄悄行动 - 这更让人担心)。

下面给出的一些奇怪事实说明了关键基础设施安全问题目前的现状和趋势,并指出需要采取哪些行动来应对相应的威胁。

事实证明有充分的理由来关注关键基础设施安全问题……

工业控制系统一旦接入互联网,几乎100%会立刻被黑客入侵。

工业控制系统制造和安装工程师的座右铭是“确保稳定、持续运行,无需照管!”所以,控制系统中是否有漏洞会被黑客用来取得对系统的控制权,系统是否接入互联网,或者密码实际上是否为12345678(真的,不是开玩笑),工程师们统统不关心!他们只关心系统是否稳定、顺利地以同一温度运行。

别忘了,给系统打补丁或执行其他一些干预操作,都可能且确实会要求系统停止运行一段时间,而这是工业控制系统工程师极不情愿看到的事。是的,即便到今天,关键基础设施仍然是以这种方式运作的 - 非黑即白,没有中间的灰色地带。那么是否要像驼鸟一样,一头扎在沙堆里坐以待毙呢?

去年9月,我们设置了一个诱捕系统(honeypot),我们把此系统接入互联网,并假装是一套运行中的工业系统。结果如何?在一个月的时间里,它被入侵了422次,其中有几次黑客甚至取得了对内部可编程逻辑控制器(PLC)的控制权,最坏的情况甚至重新对PLC进行了编程(与震网(Stuxnet)蠕虫病毒一样)。我们的诱捕试验表明,工业控制系统一旦接入互联网,几乎100%会立刻被黑客入侵。被黑的工业控制系统会被操控用于干什么……没错,想想就让人恐惧,就像好莱坞动作片剧本中描写的情况一样。工业控制系统造型各异,规模不等。下面将举例说明:

核装置恶意软件

来源

在新的一年,我们发现了一种新的感染方法……日本Monju(文殊)核电厂控制中心的一台计算机跨入新年仅仅若干小时后,就被发现感染了某种恶意程序,该病毒被认为是工作人员更新一些免费软件时感染的。是的,我绝对没有开玩笑。

我花了些时间才消化了这一事实。

请浏览:网络新闻报忧 - 2014年6月4日

负面网络新闻 - 2014年5月16日

负面网络新闻 - 2014年5月16日

你们好,不法之徒!

距离我上次在博客中谈到网络蓄意犯罪主题,似乎已经过去很久了 - 哪些是热门的,哪些不是,哪些来了又去,等等……你甚至可能会认为我们对此无能为力,因为对于与公司主旨相关的主题我一直未多谈……那么让我再一次向你们保证,我们掌控着全局,在荆棘密布的网络丛林中奋力向前;只是我们是在专业技术新闻资源上发布所掌握的所有相关资讯。

但唯一的问题是,几乎没什么人真的会阅读这些内容!这也完全可以理解:细节内容枯燥乏味 - 对于非技术迷来说尤其如此。但这并不是不发布这些内容的原因,绝对不是。在本博客上,我并没有用过多的技术术语搞得读者一头雾水,而只是描述了全球发生的各种网络新闻中,最不可思议,最好玩、最有趣的点点滴滴。

那么,上周发生了哪些不可思议、妙趣横生、匪夷所思的新闻呢?……

与密码有关的新闻

一周时间内,没有需要向用户重要推荐的内容,这种情况是极为罕见的。一般总会有这家或那家大型网络服务公司受到黑客攻击,导致客户数据库可能被盗,从而敦促用户更改密码。我们的博客是每周发布一次,所以此类通报早就失去了让人惊爆眼球的能力,没人会因此感到震惊,媒体和用户本身也对此缺乏兴趣。但是上周这一警告不是来自别人,而是来自eBay,它可是拥有1.48亿个活动帐户的超大型网上零售机构。

密码问题一直是互联网使用群体最为头疼的一个难题。用户需要的密码数量多达数十个,如果每个帐户使用一个不同的密码,根本就无法记住。所以我们倾向于使用不安全密码(虽然现在至少有一些系统现在会在用户注册时指示密码强度,这是个好现象),而且所有帐户都使用同一个密码!这样一来,一旦被黑客入侵,就得更改20个、30个、40个或者更多不同网站上的密码。准确地说,用户应该进行更改。当然,实际上并非所有人都会抽时间来把密码更改一遍;这就造成了互联网上的安全性级别缓慢而又稳步地下降。

对此有一个简单的解决方案:使用密码管理器。密码管理器会向用户建议真正的高强度密码,而且用户不必亲自记住,密码管理器会自动在站点上为您输入密码。对了,我们也有这种很酷的服务。

今天你打算去哪儿?

下面的内容实际上与恶意软件和黑客犯罪分子毫不相干,我甚至都不想对此多说什么 - 我只给出几点提示。

美国加州批准了一项法令,允许无人驾驶汽车在公路上行驶。虽然此法令相当严苛,并且目前仅适用于制造商的测试车辆,但很清楚的一点是,无人驾驶汽车上路行驶很快会变成现实,而不再停留在科幻小说中。嗯……对此我只有一个问题:这些机器人汽车使用的是什么软件,这种软件是怎样连到控制中心的?

公共事业部门和孩子一样……

……上网时间过长

啊,让我们从头说吧……:SCADA和关键基础架构!每次我看到有关这种网络前端的任何报道,我的脑中就满是大难临头的想法,大脑会自动“指挥”我掩面无语。上周有新闻爆出美国一个公共事业部门(水利?电力?机场?)被黑客入侵,但未透露该部门具体名称,只知道是一家大型机构。是谁干的,为什么这样干,实际发生的情况这些统统都不清楚,但就入侵方式给出了合理的细节信息。

来源

请浏览:负面网络新闻 - 2014年5月16日