正如我记得的那样,1988年11月2日,在戈达德太空飞行中心开始作为平凡的一天,我正在进行数据通信分支。到了一天结束......嗯,实际上,那天从未结束过。我们只是继续战斗,让我们的服务器和网络恢复生机。我们与互联网连接的Sunos和Vax / BSD系统已经放慢停止。
我们还不知道它,但我们正在战斗第一个网络传播恶意软件计划:罗伯特莫里斯互联网蠕虫。我们的“天”24小时,我们收到了由此开发的修复加州大学伯克利,我们回来了。
事实证明,莫里斯蠕虫不是故意的攻击。它是一个自我复制的程序,具有一个错误,导致它以如此之快地重现它,使其降低了(那么小的)互联网。这是几乎20年前的,最终它来到罗伯特莫里斯·杰尔来说,他不打算造成浩劫。他只是试图获得多少系统附在网上的硬电话。
相比之下,今天的恶意软件会导致较少的公开,但更加刻意的伤害。大多数21世纪的饼干没有制作恶意软件,以展示他们的技能或残骸系统,以便史尔的纯粹恶意。他们正在制作生恶意软件,在您的系统中隐藏,以便他们可以使用您的个人信息和PC资源来赚钱。欢迎来到资本主义的时代。
作为回应,安全供应商提出了反恶意软件程序,我们被锁定到了饼干和维护者之间的看似无穷无尽的战斗,以便我们的网络,我们的计算机和个人信息的安全。目前,看起来很糟糕的家伙正在获胜。以前比以往更多的恶意软件。
在这个角落,挑战者......
也许“恶意软件”不是正确的词。从历史上看,病毒,蠕虫等是击中和运行的攻击者 - 进入,ZAP一些文件,然后在捕获和清理后尝试跳到另一台PC。现代入侵程序旨在卷曲并在您的系统中卷入家中,但它们不在那里摧毁您的计算机或您的文件。他们不是作为iloveyou的着名电脑病毒的方式恶意,2000年在Windows系统上销毁了未销毁了无数的文件。
不,他们在那里等待机会抢夺一个重要的密码或信用卡号码,将您的护理送入2 A.M.垃圾发电机,并伤害您的用户和数据,而不是您的计算机。你甚至可能甚至没有主要目标。其中一个令人不安的谣言,尽管是一个难以证明的谣言,但是一些恶意软件可能不会代表代表或有组织的网络犯罪机组人员,而是由恐怖分子或政府机构代理。例如,波罗的海乡村爱沙尼亚的网站是通过去年被认为是一群俄罗斯黑客的俄罗斯黑客的大规模DDOS(分布式拒绝服务)袭击。
不是,介意你,那种病毒如梅丽莎, 我爱你和萨塞尔没有造成巨大的伤害;他们做到了。但用户可以通过采取相对较少,相对简单的预防措施来避免感染,例如永远不会通过电子邮件向他们发送的可执行附件。或者他们可以不使用Outlook - 系统漏洞练习安全计算声称是电子邮件客户端。但是,如果您使用了最新的病毒检测程序并练习安全电子邮件,您将安全的机会。
那些威胁仍然存在。我自己仔细倾向于av设置仍然看到明信片.exe.exe.,在2005年出生的某个时候,每周大约两三次。旧式特洛伊木马像明信片这样的事实仍然存在只是表明傻瓜真的是每分钟出生。每次通常嫌疑人都会在捎带当天新闻的电子邮件留言中发出毒性附件意味着您现在可以在现在任何一天都有一些“额外”的奥运会主题垃圾邮件。用户仍将单击任何漂浮的闪亮对象。以及近期“偷窥”努力通过发送目标电子邮件来捕获C级Exec的机器的非凡成功声称包括一个传票表明愚蠢的点击沿着公司食物链。
但是,真正的问题是,所有容易的人类方式都可以发现像这样的麻烦制造者风暴攻击不要针对21世纪的恶意软件工作。当您访问已破解的网站时,最终幻灯片,而不是大型和铜管,而不是大型和铜管,而是在一封电子邮件附件或可移动媒体上幻灯片幻灯片,而现在包含XSS(跨站点脚本)漏洞或XSS(跨站点脚本)un社交网页具有隐藏CSRF(跨站点请求伪造)攻击的访客添加链接。您单击似乎是链接的内容(您甚至可能会看到您所期望的页面)并且在此期间,您的PC正在下载最新的攻击代码(并且可能在其上挖掘存储的cookie)。
还有一件事:Macintosh的蓬勃发展人气不仅限于好家伙。最近成功在Cansecwest PWN 2自己的竞争中瞄准Mac的黑客,其中在防御之前突破了MacBook Air上的安全性Windows Vista.机器也在比赛中,表明,即使在平台上常见的平台也没有安全,Windows用户已经面对的问题。接下来?大多数观察家都预测,目标是瞄准移动用户的恶意软件中已久的繁荣在临近。
......在这个角落,国防队
根据赛门铁克,近三分之二的威胁被发现了2007年。毫无疑问,2008年将更加抵达。到2009年,亚太地区贾里海宁副总裁F-Secure Corp.,预测“病毒和特洛伊木马的总数[马]将通过100万令。威胁,但要战斗威胁,看起来完全独特。
它曾经是所有需要做的防病毒程序是检测病毒的简单签名 - 从错误的可执行代码派生的唯一数字序列 - 以识别入侵者并将其爆炸到王国。那是。这是现在。今天的任何自尊恶意软件程序都是多态的。这是一种奇特的方式,说它每当另一副本都会保持变化的方式,这与抗病毒程序看起来并不完全相同。这些程序越来越多地使用服务器侧多态性,这意味着感染到达您的机器预突变,因此您的防病毒软件包甚至无法发现可疑的到达,因为它涉及突变引擎的代码。
另一个常见的恶意软件诀窍是使用包装程序程序简单地伪装Bug Du Jour。像封箱一样,就像你可能会保持压缩和解压缩文件的zip实用程序一样,将非外文程序挤压为无法识别的格式。然后,当时间是正确的时,这可能是在它到达后的一些随机时间的时候,臭虫拆开它的行李并开始发出一团糟。其他伪装技术会导致加密,并且对于基于脚本的攻击,混淆尝试。
反恶意软件在所有各种多态性,包装,加密,混淆的“荣耀”中,反恶意软件继续提出旧恶意软件程序的签名。正如您可能猜到的那样,这并不容易。AntiVirus公司现在运行Labs 24/7,为安全计划生成最新签名。
一种更现代化和有效的解决恶意软件的方法是看起来不是节目的样子,但是在他们能够做的事情上。这种技术称为启发式。术语本身是从希腊语中获取“拇指的规则”,并且在人类大脑中进行的实践,是创造力加上常识的组合。在安全软件“大脑”中,它需要应用行为规则而不是简单的模式匹配。
例如,您的反恶意软件扫描仪可能会发现一个奇怪的是,新的程序似乎可以在不需要任何用户命令的情况下打开Outlook和Gmail地址簿。“嗯,”扫描仪对自己说:“这看起来不太好。”当然,这是对的。
另一种方法是简单地给出可疑程序一些虚拟化空间,系统的其余部分受到保护。这被称为沙箱 - 进行业务,看看会发生什么。如果它试图在您的财务档案上跳舞粉红剧,我们知道这是一个糟糕的东西。一些计划提供沙箱;其他人需要管理员设置。
Zeroes和英雄
您可能已经注意到所有这些反恶意软件技术的东西:他们都是反应性的。这不好。但随着事情的立场,工程师对工程师的反应有问题;只有这样,他们才能释放一个程序更新来关心最新问题。零天(a.k.a.0days)是一个现在熟悉的安全漏洞的速记,但不存在补丁。看到恶意软件围栏两侧的零天漏洞意味着提供了每个人的内容的感觉。
恶意软件作家可能会在受妥协软件的制造商知道有问题之前的几天或几周内的零日发现的消息。在一些情况下,没有能够引起大型软件供应商的研究人员与他们的信息一起公开,要么证明他们有知识或将制造商羞辱,以做正确的事情并修补。
但即使它不再是零日,游戏也没有结束。例如,Vista中的零天安全问题是固定的同一天,恶意软件制造商开始工作,就像Beavers上的速度,以改造他们的恶意软件以使用“固定”安全问题。
你说的是什么?当洞被修补时,为什么他们会这样做?他们这样做是因为在运行Windows的Gazillion Systems,他们知道他们越早在那里得到了恢复活力的垃圾程序,仍然在剩下的“漏洞窗口中它仍然找到了更多的弱势系统。
这发生在某种程度上,因为专有的操作系统和程序依赖于默默无闻的错误概念:如果没有人知道有一个洞,那么逻辑就可以了,那么没有人可以利用它。这是工作的,只要没有人知道洞就在那里。但如果有人确实了解漏洞 - 由于恶意软件派系中的出色通信,就始终是案例,因此始终是这种情况,因为恶意软件派系之间的出色通信 - 那么根本没有安全。该臭虫肉欲在2006年的大部分时间和2007年的新闻中,其中安全研究人员宣布他们每天都会在一定的时间内每天揭示特定软件或操作系统的错误,这是基于那些羞辱制造商的想法逐个默默无闻的思维。根据逻辑,如果研究人员每天每天/月每天都指向不同的漏洞,那么公司将被迫解决安全意识的系统问题。
当然,您的第一道防线就是尽快更新您的软件,并及时了解那里发生的事情。如果您是网络或系统管理员,您需要关注零日跟踪新闻网站,如Secunia的产品清单。如果您看到在此列表中列出的孔中列出的产品,则知道程序或操作系统具有已知的安全问题。希望,该计划的供应商或白帽黑客或研究人员将在Baddie利用问题之前进行修复。与此同时,这些跟踪器将为您提供从新易受攻击的软件中关注无法解释的行为所需的信息。通常但并不总是意味着软件供应商一旦成为人类可能的补丁,而且偶尔将第三方甚至首次发现问题的研究人员会更快地准备好补丁。
安装第三方补丁与让零日翻盖的危险是一种风险宽容问题,即大多数IT专业人员将在其职业生涯中至少面对一次;唉,没有一个尺寸适合 - 所有答案。如果您无所畏惧地逍遥法外,无论如何都是零天攻击,有办法至少检测和限制这些攻击的损害。
在这里,我们远离以PC为中心的保护来监控您的网络。如果您的公司没有网络审计和网络入侵防御工具,则需要它们。游戏的名称是寻找意外的网络流量和网络扫描活动。例如,当他的机器上没有别的东西时,joe-in-counting的工作站就没有理由应该试图到达SMTP服务器,因为他没有生病。