關鍵詞:暴風一号病毒物聯網信息安全
一、“暴風一号病毒”大家以為“暴風一号病毒”離自己很遠,但并非如此。有一次,筆者在複印店打印資料時通過U盤不小心感染了此病毒,做實驗時又發現了班級裡幾乎過半的U盤感染了此病毒。初期感染此病毒時,筆者并沒有着急通過360安全衛士等殺毒軟件對其進行查殺,認為不過是多了一個快捷方式而已,并未對U盤以及電腦裡的文件造成損害,也沒有受到勒索等。之後,筆者以物聯網信息安全技術這門課程為契機,對此病毒進行了更深入的調查,發現“暴風一号病毒”并不同于如今的主流病毒,不進行盜号、下載木馬等常見的病毒行為。
“暴風一号病毒”原名“Worm.Script.VBS.Autorun.be”,這是一個由VBS腳本編寫,采用加密和自變形手段,并且通過U盤傳播的惡意蠕蟲病毒。病毒行為有自變形、自複制、改注冊表、遍曆文件夾、關閉彈出光驅、鎖定計算機、進程異常等。從2009年開始,許多人的電腦和U盤都感染了此病毒,直到現在,這種病毒的各種變形病毒依然入侵着電腦。
瑞星反病毒工程師介紹其“六宗罪”:該病毒會自動進行變形、加密、解密,使得每次運行後,病毒文件内容徹底變化,以躲避殺毒軟件查殺;通過Autorun的方式,使用戶打開磁盤時自動運行病毒,并修改正常的系統文件;将病毒文件附加在正常系統文件中,修改注冊表,以實現自身隐藏;隐藏電腦中的所有文件夾,并生成一個快捷方式,當用戶打開時,會誤認為是正常的,但病毒已經在運行;每當系統日期中的月和日相等時(比如2月2日),光驅被病毒自動彈出;病毒會用下圖中的骷髅圖片鎖定電腦屏幕,使用戶無法操作。最後使得用戶感染病毒後電腦運行速度變得非常緩慢,無法正常操作。
也正是因為它的這些特性,讓這個病毒變得不那麼容易被殺毒軟件發現,而且這個病毒在潛伏期并不會對電腦産生任何危害,隻有在特定日期才會觸發其文件内部的某個指令,比如通過FunctionGetInfectedDate函數得到病毒惡作劇日期,檢測到到達設置的日期時病毒再發作。而且其特定的自動解密加密功能也讓破解這個病毒源碼更加麻煩,雖然隻是基于密碼學,将其解密後的文字改變字母大小寫和順序,但當數據量很大的時候,想要再次解密複原也是十分困難的。
總的來說,雖然這個病毒現階段對人們産生的危害無關痛癢,但它始終是作為一個漏洞在電腦上存在着,就像是場小感冒對未來可能被引發的肺炎和腦炎等更加嚴重,所以一定不能忽視它,要盡早對其進行查殺,以絕後患。
二、當代網絡安全現狀在科學技術發展迅速的今天,人們的生活越來越智能化,不斷向萬物互聯的目标邁進,但是越織越大的物聯網在給人們的生産生活帶來便利的同時,安全隐患也越來越多,成為物聯網産業發展的一個痛點。
《2017物聯網安全年報》顯示,目前具有安全風險的物聯網設備中,路由器和視頻監控設備暴露在互聯網上的數量最多。比如,國内暴露在互聯網上的路由器就超過1000萬台。這些暴露出來的設備一旦存在漏洞,就有被攻擊的風險。近年來,許多新型智能設備接入互聯網,但安全風險仍然集中在相對傳統、應用比較成熟的設備上,它們也是感染惡意代碼的主要物聯網設備,而且一些數量較少的物聯網設備也存在安全隐患。比如,商用車的遠程通信統一網關、網絡恒溫器等可能面臨遠程登錄無密碼保護、設備停産缺乏安全維護等風險。不單是硬件,物聯網一些常用的操作系統同樣存在不同程度的安全問題,很多物聯網設備通過雲端聯通,而長時間連接雲服務,安全隐患将會增加。正因為物聯網由多種設備組成,互聯互通的環境使得安全風險快速擴散和傳播,也就是說,即便是某個不起眼的物聯網設備存在安全隐患,也可能引發系統性的安全事件。
另外,物聯網和庫漏洞在2017年中逐漸增多。在2016年10月1日至2017年9月30日期間發現224個新漏洞,其中40個漏洞(17.86%)與産品中包含的第三方軟件庫有關,74個(33.04%)與物聯網設備有關。然而,盡管物聯網的漏洞日益增多,很多漏洞修複速度很慢,甚至完全沒有被修複。組織需要像對待其他計算設備那樣對待物聯網設備,确保它們的固件按時更新。盡管常見漏洞嚴重性較低,但風險依然較高,一旦不注意更新修複,也會成為攻擊者的攻擊途徑。
數據洩露帶來的損失已經不是一個假想的情況,而是能在企業的賬本上明确反映出來的情況——53%的攻擊會導緻超過50萬美元(約314萬人民币)的損失。然而,攻擊者隻需要找到一個弱點,進行單點突破,企業的防禦卻需要做到全方位的保護——從而對整個安全防禦帶來極大的挑戰。為了應對各種挑戰,安全人才逐漸成為了極大的需求,2017年,有27%的受訪者認為缺乏人才是一大障礙(2016年為25%,2015年為22%)。而缺乏人才帶來的問題之一,就是企業無法協調、理解并修複來自不同安全供應商的風險通告。
現在安全漏洞引發的惡意攻擊越來越多。老式的蠕蟲型惡意程序以及郵件攻擊依然是攻擊者的寵兒,甚至随着結合新的攻擊元素能夠進一步變化。而新式的攻擊則針對企業新開展的業務以及設備和服務展開攻擊。
而且國内當前不少物聯網設備生産廠商側重追求新功能,對安全重視不足。作為一種新技術,整個物聯網行業的标準以及政府對其相關管理也并不完善,物聯網基數大、擴散快、技術門檻低,已經成為互聯網必須重視的安全問題。
總體來說,對于攻擊者而言,對安全漏洞的利用無疑可以産生巨大收益,即使隻是想做惡作劇,也會使他們産生巨大的興趣進行鑽研和學習。然而對于防禦者而言,把盡量多的安全漏洞找出來,可能隻是做了無用功,或者說防禦的效益隻能在未來的發展曆程中不斷地顯示出它的巨大功效,這可能也是物聯網走到今天面臨巨大安全問題的原因。
三、信息安全需要源源不斷的新生力量
作為一名物聯網專業的大三學生,了解身邊同學以及其他學校類似專業朋友的日後發展方向後,筆者發現大多數學生都更想研究人工智能、軟件開發、網頁前端設計、VR等目前大熱的方向,很少有人想要選擇網絡信息安全作為研究生研究方向,即使是學習信息安全類的本科學生,也不想在研究生階段繼續進行深入學習,有的說密碼學令人頭疼,有人說網絡安全的研究很枯燥也比較困難,好像在大家看來研究信息安全是一件費力不讨好的事情。
近年來,為了應對安全問題,漏洞賞金計劃已成為許多公司的重要安全策略之一,在國内大部分SRC更是承擔了漏洞懸賞的職能。對于一家公司而言,網絡安全問題至關重要。但趨于某些條件的限制,往往會削弱其在安全方面的投入。因此漏洞賞金計劃的模式不僅為這些公司大大減輕了成本負擔,同時相較于公司自己聘請專門的安全負責人員也更具效率。2018年7月,微軟更是推出了其迄今為止最高的WindowsBug獎勵計劃——高達250000美元,具體獎金金額取決于安全漏洞的複雜性,以及報告者提交給微軟公司的信息數量。
物聯網作為一個現代社會的發展趨勢,未來發展隻能更加進步,當物聯網設備越來越多時,物聯網安全将會成為一個亟須解決的問題。現在美國黑客力量非常強大,所以我國需要加大力氣培養一批高水平的物聯網信息安全研究員,不能隻靠院士專家們,更需要源源不斷的新生力量進行補充,也讓相關安全的研究能在新舊觀念交替中不斷發展,努力追逐物聯網迅速發展的腳步。
四、小結
總體來說,物聯網極速發展的趨勢是不可阻擋的,相對地,發展越快也意味着容易産生越來越多的漏洞。從業者對于其發展切勿急功近利,一定要力争讓物聯網信息安全技術也大體能夠追逐上物聯網企業的發展步伐,不要讓功能大緻完善的物聯網設備着急投入到社會中被大批量使用,相關國際機構也應該盡快制定相關标準,政府相關部門也要加大管理力度,可以加大各高校對物聯網安全技術的大力宣傳及優待政策。
科技研究無疑是當代社會發展中最重要的研究,尤其涉及安全類的技術,必須要有國家自己的科研實力。現在已經不再是冷兵器時代,科技作為一個國家的最高戰鬥力,一個安全漏洞足以毀掉一個國家重要部門的信息系統,使其癱瘓并在短時間内無法使用,損失不是輕易能夠估量的。從業者一定要對巨大的安全問題有足夠的重視,居安思危,努力在網絡信息安全方面防患于未然。
(作者單位:中央民族大學信息工程學院)