關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保關於塑造我們今天世界的發現和想法的具有影響力的故事的未來。
網路攻擊可能不是一種新現象,但最近針對包括 花旗集團、谷歌、RSA 以及諸如 洛克希德·馬丁 等政府承包商在內的高調目標的成功案例,凸顯了當前目標未能阻止網際網路帶來的安全威脅。惡意駭客利用與線上銀行、娛樂和無數其他通訊服務相同的技術來攻擊這些應用程式,竊取使用者資料,然後掩蓋自己的蹤跡。
攻擊者為逃避檢測而採用的一種常見做法是闖入安全措施薄弱的計算機,並將這些被劫持的系統用作代理,透過這些代理他們可以在全球範圍內發起和路由攻擊。儘管此類攻擊是一個國際性問題,但缺乏國際響應,這讓尋求與這些 代理伺服器 通常所在的國家合作的當地執法部門感到沮喪。
地址未知
似乎每天都有關於一些新的網路攻擊的訊息。“我們看到關於侵入性攻擊的報告越來越頻繁,”萊斯大學詹姆斯·A·貝克三世公共政策研究所的資訊科技政策研究員、美國國務院前外交官 克里斯·布朗克 說。
在尋找這些攻擊的來源時,最難的問題是歸因。透過網際網路傳送的每個資料包都包含有關其來源和目的地的資訊。“攻擊者可以更改[欺騙]源欄位,使其看起來像是來自它實際上不是的地方,”網路安全諮詢公司 Cyber Defense Agency 的總裁兼國防高階研究計劃局 (DARPA) 前資訊保障專案經理 薩米·賽賈裡 說。
伊利諾伊大學厄巴納-香檳分校資訊信任研究所主任 大衛·尼科爾 說:“如果你的網路受到攻擊,並且你試圖找出是誰在做這件事,純粹的技術手段是不夠的。” “直到最近,我們組裝複雜的計算機網路的方式都沒有考慮到安全性,只是粗略地考慮了一下,這是根本問題。”
例如,尼科爾指出,他使用虛擬專用網路連線到代理伺服器,然後再連線到網際網路。這使他能夠加密他透過網路傳送的資料並保護他自己的網際網路協議 (IP) 地址的身份。“我這樣做是為了阻止商業網站通常進行的資訊收集,”他補充說。“我沒有什麼要隱藏的,但這並不意味著我希望關於我的資訊被收集和出售。”
不幸的是,這種策略也被用於惡意目的。網路攻擊者使用病毒、蠕蟲和其他惡意軟體來控制網際網路伺服器甚至是個人計算機,建立一個由他們控制的“殭屍”計算機(也稱為殭屍網路)網路,他們可以使用這些網路來發起攻擊。因此,攻擊可能看起來來自特定的伺服器或計算機,但這並不意味著攻擊起源於該裝置,尼科爾說,並補充說,攻擊中經常會使用位於不同國家的一系列代理,“大大複雜化了試圖將所有事情拼湊在一起的法律程式。”
魚叉式網路釣魚
建立殭屍的主要方法之一是讓計算機使用者在不知不覺中開啟包含惡意軟體的電子郵件和網頁,從而感染他們的計算機。“如果你看看 RSA 被滲透的方式,它並不是非常複雜,遠不及 震網,這可能是我們最近記憶中最複雜的攻擊,”喬治梅森大學安全資訊系統中心的研究教授兼首席科學家 阿努普·高希 說。“大多數此類攻擊都是使用傳統的漏洞執行的。不同之處在於他們正在以新的方式使用這些漏洞。”
高希說,在 RSA 的案例中,駭客使用了“魚叉式網路釣魚”電子郵件來欺騙公司內部的某個人,他也是網路安全技術製造商 Invincea, Inc. 的創始人兼執行長。這封違規電子郵件據稱是一份關於員工招聘問題的文件,已被公司的垃圾郵件過濾器捕獲。該員工打開了這封電子郵件,認為它被過濾器錯誤地隔離了。該電子郵件實際上包含一個 Excel 文件,一旦開啟,就會在該員工的計算機上安裝惡意軟體,並從那裡傳播到公司內的其他計算機。“這臺機器不是目標,它是灘頭陣地,”高希說。
更糟糕的是,RSA 執行長 Art Coviello 本週早些時候證實,3 月份從 RSA 獲取的資訊已被用作試圖對洛克希德·馬丁進行更廣泛攻擊的一個要素。
可能的防禦
有大量軟體和服務可用於嘗試阻止網路攻擊。許多方法都涉及掃描傳入資料中可能存在的惡意軟體和篩選包含病毒或包含可疑訊息的垃圾郵件。
賽賈裡說,除了擁有更好的網路入侵檢測系統外,“我們需要一個不同國家之間合作的入侵檢測和回溯系統”。“這並不能解決問題,但它可以縮小問題的範圍。現在,你可以將流量追溯到特定國家,但很難了解資料包最初來自該國的哪個地方。”
網路防禦的另一個重要組成部分是提高計算機本身的安全性。這意味著作業系統具有較少的漏洞 - 微軟每月為 Windows 釋出數十個安全補丁,這比幾年前有所改進。“這將減少殭屍的數量,並增加對手控制計算機並從一臺計算機跳到另一臺計算機的難度,”賽賈裡說。
然而,也許最有效的防禦是計算機使用者表現出一些網路常識。“你永遠不知道攻擊者會採取什麼策略,尤其是在魚叉式網路釣魚方面,”高希說。因此,很難阻止人們上當受騙點選垃圾郵件,以為這是來自他們的銀行、送貨服務或他們認為可以信任的某人的訊息,從而冒著感染計算機病毒的風險。“你可以訓練,訓練,再訓練使用者,但你不會達到零百分比,”他補充說。