公共互聯(lián)網(wǎng)的新威脅及應(yīng)急響應(yīng)

公共互聯(lián)網(wǎng)的新威脅與應(yīng)急響應(yīng)2006年3月9日CNCERT/CC運(yùn)行一部副主任陳明奇博士內(nèi)容一、互聯(lián)網(wǎng)的新威脅-網(wǎng)絡(luò)仿冒/欺詐僵尸網(wǎng)絡(luò)垃圾信息二、應(yīng)急響應(yīng) －CNCERT/CC的應(yīng)急響應(yīng)三、對應(yīng)急體系的思考背景網(wǎng)絡(luò)安全的傳統(tǒng)三大威脅(除黑客攻擊外)：

病毒/木馬/蠕蟲（Virus/Trojan/Worm）拒絕服務(wù)攻擊（DoS/DDoS）垃圾郵件（Spam）黑客——?jiǎng)訖C(jī)的改變：以經(jīng)濟(jì)利益為驅(qū)動(dòng)，不再追求轟動(dòng)性效果帶來的名聲和炫耀技巧

———組織的改變：由單打獨(dú)斗轉(zhuǎn)向有組織的活動(dòng)主要的新威脅：網(wǎng)絡(luò)欺詐—釣魚陷井，防不勝防間諜軟件—明修棧道，暗渡陳倉垃圾信息—指哪發(fā)哪，帶寬垃圾僵尸網(wǎng)絡(luò)—黑色軍團(tuán)，一呼百應(yīng)新威脅？主要的新威脅：仿冒欺詐—釣魚陷井，防不勝防間諜軟件—明修棧道，暗渡陳倉垃圾信息—指哪發(fā)哪，帶寬垃圾僵尸網(wǎng)絡(luò)—黑色軍團(tuán)，一呼百應(yīng)網(wǎng)絡(luò)仿冒----以假亂真，鈔票失蹤特點(diǎn):國際上增長最快的安全事件之一我國的主機(jī)被大量利用進(jìn)行此類活動(dòng)我國的網(wǎng)上銀行也開始逐漸受到此類活動(dòng)的攻擊最主要危害：用戶或者企業(yè)經(jīng)濟(jì)利益受損值得關(guān)注的動(dòng)向：技術(shù)手段日漸多樣化國際情況

APWG數(shù)據(jù)國內(nèi)情況

CNCERT/CC接到的仿冒報(bào)告

網(wǎng)絡(luò)仿冒456件(完成處理145件)：受害公司（國外大公司，國內(nèi)個(gè)別銀行和電子商務(wù)網(wǎng)站）網(wǎng)絡(luò)詐騙突出特點(diǎn)：從盜取用戶個(gè)人信息升級到直接詐騙用戶錢財(cái)。利用即時(shí)通訊系統(tǒng)或者具有即時(shí)通信功能的在線游戲等系統(tǒng)，發(fā)送有關(guān)活動(dòng)的信息，并留下假網(wǎng)址，誘使用戶訪問這些假網(wǎng)站。往往假冒知名企業(yè)而且冒用互聯(lián)網(wǎng)公證處的名義，來騙取網(wǎng)民的信任。被假冒名單(部分)：KUGOO平臺浩方網(wǎng)絡(luò)對戰(zhàn)平臺勁樂團(tuán)、勁舞團(tuán)中國游戲中心QQ游戲網(wǎng)絡(luò)對戰(zhàn)平臺易趣網(wǎng)上購物社區(qū)淘寶網(wǎng)上購物社區(qū)聯(lián)眾網(wǎng)絡(luò)游戲社區(qū)新浪iGame游戲社區(qū)遠(yuǎn)航社區(qū)網(wǎng)易泡泡POCO龍網(wǎng)游戲頻第九城市《魔獸世界》上游棋牌游戲平臺垃圾信息6-7月互聯(lián)網(wǎng)上UDP1026和1027端口UDP協(xié)議流量占總流量的比率達(dá)11.49％。原因： 專門發(fā)送“垃圾信息”的程序，利用Messager信使服務(wù)，在接收者屏幕彈出廣告垃圾信息。某骨干網(wǎng)運(yùn)營商根據(jù)CNCERT/CC的建議采取了相應(yīng)措施后，節(jié)約3G左右?guī)挕＝┦W(wǎng)絡(luò)現(xiàn)實(shí)威脅（已經(jīng)看到的實(shí)例）：利用蠕蟲傳播造成網(wǎng)絡(luò)擁塞甚至癱瘓DDoS用于敲詐，嚴(yán)重干擾經(jīng)濟(jì)垃圾郵件治理的障礙（涉及多方面安全問題）失泄密(企業(yè)/個(gè)人的敏感信息)Identitytheft潛在威脅（可預(yù)見到的威脅）：被政治動(dòng)機(jī)利用的話，可以有效癱瘓重點(diǎn)系統(tǒng)被敵對集團(tuán)利用可以用來攻擊網(wǎng)絡(luò)的核心節(jié)點(diǎn)導(dǎo)致全網(wǎng)癱瘓嚴(yán)重的竊密威脅僵尸網(wǎng)絡(luò)在我國的情況在1月－12月期間，共發(fā)現(xiàn)同時(shí)在線的節(jié)點(diǎn)數(shù)大于5000的僵尸網(wǎng)絡(luò)有143個(gè)，其中最大的Diablo僵尸網(wǎng)絡(luò)最多時(shí)有157142個(gè)客戶端。這些僵尸網(wǎng)絡(luò)不斷掃描擴(kuò)張、更新版本、下載間諜軟件和木馬、發(fā)動(dòng)各種形式的拒絕服務(wù)攻擊。黑客在網(wǎng)上叫賣僵尸肉雞如何應(yīng)對這些新威脅？誰有責(zé)任：個(gè)人企業(yè)政府運(yùn)營商(ISP)安全廠商(供應(yīng)商)如何負(fù)責(zé)任？建立專業(yè)化的應(yīng)急隊(duì)伍和公共應(yīng)急體系信息化時(shí)代的公共基礎(chǔ)設(shè)施之一應(yīng)急響應(yīng)的實(shí)質(zhì)應(yīng)急響應(yīng)工作是安全保障集中體現(xiàn)技術(shù)、規(guī)范、工具、人員、體系完整的PDRR過程（準(zhǔn)備、發(fā)現(xiàn)、響應(yīng)恢復(fù)，實(shí)現(xiàn)有計(jì)劃的安全防護(hù)動(dòng)態(tài)適應(yīng)目的： 安全代價(jià)最小化：Money/Time/Face完整的應(yīng)急響應(yīng)工作是安全保障的關(guān)鍵RtPtCNCERT/CC的應(yīng)急響應(yīng)我們的工作：

---迎接挑戰(zhàn)，成為網(wǎng)絡(luò)安全保障的國家隊(duì)五大法寶：技術(shù)平臺－安全保障的基本武器，事件處理的基礎(chǔ)設(shè)施；專業(yè)組織與合作體系－技術(shù)上的協(xié)調(diào)與支持，更早地獲得預(yù)警信息流程與規(guī)范：讓應(yīng)急處理‘運(yùn)轉(zhuǎn)’起來基礎(chǔ)與核心資源：厚積薄發(fā)的彈藥庫研究型的開放工作隊(duì)伍：以人為本國家

網(wǎng)絡(luò)安全

技術(shù)平臺（917平臺）快速及時(shí)全面準(zhǔn)確國家

應(yīng)急響應(yīng)

組織體系國家

網(wǎng)絡(luò)安全

數(shù)據(jù)資源綜合利用及時(shí)發(fā)現(xiàn)重大情況及時(shí)采取有效措施目標(biāo)全面掌握重大安全

事件的真實(shí)情況；及時(shí)發(fā)現(xiàn)，快速響

應(yīng)，確?；A(chǔ)網(wǎng)絡(luò)

安全；積累豐富的寶貴資

源，支持戰(zhàn)略研究配合打擊網(wǎng)絡(luò)犯罪

和其他不法活動(dòng)CNCERT/CC的應(yīng)急響應(yīng)從點(diǎn)狀到樹狀到網(wǎng)狀，提供更快速的

覆蓋全國的應(yīng)急支撐體系互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急處理預(yù)案及時(shí)預(yù)警——網(wǎng)絡(luò)監(jiān)測，通報(bào)機(jī)制協(xié)作配合——統(tǒng)一領(lǐng)導(dǎo)，分工負(fù)責(zé)及時(shí)預(yù)警——網(wǎng)絡(luò)監(jiān)測，通報(bào)機(jī)制快速處理——迅即響應(yīng),有效處置及時(shí)預(yù)警——網(wǎng)絡(luò)監(jiān)測，通報(bào)機(jī)制協(xié)作配合——統(tǒng)一領(lǐng)導(dǎo)，分工負(fù)責(zé)確保恢復(fù)——起死回生,系統(tǒng)備份及時(shí)預(yù)警——網(wǎng)絡(luò)監(jiān)測，通報(bào)機(jī)制協(xié)作配合——統(tǒng)一領(lǐng)導(dǎo)，分工負(fù)責(zé)快速處理——迅即響應(yīng),有效處置互聯(lián)網(wǎng)目的建立健全互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急處理工作機(jī)制，提高互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急處理能力和水平，保障互聯(lián)網(wǎng)網(wǎng)絡(luò)安全。三、對應(yīng)急體系和應(yīng)急響應(yīng)的思考

如何應(yīng)對這些新威脅？網(wǎng)絡(luò)仿冒—網(wǎng)絡(luò)欺詐－需要用戶、企業(yè)、安全公司、應(yīng)急組織、政府部門各方的努力和合作間諜軟件—VENDER(MS,AVcompany)垃圾信息—尚未形成大規(guī)模效應(yīng)，應(yīng)急組織+運(yùn)營商僵尸網(wǎng)絡(luò)—助紂為孽，有效的應(yīng)對機(jī)制，尚待形成需要用戶、企業(yè)、安全公司、應(yīng)急組織、政府部門科研部門各方共同合作有效的合作是唯一出路技術(shù)上的合作：信息、技術(shù)、資源的共享，使自己能夠得到及時(shí)的支持互聯(lián)網(wǎng)行業(yè)的合作：構(gòu)建應(yīng)急處理體系，對重大威脅的安全事件能夠互相配合處置,是公共互聯(lián)網(wǎng)應(yīng)急體系的基石跨行業(yè)的合作：互聯(lián)網(wǎng)是一個(gè)虛擬社會(huì)，和現(xiàn)實(shí)社會(huì)的各個(gè)領(lǐng)域都有映射關(guān)系。要想維護(hù)一個(gè)安全的互聯(lián)網(wǎng)環(huán)境，同樣需要現(xiàn)實(shí)社會(huì)的多部門合作 －信產(chǎn)部CNCERT/CC:事件處置－公安部強(qiáng)力執(zhí)法:打擊犯罪

-幫助企業(yè)和機(jī)構(gòu)解決安全問題國際合作:國際化的問題要國際化解決只有建立有效的多邊合作，才可能真正有效地應(yīng)對各類安全事件合作模式思考政府部門主導(dǎo)的專項(xiàng)行動(dòng)：行業(yè)以確保安全生產(chǎn)為目標(biāo)；司法部門以打擊違法犯罪為目標(biāo)， －例如，短信欺詐網(wǎng)站備案登記。建議：應(yīng)急組織和執(zhí)法部門的合作模式，一直是一個(gè)重要的交流話題

針對特定威脅形成的跨行業(yè)合作，例如AntiPhishing:金融、商業(yè)、應(yīng)急組織等。各個(gè)部門預(yù)案的銜接與定期演練－媒體管理

謝謝!CMQ@CERT.ORG.CNCNCERT/CC：WEBSITE:WWW.CERT.ORG.CNTEL:82990999(國內(nèi)) +86-10-82991000（國際）EMAIL:cncert@前三名美國：34.67%.韓國：9.83%,中國：8.98%網(wǎng)絡(luò)仿冒事件報(bào)告者（前十個(gè)報(bào)告數(shù)量最多的組織機(jī)構(gòu)）數(shù)量eBay207MarkMornitor（美國安全公司）43Brandimension（加拿大安全公司）22BFKCERT（德國CERT）17VeriSign

17AUSCERT（澳大利亞CERT）15Interidentitiy（美國安全公司）14MasterCard（萬事達(dá)卡）13HSBC（匯豐銀行）10RoyalBankofScotland（蘇格蘭皇家銀行）10KrCERT（韓國CERT）7Citigroup（花旗銀行）6一、擒賊先擒王——模擬控制者，對僵尸網(wǎng)絡(luò)進(jìn)行完全控制

最終解決辦法：直接找到控制服務(wù)器，需要授權(quán)或用戶配合：方法1：發(fā)送更新命令(吃毒丸)；方法2：發(fā)送自刪除命令(集體自殺)；條件：掌