《安全月刊》第十七期

　出刊：2005年11月22日 

南京优创科技有限公司
客户服务中心

服务电话：025-84808848

服务邮箱：service@ultratech.com.cn
　

警惕计算机病毒从破坏转向“趋利”的新趋势

在18日举行的第八届国际反病毒大会上了解到，从原来破坏、毁灭等炫耀技术转变为趋利为主的犯罪行为，正在成为目前计算机病毒的发展趋势之一。
    公安部公共信息网络安全监察局副处长许剑卓指出，5年前，中国大部分黑客做攻击只是出于乐趣，今天很多人进行黑客攻击的目的是为了非法获益。他们分别通过盗窃银行帐户、偷窃文件和网上电话等方式获利，无线上网和固定接线上网的数量同时上升。2004年有3个大学生想在网上进行帐户盗窃。在一个月的时间里，他们就获得了50万元的非法收入。
    安全专家认为，早期黑客发布病毒的目的在于在黑客世界扬名，现在，他们的动机已经转向利用更有针对性的恶意软件获取经济利益。自MSBlast蠕虫在2003年爆发后，能够引起媒体广泛关注的病毒数量减少了。现在的趋势是，试图控制许多计算机发动攻击和利用钓鱼式攻击获得用户机密资料的黑客越来越多了。
    据国家计算机网络应急技术处理协调中心工程师崔翔介绍，中心以前接到的举报都是关于传播病毒、删除计算机文件、覆盖硬盘等以破坏性为主的病毒如CH、杀手13、尼姆达、求职信、蠕虫、大无极等。但从近两年来单一以破坏为目的病毒出现的几率较以前下降，但以趋利为目的的病毒有上升的趋势。
    例如，破坏性极大且极具威胁力的“僵尸网络”集合了多种病毒在内，伺机对计算机用户发起攻击，谋取利益。目前在国际上以3000台为一组的“僵尸网络”每天的出租价格是用美元来结算的，且价格不菲。
    专家表示，最近发生的涉及大量信用卡数据被窃的计算机安全事故显示出网络犯罪日渐猖狂，他们的非法获得超出了预期的想象。安全专家称，网络罪犯们逐渐将重点放在了攻击那些有可能获利的目标上，他们并没有掀起大规模的网络病毒攻击的浪潮，但每次只攻击一到两个公司，但是相应的报酬却可能是巨大的，因此需要引起有关部门和单位极大的重视，积极根据新情况调整防御系统，以降低风险。

                                                                                        <<<< 回到本期导读

东软被授予 “行业内最具成长力的自主品牌企业”称号

    11月6日北京讯 ：令人瞩目的“2005中国自主创新·品牌高层论坛”昨天闭幕。在闭幕式上，论坛主办方《经济日报》社和国家统计局首次对全国60家优秀企业授予了“中国制造·行业内最具成长力的自主品牌企业”奖牌。东软作为软件行业的杰出代表企业之一，榜上有名，东软也是国内软件行业中唯一一家能获得这项殊荣的企业。

　　提高自主创新能力，加快自主品牌建设是东软能从一家学校的实验室发展成为一家高科技企业的两个关键因素。在东软14年的创业过程中，东软每迈开一步，都是对过去传统的思维和模式的突破；每一次跨越，都需要从战略到执行进行全方位的变革。

　　东软认为，首先创新要基于企业的定位与战略，企业定位不清楚，战略不明晰，无从谈创新；其次，创新不单纯是技术上的创新，它是基于全方位的，包括模式的创新，流程的创新，管理的创新等等；第三，创新一定要与打造自主品牌结合起来，才能形成一个国家和地区的竞争力。

　　在东软十多年的发展历程中，东软率先在高校中提出了“架设软件研究与应用的桥梁”的口号，率先建立了产学研一体化发展模式，为东软完成原始的积累打下坚实的基础；之后，东软对未来的主营业务进行定位与调整，将东软从软件产品供应商调整为解决方案的提供者，围绕软件技术这个核心，依靠公司在软件方面的核心能力，东软先后向医疗系统和IT教育与培训两个领域进行渗透和投资，形成了东软今天的发展格局。东软始终认为，文化是企业创新的源泉，文化也是企业品牌的灵魂，因此构造以人为本的企业文化是东软长期以来的一项发展战略。

　　2005年，东软发布了公司面向未来的新的品牌理念——（Beyond Technology）超越技术，公布了东软未来国际化的发展战略，同时更新了企业的标识，使得公司的标志更加国际化。东软人希望通过自身不断的创新与超越，使得中国软件的品牌有望早日屹立在世界软件强国之林。

                                                                                             <<<< 回到本期导读

本周病毒预警

近期流行病毒的特点是通过电子邮件传播的蠕虫病毒，国家计算机病毒应急处理中心提醒广大用户，升级杀毒软件，开启“实时监控”和“邮件监控”功能，同时关注病毒最新动态，了解流行病毒的基本特征，对邮件一定要谨慎处理，即使是熟识地址发送的邮件也不要随意打开，抵御病毒邮件的入侵，防止病毒造成的破坏。在遭受感染后，立即采取有效措施，断开网络，进行病毒的清除。最大程度降低病毒感染后形成的破坏。
     另外，微软已经在上周公布了的一个很重要的系统漏洞补丁，用户不可以忽视它，大家要根据自己的系统情况尽快地下载安装这个补丁程序，防止类似的利用系统漏洞进行恶意攻击现象的发生。
    总体来看，这几周的时间里病毒的发作情况一直都很稳定，危害性比较大的传播范围广的病毒没有出现，困挠计算机用户的依旧是比较流行的病毒和其变种，只要计算机用户将自己的病毒软件做好及时地升级，打开“实时监控”功能，就能有效地保护好自己的计算机系统免遭这些流行病毒的入侵破坏。
    专家提醒：
    1、因为很多病毒是利用已知的漏洞和缺陷进行传播的，所以用户一定要定期升级操作系统和常用软件，并及时修补漏洞，堵住病毒入口。
    2、对系统和重要数据做好备份，而且在本机备份外，最好同时做异地备份，如备份在其它机器、光盘或移动硬盘上，确保备份的安全性。
    3、各企事业单位要建立健全企业内部信息安全管理制度，建立病毒事件出现后的应急机制和处置方案，确保本单位在病毒事件发生时能作好及时有效的处理工作。

                                                                                             <<<< 回到本期导读

网络安全知识：关于增强活动目录安全性的五个步骤   

步骤4： 监视并审核您的AD

　　因为AD包含许多组件，所以确定何时有人对系统进行破坏比较困难。目前您仅能够遵循上述提到的最佳做法，但是您如何知道有人正在偷偷溜进您的系统呢?答案是监视和审核。
    您至少需要监视DC的可用性(availability)。您也许已经在进行主机可用性的监视了，并用它来确保AD基础设施的可用性。但是从安全的角度而言，知道DC何时非正常停机更为重要，这样您就可以立即对原因进行相应的分析。也许远程站点的一台DC被盗或某个黑客取得了物理访问权并且正在关闭机器以便安装一个木马程序!
    除了监视DC的可用性，您还可以使用性能监视器对许多AD的度量(measure)进行监视，这些度量包括轻量目录访问协议(Lightweight Directory Access Protocol，以下简称LDAP)查询的次数和复制数据的数量等内容。您可以为每个感兴趣的计数器设定一个阀值，然后对它们进行监视。如果您注意到，例如每秒钟LDAP查询请求次数或身份验证请求次数在一段时间内明显上升，这也许就是某种攻击的一个提示信息。为了获取更广泛的监视(甚至是警告)信息，您可以使用Microsoft Operation Manager这类工具。
    Windows操作系统和AD提供的审核功能允许您将某些事件记录到安全事件日志中。您可以记录从操作系统配置更新到AD内部修改等任何事件。但是在启用审核时您需要谨慎考虑。如果审核的对象过多，那么安全日志中将会充斥过多的信息以至于很难找到您所需要的内容。     
                                                                                （未完待续）
                                                                                         <<<< 回到本期导读

如何运用东软IDS入侵检测系统， 发现内网BT下载？

接着上期月刊所述“如何应用东软防火墙禁止BT下载”的内容，这一期我接着和大家一起来探讨一下如何运用东软IDS系统来实时了解内网用户使用BT的情况(如下载的源IP、目的IP地址，使用的相关端口及过去某时间段BT协议的统计分析等等)。  
    由上期已经介绍过BT的相关知识及对内网正常运行造成的影响，这期就不再赘述了。
    在开始设置之前，我们再花一点时间来分析一下实现的原理：
    这类功能的扩展，都依赖于东软IDS强大的自定义功能。借助IDS丰富的实时报警模块及形象报表输入模块，可以很简单的实现对新应用的监控和扩充。(其实除去本文所讲的BT下载的检测外，东软IDS的强大的自定义功能可以根据用户的具体网络应用自定义出相应的规则，再依托东软IDS的灵活强大的实时报警及报表功能就可以定制出适合用户实际使用尾部的入侵检测及管理系统)
    通过上期介绍和平时的使用，我们可以了解到BT软件的下载端口可以任意在BT客户端中进行更改，这点区别于以前我们常用的FTP或是HTTP类下载大多常用固定的常见端口。如何了解内网现在谁在使用BT？使用的是哪些端口？通过对内网BT下载抓包可以看到，BT软件在协议包头都使用固定的格式，通过对包头的分析，就可以判断出是否存在BT下载行为。
    1、事件定义，主要是自定义检测BT下载的事件，并在当前使用策略中应用该事件。在登录到IDS的安全管理器，进行操作前请先确认自己当前的操作机是否是主控状态(具体设置可参考说明书第二章2-22相关说明)。打开菜单系统维护à事件定义

IP选项：源IP这里设置为内网的网段，方向选择的是由192开头的源地址往任何IP的目的地址

协议  ：设置为TCP协议

源端口：设置为1024-65535，默认设置为0-65535

关键字选项：也是判断当前数据包是否为BT协议的关键，这里我们通过抓包分析将关键字设为“BitTorrent protocol”。搜索范围为“0-20”

2、应用事件，保存完上面设置事件后，我们还需要在当前使用的策略中应用该事件。打开菜单系统维护à策略设
置，选择编辑，在自定义事件中选上刚刚新定义的事件即可。

实时报警系统检测结果：

IDS报表：

 

                  工程师信箱：service@ultratech.com.cn   欢迎大家与我一起交流技术方面的问题。
                                                                                             <<<< 回到本期导读

即便是防范最严密的企业网络，也会因为员工无意间的泄露机密而功亏一篑。
    究竟哪个部分才是网络中最薄弱的一环？Internet防火墙、防病毒软件、远程控制的PC、还是移动办公用的笔记本电脑？大多数的安全专家都同意这样一种观点：狡猾的电脑黑客往往可以通过向特定的用户提几个简单的问题就能入侵几乎所有的网络。
    他们不仅会使用各种技术手段，还会利用社交工程学的概念来进行欺诈，通俗一点来说，他们会利用人类与生俱来的信任并帮助他人的愿望以及对未知事物的好奇心，他们利用这些弱点骗取用户名和口令，使得那些采用各种先进技术的安全防护措施形同虚设。
    实际上，电脑黑客无需与任何人交谈就能获得大量的信息，他们只要访问你所在公司的Web网站，就能知道公司的各个领导职位、财务信息、组织结构图以及员工的e-mail地址和电话号码。另外，他们还会从公司扔掉的旧文件中筛选出很多有价值的东西，比如组织结构图、市场计划、备忘录、人力资源手册、财务报表、公司规章制度和流程说明等等。黑客们会利用这些信息来获取该公司员工的信任，比如伪装成员工、客户给该公司的雇员打电话或者发邮件，一步一步获得对方的信任，最终通过他们进入公司的网络。
    从公司员工那里获取信息的技术包括以下几类：
◆ 用一大堆难以理解的信息或各种奇怪的问题来搞乱某个员工的思路，让你无法摸清他到底想干什么。
◆ 黑客们还会故意给你设置一些技术故障，然后再帮你解决它以博得你的信任。这种方法被称为反向社交工程学。
◆ 用带有强烈感情色彩的语气甚至是恐吓的口气命令你服从他的指示。
◆ 如果发现你有抵触情绪，他会适当放弃几个小的要求。这样一来你就觉得你也应当满足他的要求以作为回报。
◆ 不断与你分享信息和技术而不要求任何回报（至少开始时是这样的），而当黑客们向你提出一些要求的时候，你会觉得必须告诉他们。
◆ 假装与你拥有同样的爱好和兴趣，借机混入你所在的兴趣小组；
◆ 谎称你可以帮助某个同事完成一项重要的任务；
◆ 与你建立一种看上去十分友好而且毫无利益纠葛的关系，然后一点一点从你口中套出公司的常用术语、关键雇员的姓名、服务器以及应用程序类型。
    你还需要注意，有很大比例的安全问题是出在那些心怀不满的雇员或者非雇员（比如公司的客户或合作伙伴）身上，他们往往会泄露不该泄露的信息。人们总是容易忽略来自内部的危险。
    当然，社交工程学并不仅仅局限于骗取公司的保密资料。黑客们也常常利用这种技术从个人用户那里骗取可用来进行网上购物的信用卡号、用户名和密码。他们常用的伎俩是通过e-mail和伪造的Web网站让用户相信他们正在访问一个著名的大公司的网站。
    如果你仍然对社交工程学的作用心存疑问，至少也应该提高警惕、小心防范。Kevin Mitnick是20世纪最臭名昭著的黑客之一，他曾经多次向媒体表示，他攻破网络更多地是利用人的弱点而不是依靠技术。
                                                                                         （转自中国安全信息网）
                       谭博士信箱：txy@ultratech.com.cn    欢迎大家与我共同探讨安全问题
                                                                                             <<<< 回到本期导读