CCERT2011年报：2011年用户隐私成黑客“香饽饽”

　　2011年教育网整体运行平稳，无全网范围的重大安全事件发生。随着用户安全意识和安全软件技能水平的提升，整个互联网的安全有了很大的改善，但是黑客们的攻击方式也在不断完善，整体安全形式依然不容乐观。2011年互联网网络与信息安全总体呈现以下特征：个人系统的安全防护能力得到较大提升；服务器的安全则由于各个信息系统应用层漏洞（如SQL注入、跨站漏洞等）的大量存在而导致问题重重；基础信息服务系统（如大型网站、邮件系统等）重新成为黑客重点攻击的目标，这些大型信息系统中所存储的用户隐私信息成为黑客垂涎的“香饽饽”；搜索引擎排名优化（SEO）及贩卖用户隐私成为黑客地下经济产业中的支柱产业。

　　教育网安全攻击态势分析

　　CCERT2011全年通过各种途径（如投诉邮件、投诉电话、监控系统等）收到各类安全投诉事件达5947件，通过对各类安全投诉事件的分析，我们总结出七个特征。

　　垃圾邮件投诉

　　垃圾邮件的投诉依然高居榜首，这说明发送垃圾邮件这种低成本的网络攻击手段依然是不法商人广告营销方式的首选。

　　端口扫描

　　从投诉事件中被扫描的端口来看，针对TCP22端口（SSH服务端口）进行扫描的次数最多，其次是TCP80端口（Web服务端口），这说明针对SSH服务的口令暴力破解攻击和通过Web服务端口进行的应用层攻击（如SQL注入等）受黑客的青睐。

　　网页挂马

　　随着服务器及用户端安全防护措施的增强，网站挂马的攻击成功率较以前大大降低。由于获取不到足够的利益，攻击者转变了攻击思路，很多被控服务器不再用来做挂马服务器，而是被用来做更赚钱的SEO（搜索引擎优化）工具。网页挂马攻击有针对性地在某些特定的页面（甚至是特定时段的特定页面）上挂马，以减少挂马页面被检出的几率。攻击者在多媒体音视频文件（如Flash、AVI、MP4等）中进行挂马。由于多媒体文件多数需要专业的解码软件，所以大多数自动检测系统及某些杀毒软件对这类被挂马的多媒体文件检出率并不高。

　　系统攻击

　　从事后对被入侵系统的分析发现，有高达70％以上的网站服务器因为Web应用层存在漏洞（SQL注入漏洞、上传文件限制不严格等）而被利用，而系统程序存在漏洞而导致的入侵比例大大降低。存在应用层漏洞的Web网站很多都是使用开源的内容管理系统搭建的，这些内容管理系统或多或少存在安全问题，网站的管理者也未在二次开发时修补。另外一些学校专有的Web在线应用系统（如论文在线提交系统、在线投稿系统等）存在的漏洞导致网站被入侵。

　　网络欺诈

　　教育网内出现的钓鱼网站主要都是仿冒国外的在线银行或者是在线购物支付系统，未发现直接仿冒国内银行网站的案例，这可能是为了有效规避法律制裁的一种表现。

　　DDoS攻击

　　DDoS攻击在教育网内时有发生，而且攻击流量的规模呈大型化的趋势（多数时候可达上G的攻击流量）。攻击方法依然以syn flood为主，有时也夹杂一些碎片攻击和CC攻击。在2011年处理的几起较大规模的DDoS攻击中，教育网内被攻击的服务器都不是攻击者原本要攻击的目标，而是被第一受攻击者进行恶意域名转嫁造成的。

　　病毒

　　随着国内国外各防病毒软件的免费化进程的推进，用户端安装正版的杀毒软件的比例大增，用户的整体感染率大大降低。为了应对反病毒软件的查杀，木马病毒采用更底层的自我保护机制，如2011年新发现的Mebromi木马病毒，用户一旦感染该病毒后无论是重装系统、格式化硬盘，甚至换掉硬盘都无法彻底清除，需要经过专业的人使用专业的工具才可能清除，对于这类病毒的最好的防范办法就是不给其感染的机会。在病毒传播方面，木马更多的是采用伪装进行传播，它们会把自己伪装成各种色情图片、游戏外挂程序、破解程序、热点视频文件等引诱用户下载运行，并且会在下载前以各种理由要求用户关闭杀毒软件再进行操作，有些用户出于好奇或者特殊的目地就会关闭杀毒软件并下载运行程序而被感染。

涉及应用程序的漏洞数量居首

　　2011年互联网上公开发布的信息安全漏洞数量达7000多个，较2010年有所减少，全年的漏洞呈以下特征：

　　1.在所有漏洞中，涉及各种应用程序的漏洞最多，占62.6%，涉及各类网站系统的漏洞位居第二，占22.7%，而涉及各种操作系统的漏洞排到第三位，占8.8%。（注：根据CNVD漏洞库数据统计结果获得）

　　2.应用程序漏洞中各类浏览器（IE、Firefox、Chrome、Safari）漏洞及可通过浏览器直接调用的应用程序（Adobe  Acrobat／Reader、Flash Player、Realplay、Media Player、Java解析器等）漏洞占了大多数。浏览器中Chrome浏览器修补的漏洞数量最多，其次是Firefox浏览器，而IE浏览器和Safari浏览器公布的漏洞数量较前两种开源浏览器的少很多。

　　3.继微软公司之后，Adobe公司、Apple公司、Google公司、Mozilla公司及Oracle公司也成为补丁发布的大户，这些公司几乎每月都会定期针对旗下产品发布安全公告和补丁程序。

　　4.一些使用面并不是特别广泛的专业应用软件（如工控系统、AutoCAD软件）的漏洞数量也有所增多，利用这些漏洞攻击者可以有针对性地攻击一些特殊的目标。

　　5.各类开源的网站内容构建及管理系统（CMS）的漏洞在2011年层出不穷且有快速增长的趋势。

　　6.移动通讯方面，Apple公司的IOS系统和Google公司的Android系统的漏洞数量大大增加，说明移动终端逐渐成为黑客的关注重点。

　　2012年安全趋于复杂

　　随着学校接入带宽及主干带宽的升级、下一代互联网的大规模应用、移动终端的应用等变化，2012年校园网安全趋势将变得更为复杂，管理员需要特别关注之处：

　　1.学校网站的安全形势不容乐观，2012年学校的网站依然是黑客攻击的重点，那些使用开源CMS系统架设的网站尤其要当心。SQL注入漏洞仍然或多或少地存在于各类网站中（尤其是二级院系的网站）。一些之前认为危害不大的漏洞（如跨站脚本攻击漏洞）或是不易利用的漏洞（如数据库爆库攻击）随着攻击技术的发展也可能会给系统带来巨大的危害。尽快全方位扫描自己辖区内所有网站的安全漏洞并及时修补，有条件的情况下可以使用专业的Web应用层防火墙对网站提供保护。

　　2.用户隐私信息正在成为黑客窃取的目标。学校的信息系统内保存着大量的学生隐私信息，这些信息可能成为黑客的攻击目标。不要想当然地认为这些信息系统使用的是自主开发的系统又是运行在专有网络或是内网里就万无一失，实际上专业的攻击往往都是从内部发起的。检查数据库中存储的用户敏感信息（如账号密码）是否进行加密存储，如果没有，请尽快加密。

　　3.移动终端给用户带来全新的网络体验，但是也给网络管理员带来更大的管理难度，日见增多的终端设备所使用的系统多种多样，而且多数都没有有效的安全防护措施，一旦有相应的病毒出现，可能给用户造成损失，也给网络带来冲击。学校要加大用户在这方面的安全意识宣传。

　　4.带宽的增长带来的不仅仅是网速的全面提升，它也可能给大规模拒绝服务攻击提供更多的恶意流量。

　　5.随着IPv6网络规模的扩大，针对IPv6网络的攻击也会逐渐出现，一些支持IPv6的安全设备应该提前准备妥当。

　　（作者单位为中国教育和科研计算机网应急响应组）