从最基本的层面来看,网站的结构与一台普通计算机差不多,我们几乎可以把它理解成一台普通终端用户使用的工作站;反过来,管理者与大多数访问者一样也算是终端用户。正是由于结构过于简单,因此大量合法网站被恶意JavaScript重新定向链接所侵扰并感染的状况也就不那么令人意外了。
但Web服务器的安全问题并不完全源自网站管理者的设备受到恶意人士的入侵。事实上,大多数情况下攻击者都会发现网站中固有的弱点或者漏洞,他们能够以此为跳板绕过管理员认证并将自己编写的恶意脚本插入到站点当中。
常见的网站漏洞数不胜数,其中威胁最大的包括密码内容过于简单、跨站点脚本漏洞、SQL注入式漏洞、软件安全缺陷以及高危权限机制等等。有兴趣的朋友不妨访问《开放式Web应用程序安全项目十大排行》一文,相信通过阅读大家会理解Web服务器为何面临如此严峻的安全形势。()
有时候Web服务器或者应用程序本身并没有受到篡改,真正被感染的其实是某些链接或者广告。常常访问门户网站的朋友肯定对或悬停、或飘动、或渐入、或淡出的广告板块非常熟悉,这是大多数广告公司最有力的宣传阵地,但同时也是恶意人士搞破坏的好载体。最夸张的是,很多时候这帮攻击者直接从Web服务器处购买了广告位并放置恶意链接还有王法吗?还有法律吗?
由于许多背地里作恶的家伙都拥有合法的企业外壳、光鲜亮丽的公司总部、名头唬人的名片以及看似正常的付费账户,因此广告厂商往往很难通过表面现象判断这位跑来积极要求开展业务合作的人究竟是真的想宣传合法产品、还是打算在自己的广告位里埋下可能感染千万用户的恶意炸弹。历史上最夸张的这类事件要数某一次针对漫画的恶意攻击,犯罪分子将木马植入报纸上的漫画专栏中,这样所有转载该漫画的站点都在无意中沦为散播恶意软件的帮凶。这实在是防不胜防连上网看图都不安全了。
惨遭侵入的网站还会带来另一大问题,那就是某家网站的主机往往也在同时托管其它站点,特殊情况下甚至会在同一台设备上存在成百上千个网站。在这种情况下,一次黑客攻击将迅速影响大量站点。
无论网站到底如何被攻陷,无辜的用户都在扮演受害者的角色。他们可能多年来一直访问某些特定站点,而突然有天网站跳出对话框,提示他们安装某款小程序。虽然这种状态确实很突兀,但大多数访问者都会对自己了解及信任的网站充满信心,进而选择运行。在那之后,一切就都完了。又一台终端用户的计算机(或者移动设备)加入进来,成为庞大僵尸网络体系中的新组成部分。
安全威胁第九位:网络战某些极度排外的民族主义国家会把网络战作为捍卫自身主权的一种手段,这种级别的技术对抗就不是大多数设备管理系统安全专家所熟悉或者能够应付得来的了。这些秘密工作拥有复杂的架构、清晰而专业的网络斗争意图,并以此为基础准确监测并把握对手的行动。听起来似乎与日常或民用级恶意活动差不多,但Stuxnet及Duqu事件告诉我们,这类行为的后果之严重绝对超出我们的预期。
没能受到应有惩罚的罪行某些受害者永远无法从攻击者带来的创伤中走出来。他们的信用记录被黑客盖上欺诈交易的烙印并因而一生与恶劣的名声相伴、某些受害者则被恶意人士冒名顶替骗取了朋友及家人的财物与信任,更有很多知识产权惨遭盗窃的受害者不得不付出数百万美元以恢复并预防此类活动。
但以上情况还不是最糟糕的。现实告诉我们,几乎没有哪一位攻击者由于这些罪名而被成功起诉。职业罪犯之所以喜欢选择互联网作为活动区域,是因为目前司法机构在处理与网络相关的犯罪活动时仍显得软弱无力。在默认情况下,恶意人士的身份完全未知,整个攻击活动以毫秒为单位且很难准确追踪。现在,我们正生活在与淘金热时的西部一样狂野的互联网时代。当然,相信随着技术的日渐成熟,将互联网作为犯罪分子避风港的想法将逐渐被击垮。不过在此之前,我们仍然要把命运牢牢把握在自己手中,而设备管理系统安全专家也必须肩负起这份重要的历史使命。
本文来自互联网,仅供参考
信息发布:广州名易软件有限公司 http://www.myidp.net