咨询热线:400-000-3720 中文 | English
文档加密软件之窃密时代的数据防泄密 发布时间:2012/9/8

震网(stuxnet)、毒区(duqu)和火焰(flame)这三个病毒,揭示了网络攻防中一些新的特点:进入窃密时代、由大规模攻击变成潜伏渗透、由散漫的个人行为变成军事化管理。在这种新形势下,数据防泄密更难做好,却也更加重要。

有几个病毒,让全世界都感到震惊,它们分别是:

2010年6月被捕获的震网病毒(stuxnet);
2011年9月被捕获的毒区病毒(duqu);
2012年5月被捕获的火焰病毒(flame);

它们在军队、政府和信息安全界引起了轩然大波,为什么它们能有这么大的威力呢,让我们一点点剥开神秘的面纱吧。

一、三个病毒的各种八卦

关于这三个病毒,我们搜集分析出了许多与之相关的信息,其中有些相当有趣,比如:

震网病毒:

* stuxnet 早在伊朗布什尔核电站被发现,甚至影响到了核电站部份离心机的运转,这是被发现的第一只针对工业控制系统进行攻击与渗透的病毒;
* stuxnet利用了微软的4个漏洞——其中有三个0day未公开漏洞,并且利用了西门子SIMATIC WinCC(一款数据采集与监视控制(SCADA)系统,被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域,特别是国家基础设施工程;它运行于Windows平台,常被部署在与外界隔离的专用局域网中)的两个漏洞进行攻击;
* 2011年11月伊朗导弹测试时突发爆炸,据以色列媒体报导,伊朗导弹专家操纵电脑模拟程序时,导弹收到电脑指令后突然爆炸。伊朗情报人员怀疑导弹电* * 脑控制系统遭Stuxnet感染,自动下令导致;
* stuxnet盗用了RealTek与JMicron两家公司的数字签名使程序“合法化”;

毒区病毒:

* duqu病毒不搞破坏,而是广泛搜集用户的密码、截取用户屏幕、盗取用户文档(尤其是图纸);
* duqu病毒盗用了著名音频设备制造商C-Media的数字签名;

火焰病毒:

* 2012年被发现的flame病毒,其实早在2007年就开始活动,搜集了五年的情报才被发现;
* flame用上了几十种不同的加密算法、3种不同的压缩技术、至少5种不同的文件格式(包括其专有的格式)、病毒文件达到20MB之巨、代码打印出来的纸张长度能达到2400米;
* 2010年,就已经有杀毒软件收集到flame的样本了,但是各种杀毒引擎都“误以为”它是合法的企业级软件——因为它使用了数字签名、故意不加壳、采用各种企业软件常用的技术——这是典型的“灯下黑”;
* flame利用微软的漏洞,盗用了微软的数字签名;
* flame主要在伊朗、黎巴嫩、叙利亚、苏丹和一些中东国家传播,其中伊朗是“重灾区”;
* 安全专家认为,从分析结果看,flame是由情报人员先写了详细需求分析,然后交由黑客开发的;

二、背后的国家力量

2012年6月1日,美国纽约时报的一篇重磅报道,揭开了可怕的现实——从白宫可靠消息渠道得到的信息:

stuxnet病毒是由美国和以色列联合开发部署的,目标是通过向工业控制系统发送特定指令改变转速破坏伊朗铀浓缩离心机;

首先是小布什总统授权批准了该计划,奥巴马上台后,继续了这项名为Olympic Games的计划,当stuxnet被公众发现时,拜登副总统却推托说,“他们(以色列)走得太远了”。

专家对stuxnet和duqu、flame做了代码同源性分析,认为这三个病毒是同一作者(同一开发团队)开发的可能性非常高——既然stuxnet被确认是美国的“国家行为”,那这三只“兄弟”病毒,就都找到了主人。

对这三个病毒以及它们带来的影响,还有如下观点:

* 部份安全界人士、媒体认为:对这些病毒,美国公司(包括Symantec、McAfee等)表现“冷淡”与“不作为”,其中可能有国家力量干预,而非美国公司(比如卡巴斯基)表现更积极主动,;
* 信息安全圈的人士评价:如果2010年是网络战争元年——开始露出了网络战的苗头,那么2012年,大家开始动真格的了;
* 很多人认为,目前流行的杀毒软件面对stuxnet、duqu、flame攻击时往往无力防御,甚至无法发现——因为,给普通用户使用的消费级产品,是无法抵御背后有着国家力量的信息战武器的;
* 在今天都被杀毒厂商、安全专家们认为“可怕到极点”的flame, 早的活动迹象可以追溯到2007年,那么,这五年来,美国又在研究什么?他们已经做了什么?现在,是不是还有更多幽灵般的代码,在网络间游走?

三、数据防泄密面临的挑战

通过对这三个病毒的分析,我们发现,至少它们在窃密方面的一些共同点:

* 慢速攻击与传播:攻击越快,越容易被发现。这些病毒就象谍战片中的间谍一下,深深地潜伏起来,然后在适当的机会一击必杀;
* 自毁:在程序传播到“不重要”的机器上时,或者完成任务后,或者接收到“自杀”的指令后,程序能够启动自毁功能,这也减小了暴露的机率;
* 隐蔽:能够绕过100多种世界知名的安全软件
* 关注特定文件:对用户桌面的文件、包含特殊关键字的文件(没错,它们能解析OFFICE和PDF等文档的内容并且进行全文检索)、二维或三维图纸、包含关键字的目录等都极其关注,会“采样”上传,然后根据指令判断下一步怎么做;
* 利用可信进程:利用漏洞注入到可信进程(比如IE)中,再使用该可信进程读取与传输文件;
* 传输加密:利用SSL、HTTPS等技术,对数据的传输进行加密——这时基于网络的各种DLP设备就成了“睁眼瞎”;
* 截屏:在监测到特定窗口标题时,会触发截屏操作——这些截图往往对进一步分析与渗透有着关键作用;
* 录音:能够录下电脑周围的声音,或录下用户的语音通话;
* 移动设备渗透:会寻找周边带蓝牙的移动设备,并尽可能读取其中的通讯录、短信等信息。

这一切,对现有的防护机制而言,都是巨大的挑战——闭上眼睛想象一下:如果现在——对,就是现在!在我们的网络中,有一只这样潜藏着的病毒,我们怎样才能将它揪出来?

四、数据防泄密更需要运营

在互联网行业,我们经常听到“运营”这个词,它通常表达的含义是:小步快跑、持续改进。
安腾软件www.iten.com.cn)认为,数据反泄密,更是一个需要运营的领域。

安腾软件www.iten.com.cn)提供的文档加密软件图纸加密软件等反泄密产品中,包括了文档加密、移动介质管理、文档权限管理、外发文控制、存储备份、审计等系统,可以通过加密方式,使文件存储时便是密文,即使外泄也不会泄密,形成了完善的计算机反泄密解决系统。

在当前反泄密面临的新挑战下,安腾软件www.iten.com.cn)认为:

1. 信息反泄密,除了选正确的产品,还要选择具备能力的服务商;
2. 信息反泄密产品,除了提供基本的加密、审计功能之外,还需要具备一定的整合能力,可以根据用户的环境需求进行必要的定制;
3. 信息防泄密的服务团队,必须具备丰富的攻防实践经验和归纳总结能力,能够根据用户网络中的日志进行深度挖掘,提炼出相应的报警逻辑与打击策略,并通过合理的视力呈现给用户。

开发领先科技,为保护客户的利益而不断创新。安腾软件www.iten.com.cn)愿意与您一起跟踪、分析、解决纷烦复杂的信息泄密问题。

通过上述有关企业信息安全和数据安全等加密相同资讯的介绍,大家对于这此有一定的了解和认识,安腾加密软件希望您在日后的工作中,如有文件加密软件、文档加密软件、图纸加密软件、文件加密、数据加密、文档安全分发、数据安全、文件防泄密、信息反泄密、数据安全等需求,欢迎随时访问安腾加密软件的官网:http://www.iten.com.cn 或拨打热线:400-000-3720 联系我们。