访谈:钓鱼网站成中国网络安全头号威胁
王姗姗、张真真为纽约时报中文网撰稿 2014年12月05日
Wang Zhao/Agence France-Presse — Getty Images
两名男子在北京一家咖啡馆用笔记本电脑上网。
互联网每天都在为用户提供越来越多更便捷和智能的服务,而用户使用互联网时的安全感,似乎并没有获得同倍增长。从全球范围来看,不但病毒攻击由来已久、难以根除,近年来网络诈骗等行为比比皆是,更呈现出从个人电脑向智能手机蔓延的趋势。
有研究报告和专业分析人士指出,中国已经成为网络犯罪的高发地,造成了高昂的代价。中国迅速成长的新用户群体缺乏安全保护意识,监管者和企业重视增长而忽略防范使得网络上的不法分子有机可乘。
在这样的大背境下,中国的企业和个人用户所面临的网络安全问题究竟有何特殊性?日新月异的网络技术正在触发哪些新的网络安全隐患?企业和个人应该建立怎样的自我保护意识?哪一类型的安全产品在以何种方式为中国的互联网用户提供了使用安全感?
纽约时报中文网近期专访了奇虎360公司资深研究员裴智勇博士。奇虎360是专门从事网络安全软件开发的知名中国本土企业。裴智勇博士列举了中国网络安全存在的主要问题,并分享了中国本地软件企业在与各类网络安全危机"斗智斗勇"的过程中所积累的技术经验。
裴智勇强调说,对于大多数普通中国网民来说,网络安全方面目前危害最大的,已经不再是那些重于炫技的黑客,而是大量技术并不先进但诱骗能力十足的钓鱼网站。为了防范它们的威胁,安全产品不能只局限于琢磨攻击的代码这种传统的鉴别危险的方式,而是要涉及"行为分析"的领域。换言之,需要研究关于"人"的问题,这远比研究代码更复杂和感性。以下是经过编辑的访谈实录,并经裴智勇本人审阅。
纽约时报中文网:有研究报告说,仅2013年一年网络犯罪给中国造成的经济损失就高达370亿美元。中国网络安全现状究竟怎样?和十年前相比,有什么变化吗?
裴智勇:十年前,对用户威胁最大的,是各种恶意程序。而根据微软2013年的一份报告显示,中国是全球个人电脑恶意程序感染率最低的国家之一。中国的平均感染率是千分之0.7,世界平均水平是千分之6。
这里说的恶意程序,或者称恶意软件,最主流的是由网络黑客制造的木马和病毒。木马的危害,一般是攻击和盗窃,而病毒一般来说有一定的破坏性。比如一个程序不断跳广告,它好像也没有对电脑造成损害,我们比较宽泛的地把它叫做恶意程序。
纽约时报中文网:在你看来,中国恶意程序感染率变低的原因是什么?
裴智勇:一个最主要的原因是中国主流的安全软件产品,由于从2007年开始纷纷推行免费政策,所以在很短的时间内,迅速提高了普及率。根据艾瑞数据显示,目前中国PC电脑的安全软件的安装普及率已经超过99%。
过去,用户电脑"中毒",主要源于微软操作系统存在的漏洞。微软的补丁服务器都在美国,下载非常慢。一台电脑感染,就会扫描周围所有的电脑并自动地发动攻击,造成集体中毒。
现在,这些免费的安全软件,为中国的PC用户提供了一种第三方打补丁的技术。安全软件会自动提示用户"有新的补丁更新",帮助用户自动在后台完成"打补丁"的工作。如果你的补丁都打完了,病毒就不容易对你的电脑实施自动攻击。所以,2007年开始,利用系统漏洞实现的大范围的攻击基本上就杜绝了。
纽约时报中文网:如果补丁全部都打完的话,这台电脑就彻底安全了吗?现阶段对中国网民最大的安全威胁是什么?
裴智勇:事实上,目前在民用领域,真正有效的攻击,已经不是大范围的木马,而是定向诈骗。比如,有一些涉及色情视频或网上购物的软件或网站,会提示说跟你的杀毒软件不兼容,请求你关闭安全软件。就是这么一种简单的方式,据我们统计,至少有超过30%的人真的会关闭安全软件。95%的受感染用户都不是被木马病毒攻击的,而是被钓鱼网站欺骗的。今年,平均每天我们360安全软件会发现8030个钓鱼网站。去年的数字是6000多个。
所谓钓鱼网站,简单来说,就是网页上的信息是假的,骗人的。制造一个钓鱼网站,比黑客发起的攻击,技术难度要低得多。但是从安全防护的角度来说,对安全软件提出的挑战则更大。
钓鱼网站往往是从内容上欺骗用户。最常见的钓鱼网站,首先集中在虚假购物,其次是模仿登陆,比如模拟一个QQ登陆的界面。此外,还有网络理财、赌博网站(涉嫌欺诈),以及付费色情视频网站。
纽约时报中文网:这样听起来,似乎现在一谈到"网络安全",已经是"黑客不可怕,而骗子更可怕?"那么,安全软件会怎样帮助用户防骗?
裴智勇:虽然骗子的技术水平没有黑客高,但是骗子成功率更高。针对钓鱼网站,我们会寻找其特征:比如服务器在哪?网站在中国是否有备案?是不是有支付功能?网站是否模仿了某些知名的网站等。另外,很多钓鱼网站也有相似或相同的模版,识别这些模版,也能检测出很多钓鱼网站。
然后,我们会关注用户的"行为特征",比如,你在一个没有备案的网站上浏览,可能我不会给你任何风险提示,但当你要在这个网站上进行支付时,我们就会提醒,这个网站没有备案,这这个网站上支付是有风险的。
纽约时报中文网:在中国,企业级用户目前面临的主要网络安全威胁是什么?
裴智勇:现在很多员工都会用自己的手机、笔记本,甚至是各种智能硬件,在办公网络环境进行联网操作。也就是说,未来会有越来越多的非企业设备接连企业网络,传统的企业的网络边界已经不存在了。
此外,现在很多公共区域的免费Wi-Fi网络,也存在安全陷阱,一旦有员工在这种网络环境下,用手机登陆内网,就可能造成信息泄密。
对于企业而言,最严重的,还是一些定向的高级持续性攻击(APT)。言下之意,我想入侵你这个企业,我对你们进行持续性攻击,用各种手段持续尝试攻击。 我们说,这是一种想像力的战争。比如我们360公司自己的内网,每天都会遭遇到几万次外界攻击。
对于这种入侵,我们一方面要快速反应。另外我们做一个企业级的"沙箱"(sandbox):我们会先在"沙箱"运行一下未知的程序, 判断它是不是有安全问题。第三就是用大数据的方法——对所有数据的海量收集和分析,然后对"异常"发出预警。
纽约时报中文网:现在的网络安全防护技术,较之十年前,有哪些重大的技术升级?
裴智勇:传统的安全软件,我们更多地会叫它为"杀毒软件"——重杀毒,轻防护。每次杀毒之前,需要用户下载更新一个不断增长的本地病毒库。但是随着互联网的普及,木马的数量开始呈指数型增长,现在我们每天截获的木马有数百万个。传统安全软件的杀毒节奏和流程,已经不能满足用户的需要。现在,云安全技术已经成为安全防护技术的主流。
今天的安全软件的特点是更注重防护。而且现在我们谈"安全",已经远远超过了原来杀毒软件的范畴。我们提供的服务包括防止你被欺诈,防止你个人信息泄漏,防止你受到经济损失。所以,总结起来,今天的安全软件是以目标为导向。
纽约时报中文网:在您所接触的客户案例中,认识到网络安全的重要性并具有危机意识的公司占比高吗?
裴智勇:现在对企业安全最关注的,是互联网公司,然后是IT企业,然后是金融类的,还有一些大型企业。中央和省级机关现在也特别重视,但再往下的就不太重视。越是传统企业,越不重视。西方国家,技术发展时间比较长,使用者对安全的认知度比较高。中国的情况是服务者很重视安全,但用户没那么重视。
纽约时报中文网:移动互联网时代,移动设备面临的网络安全问题有哪些?
裴智勇:手机安全比PC复杂更多。手机安全有四大类问题:通讯安全,是不是电话短信被窃听;数据安全,照片和文档;系统漏洞安全;硬件设备安全,比如:手机丢了怎么办。
此外,对中国用户来说,还有个中国特色的问题:骚扰电话和垃圾短信。现在中国的手机安全产品,主要是采用"用户集体标识骚扰电话"的办法,但这一功能目前还不能应用至iOS系统中。
手机和电脑的一个重要区别是手机电力有限,联网时间和上网流量有限,所以某些在电脑上很成功的安全策略,不能简单地搬到手机上来。另外安卓手机很多都是厂商定制化开发的系统,平均每个手机有接近20个漏洞。每个厂商打安全补丁的能力不同。补丁与原有app的适配也很难,所以很多厂商不愿意打补丁。
王姗姗是纽约时报中文网编辑。张真真是纽约时报中文网实习生、汕头大学新闻学院在读研究生。
您收到此邮件是因为您订阅了Google网上论坛上的"参考消息(G4G)"群组。
要退订此群组并停止接收此群组的电子邮件,请发送电子邮件到go2group+unsubscribe@googlegroups.com。
要发帖到此群组,请发送电子邮件至go2group@googlegroups.com。
访问此群组:http://groups.google.com/group/go2group。
要查看更多选项,请访问https://groups.google.com/d/optout。
没有评论:
发表评论