网络犯罪是每个上网的人每天都要面对的现实。所有互联网的使用者,不论使用电子邮件或浏览网页,都有可能遭到危险。
僵尸网络/傀儡网络Botnet是一种散播恶意程序、发动攻击、散发垃圾信息的工具。透过这些僵尸网络/傀儡网络Botnet,其背后的经营者 (也就是网络犯罪者) 就能从无辜的电脑使用者身上窃取数百万的金额。
这些网络犯罪者就像一般正派经营的企业一样,也会购买服务、销售服务、建立合作关系、租用各种服务等等,差别只在于产品、解决方案与服务的正当性与合法性。僵尸网络/傀儡网络 Botnet散发的垃圾邮件数量之大,简直就是天文数字。网络犯罪者一直锺情于垃圾邮件的原因包括:散播快速、目标数量庞大,还有相对少量的成本就能获得可观的报酬。
举个例子来说,根据我们的研究,今日垃圾邮件数量大约占所有流通邮件数量的 97%。最近一项由实验室控制的研究显示,一台感染僵尸网络/傀儡网络 Botnet程序的电脑在短短 24 小时内就可发送高达 2,553,940 封的垃圾邮件。
这样的情况该如何是好?谁可以扭转这样的局势?
根据“信息滥用防制工作小组”MAAWG最近发表的 2010 年消费者调查,有65%的受访者觉得ISP与ESP应该负起最大的责任来防止垃圾邮件、电脑病毒、电子邮件诈骗以间碟程序。
此外,MAAWG的调查也指出一般消费者对僵尸网络/傀儡网络Botnet的认知严重缺乏,服务供应商应该考虑主动采取方法在客户保护与支援方面助一臂之力。
根据我们的分析师Dave Rand的解释,ISP有能力采取某些很简单的步骤来协助对抗 僵尸网络/傀儡网络Botnet与垃圾邮件。例如,他们可以封锁连接埠25(SMTP 通讯协定传输埠)来阻档邮件。僵尸网络/傀儡网络Botnet在传送垃圾邮件与其他垃圾信息时会使用连接埠25。
封锁连接埠25,并且将电子邮件通讯改到另一个内部连接埠,垃圾邮件就无法散播。一般来说,使用者不会感觉到任何改变,因为大多数人都使用ISP厂商的伺服器或免费电子邮件服务,如:Gmail、Windows Live Hotmail或Yahoo Mail。
ISP有能力(基于计费或技术的理由)监控自己网络上的活动,可知道特定时间点有哪些IP位址在活动。透过这些信息,就可以知道网络上有何种通讯流量,并且有技术能力监视恶意流量。因此,他们不仅可以封锁连接埠25,更重要的是,可以发掘遭恶意程序感染的使用者并给予通知。
根据我们的经验,客户在遇到内部网络电脑感染的问题时,大都愿意寻求协助来解决。这样的互动,有助于减少遭僵尸网络/傀儡网络 Botnet感染的电脑,进而确保客户与使用者的安全与隐私权。
我们相信,最近澳洲的ISP所签署的一项协议(ISP同意通知消费者有关个人电脑感染的情况) 以及荷兰十几家ISP所签署的类似协议(同意分享信息安全信息并通知及封锁遭感染的客户),都将大幅降低这些国家的僵尸网络/傀儡网络 Botnet感染电脑数量。
根据我们的研究与监控,光是在土耳其就发现了四百万台遭感染的电脑。我们与某一家 ISP 直接合作,将受到感染而不断制造垃圾邮件的电脑从网络移除。虽然这些电脑的感染并未清除,而且可能被用于窃取信息,但该ISP网络的垃圾邮件数量很明显地下降。
服务供应商所扮演的通知角色很重要,因为我们在这些合作案中发现,客户一旦收到通知,通常都会主动采取行动来清除其网络。还有另一点值得注意,那就是这些感染的电脑并非全都是一般消费者的电脑……有些在政府机关,也有些在医疗机构。也就是说,这不是单纯的垃圾邮件问题而已,也可能造成医疗和社会福利问题。
就问题的规模来看,我们是否需要国家层级的IT官员来维护系统安全?或许。
看看垃圾邮件问题的演进,我们知道这在印度是一个越来越严重的问题。Dave Rand目前正与印度的ISP直接合作,寻找解决此问题的适当方法。巴西是另一个感染数量令人关注的国家。我们知道巴西很多垃圾邮件都跟银行有关,大体上,拉丁美洲的网络犯罪大都集中在网络银行方面。
我们希望与ISP合作,让ISP扮演主动通知客户的角色。这已逐渐成为全球服务供应商的一项社会与道义责任。
【编辑推荐】
