有美国媒体今天用头版报道了此前纳斯达克服务器被感染的事件,指恶意软件靠2个零日漏洞攻入纳斯达克系统。
文章指,尽管纳斯达克证券交易所在计算机安全上大撒金钱,却仍然对黑客大开中门。纳斯达克软件遭受攻击一事第一次被报道是在2011年2月,今天的报道给出了关于此次攻击事件更多的细节。
2010年,美国联邦调查局发现纳斯达克系统与外界存在不寻常的网络活动,表明系统被恶意软件感染。联邦调查局通知了纳斯达克交易所,交易所此前已经知道系统存在漏洞,但忘了将漏洞的事通知别的部门。联邦调查局、国家安全局、中央情报局和美国财政部4个部门随即开始了一个为期五个月的调查。
彭博做的调查报告称,4个部门五个月的调查最后发现,纳斯达克系统里存在恶意软件,恶意软件利用了两个未提名字的安全漏洞。而这些安全漏洞并没有对应的补丁存在。商业杂志彭博没能找出是哪一款软件被攻击,也未能确定零日漏洞是用于感染系统或是用于偷盗数据及其他细节。
文章指,经过对攻击代码的分析,找到的迹象表明恶意软件的设计与俄罗斯联邦安全局的间谍软件类似。根据美国国家安全局的说法,该恶意软件可以在极大程度上扰乱交易所的运作。
但彭博指,该恶意软件的出处其实存在很多可能。
据说四个部门对漏洞的调查从一开始就频频受阻,原因是交易所内的安全程序以及实施做得太差。一些日常的服务器日志大多无效,而这些日志对查明攻击活动是很有帮助的。
调查人员分析了网络流量活动后发现了多个感染,据推测,恶意软件在交易所获得数据后即将数据发送到别的地方,导致了信息的泄露。但没人知道是否涉及金钱以及涉及的金额是多少。
不过一名调查员称,交易所的那些服务器是“一潭脏水”。
鉴于事件的严重性,山姆大叔着手检查10美国银行,以确定纳斯达克是否交叉污染了这些银行。有几家银行不同意被检查,但那些被检查的银行都没有感染纳斯达克的恶意软件。然而,几乎所有银行的计算机安全方案都十分松散,在受到同类攻击时肯定会被感染。
2011年2月,纳斯达克对客户发出相关的警告通知,指交易所受到攻击,同年10月又提供了更多的细节。纳斯达克老总Robert Greifeld当时曽表示,交易所在计算机安全上花了近10亿美元。
如果彭博社的调查结果是准确的,笔者就有些搞不清楚这些钱都花在什么上了。国家安全局前局长曽经愿意每月拿60万美元为银行做安全顾问。这样看来,或许他的收费也不是那么离谱。