最近焦点访谈播出的关于浙江温州中广有线电视网络机顶盒遭黑客入侵事件,再一次给国家信息安全的防范敲响了警钟。原北京NDS公司(温州中广有线的技术维护公司)工程师王一波,入侵了有线电视网络机顶盒,将大量反动宣传图文传播到了包括温州市鹿城区、龙湾区、瓯海区以及洞头县的15.98万户人家,一共46.5万台电视机顶盒中,因破坏计算机系统等罪名,被判处有期徒刑12年,剥夺政治权利2年。
听起来这应该是一件技术难度非常大的一件事,但却轻而易举的被一位普通的技术工程师做到了,此次事件的实质就是针对有线电视网络机顶盒编译了定制木马程序,达到入侵机顶盒,将大量反动宣传图文进行传播,而后同样利用自制的特定木马将作案后所有数据和日志全部删除,且无法恢复。也就是说,如果他本身没有承认自己的罪行,我们根本无法找到证据去追究他的责任。
温州广播电视中心作为市委宣传部管理的事业单位,信息安全防护措施比较而言是相对健全的,国家会定期对国有单位的信息安全进行专项检查,但即使是在这种情况下,一旦遭遇到具有专项针对性的特种木马病毒攻击,还是可以绕过传统的病毒防御系统,进而对企业造成巨大损失。
类似的攻击及威胁其实就在我们身边,甚至就时时刻刻的发生在我们企业内部,但却没有发现,或者说是缺少发现的手段。
美国市场研究公司IDC网络安全分析师菲尔•霍齐穆斯曾经说过“以代码特征为基础的传统恶意软件探测方式已经无法顺应时代的发展。”也就是说传统病毒防御体系过分依赖黑名单特征码的安全观念,已经不能适应最新最专业的网络安全威胁了。
金山安全专家马征告诉安全牛,现有的病毒防御系统都属于被动性,正如医疗研究人员在开发疫苗前必须首先研究病毒一样,反病毒制造商同样要首先俘获电脑病毒,然后才能对其进行分析,探测它的特征,编写杀毒程序的更新版本,这一后验逻辑就是传统病毒防御体系天生的软肋。正是由于传统病毒防御体系与生俱来的逻辑序列,在我们遇到这些新威胁面前,传统病毒防御体系就显得脆弱无力了。病毒已经学会故意绕开传统病毒防御体系生效的前提条件,破坏了传统安全防护软硬件构建起来的整个安全体系。而如今,在用户目前部署的各类安全系统中,基于固定特征码的黑名单查杀逻辑,都会面临类似的严峻挑战。所以对恶意代码进行动态分析与未知文件判别,已成为新一代病毒防御系统所必须的基础功能。
据了解,现在市场上也有一些相关的解决方案,比如采用白名单集中管控的模式,对机顶盒运行的非正常程序予以阻断,再辅以严格的内容审核机制,就能完全规避此类风险。