主题:领先网络犯罪一步——卡巴斯基2010年网络安全趋势报告发布会
时间:2010年3月10日下午
地点:万达索菲特酒店七层会议室
主持人:尊敬的各位领导,各位嘉宾,媒体朋友们,大家下午好!
我是来自卡巴斯基实验室的叶纹冶,能够担任今天的司仪倍感荣幸,接下来请允许我为大家介绍参加本次活动的领导和嘉宾。他们是卡巴斯基实验室亚太区技术副总裁王南先生;卡巴斯基实验室亚太区病毒分析主任Konstantin先生;北京卡巴斯基科技有限公司副总经理卢向今先生;北京百汇数字星空科技有限公司CEO刘建华先生。
今天是卡巴斯基实验室在中国地区第一次网络安全趋势发布会,同时也是在亚太地区的首次媒体峰会,让我们以热烈的掌声欢迎来自全国各地的媒体朋友们以及全国的合作伙伴,欢迎大家的到来!
2009年已经过去,备受金融危机影响的全球经济下滑确实已经得到了遏制,现在已经出现了明显好转的迹象,在过去不平凡的一年中,卡巴斯基凭借专业的研发实力和卓越的产品性能实现了逆势增长,销售业绩在全球范围内大幅上升,中国地区的表现尤为突出。在2010年全球网络安全行业的发展趋势将是怎样的?网络犯罪将呈现什么样的状态?卡巴斯基实验室将针对网络犯罪推出什么样的解决方案或者有什么新的举措?下面让我们以热烈的掌声欢迎卡巴斯基亚太区病毒分析主任Konstantin先生上台,为我们带来 2009年度网络威胁的回顾和对2010年趋势的预测,欢迎Konstantin先生。
Konstantin:大家好,我是Konstantin。我在卡巴斯基病毒分析实验室工作,我现在的职位是亚太区病毒分析主任,我们主要是负责对整个亚太地区病毒分析工作的监测和分析,今天我的演讲主要是2009年统计数据的回顾以及2010年的预测。
我们首先来看一下2009年的统计数据。我们从2009年的趋势情况来看,会对2010恶意程序的发展起到一定的推动作用。我们首先看一下 2009年恶意程序的演化以及进行的趋势,我的报告会给大家带来一些范例,让大家便于理解。我们可以看到是如何对抗这些最普遍的危险,还有卡巴斯基实验室能够为我们的用户提供一些什么样的保护措施。在总结的时候我会为大家讲到一些恶意软件的演化在2010年的新进展。
每一年卡巴斯基实验室都会统计一些数据,可以看到恶意程序的发展情况还是非常惊人的,在2009年大家可以看到,我们收集到了大约3300万种恶意程序样本,很明显这个增长率是非常高的。如果我们想用一种机制对付这些恶意程序的话还是不太可能的,而且基于签名技术的监测以及检测技术还需要进一步得到发展,以使更符合遏制现在这个恶意程序发展的趋势。看一下我们在对抗这些计算机病毒方面有什么样的优势。
就像我提到的,当代的一些恶意软件是有很多不同的因素组成,每个人都需要得到IT安全的保护,而且每个保护的级别都会不同,我们可以看到哪一个威胁是最能够给用户带来危险攻击的。我们基于这个监测的系统可以看到,这是通过一个按需检测以及按时检测的系统统计出来的一个数据,我们也是从这些数据当中提取出来哪些数据最是能攻击用户计算机的,在这其中之一,最普遍和流行的恶意程序主要是我们现在所说的蠕虫,所以说蠕虫差不多是占了整个恶意程序的很大一部分,这是去年的情况。如果只是简单的基于签名技术的检测去对抗这些恶意程序是不太可能的,我们还需要一些其他的技术,大家可以看到有很多种不同的恶意程序和后缀名,木马和蠕虫还是占到比较靠前的位置的。我相信大家都知道"基因"这个词,我们用这个词命名也是有一定的原因,我们如果需要对抗这样的病毒或者恶意程序,就需要采用我们的启发式技术来分析这些恶意程序。比如说我们可以看到Virus.Win32.induc.a这个恶意程序是比较有意思的,它为什么有趣呢?它主要是感染一些防火墙的设置,通过这样的设置进一步感染所有的计算机,这样的方法是比较独特的,跟其他的一些程序不同,还有其他一些程序在中国地区是比较活跃的。幸运的是我们现在整个情况当中,虽然它比较活跃,但是还是比较乐观的,因为我们还没有发现一个病毒爆发的情况。我也想在这里为大家提及一些其他比较有意思的恶意程序。比如说Flystudio.cu,主要是在中国地区出现的恶意程序,主要是由中文编写的。
下面这张幻灯片我们主要看到的是中国互联网上威胁构成的情况。如果我们看一下全球的统计数据的话,这是根据上一张PPT里面的情况总结出来的,比如说游戏木马Win32.Magania,这个木马在全球的情况已经不是那么活跃了,但是在中国的互联网上还是比较活跃的,这个也可以看作是中国互联网情况一种传统的趋势,网络游戏的大受欢迎导致了这样一种恶意程序的爆发。大家还可以看到,这张PPT我用红色标注的这些恶意程序。简单来说,我们可以把这些问题归结为并不是以它的行为来划分不同的恶意程序,而是有其他的因素。像Iframe这个恶意程序家族当中有很多不同的情况,有很多不同的病毒。
这张幻灯片主要是邮件中传播的恶意程序情况,在三四年前,电子邮件还是传播恶意程序的一种主要方式,但是现在这种情况有所改变,也许现在可能是通过网页传播的病毒更多,尽管是这种情况,但是电子邮件还是在传播恶意程序过程当中起到了关键作用。有很多种恶意程序可以通过电子邮件传播,不仅是诈骗软件,僵尸网络程序或者是病毒,典型的情况就是通过邮件来大量的传播一些信息,尤其是现在对社交网络的使用,会利用到社交网络上一些邮件信息的列表来传播病毒。电子邮件病毒的编写者可以不用自己去传播病毒,有人会做这样的事情。
这张幻灯片主要为大家展示的是一些邮件型恶意软件的情况,大家可以看到上面写的,这是卡巴斯基实验室的一个邮件服务系统,"我们正式的通知你,你的安全程序需要升级,请点击这个链接。为了能够得到更好的设置以及新的更新,请大家打开这个附件。"如果大家打开了附件,并且保存了这样的附件,那你铁定会遭到病毒或者其他一些恶意程序的感染了。当然不止是微软的Outlook会看到这样的情况,很多系统都会成为邮件病毒传播的工具。
下面这个幻灯片可能不是跟恶意程序有关的,主要是体现了一些系统和程序漏洞的情况,在软件的的一些漏洞上,主要的就是促进恶意程序的软件,现在一些恶意程序会利用这些软件中的漏洞渗透到用户的计算机当中,并自行安装。有一个例子,网络蠕虫就是利用到了微软软件当中的MS08067漏洞。现在大部分的软件供应商都会多多少少有一些漏洞的出现,这个就会被利用成为恶意软件,并且成为散播者发起大幅度攻击的一种手段。当然这个不是说这个软件公司本身有什么问题或者是产品有很多漏洞,这个是我们得到的一个统计数据,是这个恶意软件编写者会比较喜欢通过一些应用程序来发现它的漏洞,进而进行攻击和病毒传播,而现在的情况是越来越糟。现在有很多漏洞可以归结为是一种远程的类别,意思就是说它可以让一些网络犯罪分子或者恶意程序编写者远程控制本地的系统。大家可以看到这是2009年20大漏洞的情况,有一些程序是在微软的操作系统还有一些其他知名的操作系统中发现的。比如像针对PDF的恶意程序,也是有很大的数量的。
现在我们来分析一下我们在过去一年中看见的这些威胁和它们的发展趋势。目前我们知道互联网中有很多计算机的病毒威胁,现在在互联网当中如果一台计算机不使用防火墙、没有使用反病毒软件的话,它就好像一个在大街上没有穿衣服的人。大家从这张图片当中可以看到以前的程序和现在恶意程序威胁的对比。我们可以看到目前的数据,我们已经证实了下面的一些威胁是在未来的情况中可能会变得非常严峻的,待会儿我们也会讨论到这个问题。比如说路过式下载的技术是目前恶意软件编写者比较常用的技术,我们看看它是怎么工作的,一般情况下这些恶意程序的编写者会首先找到要感染的一些网站,结果用户在根本不需要做什么或者点击什么的情况下,都可能会被这个恶意程序感染。比如说有的时候你会访问一个你认为很安全的网站,比如说一些公共型的网站,也许你并没有在过去访问过上面的资源,但其实现在它已经遭到了感染。感染这样的网站,攻击者仅需要做的是在这个界面上加一串相关的代码,结果就是这个网页并没有从表面上有什么更多的改动,但是它背后的代码已经不是由你的浏览器执行了,是在一个隐藏的窗口上,通常要通过隐性的Iframe架构,用户的信息就会通过这样一个网站发送给被攻击者,通常是导致重新链接导向。通过用户使用软件中的漏洞,他针对计算机的恶意软件就会被自动安装。在这个事例当中我们可以看到恶意软件编写者比较喜欢使用的一系列程序,他们喜欢在这些程序当中寻找漏洞。大家可以看到,比如像Flash SWF的软件,还有一些中文的软件也是受到他们欢迎的,结果你的电脑肯定无疑就会遭到感染了。
在这个例子当中主要是一种木马的程序,这种技术在今天受到非常广泛的欢迎,这个攻击者的目的主要是让用户点击受感染的网站,从而引发出很多方法来促使用户上当受骗。今天这个恶意程序主要是以牟取暴利的目的来编写的,包括一些漏洞探测的程序,结果像这样的感染就会导致用户的计算机被锁定或者被恶意程序编写者加密,导致用户被恶意攻击者恐吓或者威胁他付一定的钱,这样的话才能够移出他计算机当中的恶意程序,这也就是为什么今天这些恶意程序能够得到蓬勃发展的主要原因。攻击者会去恐吓用户,比如说给他们一个恐吓的说明或者声明,告诉用户的电脑已经被感染,需要购买或者安装反病毒软件才能够解决这个问题,而且告诉用户目前这个反恶意程序是不能马上给他的,必须要花一定的钱才能够得到,这样就是我们所谓一些假冒的反病毒恶意程序的传播,而且这种情况也是比较严重的。
还有一种比较独特的方法就是,让用户通过短信的方式来支付一定的费用,这个在俄罗斯是非常普遍的方式,可能在中国也有这样的情况。也还有很多可以让用户遭到攻击的方式,而且去控制这样的攻击也是有一定困难的,因为这些供给者他的想象力也是非常丰富的。还有一种就是在计算机安全中由人为因素而导致的安全事件也是比比皆是,一些攻击者会利用现在社交网络的流行去提供一些恶意程序传播的方式,而且这个社交网络也是为他们提供了一种新的机会。他们使用这个社交网络的主要原因是,我们大家都知道,现在社交网络非常受欢迎,而且通常如果你有一个社交网站帐号的话,从这个帐号上面得到的信息还有交友的列表通常情况下都是非常信任的,但是如果你接收到一些看似是朋友发过来的邮件,你会误认为那是你的熟人,你会点击这个邮件当中的一些链接,它就会把你指向到一些受感染的站点。不止是像Facebook,还有很多知名的社交网站都会被他们利用。这些通过社交网站感染用户的例子不止是在中国,在美国和欧洲社交网络也是相当受到欢迎的。
当然说到当今的一些恶意软件情况,就不得不提到僵尸网络。现在大部分的恶意软件有一种传播的方法,就是通过僵尸网络,当然如果要谈僵尸网络的话,可以是成为一个很长的话题,可以单独拿出来说。我们的年度报告当中如果要详述僵尸网络也是不太可能的,但我们也提到了一些僵尸网络最严重的情况,还有对这个僵尸网络规模的预计。现在它们是否具有足够大的规模并不重要,关键是要看他们传播的程序。也许Kido并不是导致僵尸网络形成的最大原因,但是 Kido受到了更多的关注,比如我们一说到Kido,它现在已经感染了全世界数百万的计算机,而且这个蠕虫还侵入了一些受害者的设备,他们有很多的方式来完成这个过程,比如说通过强制破解网络的密码,使用USB或者通过微软的MS08067漏洞,每个受感染的机器就马上成为了僵尸网络的一部分。要打击这个僵尸网络的话,事实上是非常困难的。因为事实上Kido在执行的时候携带了一些最为复杂的病毒结构,这些病毒都拥有最新的一些技术,比如说一个蠕虫的变种,它可以自身升级自己,通过500种不同的域名来完成这个活动,这些域名的地址都是随机挑选的,他们可以从五万种地址当中挑选想要的域名。还有现在 P2P式的链接,也是他们可以用升级的通道。Kido也能够阻止一些安全解决方案的执行或者更新,或者直接导致这些安全服务的软件或者程序不能使用,并能够阻止他们访问反病毒厂商的站点。Kido的创建者在2009年3月的时候比较沉寂,但是我们估计在那个时候,他们已经设法在全世界范围感染到了500万台的计算机。尽管Kido并不通过邮件传播,也不会主导Dos的攻击,但是研究人员还是看到了这样一些情况,比如说在4月1日,Kido一种新的版本开始传播,它主要是用于下载一些额外的模块,在4月8日到9日之间有一个指令,通过受感染的设备传播,然后让这个恶意程序通过P2P的方式来进行更新。除了 Kido这个自我更新以外,受害设备也会下载其他两个额外的程序,比如说电子邮件的蠕虫变种,专门用来散发垃圾邮件或者一个间谍软件的变种,它是一种流氓反恶意软件,会要求用户强制向它付款,下载一些伪造或者假的反病毒软件。为了能够解决病毒这样日益传播的问题,我们Kido的工作小组成立了,我们这个小组主要是团结各个反病毒公司,一些互联网的供应商,独立的研究机构、教育机构以及一些执法机构,这个团体是第一次以国际合作的方式成立的,它超越了国界,每天我们都会跟各种不同的反病毒专家和学者进行沟通。要给Kido做总结的话,我想说的是,在2009年11月的时候,它感染的设备已经超过了700万台。
其他一些现代恶意软件的特征,主要的共性就是变得越来越复杂。总的来说,可以看到一些简单的恶意程序已经没有什么价值了,它现在对于一些恶意软件编写者的要求也越来越高,还需要这些编写者不仅拥有编程的技术,还要对不同计算机技术的知识有全面的了解,比如说网络技术、加密技术还有其他等等一些技术。而这些恶意程序的创建也不单单是由一个人完成的,完成这样一个程序可能需要一个小组共同完成,而且时间也会变得比较长。去年从这个方面,我们可以看到最独特的恶意程序就是Sinowal TDSS,这是一种木马,我想着重说一下Sinowal,这个程序的结构是相当复杂的。我们第一次发现Sinowal的踪迹是在2008年,从那个时候它就开始不断的演变和发展,到现在它已经成为了一种非常复杂的恶意程序。传播Sinowal并不需要应用路过式下载的技术,攻击者会使用另外一种更不常见的形式,这个方法并不是新的,但是它也是比较有效的。对那些受到黑客攻击的站点,这些站点也不需要去添加代码或者是需要Iframe或者其他脚本的功能,但是它使用的攻击手段比较特殊,也比较不容易被检测到。他们通过向这些站点发送一些链接,如果点击这个链接的话,情况就会变得比较严重,如果有用户点击这个链接,攻击者就可以马上得到访问者的地址,IP地址都会被检测到。根据用户拥有的不同的IP地址,他可以识别用户的身份,随着就会把这些数据存在服务器上。用户首先是要看这个计算机系统或者软件的漏洞,其次就是要看一下使用了什么样的反病毒软件来防止这种情况的发生。比如说你的计算机上装了一个阅读器的话,你的计算机就会自动下载到一个PDF漏洞探测的程序,如果是使用其他的一些程序,比如说播放器,也会被检测到相应的漏洞。从用户的角度来看,用户可能对整个过程都不会察觉到,可能会打开一些网站,他们并不知道这个网站有什么问题。
当然这个恶意程序一旦被安装和执行在一个计算机里面的话,它就会自动安装一些特别的程序,来帮助这个恶意程序的软件,然后感染你的硬盘。恶意程序就会释放一些安装程序到系统当中,当计算机重启的时候,它还会自动传播信息到其他联网的计算机设备当中去。所以针对这些恶意程序,要去对抗它还是比较困难的,但好在我们也有一些新的技术,能够保护用户免受这些问题的困扰。网络犯罪在实施的每一个阶段都会发出不同的感染,犯罪分子在执行犯罪事件的时候,不仅是针对一些不太懂计算机的用故,也会针对一些反病毒程序,来对这个反病毒程序发起攻击,像有一些恶意程序就是专门用来对付传统的反病毒恶意软件的,这就会导致这个反病毒程序会完全被它封锁。有的时候处理这样的问题,传统的恶意软件就是要把代码添加到病毒库当中,但是现在这显然需要一些其他的技术来预防反病毒软件被这些恶意程序攻击的情况。
我之前也提到,当一些软件的漏洞被发现了之后,它就会有相应情况出现,这个漏洞也会不断的改变,但是总会有不同的恶意程序来针对它们。现在我们也可以看到一些漏洞,也会帮用户发现一些恶意程序,从而阻止一些恶意程序的攻击。大家可以看到,这是漏洞检测的情况,如果按时更新反病毒的程序的话,我们就会把最新的漏洞检测程序发送到用户的客户端。用户在使用一些应用程序的时候,他们可以用我们的软件创建一种规则,可以根据不同级别去创建允许应用程序访问的情况。我们的保护就是开启电脑以后,如果遇到这样一些应用程序,会自动的进行封锁。如果在用户没有遭到攻击的情况下,或者是遇到一些不太清楚的程序,我们也会为用户提出警告,让他们自己判断一下是否需要进行一次全面的扫描,还是需要其他的反病毒程序。所以如果使用具有强大功能的反病毒程序,能够帮助您免受一些复杂恶意程序的困扰。我们这个程序不仅会扫描检测用户的内存,也会扫描引导区和硬盘。要有效的保护我们的用户,我们在实验室的产品当中采用了很多的技术改善,不仅是改善旧的技术,同时还研发和开发新的技术。我们和病毒编写者都是一直想用不同的方法,我们一直是处在攻防的状态,如果要打击网络犯罪的话,我们也试着预测一些在未来可能发生的威胁,从而能够尽快的研制出一些新的方法进行对抗。
接下来我们讨论一下2010年一些预测的情况。首先还会不断有新的漏洞被探测出来,近年来像微软还有一些其他主要的供应商,他们也渐渐的关注到了代码测试,在这个问题上他们加大了投入的力度,他们研发和执行了一些不同的技术,来防止恶意程序对漏洞的探测。但是尽管这个问题不能够全面的得到避免,但是至少会让一些新的漏洞被恶意程序发现的时间变得更短,也会防止一些新的漏洞和恶意程序的出现。我们还会使用一些新的方法来防止恶意程序传播的出现,比如说文件交换网络,文件交换网络现在也是越来越流行的网络,有些是通过P2P网络越来越受到大家的欢迎,不仅软件容易使用,而且也能够快速便捷的为一些大的公司传输文件。所以大家在使用这样系统的时候一定要注意防止,尤其是防止小孩会不注意下载一些含有恶意程序的文件。
还有云技术的发展,全世界一些IT公司现在都比较强调云技术的问题,每年对安全保护方面的需求也是越来越多的,因为现在一些文件的信息,还有一些个人的数据也变得越来越重要。要解决这样的问题,我们主要依靠于云技术的服务,今后的一些数据会越来越多的被公众运用,从而也会带来一定的危险。现在安全不仅要得到更多的受到关注,在云技术的情况下,我们要更好的能够防止网络犯罪对我们的侵袭。所以这是非常严峻的问题,我们研发人员也会付出更多的努力,更加的关注这方面的问题。
当然还有一些新的技术,不管是硬件的还是软件的,不仅能够吸引一些用户使用,对于一些网络犯罪分子或者攻击者也很具有吸引力。比如说在2009 年我们讨论到一种GPU技术的替换使用情况,这种使用情况在电脑安全方面很多的地区都已经开始使用了,这种恶意的代码主要是针对视频卡,这个主要是强制破解一些用户的密码,通过这样的方法来感染计算机。我们还提到有一种新的软件平台,也就是苹果的MAC系统,这种恶意程序有很大的发展空间,现在已经有几个这样的木马和僵尸网络是针对这个程序来发展的。如果他们的操作系统目前不能吸引很多的恶意软件,但是他们的浏览器已经很受到欢迎了,我们相信在不久的将来,能够看到有一些程序发现它的漏洞。
另外手机的环境跟个人电脑是一模一样的,但是从保护的情况来看,它比电脑差很多。此外一些使用移动系统的公司环境,一些公司的网络实际上是很不安全的,会给公司的网络带来一些危险,他们会通过这些网络进行传播。还有一些使用手机的用户,对手机的安全保护还没有很高的意识,比如像Iphone的系统目前是非常受到欢迎的,可能大家还没有发现很危险的情况,但是我们已经收到了通过手机平台传播恶意程序的报告了。在一些人在使用手机的同时,一些恶意软件编写者会针对 Iphone编写一些恶意程序,他们仅仅只用一个星期的时候,会盗取到了很多用户的数据。现在还有很多关于一些跟手机相关的数据,当然也还有其他一些网站受到攻击的事例出现,我相信在以后还会有很多更严重的情况出现。首先这种攻击是比较难检测到的,其次很多公司或者组织他们会不会公布他们受到攻击的事实?我们相信受到这样攻击的人有很多,因为现在做技术要投入很多的钱财,这也是为什么网络犯罪分子想要攻破这样一种复杂公司网络的心态所在。当然我相信,未来还会有很多更严重的情况发生。不管怎么说,我们都会尽量的遏制这些情况的发展,我们会更加的努力,谢谢大家。
主持人:谢谢大家,谢谢Konstantin先生为我们带来的发言。在国际知名信息安全厂商的行列中,卡巴斯基实验室在每一个新版本上市的时候都会推出多项领先业界的安全防护技术,从而也得到了全球三亿用户的一致拥戴,所以也俨然成为了专业信息安全软件的全球领跑者。目前在中国的市场随着计算机用户的逐渐增加,针对互联网犯罪的比例越来越高,针对这样的情况,卡巴斯基实验室又有哪些独到的见解呢?下面我们掌声有请卡巴斯基实验室亚太区副总裁王南先生上台演讲,他演讲的内容是《在e世界里我们的价值,探讨隐私保护的紧迫性》,有请王南先生。
王南:尊敬的各位媒体朋友,敬爱的合作伙伴,尊敬的刘总,Konstantin先生,以及为这次发布会准备的卡巴斯基的同仁们,女士们,先生们,大家下午好!
刚才Konstantin先生已经为我们讲了很多内容,从我们公司安全运营里面采集出来的一些数据,其中有一些数据是来自我们中国的数据。我希望这样一个演讲能够给大家带来一些介绍,看看我们的形势和挑战到底有多大。我们今天是在空谈的一些耸人听闻的故事都是实实在在的发生在我们身边的,我们探讨一下在今天这个时代里面,我们要保护自己的价值到底有多大?
我们今天的e时代有什么样的特征和变化?我们先看一下企业的情况,大概十年之前旧日的企业,当时我们是怎么样运行的呢?红头文件下来之后,大家拿着一张纸学习讨论,手写一个汇报提纲交上去,所有的汇报都是通过纸张操作的,这很自然。今天看来,一个公司或者一个行号,或者一个企业如何运行呢?老板可能不需要到公司去了,都是发一条短信,最正规的就是发电子邮件,下面所有的雇员向他们的老板汇报的时候都是通过电子邮件,这是最简单的方式。我们再看一下还有什么其他的变化,我们现在使用的都是刷卡的门禁,但是我们看一些好莱坞的影片的时候,都会发现你只要说句话,眼睛看一下镜头,你什么都不要说了,就让你进去了,连手指都不用恩,这种事情已经在各个地方发生了。
我们再看看企业除了这些方面之外,我们周围涉及到自己的精神世界,我在想这个话题可能跟大家有关,也许大家已经忘记了,曾几何时记日记是很多文人墨客的习惯,我们有很多很优秀的文学作品都是在讲谁的日记,今天还有谁记日记?可能还是有,但是花更多的时间可能是在写自己的博客,在聊天,或者是在一个社交的网上,好像我们越来越开放了,这个开放的意思不是其他的,就是希望跟大家交流了,这就是我们今天所处的世界。过去有多少诗篇讲的千里鸿毛,写家书等等,今天我们的家书也是在写的,但是今天更多的人是通过电子邮件,通过一个简单的文本短信等等更快更直接的交流,看看我们身边所有的东西基本上都改变了。
再看看我们如何守财,我不知道大家多少人还记得存折,每个月发了薪水之后拿着这个小本去记帐,柜台里面的工作人员帮我们记下来,我们看看有没有写错,然后拿过来就走了。今天还有没有人这样做吗?可能是在小说里,今天全部都是在网上理财,这样意味着什么?我们等一会儿再讲。一些票证,像粮票等可能更多人已经搞不清楚是什么东西了。我回国没有多久的时候感到很意外,当时跟朋友去吃饭,快要付帐了,他说到一个网站上发一个短信,得到这个信息以后,凭这个东西你就可以省15%,这个是只在北京才有,我想在很多国家都没有这样的事情。
我们今天这个电子时代,我们所有的生活都改变了。所有的事情都是两方面的,它给我们带来的烦恼究竟是如何呢?我们开始从企业讲起,现在再看看企业,企业由于IT的部门设置的不是很好,对信息的访问权限没有设置的很好,另外再加上自己的U盘没有设置谁有访问权,或者刚才讲的手提电话没有设置好,有一些信息就会被泄漏出去。另外一种就是所谓讲的家贼难防,我们内部出了奸细了,他会做一些收集的东西,故意的泄漏出去。当然还有其他我们经常听到的钓鱼或者漏洞。在这几类当中,我们最害怕的应该是最后一个,钓鱼、漏洞等等。在这三种当时,最后一种所占的比例是多少?大家可以看一下这张PPT,这是英国、德国和法国的,很遗憾我现在没有中国的数据,根据网上2009年的资料调查,你想不到外部攻击事件是最低的,也许我们想当然的认为所有的东西是在外部,可能不一定。这就说明,倒不是说所有的威胁全部都产生于内部,但是这样一个网络调查的情况,可能使我们以前固有的认识稍微改变一些。另外发生在我们身边的事情,我自己的帐号,比如说通过上网,到底是我自己在动还是谁在动是搞不清楚的,但是我需要知道,我们在招商银行或者什么银行在上网的时候要插上一个设施再上网,刚才Konstantin其中举了一个例子,他说到了一个IT的信息,是安全提示,就说你的 IT的信息变了,你要点击一下这个链接,这个信息真的是从IT来的吗?至少Konstantin告诉我们不一定是。刚才Konstantin也讲到,把这个分成几类,有网上的,电子邮件来的,或者是交友来的。现在我们很流行的在上网的时候,听音乐、看电影我们是否安全可能真的是一个问号。再不用讲那些垃圾邮件、钓鱼等等这些东西,都组成了一些网络,这些网络公众普遍叫它一个名字就是僵尸网络,它是由一个比较复杂的东西组成的,我记得去年有一种说法,就说这些全部是背后有一个组织或者机构来控制的,你去做URL,你去做僵尸网络等等,好像有一个东西,但是查到今天为止,好像现在这样一个组织是不存在的。但是每个人都接受了一个现实,因为现在做这些事情的原因都只有一个,就是赚钱。可能没有一定的组织,但是他们的确按照不同的分工,好像有一种东西把他们连接在一起,那就是商业的利益驱动。
我们已经讲过了,从这里面看,我最关心我的银行帐户,我用eToken或者是USB登录,比如我从招商银行拿到第一个USB,招商银行告诉我,你不用这个了,我就按照他们的建议上网,我就在想,用eToken或者是USB在美国或者欧洲也是这么流行吗?你到其他的地方上网也会用USB吗?我想不要回答了,我自己的回答就是不,显然不是这样的。这个时候我就在想我们原来一些概念,比如说外部攻击力还是内部攻击力,这个时候我们在想,为什么我们这里要用eToken和用USB?这就是矛和盾的关系。我个人的见解,因为我们认为在其他的国家这种攻击会更多,可能并不一定是这样,如果要是这样的话,在其他国家也会做很多盾的工作。所以这个就是对于我们从事安全的管理者来说,实际上是一个新的课题。对于这样一个课题,卡巴斯基要做的其中一个最重要的关注点之一就是在中国,在亚太区我们每年有很长的时间就专注带北京,就是为了关注我们这里的木马等等的情况。
"Social Engineering"这一组词当中,我们把这个词挑出来,是指摆布他人以执行获取或泄漏机密信息指令的行为,另外就是通过国会发动一个什么议案,发动草根运动等等。在翻译的时候,我看到在中文当中有人翻译成"社会工程"或者"社交",无论是翻译成社会工程还是社交,我们看到Facebook、 Myspace and Twitter这一类的社交网站的用户是与日俱增。我们中国的年轻人特别想出名,所以大家可以看到这个门那个门,就是一个原因,大家都想成名。 Social Engineering是给大家一个舞台,让大家去分享。我们在看了其他一些事情的时候就会想,会不会也会有针对Facebook、Myspace等等的攻击,大家已经听了很多了,对于中文社交的网站或者支付网站的攻击何时到来呢?什么叫重大的攻击?在若干年前我们有其他一些东西的时候,谁写这些病毒东西的?是一些年轻人,目的是为了在短时间内瘫痪众多的机器,然后他就成名了,至于说成名之后会不会入狱再说,反正他就是要成名。现在的情况不一样,但是至少我现在要偷你的钱,我总不能告诉你说我要偷你的钱了,告诉大家我下面要攻击哪一个银行,没有这种事,他要做的事情就是,就是恰恰的进行,在你没有察觉的时候进行,但是影响的面是非常大的,当今恶意软件的流行性跟几年前相比,大概有这样一个非常本质的区别。
对真实性的威胁,比如刘总要给我发电子邮件,我认为电子邮件是从刘总那里过来的,但是我对方那个人的真实性是不是这样?由于这个东西造成的问题也是很严重的。首先你必须要确认对方是不是本人,从收到IT或者所谓客服的那个邮件来讲,说我现在是某某客服,要人你做什么事情。另外什么叫"资讯一旦放到了网上,便永远留在了网上"?我08年的时候看到过一个广告,这个广告是一个年轻的学生,他在一个留言板上写到我要找室友,这是第一个场景。第二个场景他一边接着电话一边匆匆跑过来,把这个纸撕掉,应该是已经找到了,他刚撕掉的话,这个纸又出来一张,然后就一直撕,这个下面就在讲警惕,你要把你的信息放在网络上,那就一直会在这儿。我想对于那些想成名的年轻人,你要想清楚,你什么样的信息希望跟大家分享,通过媒体也告诉这些年轻人,不要什么都跟人家分享,你一旦发出去的东西就拿不回来了。
在今天这个e时代里面,我们听到很多网页攻击,我们有的时候搞不清楚,这个是真的攻击还是一些恶作剧的炒作?我想说的是,尤其在一些安全的厂商之间,如果发生这一类事情的时候,可能比在任何其他的地方发生这一类的事情都严重。其他的事情你还会讲这个门那个门,那影响都不是安全的问题,如果是由一种非良性的竞争导致的情况,用户会觉得到底谁是对的?谁的软件是安全的?谁的软件是不安全的?所以我也在这里想请我们的媒体朋友们帮我们用户一个忙,在我们认为这个事情不一定是一个真实的攻击的时候,有可能是其他因素的时候,大家帮助我们引导一下读者,这个事情到底是怎么回事,这个事情很遗憾,好像一直在发生。
我们e时代有了今天的变迁,我们的财富好像一下子突然自我膨胀起来了,如何保护我们的财富?逻辑上显然就是下一个话题了。我们的e资产产品了无形的也好,或者是虚拟的也好,这样的资产是有价值的,有可能现在就有人帮你叫卖。银行帐号不用讲了,因为里面有钱,这个显然是可以卖的,帐户也是可以卖的。有一些通信的帐号,有一些个人的ID,尤其是盗取来的ID都可以卖,还有我们现在一些社交的网站,虚拟财富当然自己也可以卖,别人也可以帮你卖。下面这个事情好像有点不仅仅是身份的问题了,有点道德的问题,可以帮别人写东西。另外僵尸网和赎金类木马,这两类事情在国内发生的很多,赎金类木马确实很讨厌,去年我们在发布卡巴斯基2010产品系列的时候做了一个演示,这个演示就是你的计算机装得好好的,用Windows操作系统,这个时候下载了一个游戏,你打开这个游戏的时候,屏幕变黑了,他们就会说你这个通行证是盗版的,请打电话付多少钱,其实根本就不是微软的东西,完全是一个敲诈勒索型的木马,这个事情不仅仅在中国,在欧洲等等到处都有,这个也是和我们e资产有关系的。3G也是一个很好的东西,它不但给我们带来了方便,而且把福尔摩斯的钱都平民化了,你又可以跟踪,又可以监听,什么东西都出来了,显然也是一个安全的问题。所以由于科技进步带来的方便,同时对我们自己的安全,对我们个人的隐私也是一个极大的威胁。e财富我们自己可以出售,我们自己的虚拟财富可以卖,但是我们不希望是别人盗取了你的东西,然后帮你出售。
下面我们再举几个例子,要不然刚才我们都是在写惊险小说。我用几个美国和欧洲的截图,我们刚才说到,银行帐户是有价格的,这个价格并不是说花旗银行的比其他的贵一点,不是这个意思,就看你帐号里面的余款还有多少,在美国有很多支付的机构,显然在标价的时候他要看这里面还剩下多少。另外支付系统,像 eBay和Paypal,主要是看里面还剩多少钱。
我们的IM帐号也可以做销售,另外Skype也是一样的,你现在要到我网上买Skype是不是这样?你现在要选几?你可以选一,他还有标价,你在里面打国际电话,他给你标的价钱都不一样。
我们再讲一下僵尸网络的危害有多大。通过木马来流行让你防不胜防,垃圾钓鱼这些行为让你搞不清楚是真的还是假的。你计算机里面一些私密的文件什么时候被窃走的,你也不能搞清楚。整个僵尸网络里面所有的僵尸组织起来发动进攻,好像没有一个人在组织,但是整个攻击都非常有序。最让人觉得哭笑不得的是,这一类的犯罪活动把它做成一个非常易用的工具来进行销售,还有售后服务。这个就是用另一个侧面在介绍,我们来看看这张图,你要定义一下用哪些URL,你要使用哪些应用,你用什么样的细节去获取,它会告诉你,你也可以自己选。做完了之后还有一个按照国家和地区分类,你要买这个URL,管美国,也管英国,也管其他地方,给你统计的非常清楚,你只要一点击一个东西,就可以看到所有的细节,我想这个比专业的服务做得都不差。还会给你讲你要买这个位置的话,要看它在哪个国家有。你购买以前所有的信息,我要挑哪个国家,我要干什么,清清楚楚,一目了然,所以难怪人家就说,是不是有一个组织?可能没有这个组织,但是整个活动在什么地方付帐,什么地方收钱都是非常清楚的。
耸人听闻的这些故事讲完之后,我们再讲一些基本常识,这些基本常识是给小学生的,大家对于这些东西基本上都是知道的,我们再把它重复一下。如果一些用户在读我们科技或者安全的报道的时候,他们应该知道哪些最基本的信息?操作系统和应用软件的安全性。刚才从前一个报告当中大家已经知道了,漏洞这个问题不仅仅存在于微软软件当中,对于一些比较常用的应用软件的危害,可能并不一定比操作系统小,为什么大家会遭到一些攻击在操作系统上?而其他的少呢?那是因为使用的多,并不是说其他的软件非常安全,而是使用的人少。去写一些针对不太受欢迎的软件的病毒也少,我们要告诉读者,不仅仅对于操作系统,同时对于软件的安全也要很关注,首先对于操作系统的补丁要经常的更新,至于盗版我们不去谈这个事情,微软已经把这个事情做得非常好了。另外就是要使用一些权威的安全软件,并且要保证病毒数据库的样本更新。我想我们在座每一位来宾心里面都有一款安全的软件,我自己心目当中最权威的安全软件就卡巴斯基。Media Player这些软件的更新一定要实时更新,一些软件实在是太流行了,大家都在用,所以写病毒的人也都是针对这些软件,卡巴斯基有自己漏洞扫描的功能,到时候会给你链接,你打补丁,发现问题,一下子就解决了。
另外养成一些良好的习惯,尤其是上网,卡巴斯基从两款产品之前,从2009开始到2010都设置了虚拟键盘,你在上网的时候,对于姓名和信用卡帐号,最好是用这个虚拟键盘来输入。我们在用免费的公共无线网络的时候,你上网很方便,别人上到你的电脑也很方便。除此之外一些上网的基本习惯,在访问一些网站,尤其是谈到购物要付钱的时候,这个时候请大家注意告诉读者们,让他们看一下游览器的右下角有没有这样一个小锁,在没有这个锁,或者是这个锁打开的时候,你就要当心了,因为没有这个保护。另外我们通常是用HPPT,如果用HTTPS就比HTTP安全的多得多。如果你既没有看到锁,又不是用HTTPS,请读者差不多不要在上面付钱,看看就算了,那样的话你输入所有的东西都是非常清楚的可以被看到的,如果在座的媒体朋友参加过我们2010发布会的话,在那个会上我做过一个演示,非常简单的你所有输入的东西都可以很容易的被他们发现,他们就可以获取你的信息。
e时代有哪些时尚?"偷菜"光荣?把虚拟货币提升到"等价交换"的高度,这个好像是潮流,挡也挡不住。另外就是一些价值观,知识产权、正版等等也为越来越多的人接受。使用正版的时候可以下补丁,对安全不用担心了,你各方面安全的意识和操作都会主动的增强或者被动的增强,你自己的e财富也会得到有效的保护。光有这个可能还不够,我们不要忘了执法和立法,法律是我们做其他事情的依据,看看我们中国怎么样做的。这个是从国家计算机病毒应急处理中心提供的数据,2009年新增的病毒样本是299万个,是2008年的3.2倍,新木马是2008年的5.5倍,木马占总数的量是72%多,前年是54%,可见这一项是大幅度增加。在同一份报告里面做的全国信息网络安全状况与计算机病毒疫情调查里面显示,安全网络事件的比例为43%,下降了20%,幅度很大,总共是43%,下降了20%,这个幅度是相当大的。感染计算机病毒为70%,比08年下降了15%,两项比例均是调查开展一年以来的最低。这说明样本多了,事件少了,就是由于奥运会带来的网络安全措施逐步出台,初见了成效。我们谈了这么多,不要忘了我们另外一个安全的领域会被大家忽视,这是移动的手机,也可能是移动的福尔摩斯,需要当心。
最后一点就是请大家告诉你们的读者,谁是最权威的安全专家,让卡巴斯基保护您的资产,谢谢大家!
主持人:非常感谢王南先生的精彩发言。他的发言再一次让我们直观感受到生活在网络世界的人面对的威胁是有多么的严重,但是如果想要解除这些网络安全隐患的话,确保自己的信息安全,必须要拥有一款专业的信息安全解决方案,那就是卡巴斯基,我相信卡巴斯基也是广大用户的最优选择之一。
在与网络犯罪斗争的过程当中,卡巴斯基实验室积累了丰富的经验。下面让我们掌声有请北京卡巴斯基科技有限公司副总经理卢向今先生上台为我们发布卡巴斯基实验室2010年网络安全趋势报告,有请!
卢向今:各位媒体的朋友,各位来宾,尊敬的刘总,大家下午好!我是卡巴斯基的卢向今,之所以我刚才提高了一点音量,我发现经过一个下午的报告,大家多少有一点疲倦,接下来我会用很短的时间跟大家分享,帮大家浏览一下我们这两个报告的主要内容。
首先大家可以看一下我们对2009年恶意软件的演化提要,这个提要分三个部分,一个是恶意软件的演化趋势,第二部分是我们对整体的年度回顾,第三就是我们会对新一年恶意软件的发生进行一个大胆的预测。
通过这张图表大家可以看出来,恶意软件的发展趋势在2007年以前都是较为平缓的发展,07到08年新威胁的数量呈几何级的增长,到2009年新的恶意程序的数量基本上跟2008年持平,大概有1500万。2009年恶意程序增长的速度减缓,原因是多方面的,来自于多方面的努力。一个是反病毒公司的努力,还有网游公司开始关注网络安全,因为大家知道,在中国由于网游受欢迎,所以这是受攻击的重灾区。另外就是执行和监管机构注意到了这些问题的严重性,增加了执法和监管的力度。另外电信公司以及反病毒企业也采取了多项成功举措,这样就使得2009年大大延缓的恶意程序的增长速度。我们预计在2010 年,新增的恶意程序数量会跟2009年基本上持平。
对于去年的回顾大家可以看到,第一我们看到日益复杂的恶意程序,2009年恶意程序的复杂化程度显著提高,这些威胁互联网上的传播十分广泛。第二就是不止一个的病毒达到了全球性爆发的级别,而且它的影响范围十分广泛。
下面一个特征就是恶意软件的疫情,大家可以看到,第一是针对计算机的攻击,卡巴斯基安全网络收集到的数据显示,去年全球最大的恶意软件疫情还是来自于Kido,刚才Konstantin和王总都一再强调了,Kido蠕虫仍然是最厉害的一个,下面我们还列举了去年其他攻击了百万亿上台计算机系统的病毒和恶意程序。第二个疫情的重灾区就是网页资源,2008年Gumblar病毒几乎波及了成千上万的网页资源,是最严重的互联网疫情之一,它之所以传播迅速,主要原因就是它是一个全自动的系统,并且具有循环性。去年还有一个显著的特点就是网络诈骗,也就是刚才王总回顾的僵尸网络,互联网上的诈骗手段变得越来越多,这主要是一种利益的驱使。第三就是针对其他系统平台以及设备的恶意软件,这个大家可能已经能够体会到了,一个是这些恶意软件它们对于苹果的 MAC系统,以及我们的手机系统开始越来越感兴趣,而且带来越来越多的危害。
我们对于2010年的预测,在2010年以下的问题或者事件有可能发生,包括争夺网络流量的战斗,恶意软件疫情,恶意软件将会变得更加复杂,流氓反病毒软件数量将会下降,这个下降的主要原因是他们在这个领域所能获得的非法利润变得越来越少,所以就像网络游戏木马的发展情况一样,都是在下降。Google Wave以及通过此项服务发起的攻击无疑将成为2010年的热点,对于Iphone等一些系统可能会带来一些困难。
第二个报告是2009年数据统计的提要,包括互联网上的恶意程序,网络攻击,本地感染。这里列出了在互联网上排名前20位的恶意程序,卡巴斯基实验室的产品在加入卡巴斯基安全网络的计算机上共成功检测出了1亿多次的病毒感染,其中70万余种恶意程序以及潜在的不良程序。同时还发现,其中接近3千万次病毒感染都是由100种最常见的恶意程序造成的,这个整个占了全部病毒感染案例的27%。本地式的感染,启发式的检测技术发现超过300万次的感染尝试,并且这些尝试全部被我们成功的拦截。2009年最大的疫情还是刚才不断提到的臭名昭著的Kido蠕虫。2009年的趋势就是它们变得更狡猾了,他们采用了加壳程序进行加壳或者是模糊化,这种手段阻止反病毒软件对这些恶意软件的检测和分析,也就是说现在魔高一尺,看看道能否高一丈。
由于时间的限制,所以我只是带领大家简单的浏览一下这两个报告给大家带来的内容,希望给大家带来意义和启发。详细的内容大家可以通过登录我们的官方网站获得详细的内容。就两个报告发布的内容就到这里,谢谢大家的聆听。
下面我作为新加盟卡巴斯基的一分子,在这里希望跟大家有一个个人的交流。首先介绍一下我们为什么公布这样两个报告,我跟大家分享一下这个报告的背景和作用。这个报告都是来自于卡巴斯基实验室的云安全体系,刚才王总和Konstantin也简单介绍了这个体系,我们称它为卡巴斯基安全网络(KSN),卡巴斯基安全网络是卡巴斯基实验室针对个人产品采用的一项具有创新意义的一个新的系统,而且目前我们卡巴斯基实验室也正在尝试把它应用到企业产品中。这样的一个体系给防病毒专家带来了很大的益处,能够实时检测那些尚不知的新生恶意程序,同时提高了对新生威胁的反应速度,并且不需要进行常规的反病毒数据库更新,就能够体现它的作用。利用这样一个体系,我们自动的记录恶意程序,也就是说我们获得的数据是完全客观机械的,是最本质的。提供这样的报告我们是希望能够为整个信息安全行业提供可信的数据依据和分析基础。卡巴斯基实验室希望向行业传统这样一个信息,我们一直致力于推动整个信息安全行业的发展,同时卡巴斯基实验室也希望再次向所有用户提供这样一个信息,我们的宗旨是一切为了用户安全。
我跟在座很多的朋友都是初次见面,刚刚加入卡巴斯基,我谈一点个人的感想。我本人一直以来都是卡巴斯基的忠实用户,我觉得它是值得信赖的。现在能够加入到这个团队中,成为这个团队的一员我十分荣幸,作为专业安全软件全球的领跑者,卡巴斯基可以说在过去的几年里,在中国市场取得了令人瞩目的业绩,这一点一直让我深深的钦佩。同时在过去几年里,在不同的时间段,在不同的方向,卡巴斯基也面对了不同的挑战,但是每一次卡巴斯基都可以说是从容的面对,而且通过一次又一次的面对这样的挑战,战胜这样的挑战,卡巴斯基也在业界树立了良好的形象,更重要的是卡巴斯基在用户群中建立了特别良好的口碑。
下面想提一个目前信息安全市场的敏感话题。安全厂商,不仅仅是卡巴斯基都面对了一个新的挑战,是以前从来都没有遇到过的挑战,那就是目前安全软件市场不再像过去很长时间之内的那种有序良性竞争,这个有序良好好像是有被打破的迹象。原因就是竞争对手推出了十分廉价,甚至是完全免费的产品。刚才卡巴斯基亚太地区的技术副总裁王南先生曾经提到,在他的报告当中提到希望用户能够选择那些权威的信息安全软件,对于这一点我十分赞同,我觉得通过提供免费午餐这样一种方式来诱惑用户是否真的能够给客户带来足够的安全?这个问题实际上是见仁见智的。就我个人来说,我一直不敢享受这样免费的午餐,因为中国有一句老话叫便宜莫贪,对这句话我一直是深信不疑。
不选择这样免费的午餐,还有一个很重要的原因,我个人认为,目前广大的用户对于信息安全软件的选择有一点点概念上的误区,我在这儿举一个例子给大家,不是很专业,但是应该说是比较贴切的一个例子。实际上防火墙和个人安全软件是在同一领域里面但是完全不同概念、不同方向的产品,它们的区别我觉得类似于我们的身边的一些现象,就是深宅大院的高墙和小区保安的区别,深宅大院的高墙基本上建立起来了,在某种程度上就可以信赖了,也就是说防火墙一旦建立了,实际上它的可信度就很高了。但是个人安全软件却是不同的,刚才 Konstantin和王总已经跟大家分析了我们面临的这样一个网络环境,它的潜在的威胁是必须要激起我们足够重视的一件事,这个时候我们就应该去选择考虑如何能保护自己的安全。小区保安大家能够想到,并不是小区雇了保安就安全了,保安他真正给我们提供的应该是什么呢?只有这个保安不断的在巡逻,然后不断的对可疑的人士进行巡查,去查找漏洞进行盘查等等,也就是说真正进行后期服务了,这样才是业主或者我们想要的结果。安全软件实际上也是一样的,拥有了一款安全软件并非就是安全了,或者说并非就是长期的安全了,只有为用户提供周到的后期服务,比如说快速的更新,查找隐患,修补漏洞,这个才是用户和我们想要的结果。这是我个人的一些观点,至少在我个人购买个人安全软件的时候,我往往会这样去考虑。
从公司的角度来说,卡巴斯基一直是希望把最好的安全软件卖给客户,我们一直是严谨、客观、负责任的面对我们所从事的事业和我们所有的用户。面对日益严峻的互联网安全形势,用户根本的需求是什么?用户应该需要的是功能全面、技术领先、售后服务完善的强大安全保障,卡巴斯基先生以及卡巴斯基所有的员工一直也致力于为用户提供这样权威的安全保障。
所以在这儿我想再次重申,我们的宗旨就是一切为了用户的安全,在此我希望广大的媒体朋友以及合作伙伴朋友能够一如既往的支持卡巴斯基,让我们努力创造更纯净、更安全的网络空间。最后预祝大家在虎年如虎添翼,谢谢!
主持人:感谢卢总的精彩演讲,同时也谢谢各位专家们的精彩演讲。专业信息安全软件的提供商必须经得起实践的检验,同时还需要不断的加大研发力度,创造出卓越的解决方案,从而才能实现领先网络犯罪一步的目标。我们坚信,在大家的见证下,卡巴斯基实验室将更加努力,从而来确保广大用户的互联网生活更美好,更安全,也更和谐。感谢媒体同仁们对卡巴斯基的关注,再次感谢大家的到来,今天的发布会到此结束!
