僵尸网络早已成为扰乱网民生活和危害IT安全的一大毒瘤,尽管世界各国执法机关已经采取措施陆续关闭过一些主要的僵尸网络,但现在每个月,仍然由成千上万的计算机加入僵尸网络。当前,大部分僵尸网络被用来散播垃圾邮件或者可以用来进行网络间谍活动的恶意软件。还有一些僵尸网络则被用来执行DDoS攻击或者作为从事其它网络犯罪活动的代理服务器。
来自卡巴斯基实验室的全球研究与分析小组首席恶意软件专家Vitaly Kamluk认为,无论是个人用户还是企业用户,僵尸网络已经成为一种主要的威胁。然而,我们迄今采取的对策就好比泥菩萨过河——自身难保。有人会认为,可以通过法律手段来保护我们。事实上,有关禁止未经授权访问远程系统的法律已经出台,也就是禁止第三方利用其它设备上的资源。然而,网络罪犯成功地钻了法律空子。他们利用系统中探测到的漏洞,实施犯罪,为所欲为。与此同时,尽管我们意识到打击僵尸网络的重要性,但是相关的法律条款却让我们在选择方式方法上举步维艰。
目前,在互联网中,分布有超过53000个僵尸网络的指令控制中心(数据来源:www.umbradata.com),尽管可以采取相应的措施,然而其发展却让人难以估计。很多情况下,这些控制中心的位置是可以知晓的,因此,理论上可以联系到其所有者使用的互联网服务提供商,并让其关闭控制中心或交由专门的机构处理。但是,如果不考虑已经遭受感染的成千上万台设备还会继续攻击其它的设备,这种做法也许是正确的。当然,还可以向一台僵尸机发送指令,让其启动自我毁灭机制,从控制中心开始,进而瓦解整个僵尸网络基础架构。不幸的是,这种做法本身属于未经授权的访问,发起这样的指令是不被允许的。
Vitaly表示,要从根本意义上改变目前的困境,需要全世界的执法机构考虑采取以下的一些措施:
通过僵尸网络执行大规模搜救行动;
运用企业中的专家和研究团队,并针对特定的案件调查,提供他们必要的法律保障,以便取得更多的证据,或者在受到物理条件限制无法访问系统的情况下,瓦解恶意系统;
在调查期间,可以使用感染系统中的资源,在受感染设备中设置诱捕方案,从而取得攻击者的源IP地址,并规避他们用来隐藏身份设置的机制;
在没有其它替代方法的情况下,获得探测远程系统的法律许可。当然这种方式会导致网络谍战的爆发,但如果操作恰当,在特定的时间要求下,针对特定的系统、特定的案件,能产生积极的效果。甚至可以从根本上显著改变网络威胁的发展和境况。
加强IT安全,不再仅仅是安装反病毒软件或者部署安全解决方案的技术问题,更应该关注到每个人对IT安全的意识是否足够,当然,也更需有执法机关的有力保障。
本文来源:华军资讯 作者:佚名