4月9日消息 今日互联网安全应急年会已经进行到第二天的议程。

中国教育和科研计算机网紧急响应组（CCERT）负责人段海新：

因为会议的主办方让我既做主持人，又做演讲人，不能怪我。我现在主要在清华大学，涉及到教学、科研、计算机。首先声明的是我所讲的都是我个人的偏见，我认为所有人讲的都是偏见，因为不可能站在所有人的角度看信息安全的问题，只能站在自己的角度看信息安全的问题。

今天，想跟大家讨论的问题主要几个方面：首先在校园网近期影响非常严重的ARP严重欺骗的攻击，以及病毒恶意代码近期发展的趋势。恶意代码以及防火墙技术的对抗，以及我个人对这个问题的思考。如果有时间的话，我作为教育网应急响应组在高校校园网间做的事件。

首先，我觉得可能是一个好消息。我们近年来影响主干网的安全事件是有所减少的。有些搞安全的人，首先把安全问题说得更严重一点。确实是这样，比如像杜博士提到的，僵尸网络在逐年递增。但是我们看到这几年大规模的DDOS的攻击，把互联网搞得天翻地覆的恶劣的蠕虫实际上是减少了。减少的原因，首先应该感谢现在很多的安全公司所提供的技术，包括现在像操作系统的补丁更新更为及时，防病毒软件技术得到了大幅度的提高。现在恶意代码更新特别的快，以及防火墙入侵检测、防范也发挥了作用。当然更离不开安全网络管理者，包括在座的各位所作出的努力。安全网络管理者在路由器上封锁一些恶意的端口，比如一些黑名单的站点等等，都是有帮助的。

我查了一些资料，像卡巴斯基做的病毒的报告也有这样的一种趋势。在恶意代码占85%以上是木马，不是传统的病毒。传统的病毒所占的比重已经非常少了，传统的病毒比如像可执行文件的插入已经不是很多了个。蠕虫的这种趋势也在减少，我觉得这个可能包括孙冰先生所讲的安全漏洞实行起来很难。从另外一个角度看有些问题变得日益严重，基于Web的攻击孙冰先生也提到了，浏览器的服务在递增。基于现在大多数的应用都基于Web，基于Web的都有第三方的插线，包括第三方的控件以及脚本。Web server的攻击主要像BBS上的开放源代码的漏洞。文件格式，美国的系统与网络管理员协会做的调查，Word这个漏洞今年也有上升的趋势。另外P2P及时聊天共享软件也成为恶意代码分发的途径。

另外，前两天微软介绍也提到，现在的黑客不单以恶作剧为目的了，他们要从中赢利。这是一个好消息，还是坏消息？对运营商来讲，是一个好消息。因为黑客想赚钱，肯定要网络正常的工作。不像以前他做恶作剧，把网络搞瘫了。对用户终端来讲是一个坏消息。他们以前丢失的只是数据，数据有时候也有价值。现在他们丢失的就是真金白银，实实在在的钱，银行帐号，虚拟的货币也会转化为钱。对安全管理人员是一个好消息，还是一个坏消息呢？昨天跟杜跃进博士讨论也谈到，如果黑客赚更多的钱的话，我们的安全管理人员可能会转行。这是另一方面，从另一方面也是一个好消息。如果黑客攻击是为了赚钱的话，如果发现了一个漏洞，我把这个漏洞提交给了微软公司，如果微软公司能够给我支付更多的钱，我还有没有必要利用这个漏洞进行攻击，或窃取别人的密码来赚钱呢？如果这个黑客觉得帮助别人比攻击别人赚更多的钱的话，他为什么要攻击别人呢？当然这点我们不能完全实现。如果提高安全工作人员的报酬、收入，会不会使得很多的黑客转行来搞安全防范呢？所以这里边还有一句口号：提高网络安全人员的待遇，有助于建设我们的和谐社会。如果我以后有机会竞选人大代表的话，我希望在座各位的搞安全的人员们投我一票。

从刚才说的趋势，以及病毒可以看到，恶意代码攻击有隐蔽性和局域性，终端用户根本看不到。局域网在主干网上检测不到。我们在校园网的主干网上监测过很多设备，但是对有些攻击检测不到。以前说钓鱼，姜太公钓鱼，愿者上钩。现在有一个叫做插鱼，而不是钓鱼了，瞄准了目标。比如我收到一个文件，我发给我的同事，我的内容跟工作非常有关系。还有，现在基于Web的攻击，基于Word的攻击，以及基于防火墙封口的检测已不再适用了。另外，还有一个基于设备工程的攻击，通过QQ，通过MSN，向我的朋友发一些欺骗性的文件，利用人与人之间的信用关系。利用了人的弱点，而不是操作系统的弱点。具体的案例就是ARP spoofing attacks的攻击，曾经清华大学校园网一万多台计算机感染了这个病毒，后来知道这个消息也是假的。但是的确很多学校也在面临同样的问题。也会监测你的流量，比如QQ帐号、游戏密码之类的。还会通过HTTP的劫持，插入一些脚本代码。对于这个ARP所利用的漏洞，是ARP协议的漏洞。ARP到现在没有改动，操作厂商对它没有办法，它也不是一种特定的病毒，只是一种攻击方式，比如DDOS。所以被ARP欺骗了，防病毒软件怎么没有控制得了？ARP不是特定的病毒，没有任何东西，是很难防范的。还有一种是只影响流量，ARP流量过滤网关的时候就过滤掉了，ARP根本看不见。

磁碟机病毒及变种。近期大多数ARP欺骗与DiskGen相关。多种传播的手段，比如播放Flash、PDF、Media player。包括USB disk系统的插入，还有一些隐藏技术，自保护的模块化设计。还有升级变化非常快。它有很多服务器可以下载、更新病毒体，而且这个服务器看着同一个域名，在中山大学和上海交大做过一个检测，同一个服务器一个星期更改三次。从这两个病毒上可以看一些对抗技术。现在病毒为了防止病毒的防护软件，有的加密、加壳，有的不加密、加壳而变形。防病毒软件带来了脱壳，如果只是对常见的壳，如果自己写一个野壳，就找不到特征码，拖多长时间呢？有时候病毒加密的密钥是没有的，怎么解密呢？防病毒软件为了脱壳结果变成了病毒了。现在有些防病毒软件也在内核级里做。 防火墙和入侵检测是看不到特征的。另外对防病毒软件的反制。防病毒软件如果发现自己被杀死，就会把另一个防病毒软件给杀死。主动防御方面的软件做了一些行为检测，如果你写一个程序的话可以报警。现在报警太频繁的话，有的用户就把它关了。像卡巴斯基的功能很强，但是用户受不了它，会把它关了。同样用勾挂的话，到后期会把你的勾挂摘掉。防范技术人员的分析，迷惑指令等等。

甚至将来可能实行恶意代码的模块化、自动生成技术。变形、隐藏、攻击。

我自己的一些思考。首先我觉得人的脆弱性，再好的技术到的没有安全意识的人里面也是一个问题。人的意识我觉得是好奇、想赚钱，对网上的东西很少有怀疑。有一个老兄在网上做生意，不是很好的生意，在网上赌博被骗了十几万，找警察叔叔也管不了，老兄又在网上找私家侦探公司再把钱找回来。这个事情一个是上当受骗，一个是不罢休的再一次的上当受骗。另外技术防范总是被动的，滞后于新的攻击。道高一尺，魔高一丈。最后还是魔高一点点，只有黑客才知道下一步干什么。如果防范人员清楚下一步干什么，除非他也是一个黑客。指望一劳永逸的解决方案是不切实际的。我在这个领域里做久了，这个事情是很难为他们的。作为用户、管理者，不能指望装了一套产品，采取了一套方案之后就高枕无忧了。我们永远离不开技术的创新，因为你不创新，黑客也在创新。作为管理人员永远都要尽职尽责，没有一种方案一种产品做完之后什么都不管了。在产品成熟的前，临时方案和服务是必要的。在新的攻击出来之前，防范产品没有出来的时候提供一些安全防范的服务。

由于时间的关系，我简单说几句。校园网里，我觉得有几个特点：1.开放。不像政府网、企业网。2.自由，我觉得自由是应该的，我觉得现在的自由远远不够，我觉得对现在有些设施太干涉学校科研人员的自由了。在开幕式上也提到解放思想。什么叫做解放思想？没有思想的自由，就永远没有创新的技术。我觉得现在学校的自由还很不够，所以我也很不喜欢有些政府的管理部门在滥用权力的时候，不该用的权力用在学校里面。3.自主。校园网应该也是一个，比如清华大学和兄弟院校是自主控制的，我对其他的学校没有管理权限。4.没钱，投入少。

另外这种自治的管理需要技术的共享，而不是集中的监控和管理。我自己也做过主干网的监测，只是靠我们几个人。比如清华大学技术管理中心的几个人，我们不可能解决所有的问题，我们遇到的问题非常有限。及时和经验分散在直接的网络管理者中，不可能集中在少数部分人的脑子里。所以说宏观上的技术指导都是不可能的。我在网络中心做的贡献就是协调，让大家互相交流，把每个人的经验贡献出来，这是我最大的贡献。不是把我的经验贡献出来，让大家去做。协调和协作来自于互利，来自于平等的交流。没有互利，再强调你来开会吧，你贡献吧，这是不可能的。

我们成立了一个校园网安全论坛，实际就是说实现大家共同的交流。我们通过网上的技术，通过视频会议的平台，中山大学做的安全意识的培养、教育，以及ARP欺骗方面所做的工作，还有上海交自动采取的措施。ARP磁碟机爆发的时候就会被控制。谢谢各位。