今年春季,爱沙尼亚政府遭遇了一次严重的、持续不断的DoS攻击,众多媒体惊呼,这是现代网络战的第一场战役。
发生于今年四、五月间的这次攻击,击溃了爱沙尼亚政府的十多个网站,以及各大ISP、金融机构和媒体门户的网站长达数周之久。一个受到黑客控制的由家用电脑组成的全球化僵尸网络被利用来产生并实施了如洪水般的数据包攻击,峰值速率高达90Mbps。黑客们还将反爱沙尼亚政府的标语贴在重要的政府网站上以羞辱爱沙尼亚政府。
据悉,这次网络攻击的幕后策划者是一些前俄罗斯的政治活动家,攻击的动机是因为爱沙尼亚政府决定挪走一座前苏联的卫国战争纪念碑。总而言之,黑客们发起了数百起针对爱沙尼亚网络的攻击,持续时间从一分钟到10小时,甚至更长。
这次针对爱沙尼亚的网络攻击,让美国的IT业和网络业的专家们颇感震惊,他们认为,世界已经进入了一个网络战的新时代,政府和人民应该为了防范此类由于政治目的而发起的攻击做好准备。
外包合伙公司(OPI)的CIO Glen Baker说,他非常关注这次爱沙尼亚事件,并且很担心此类含有政治目的的攻击可能会殃及他的企业网络。这家地处纽约市的公司为很多跨国企业提供金融和审计的外包服务,其1500名员工中的大多数都在印度和保加利亚工作。
“我们正在聘请一家安全咨询公司,以便能够减轻这次威胁的影响。”Baker说。“它们会为我们进行分析,并构建一种典型的反应机制。”
Baker称,OPI在2001年就曾遭遇过一次黑客攻击,是通过邮件发起的常规病毒和垃圾邮件攻击。他说他更关心的还是黑客攻击,而来自不满员工的内部威胁他还不是太在意。
“我们已经封锁了在印度和保加利亚的工厂。客户们不再有过多的访问权限。他们也不可能将私人的东西放到我们的网络上。”Baker说。“不过我们对外部攻击还是非常的忧心忡忡。我们可以想象到会有含政治或反外包目的的攻击发生。我们正在力图防止这类攻击,并尽可能将影响减至最小。”
Arbor网络公司高级安全研究员Jose Nazario说,已经有一些政府和企业的CIO们在询问有关爱沙尼亚遭遇网络攻击的事件,并想知道这是否是一种新的网络威胁。
“当我们把更多重要的基础设施转移到互联网上,并且越来越依赖于互联网通信时,网络战的威胁也就越来越显得现实起来。”Nazario说。“这类攻击既可以像封锁电话系统那么有效,也可以像这次的爱沙尼亚攻击事件一样击垮关键性的政府网站和邮件服务器。它既可能只是借助攻击宣布某种政治意图,也可以是针对某项活动进行干扰破坏。”
安全专家们一致认为,尽管有爱沙尼亚攻击事件所引发的危险,但是这类攻击更多的还是黑客行为,而不是全面的网络战。不过专家们也在担心,我们正在进入一个以政治动机为主的网络攻击越来越频繁的时代,商业网络也将成为攻击目标。
专家们认为,爱沙尼亚攻击的成功实施和公开报道很有可能会刺激其他心怀不轨的个人或组织发动跟风式的攻击。专家们警告说,凡是劳工政策和商业行为不受公众欢迎,或者对全球气候变化须负责任的企业都有可能遭到类似的攻击。
“由于在爱沙尼亚所发生的攻击事件,含有政治目的的网络攻击的可能性将会越来越频繁,”美国国土安全部计算机紧急响应小组的负责人Michael Witt说。“我们将此类攻击列为不明来历的恐怖行动,我们不知道究竟会有什么事情激怒了某个个人或组织,也不清楚他们是否会因此而发动一次网络攻击。”
在未来的网络攻击中,受攻击的目标不光会有ISP和银行,还会有石油和电气公司等。
“考虑到很多国家的人民对于50年来的全球变暖极其不满,所以很容易想到会有一些小的、心怀不满的组织发起各类网络攻击。”美国普渡大学信息保障与安全教研中心执行主任Eugene Spafford说。
这是一次网络战吗?
尽管有一些媒体报道的标题用“网络战”来加以渲染,但大多数安全专家仍然认为,爱沙尼亚事件并非一次全面的网络战,因为这次攻击似乎并未受到某个国家政府的资助。
Witt说,“我宁可将其称之为宣布政治意图式的行动。”
Spafford认为,真正的网络战应该是由一个国家发起,试图让其他国家屈从于其政治意图的行动,而网络战还应当与其他现实的攻击相伴随。
“如果这确实是一次政府组织的行动的话,那么其危险性就更大了。”Kaplan说。“这纯粹是一些丧失理性的人的示威行为,同时还产生了某些经济上的影响。要是有人真的想把这些家伙拿下的话,那么危险可能会更大。”
无论其究竟是网络战还是黑客行动,爱沙尼亚事件皆表明,有政治目的的网络攻击可以对政府和商业网络造成严重的破坏。
安全专家们认为,这次事件让CIO们放宽了眼界,原来他们只注意防范可能影响企业利润的攻击,而现在,他们还应当考虑防范有政治目的的威胁。
Spafford认为,针对美国企业网络的政治或意识形态的攻击威胁正在加剧,很多早期的病毒和Web攻击都是含有政治意图的。
“有很多机构可能成为各种意识形态组织的攻击对象,因为这些机构在世界某地所从事的商业行为可能是不受欢迎的。”Spafford说。“假如你的企业属于银行或能源行业,那么,为了对整体经济造成损害,你的企业就有可能成为攻击目标。”
Spafford估计,每年在网络上实施的、带有政治目的的攻击多达数千起。“其中大多数攻击和爱沙尼亚的这次网络攻击完全无法相提并论。”
不过,绝大多数的网络攻击都是有经济意图的,最普通的攻击目标一般都是在线赌博、电子商务、色情和金融网站。
“近一段时间以来,我们很难看到大规模的DoS攻击,就是因为大多数的网络攻击都是经济利益驱动的。”美国哥伦比亚大学计算机科学教授和互联网安全专家Steve Bellovin说。
“最常见的攻击主要是为了实施经济敲诈,针对赌博网站发起的攻击尤其如此。”
爱沙尼亚攻击事件的教训
在对爱沙尼亚实施的DoS攻击中,使用数据包涌潮的做法并不新鲜。专家们认为,这次攻击的不同寻常之处在于其持续时间长,造成的破坏大。
“如果仅就其所占用的带宽和每秒的数据流量来看,这次攻击的数量和规模在我们曾经见到过的类似攻击中也只能算是中等规模的攻击。”Nazario说。“然而这次攻击持续了数周之久,而不是几个小时或者几天,这却要比我们过去曾经看到过的此类攻击的持续时间长得多。而且其攻击对象和可以推测的动机皆与地缘政治有关,而非经济的或单纯的恶意行为。这些迹象均表明,我们已经到了某个转折点上。”
Spafford说,对于美国企业来说,重要的是要从爱沙尼亚事件中吸取教训,必须明了,拥有资源的一小部分人能够造成多大的危害。
爱沙尼亚事件的另一个经验教训就是爱沙尼亚政府的反应措施(承认问题的存在,并寻求ISP和各国政府的帮助)得当。
对网络管理者的一个建议是,没必要一定要追查网络攻击来自何方或者因何原因。AT&T的CSO Ed Amoroso说,网络管理者的任务就是如何减轻攻击造成的危害。
“就我们所处理的普通类型的攻击而言,要想确定攻击来自何方是相当困难的,因为大多数攻击都是通过bots(可自动执行外部指令的木马程序)发起的。”Amoroso说。“在网络安全领域,人们总是喜欢说,我们得跟踪追查,看看攻击到底来自何方,我们需要假定地缘政治上的假想敌。其实,即便我们看到了程度很强烈的攻击,即便我们假定其背后有人在资助,但这也只是政府部门的什么人该去想的事。确定攻击的来源是网络安全方面诸多的巨大困难之一。”
对于美国的CIO们来说,好消息是他们能够更好地防范DoS类型的攻击,因为和爱沙尼亚相比,美国的地域广阔,拥有更为健壮的网络基础设施。
“爱沙尼亚国只有罗德岛那么大(按居住人口比),”美国计算机紧急响应小组的资深技术人员Marty Lindner说。“他们的基础设施就那么点儿。要是有人想发起一次DoS攻击,那么,击溃其整个基础设施需要花费的气力与击溃美国一家大企业的基础设施相比要小很多。在爱沙尼亚,攻击者只要击垮11个到12个网站就行了……而美国的大企业管理着庞大的企业网络,比起爱沙尼亚全国的网络都要大,而且更健壮。”
不过Witt认为,即便美国的网络基础设施比爱沙尼亚的更健壮,但是黑客攻击与其他政治意图的攻击仍然是让CIO感到头疼的事情。
“我们一直在同我国的关键基础设施的所有者和运营者努力地工作,涉及的领域有电信业、IT业、化工和能源行业。”Witt说。“多年来我们一直在努力工作,力图确保拥有一个能够对付此类攻击的更健壮的骨干网。那是不是说,我们已经能够百分之百地抵御此类攻击了呢?绝对不是。一切都还要回到良好的商业行为、制定能够及时应对此类攻击的计划上来。
