又一安全機構發佈 2012 年安全威脅趨勢預測

年尾時候，很多不同的預測報告紛紛出台，今次的報告是由 Fortinet 公佈的。報告之中回顧了整個 2011 年網絡保安發展，大型「殭屍網絡」，例如 DNS Changer 和 Coreflood 殭屍網絡已不再於網上活躍；取而代之的是 64 位元TDSS rootkit 病毒；令源代碼暴露於宙斯（Zeus）和 SpyEye 威脅當中；Anonymous 黑客組織攻擊多間知名銀行，威脅銀行關鍵的基礎設施，令其聲名大噪；而其他較為值得關注的如設立嚴禁於電腦系統中存有惡意代碼，並對相關人士作出判刑及罰款等法例。

2012 的情況將會更堪憂慮，就本月的觀察所見，FortiGuard 實驗室留意到八個網絡安全走勢預測，包括：出現大量流動惡意軟件（新一代多態蠕蟲）、網絡洗黑錢活動漸趨頻繁、政府和私營機構之間的合作將會更趨緊密，以及發現可被利用的 SCADA 漏洞。另外，由幕後支援發動的攻擊亦有上升的趨勢。Anonymous 黑客活躍份子亦會利用其電腦技術來發動「善意」入侵。報告詳列如下:

1. 以勒索軟體威脅流動裝置

過去幾年，「勒索軟體」會於交付「贖金」 前一直「脅持」 裝置，同時亦觀察到流動惡意軟件利用開發漏洞和社交網絡手段，以系統管理（root）的身份入侵受感染裝置。當 root 的權限提高並受到更嚴密的監管時，會加速勒索軟體的蔓延。報告中預計首個入侵流動裝置的勒索軟體將於明年出現。

2. 蠕蟲病毒入侵 Android 手機裝置

蠕蟲包括一些能夠迅速從一個裝置蔓延至其他設備的惡意軟件，暫時並未活躍於 Android 操作系統，但報告認為情況會於 2012 改變。Android 惡意程式與 Cabir 病毒﹝2004 年發現的第一款 Symbian 蠕蟲﹞不同，基於其局限性，Android 惡意軟件開發者，甚少會利用藍牙或電腦同步的方法傳播病毒。反之，病毒會利用受感染的 SMS 訊息，包括含有蠕蟲的連結，或通過社交網絡如 Facebook、Twitter 上受感染的連結傳播。

3. 多態病毒﹝Polymorphism﹞需要一個解密高手

無可置疑，針對 Android 手機的惡意程式會越趨複雜和多元化。去年發現到的 Android 惡意程式利用加密、開發漏洞及偵測模擬器，建立殭屍網絡，但還沒有見到多態病毒﹝Polymorphism﹞的實際例子。多態病毒﹝Polymorphism﹞可自動突變，難以辨識和應付。研究人員最近於 Windows Mobile 中亦發現多態病毒，相信惡意程式在 Android 裝置上出現只是時間的問題。

4. 壓制網絡黑錢活動

錢騾，通常指第三者利用電子媒介，將金錢透過人或服務傳送至其他非法付款處理器，正是黑錢及詐騙操作成功的關鍵。利用匿名資金轉移服務、人際網絡和付款處理器保護區，網絡犯罪集團經營多年，仍能逍遙法外。若果不知道他們身處於什麽地方，又怎能捉拿他們呢？但報告認為這個現象會於 2012 改變。最近，更有案例如俄羅斯付款處理器 ChronoPay 總裁 Pavel Vrublevsky 因入侵 Aeroflot 網站並阻止遊客購買門券以被捕，相信來年會有更多類同的打擊活動出現。

5. 公、私型機構在資訊安全上的合作

在今年，大家會發現公、私型機構在資訊安全上的合作愈來愈頻密，而全球攜手打擊的殭屍網絡亦可見於 Rustock 和 DNS Changer，其他國際性聯合行動包括：促使曾盜取銀行 7, 200 萬資金的大規模恐嚇軟件下線；同時，亦有多個來自 Anonymous 以及 LulzSec 黑客團體的國際人士相繼被捕。類似打擊行動會於 2012 年持續，我們相信大部分的打擊行動都會得到美國國防部高級研究計劃局﹝DARPA﹞的支持。DARPA 最近獲發 1.88 億資金，計劃動用部分金額作爲私人機構成立網絡防衛隊伍之用。從近來展開的活動得知，我們很有可能會在 2012 年見到世界各地開始出現這類公、私型機構協作關係。

6. SCADA 系統範圍

過去十年, 數據採集與監控系統﹝SCADA﹞所潛在的威脅成爲眾人所關注的問題。它們與大部份重要基礎設施如電源、水電網一樣，一旦系統被入侵，則會帶來嚴重的後果。去年，我們留意到兩個以 Stuxnet 入侵電腦的例子，其中一個就是利用 Stuxnet 病毒破壞伊朗核子計劃，另外一個則是透過 Duqu，即 Stuxnet 類病毒，發動與它相似的攻擊及盜取證書。儘管伊朗官員證實該系統因後者以遭受感染，但暫時還沒有發現針對工業控制系統編寫的惡意代號。組成代號的元素經已存在，目前要面對的是關鍵基礎設施系統並非以密封電路運作。新的人機界面（HMI）與這些系統進行互動，由多個軟件、硬件的廠商開發而成，並多以 Web 接口登入。觀乎歷史，基於Web接口與後端系統進行互動時，可以多次避開偵測，而這種情況更蔓延至基於雲端的 SCADA 服務，增加社會對公共雲端伺服器數據儲存安全以及監管重要系統題的關注。黑客組織如 Anonymous 單靠選定目標以及搜尋代碼，就可以找出以 Web 為基礎的不同弱點。預計於 2012 年，將不斷發現更多 SCADA 漏洞，並針對其弱點發動攻擊，造成破壞。

7. 透過贊助發動襲擊

犯罪即服務﹝CaaS﹞，尤如軟件即服務﹝SaaS﹞一樣。犯罪集團利用網絡提供非法、有害的服務，包括感染大量電腦、寄出垃圾郵件、發動直接「拒絕服務」﹝DDoS﹞攻擊，而非提供合法而有用的服務。具備足夠資金的人，更可嘗試尋求 CaaS 供應商的協助。我們預測在 2012 年，購入 CaaS 裝置的數目不會增長，但將會牽涉更多國家或企業贊助，針對企業和個別人士發動的策略性攻擊。但由於缺乏「資訊科技自由」法律，該趨勢難以預測，許多事例都會作庭外和解，判決亦不需向大衆公開。俄羅斯付款處理器 ChronoPay 聲稱雇用黑客，在 2011 年攻擊其直接競爭對手﹝Assist﹞，就是其中一個例子。

8. 發動「善意」入侵

自 Anonymous 黑客集團於 2003 成立 4Chan.org 以來，只在去年被一些無政府主義者利用，對大規模、知名度高的機構，例如 Sony 等發動攻擊。許多活躍的黑客組織（其中以LulzSec最為觸目）於 2011 年成立及抬頭，預計會於 2012 持續增加。其中以 Anonymous 會在來年下旬基於「良好」的動機發動入侵，舉個例子來說，Anonymous 最近威脅揭露墨西哥販毒集團成員身份，以及幫助打擊兒童色情組織。預計在 2012 年度，將會有更多「活躍黑客分子」履行公義的例子發生，同時亦有徘徊於公平準則的攻擊出現。