安全新疆界

SNS興起與智能手機的大行其道，為網絡安全拓展了新的疆界。

雅虎等門戶網站一統互聯網的時代，人們以為門戶網站就是互聯網的霸主；然而Google、百度等搜索引擎的出現改變了這一切，互聯網進入了搜索時代；但搜索引擎也不是主宰互聯網的霸主，MySpace、Facebook等SNS社交網站的興起，特別是多端點接入網絡，使人們看到了另一種網絡生活方式。

SNS天堂的另一面

新的網絡時代也帶來了新的網絡安全危機，而且和以往面臨的情況還有所不同。就在人們興奮地在SNS網站上結交好友時，也已經把自己暴露在眾多安全隱患之中。隱患不僅包括由于各種SNS應用帶來的更為復雜的病毒、木馬等網絡威脅，還有隱私泄露帶來的更為嚴重的威脅。

首先是SNS網站本身的安全漏洞問題，每個網站或多或少都有一些漏洞。安全專家在2009年6月就披露了MySpace站點上的一些安全漏洞，比如沒有管理權限的MySpace用戶可以隨意刪除MySpace群公告，非好友群成員也可以在該群中發表和刪除話題，被好友群禁止的用戶仍然可以在該群中發言等。而Facebook則更為夸張，該網站的首頁源代碼直接被人曝光在了互聯網上。

人們在SNS網站上結交朋友，表現自己，同時也同朋友分享大量圖片、視頻、Mp3音樂文件或者Flash等，然而這些很可能被別有用心的黑客用來散播病毒。前不久，微軟的一個新圖片漏洞就被黑客用來進行傳播木馬，同樣的，黑客還可以編制出帶有惡意程序的視頻、音樂文件或者Flash小游戲來。

還有更為直接的，一些SNS網站上，用戶可以編寫自己的網頁或者Html代碼，這使得黑客制造出含有病毒、木馬的網頁更為容易得多。黑客可以借用當前熱門的話題，將惡意代碼添加到一個偽裝成關于該事件的圖片、視頻或者網頁中，由于SNS的交互性，傳播起來就會很快。另外，SNS網站同樣無法避免固有的瀏覽器安全漏洞問題。盡管這些都是第三方軟件的漏洞，并非SNS網站本身的漏洞，但由于SNS網站上與這些軟件相關的應用會更多一些，因而受影響也會更大。

SNS網站使用的各種新技術也帶來了新的安全問題。比如和SNS網站的興起分不開的AJAX(Asynchronous JavaScript and XML)技術，它是一種為使網頁更趨近于應用程序而產生的技術，通過這一技術可以創建更炫更具互動性的網絡應用。雖然這一技術本身并沒有多少漏洞，但是因為它實際上是結合了多種不斷改良的語言，這為黑客創造出更廣泛的攻擊面，增加了原有的一些問題發生的可能性。

其中最主流的攻擊比如XSS跨站腳本攻擊(cross-site scripting)。2007年12月，Google的Orkut社交網站就遭到這一攻擊方式，成千上萬會員的資料檔案被感染。目前，XSS跨站腳本攻擊依然是網站最主要的安全漏洞，大約70％的網站都存在跨站腳本攻擊。另一個是CSRF跨站請求偽造(cross-site request forgery)，黑客使用CSRF能輕易迫使用戶的瀏覽器發送隱藏的HTTP請求，例如欺詐的網絡傳輸請求，這可以改變用戶的密碼以及下載惡意文件。

此外，SNS網站還可能導致DDoS(分布式拒絕服務攻擊)攻擊。若受感染的數萬、數十萬PC在瀏覽一幅經過惡意構造的圖片之后，向某一特定目標發起類似Slow SQL.Connection的請求，從而就會形成來自于SNS的分布式拒絕服務攻擊。

黑客新目標

但SNS網站存在的這些問題并不是關鍵，最嚴重的危險是隨著SNS網站的火爆，眾多網絡犯罪分子已瞄準了這一目標。2008年5月，俄羅斯最受歡迎的社交網站，擁有逾1200萬名會員的Vkontakte，就遭到一個通過系統散播的蠕蟲攻擊，將硬盤的檔案全部刪除。

不過像上面這樣刪除檔案的直接針對網站惡意攻擊還是少數，在當前以牟謀經濟利益為目標的網絡犯罪行為下，人們面臨的更多的是以盜取個人信息為目的個性化攻擊。網絡罪犯們正越來越多地采用社會工程技術，利用人性的弱點來獲得最大利潤，而SNS網站的互動特性使得使用者更容易遭受社交工程技巧的攻擊。

McAfee在一份安全報告中指出，越來越多的用戶在網絡上發布自己的個人信息，而且用戶生成的應用程序數量也在不斷增加，這便給網絡罪犯利用社交網絡站點上的信息和漏洞進行攻擊帶來了機會。而且，由于網絡罪犯的攻擊越來越縝密和個性化，對于此類攻擊，用戶將極難警戒。

2008年5月，一封郵件通過商務社交網站LinkedIn發出，寄件者自稱是居住在象牙海岸的22歲女孩，她的已故父親留給她6500萬元的遺產。寄件者稱想把這筆財產轉移到國外戶口，需要你的幫助并會付給你大筆傭金，但需要你要先匯一筆小錢支付相關費用。數千萬計的網站用戶都收到了這一郵件，其中一些相信了其中的內容，最終上當受騙。

“網絡罪犯正在制造計算機用戶無法識別的攻擊。釣魚欺詐、電子郵件攻擊、木馬和很多其它攻擊方式都是針對個人，即使最富經驗的人也可能落入精心策劃的社會工程陷阱中，”McAfee Avert Labs的高級副總裁Jeff Green表示，“不管你住在哪里或說何種語言，網絡騙子都能利用人的本性，如恐懼、好奇心、貪婪和同情心等。罪犯了解人的弱點，并通過互聯網大加利用這些弱點。對于網絡騙子來說，利用這種方式賺錢或竊取敏感數據非常容易。”

金山互聯網安全COO王欣認為，面對SNS文化的新趨勢，安全問題不是單一殺毒廠商能夠解決的，應該聯合瀏覽器廠商、應該開發程序提供商等聯合挺對威脅。“互聯網是一個開放的市場，這就好比某家網吧存在安全隱患，應該加強這家網吧的安全建設，而不是自己再開一家網吧。所以同行之間的合作非常重要的。”

“我們的目標消費者年齡在18歲到35之間，精通計算機，一天基本上十幾個小時都泡在互聯網上。”PC Tools亞太及日本地區銷售副總裁Rafal Potega認為PC Tools AntiVirus的優勢是滿足技術狂的使用習慣，他們可以根據自己的需要調整安全產品的工具欄和設置，甚至可以自己設計；并且歡迎和其它殺毒軟件共同安裝使用，而不造成沖突。

SNS網站給了用戶結交朋友，表現自我的機會，但同時也帶來了隱私泄露的威脅。大多數SNS網站采用實名制，或者鼓勵實名制。實名用戶在網站資料填寫自己的真實身份資料，包括真實的姓名、生日、電話、地址等在內的隱私信息，這些隱私信息的泄露可能給用戶帶來很多麻煩，譬如垃圾廣告的騷擾，甚至還被一些別有用心的人加以利用，比如冒用身份進行欺詐。

隱私的泄露有很多途徑，首先是SNS網站可能將其出賣給廣告商。加拿大渥太華大學四名法律系學生就起訴社交網站Facebook：在未征得其同意的情況下，把個人資料披露予廣告商。

另一些隱私泄露的問題則來自SNS網站本身的漏洞，比如此前Facebook在測試新的網站用戶界面時，其中一個漏洞導致網站8000萬用戶的生日信息被泄露。盡管目前很多SN s網站的都提供了相當完善的隱私保護功能，但事實上多數用戶卻并不知道如何利用這些功能來對自己的身份信息進行保護。此外，用戶在SNS網站上發布的大量日志、照片等相關用戶資料，已成為很多網絡犯罪者覬覦的目標。

2010的“驚喜”

毫無疑問，2009年是社交網站迄今為止受到攻擊最多的一年。但是與2010年相比，這些攻擊可能根本不值一提。思科在其2009年《年度安全報告》中突出了社交網絡對安全的影響，并探討了人，而非技術在為網絡犯罪創造機會方面所起的關鍵作用。可以預見，2010年信息安全方面將帶來更多“驚喜”。

無論是通過數據中心、個人電腦或是移動設備，在當今世界里獲取并分享信息比以往任何時候更自如、更便捷，然而這也使信啟、保護、系統管理和數據存儲成為了企業和個人用戶最關注的問題。

在國家信息安全技術工程研究中心總工程師郭曉雷看來，智能手機和普通手機最大的區別在于它安裝了操作系統，相當于一臺移動的計算機。“目前計算機所遇到的諸如木馬入侵、中病毒等安全問題，智能手機都會遇到，而一般手機由于功能相對單一，能安裝和兼容的程序很少，風險就小很多。”

打開一封來歷不明的郵件或彩信，都有可能導致智能手機中病毒或被植入木馬程序，使手機被遠程控制。一方面，木馬程序可用來竊聽用戶所處環境的聲音，另一方面會將手機里存儲的通訊錄、短信息等內容發送出去，而這一切都在用戶毫不知情的情況下發生。

另外，越來越多的消費者會將各種類型的應用下載到自己的移動設備中，這使得運營商網絡的安全性和可用性變得至關重要。一些集中注冊和控制的應用軟件提供者，通過限制可安裝的應用類型來控制安全問題，結果卻限制了終端用戶和開發商的自由度，并使成本大大增加。雖然目前iPhone上的蠕蟲病毒還不能自我傳播，而依靠電腦來傳播，但2010年，很有可能出現真正可以自我傳播的病毒，嚴重威脅iPhone和Android等設備。

卡巴斯基實驗室惡意軟件高級研究員Roel Schouwenberg認為，隨著用戶將智能手機作為迷你PC來處理銀行交易、游戲、社交網站和其他的業務，黑客將越發關注這一平臺。“黑客們的興趣逐漸由計算機轉向智能手機，同時，一些研究機構和企業也開始針對手機安全研發防護產品，一場關于智能手機信息安全的暗戰已經悄然開始。”

智能手機終端的安全問題不僅危害到用戶的信息安全，更嚴重的是還可能危害到整個移動網絡和通訊業務。“運營商更多轉向開放式操作系統，并允許用戶安裝更多應用，這些新的平臺和應用也給運營商的網絡帶來更多潛在風險，使網絡的完整性受到破壞，并帶來業務中斷或額外的網絡流量。”賽門鐵克CTO辦公室高級總裁John P.Kelly透露，賽門鐵克正在將基于互聯網信譽安全的機制移植到智能手機的領域。這項被稱作“賽門鐵克移動信譽安全”的技術(Symantec Mobile Reputation Security，SMRS)通過運營商定義的基于云的數據庫，確定某個文件或應用的安全性，為智能手機提供有效的安全防護和修復功能，同時又不影響終端用戶的自由度。