隨著當(dāng)今社會(huì)互聯(lián)網(wǎng)的發(fā)展����,從互聯(lián)網(wǎng)中獲取信息已經(jīng)不自覺(jué)的成為人生活中的習(xí)慣了����,互聯(lián)網(wǎng)也在逐漸強(qiáng)大中����,我們電腦中的數(shù)據(jù)也可隨時(shí)被那些黑客高手所“竊取”,那么就在這里給大家介紹一下數(shù)據(jù)加密的知識(shí)吧……
加密“�����,是一種限制對(duì)網(wǎng)絡(luò)上傳輸數(shù)據(jù)的訪問(wèn)權(quán)的技術(shù)���。原始數(shù)據(jù)(也稱為明文,plaintext)被加密設(shè)備(硬件或軟件)和密鑰加密而產(chǎn)生的經(jīng)過(guò)編碼的數(shù)據(jù)稱為密文(ciphertext)����。將密文還原為原始明文的過(guò)程稱為解密��,它是加密的反向處理����,但解密者必須利用相同類型的加密設(shè)備和密鑰對(duì)密文進(jìn)行解密�����。
數(shù)據(jù)加密是確保計(jì)算機(jī)網(wǎng)絡(luò)安全的一種重要機(jī)制����,雖然由于成本、技術(shù)和管理上的復(fù)雜性等原因,目前尚未在網(wǎng)絡(luò)中普及�����,但數(shù)據(jù)加密的確是實(shí)現(xiàn)分布式系統(tǒng)和網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)安全的重要手段之一��。
加密的基本功能包括:
1. 防止不速之客查看機(jī)密的數(shù)據(jù)文件����;
2. 防止機(jī)密數(shù)據(jù)被泄露或篡改�����;
3. 防止特權(quán)用戶(如系統(tǒng)管理員)查看私人數(shù)據(jù)文件���;
4. 使入侵者不能輕易地查找一個(gè)系統(tǒng)的文件。
當(dāng)新的軟件威脅被發(fā)現(xiàn)時(shí)��,逆向工程師會(huì)深入到代碼以找出檢測(cè)攻擊的方法�����,識(shí)別該代碼及其作者���,并發(fā)現(xiàn)惡意軟件背后的目的。
逆向檢測(cè)惡意程序的數(shù)字偵探與創(chuàng)建惡意軟件的開(kāi)發(fā)人員斗智斗勇�,在這場(chǎng)貓捉老鼠的游戲中��,逆向工程師可以很容易地找到惡意軟件的副本來(lái)破解和分析���,而攻擊者則制造各種障礙來(lái)減慢分析師的工作。攻擊者制造的主要障礙是加密和混淆��。
網(wǎng)絡(luò)安全公司Arbor Networks的研究分析師Jeff Edwards表示,在不太遙遠(yuǎn)的過(guò)去�,惡意軟件中的加密反映了程序作者的勃勃野心。而現(xiàn)在�����,幾乎所有惡意軟件都使用了某種加密��,大約有三分之二的僵尸網(wǎng)絡(luò)使用加密通信來(lái)混淆他們的活動(dòng)�����。
“他們?cè)谔岣咂浼用芗夹g(shù)方面有一個(gè)漸進(jìn)發(fā)展的趨勢(shì),”Edward表示���,“這一切都取決于僵尸網(wǎng)絡(luò)操作者和編寫者是否感到需要往前發(fā)展的壓力��。”
在Rustock和Kelihos僵尸網(wǎng)絡(luò)被撤除后���,控制這些僵尸網(wǎng)絡(luò)的地下操作者可能感覺(jué)到前所未有的壓力���,他們需要在更大程度上隱藏其活動(dòng)。此外,隨著惡意軟件開(kāi)發(fā)人員變得越來(lái)越有經(jīng)驗(yàn)�,他們經(jīng)常采用更復(fù)雜和更好的加密技術(shù)。
例如�����,Black Energy僵尸軟件最初使用一種基本的加密技術(shù)來(lái)使其可執(zhí)行文件不被殺毒軟件察覺(jué)�,并使用Base64編碼來(lái)擾亂其通信。這兩個(gè)都很容易被逆向工程�����。然而��,最新版本的Black Energy使用了更強(qiáng)大的RC4流加密的一個(gè)變種(事實(shí)證明存在一些缺陷)來(lái)編碼其通信�。
Arbor Networks對(duì)用于拒絕服務(wù)攻擊的四個(gè)主要僵尸程序的加密進(jìn)行了分析�����,分析發(fā)現(xiàn)了多種加密方法����,從自定義替換算法到RC4流加密(安全套接字層使用的加密方法)等。在一個(gè)分析中�,Arbor研究了Dark Comet遠(yuǎn)程訪問(wèn)木馬,該木馬使用RC4來(lái)加密其通信���,并使用其他有趣的技術(shù)來(lái)混淆加密密鑰�。
“惡意軟件從最開(kāi)始的沒(méi)有加密發(fā)展到現(xiàn)在強(qiáng)大的加密技術(shù)���,”Edward表示����,“RC4是目前最流行的一種加密方法,或者RC4的變種���,它是一個(gè)標(biāo)準(zhǔn)�,很好理解�,而且很安全�。”
卡巴斯基實(shí)驗(yàn)室高級(jí)安全研究員Kurt Baumgartner表示��,僵尸網(wǎng)絡(luò)的加密發(fā)展很緩慢���,五年前,Sinowal或者Torpig木馬使用XTEA區(qū)塊密碼的修改版本來(lái)加密其配置數(shù)據(jù)��。自2008年年底以來(lái)���,Waledac和Kelihos或者Hlux僵尸網(wǎng)絡(luò)使用AES混合其他編碼和壓縮來(lái)混淆他們的代碼和通信��。
“在過(guò)去幾年中����,我們看到惡意軟件陸陸續(xù)續(xù)開(kāi)始使用加密技術(shù)����,”Baumgartner表示,“這些家伙不會(huì)放棄的��。”
奇怪的是�,研究人員發(fā)現(xiàn)有時(shí)候惡意軟件只是使用簡(jiǎn)單的混淆。雖然來(lái)自俄羅斯和歐洲的惡意軟件逐漸開(kāi)始采用更好的加密方法�,而來(lái)自某些的網(wǎng)絡(luò)犯罪分子仍然使用簡(jiǎn)單的方法,有時(shí)候甚至不采用混淆�。很多被認(rèn)為是高級(jí)持續(xù)性威脅的攻擊避免使用加密方法,而是用其他類型的混淆��。
“我們看到在他們的惡意軟件工具包中有各種奇怪的經(jīng)過(guò)修改的編碼方法和壓縮方法,并不是復(fù)雜的加密方法�����,”Baumgartner表示�,“似乎他們是在努力保持在雷達(dá)下飛行�����。”
加密數(shù)據(jù)通常容易被檢測(cè)�,但不能被解密�。自定義加密或者混淆隱藏?cái)?shù)據(jù)可能不太安全,但是能夠更有效地避開(kāi)安全工具,例如防病毒檢測(cè)。
