暴风蠕虫并非唯一这样做的病毒。另一个病毒Nugache也在构建一个僵尸网络。此外还有很多其他的病毒在这么做。今天，僵尸网络已经开始感染Mac OS和Linux。你的电脑到底是否已成为僵尸网络的一分子，这种概率目前已接近50/50。

　　6. 阿尔伯特·冈萨雷斯

　　在过去数年间所发生的最大的几次数据泄漏案件，虽然不是有组织的犯罪，但也是多人联合实施的，受害的公司有戴夫与巴斯特食品公司、汉纳福德兄弟连锁、Heartland支付系统和TJX等，这还只是其中的一小部分而已。一个叫阿尔伯特·冈萨雷斯的罪犯与其同伙一起通过上述公司的Web网站植入了恶意软件代码，然后进入了这些公司的内部网络，从而盗走了未加密的大量信用卡数据。

　　为了防范此类数据泄漏犯罪，美国支付卡行业协会(PCI)在2005年特此提出了12条规定，要求其成员必须遵守。PCI安全委员会每两年会更新这些规定。其中包括对信用卡数据的端到端加密。

　　7. 日益诡诈的钓鱼网站

　　比垃圾邮件更为有效，但是还未成熟的数据泄漏方式就是网络钓鱼。其概念是颇有创意地设计一封电子邮件，诱惑接收者去访问一个精心设计的、看上去完全合法的网站，从而盗取你的个人信息。这些网站通常会使用fast-flux技术，可迅速切换域名，可有效防止执法人员对源头网站进行追踪。

　　利用一些银行和电子商务网站的logo和网页设计，一下儿钓鱼网站看上去和所模仿的网站一模一样，和几年前网页上通篇充斥着拼写错误的钓鱼网站已不可同日而语。那么防范这类钓鱼欺诈的最好办法是什么？就是不要去点击!

　　8. 老协议，新问题

　　在互联网协议的演进过程中，今天的一些协议所执行的功能已远远超出了最初设计它们时的功能。这种过分扩展的协议的最着名的例子，就要算DNS了。正如IOActive的研究人员Dan Kaminsky在2008年解释的那样，这个协议对于各种攻击而言到处都是漏洞，其中就包括Cache poisoning(缓存投毒)。

　　DNS将一个网站的常用名(比如www.pchwz.cn)转换成一个数字的服务器地址(比如123.12.123.123)。缓存投毒的意思就是说所储存的常用名网址可能是不正确的，会把用户链接到一个受感染的网站而不是用户真正想去的网站(但用户却一无所知)。

　　同样，PhoneFactor的研究人员Marsh Ray在SSL/TLS协议中也发现了一个漏洞，该漏洞可以在节点两端进行认证时实施中间人攻击。

　　此类漏洞的公布加快了新的标准的建立，例如DNSSEC和新版的SSL/TLS，前者可对DNS系统中的数据进行认证。在未来数年中，各个标准组织将会开展对现有协议的替代工作。

　　9. 发现漏洞付酬

　　多年来，独立的研究人员们一直在争论，新发现的漏洞究竟应该立刻公之于众，还是应该等到厂商发布了该漏洞的补丁之后再公布。在某些情况下，厂商没有再与研究人员联系，或者没有优先考虑公布漏洞的事情，所以研究人员就会自行公布这些漏洞。从防御的角度讲，罪犯们肯定不愿意漏洞被公布，因为这些漏洞信息在黑市上可是抢手货。

　　经过多年的反复争论之后，最近有那么一两家安全公司已经决定支付研究人员封口费。作为交换，安全公司将与涉及到的厂商共同协作，检查补丁是否能够及时完成，而该厂商的客户是否能够比普通公众提前得到详尽的漏洞信息。

　　比如说，在CanSecWest应用安全大会上，Tipping Point就将1万美元的年度奖颁给能够黑掉指定系统的研究人员。近些年来，发现漏洞给予报酬的程序已相当成熟。举例来说，在微软2009年12月的补丁周二，共发布了5个IE漏洞补丁，而这些漏洞都是在iDefence零日项目激励程序的作用下被发现的。
　
    10. 微软的补丁周二

　　十年前，微软只在它觉得有必要时才发布补丁。有时候会拖到周五的下午才发布，这等于说犯罪分子有整个周末的时间可以对所发布的补丁实施反向工程，然后在系统管理员下周一安装补丁之前就能充分利用补丁的漏洞。

　　而从2003年秋天开始，微软发布补丁开始遵循一个简单的程序：每个月的第二个星期二发布。这就是着名的“补丁周二”，已经延用了6年之久，每月发布一大堆补丁。Oracle的补丁是每季度发布，Adobe最近宣称也要每季度发布补丁，苹果是唯一一家没有固定发布周期的主要厂商。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点