世界末日的“爽约”,让我们可以一起从2012迈入2013年。然而,对于今年信息安全业来说,却堪比末日。但是还好,我们有机会审视过去,总结经验,继续前行。即将过去的2012,比以往任何一年都要热闹。从亚马逊到雅虎的账号泄露,从美国中情局到以色列政府网站的DDoS攻击,再从Mac OS到Android的安全威胁持续加大。
AD:
世界末日的“爽约”,让我们可以一起从2012迈入2013年。然而,对于今年信息安全业来说,却堪比末日。但是还好,我们有机会审视过去,总结经验,继续前行。即将过去的2012,比以往任何一年都要热闹。从亚马逊到雅虎的账号泄露,从美国中情局到以色列政府网站的DDoS攻击,再从Mac OS到Android的安全威胁持续加大。值此辞旧迎新之际,我们一起来回顾一下2012网络安全的大事,并希望能以此引起用户和信息安全厂商的思考。
企业数据安全须“以人为本”
纵观全年,企业信息安全事故频发。企业、政府、金融机构等都不同程度地遭受信息泄露、DDoS和APT攻击的威胁,甚至出现大规模用户数据泄露的情况。数据泄露的发生,不仅是对用户的威胁,更是对企业信誉的威胁。
以亚马逊1月份的数据泄露事件举例,虽然黑客未能拿到完整的信用卡信息,但是凭借盗取的客户姓名、邮箱地址、账单及送货地址、手机号码、信用卡号后四位以及用户密码等信息,足可以进行有效快速的社会工程攻击。今年8月的苹果iCloud事件实在是对于社会工程学攻击的较好呈现。黑客成功在与苹果客服人员的电话中伪装成为了Mat,获取了客服人员的信任,以此重置了Mat的账户密码,进而擦除了关联设备的全部数据,对Mat造成了严重的损失。
对于隐私数据的保护,用户自身也要给予更多地重视。Mat的苹果账户并未遭到黑客通过暴力手段入侵,只是通过生活中信息碎片的拼组,结合专业的社会工程学实践,就完成了此次攻击。因此,安全中的人因工程也被更多的提起。可以看到的未来,机器终究不能代替人,因此人才是网络安全中关键一环,既是最强的武器,也是最短的短板。企业敏感数据随时可能因为内部员工的一个无心之失而曝于人前。不论是对于企业还是个人用户来说,加强安全意识的培养都是重中之重。
移动互联网安全是一个时代的话题
长久以来,人们最经常关注的安全威胁都是来自Windows平台,但事实上移动安全也是一个重大的安全威胁。有数据显示,全球Android设备的数量已经接近PC的数量,再加上智能手机的大范围应用,也促使移动互联网市场显现出其巨大价值,从而吸引越来越多的黑客注意到这片市场。安全问题也将伴随着移动互联网时代的发展而继续突显。
Android由于其平台的开放性,也因此成为了黑客攻击的首选目标。而Android平台的病毒在入侵设备系统时,还可劫持安全软件,让移动设备上的安全软件失去防护作用。这是一个很危险的信号,表明了移动平台的病毒进入了一个更加复杂的阶段。随着移动设备硬件水平的提升,传统互联网的安全威胁也终将移植到移动互联网中。在今年年中时,有研究专家发现,Android 设备已经开始利用雅虎邮件服务发送垃圾邮件。这也是Android设备被用于僵尸网络的表征。
诚然,Google Play相比于Apple App Store来说可能对于应用的审查不严格,但是在很大程度上是可以保证Google Play中的应用是安全可靠的。调查研究显示,发展中国家的使用者对于手持移动设备所采取的安全措施比发达国家少,因此更大几率感染恶意软件。再加之用户通过某些软件自行获取root权限,从非官方应用市场下载并安装破解软件,这也是在为恶意软件的入侵铺路。
安全技术企业Sophos在其2013安全威胁报告中,将Android称为“现如今最大的攻击目标”。根据安全公司BitDefender的调查数据显示,将近41%的Android设备受到恶意软件的攻击。在2012年发现的木马中有94.35%的都是针对Android手机的。该公司同时认为,这些数据在明年还会持续高涨,甚至2013年可能成为“移动手机恶意程序元年”。
从间谍病毒到网络战争
Stuxnet、Flame、Shammon和Gauss,这些近年著名的计算机病毒已经很明显地服务于政治目的。中东地区为Stuxnet、Flame、miniFlame、Shamoon和 Gauss等病毒的重灾区的原因,从目前的国际局势也可端倪一二。美国国防部长利昂·帕内塔在8月的讲话中就说到要警惕“网络珍珠港”的发生。特别指出了对于水、电供应网等等的关键基础设施的网络袭击要特别警惕,因为它们一旦发生了,将对工业基础设施产生极大的破坏力甚至威胁民众生命。
Stuxnet震惊世人之处在于病毒对于工控系统和基础设施的大规模冲击,并且造成严重后果。而这一事件也为我们敲响了对于工控系统和网络战争防范的警钟。工业基础设施与人们的生活休戚相关,一旦被黑客攻击并加以破坏,所带来的后果可想而知。今年发生的几起严重的病毒事件,都是有针对性的。而且,病毒的复杂度也较以往有明显的提高,比如Flame。而Shamoon病毒不仅像Flame一样盗取磁盘数据之后上传到网络,还可以删除磁盘中包括主引导记录在内的全部文件,使得主机完全瘫痪。而Gauss病毒也同样具备摧毁关键基础设施的能力。将近3000 台Gauss受感染的计算机分布在黎巴嫩、以色列及巴勒斯坦等地区。从Gauss病毒感染的地区来看,针对性的意味很重。卡巴斯基实验室在对 Stuxnet、Flame、Gauss等等间谍病毒的深度剖析之后认为,极有可能是出自同一个或几个病毒工厂,这几款攻击工具都可以说是国家级赞助网络间谍与网络战的实体呈现与操作。不论美伊等政府对于网络战的看法如何,网络战争都已经悄然展开。网络空间也将成为继陆、海、空之外的第四片战场。
技术的革新在每时每刻发生着,任何用到信息安全中的新技术,都有可能成为下一个阶段对于安全的挑战。整个“末日”年,对于信息安全产业来说,可谓是最好的一年,也是最坏的一年。云计算、移动互联网、虚拟化、大数据等都给信息安全产业带来了足够大的市场,同时也充满荆棘。
趋势展望
重新审视移动安全
由于巨大的经济利益驱使,基于移动平台的恶意软件还会继续针对Android进行开发,并且在明年还会迅猛增长。另外,移动浏览器仍然是安全短板之一。虽然,开发者一直在智能手机浏览器的易用性和安全性之间博弈,但是他们仍然会为了提升浏览器的响应速度而放弃大多数安全功能。另一方面,有调查表明,移动设备用户比PC用户访问钓鱼网站的频率高三倍。移动浏览器必须在将来寻求方法来保证信息通信的安全性,而不是一味的精简软件设计。
移动支付仍需提升安全性。尽管越来越多的互联网公司推出了移动钱包,移动支付等服务和相关应用,但是消费者仍然对于用手机支付现实世界的交易保持着很高的警惕性。消费者对于将他们自己的银行卡号等和金钱有关的信息存于移动设备之上一直持有很高的怀疑态度和不信任。这种情况一定程度上是由于安全性导致的。谷歌和一些在线钱包公司使用NFC技术进行支付,但是这个协议仍需继续完善,以防作为攻击中的短板。另一方面如何在移动设备丢失之后保障支付信息不被泄露也将是未来的研究方向。
云安全快速成长,安全与威胁并存
将数据存储在云中可能确实更安全,但是对于攻击者来说也更具吸引力。云计算的落地,使得更多的公司将企业信息依托于云服务来提升安全保障水平。尽管提升虚拟化基础设施建设水平极大降低了大规模信息泄露事故的发生,但是云中存储的海量数据的巨大价值仍然吸引着黑客的眼球。
将数据存储到云中,我们并不需要做很多安全工作,因为云服务提供商已经做的够好了。但是,一旦他们失败了,这个影响也会很严重,比如盛大云今年出现的磁盘损坏事故。授权,包括帐户恢复,是一个云服务的明显弱点。只允许授权用户访问数据仍然是一个困难的和具有挑战性的问题。
另外,DDoS攻击已经瞄准了云服务。今年6月份, 有黑客使用DDoS攻击了CloudFare的云服务。在明年,还会有更多种类的攻击以云服务为目标,毕竟存储在云中的数据所蕴含的价值实在太大了。
医疗安全
医疗机构也通过不断的信息化建设来提升医疗水平和对于患者的响应速度。但是,当病人的数据放到网上时,就不得不面临更大的风险。10年前,纸质的医疗记录伴随着患者整个就医过程。然而现在,越来越多的医院将纸质记录数据化,以此来更好的分析患者的病情以及整个地区或国家的健康情况。
然而,联网的不只是用户数据,更包括了医疗设备。医疗设备也日趋先进,通过机器的调整和混合以达到对于药品计量的精确使用,比如微量注射泵。一旦关键医疗设备被黑客入侵,患者将直面死亡的威胁。
因此,明年的医疗安全,在医疗机构的信息防泄漏以及内外网隔离,防入侵方面,也将成为发展方向之一。
2012信息安全年度大事记
2012.1:你方唱罢我登场
守在年关发生的CSDN“泄密门”事件并没有为2011年的泄密事件画上一个句号,反而作为一场跨年“泄密盛宴”,拉开了2012网络安全的序幕。大家都难以忘怀2011年12月底那一声震天响的“警钟”-CSDN网站600万用户名和密码被大规模流转于网络。2012年1月,新浪爱问爆出SQL Injection漏洞,威胁涉及30万用户。同月,亚马逊旗下的电子商务网站Zappos遭到入侵,数据库中2400万账户被盗。虽然黑客未能拿到完整的信用卡信息,但是凭借盗取的客户姓名、邮箱地址、账单及送货地址、手机号码、信用卡号后四位以及用户密码等信息,足可以进行有效快速的社会工程攻击。
2012.4 :CIA和Mac成为“四月愚人”
就在愚人节过去没几天,基于Mac OS的Flashback病毒全面爆发,以一己之力感染70万台Mac电脑,并以此成绩使得苹果公司在其网站上移除了 “Mac不会感染 PC 病毒 ”和“保障你的数据安全,什么也不用做”的宣传语。Mac OS的安全神话被此病毒就此击碎。CIA(美国中央情报局)可能怕是苹果公司一家成为四月愚人有些孤单,因此也罕见地跳出来“支援”苹果。在四月即将收尾之际,CIA网站被黑客组织UGNazi 成功攻击,导致网站拒绝服务数个小时。Flashback的大规模爆发,简直就是对误信Mac OS不会受攻击的“愚人”的当头棒喝。苹果的Mac OS在中国范围的普及,用户数大幅度上升,因此吸引了黑客的注意。随着Mac OS用户的进一步扩大化,其入侵价值也随之走高,希望Mac OS的用户提升安全意识,警惕针对Mac OS平台病毒的再次发威。CIA作为美国情报系统的最高机构,其网站却被黑客成功拒绝服务,而且还是在四月,实在是颇有讽刺意味,不知黑客是否也是有意选择这个时间呢?
2012.5 :间谍病毒或敲响网络战争
Flame (超级火焰)病毒被卡巴斯基安全实验室认定为史上最为复杂的病毒。该病毒作为一款专业的,并且有针对性的间谍软件,在中东及北非造成大范围影响,成功感染了伊朗、黎巴嫩、叙利亚、苏丹以及其他中东和北非国家的目标计算机系统。相比之前的Stuxnet(震网)病毒,Flame病毒具有更智能、更具针对性、代码复杂度更高、攻击机制更复杂的特点。Flame潜伏3-5年才被发现,其主模块拥有65万行C语言代码,能够调用4400 多次字符串反混淆例程, 使用了至少5种加密算法, 3种压缩算法和5种文件格式。其子模块模块“Gadget”和模块“Munch”能够对网络中其它计算机发起一种针对Windows更新的“中间人”攻击,以此来迅速感染网络内通过Windows 自动更新打补丁的计算机。因此,Flame也被认为是有史以来攻击机制最为复杂、威胁程度最高的计算机病毒之一,并且可以轻而易举地感染全补丁的 Windows系统。
2012.6-7:账户泄露“好戏”连台
2012年初的账号泄露狂潮消匿了不到半年的时间,在六月和七月份,eHarmony、 LinkedIn 和Yahoo Voice就联袂出演了一场账户泄露大戏,三家公司联手向大家贡献了近850万的账户。eHarmony 150万、LinkdIn 646万、Yahoo Voice 45万账户曝露于网络供大家下载。对于eHarmony和LinkedIn来说,虽然泄露的数据库文件都是通过较为安全的SHA1加密方式进行加密保护,但是在4小时内,LinkedIn泄露的账户中就有90万常见密码被破解出来。而Yahoo Voice被盗的数据库文档则是与CSDN相同,用户的密码也是明文存储的。
2012.8:盛夏的躁动与不安
2012年8月,酷暑,不论是对于人还是信息安全界来说都是难熬的一个月。Shamoon病毒 、阿美石油公司、iCloud安全、社会工程攻击、 Gauss 病毒这些关键词在这一个月内不断地占领各大网站的安全头条,也不断冲击着读者的眼球。很少见有哪个月能像今年的8月一样集中如此多的安全事件。沙特阿拉伯国营阿美石油公司(Aramco)遭到Shamoon电脑病毒的侵袭,隔天卡塔尔的拉斯天然气公司也遭到同类病毒的攻击。此次攻击造成了30万台电脑瘫痪,而阿美石油公司也不得不换掉超过3万台被Shamoon摧毁的主机。此病毒不仅像Flame一样盗取磁盘数据之后上传到网络,还可以删除磁盘中包括主引导记录在内的全部文件,使得主机完全瘫痪。而Gauss病毒也同样具备摧毁关键基础设施的能力。 卡巴斯基实验室认为Gauss病毒和Stuxnet系出同门,并且与Flame间谍病毒极为相关。将近3000台受感染的计算机分布在黎巴嫩、以及巴勒斯坦等地区,从Gauss病毒感染的地区来看,针对性的意味很重。
而同月发生的另一件安全案例,堪称社会工程学攻击的典型范例-前《连线》杂志特约编辑马特 霍南(Mat Honan)的iCloud账户被黑客通过社会工程学攻击,黑客成功在与苹果客服人员的电话中伪装成为了Mat,获取了客服人员的信任,以此重置了Mat 的账户密码,并且远程删除了其所有关联设备上的数据信息。由于Mat没有备份的习惯,因此所有数据便一去不复返了。这个事件不论是对于用户还是苹果方面来说,都是一记重击,而 iCloud这片白云可能会因为此次安全事件而蒙上一层阴影。
2012.12:DDoS不冷
2012年12月, DDoS再次冲击了美国的部分银行和金融机构。根据Arbor Network公司的监视数据显示,美国多家银行遭到的DDoS攻击记录显示,攻击峰值带宽已经达到了60G。Arbor公司还提到,早在9月份对于美国部分金融机构的DDoS攻击峰值已经到到了63.3Gbps。目前市场上,绝大多数的DDoS防护提供商对于DDoS防护的带宽都是最大支持到60G。从此次DDoS攻击看来,防护提供商可能有必要考虑下升级设备的问题了。DDoS攻击者使用的攻击包虽然有所更新,但只是老技术的重新组合,因此依然可以做到防护DDoS攻击。
今年,安全中的人因工程也被更多的提起。可以看到的未来,机器终究不能代替人,因此人才是网络安全战中关键一环,既是最强的武器,也是最短的短板。企业敏感数据随时可能因为内部员工的一个无心之失而曝于人前。不论是对于企业还是个人用户来说,加强安全意识的培养是重中之重。
智能手机的大范围应用,也促使移动互联网市场显现出其巨大价值。Android由于其平台的开放性,也因此成为了黑客攻击的首选目标。而 Android平台的病毒在入侵设备系统时,还可劫持安全软件,让移动设备上的安全软件失去防护作用。这是一个很危险的信号,表明了移动平台的病毒进入了一个更加复杂的阶段。
从Stuxnet到Flame,计算机病毒已经很明显地服务于政治目的。中东地区为Stuxnet、Flame、miniFlame、 Gauss等病毒的重灾区的原因,从目前的国际局势也可端倪一二。美国国防部长利昂·帕内塔在8月的讲话中就说到要警惕“网络珍珠港”的发生。特别指出了对于水、电供应网等等的关键基础设施的网络袭击要特别警惕,因为它们一旦发生了,将对工业基础设施产生极大的破坏力甚至威胁民众生命。
技术的革新在每时每刻发生着,任何用到信息安全中的新技术,都有可能成为下一个阶段对于安全的挑战。整个“末日”年,对于信息安全产业来说,可谓是最好的一年,也是最坏的一年。云计算、移动互联网、虚拟化、大数据等都给信息安全产业带来了足够大的市场,同时也充满荆棘。