全球十大網絡安全,云安全漏洞入圍
即將過去的2012年可謂是網絡安全的災年,從銀行到醫院,從中情局局長到普通白領,沒有企業和個人能夠確保自己的信息和隱私安全。DDoS、社會化釣魚、APT、Android惡意軟件正在成為網絡犯罪集團乃至各國政府的最愛,信息安全的舊賬未了,新威脅又不斷涌現。以下是精選出的有代表性的2012年十大網絡安全話題:
10.1200萬蘋果設備ID泄露
今年9月,著名黑客組織“匿名者”(Anonymous)的分支 機構AntiSec 聲稱他們掌握了超過1200萬個蘋果設備ID(包括用戶姓名、手機號碼、地址等信息)。AntiSec還以加密的方式在論壇中放出了100萬個泄露的蘋果設備唯一設備識別符(Unique Device Identifiers,UDID),并發表聲明稱這些數據來自FBI探員Christopher K. Stangl 使用的一部戴爾 Vostro 筆記本。AntiSec 藉此抨擊FBI 監視公民隱私,此事也引起全球范圍內科技媒體的高度關注。對于AntiSec的指控,FBI迅速通過Twitter做出回應,矢口否認曾收集蘋果用戶信息。
最終,根據Intrepidus Group的信息安全顧問David Schuetz的深入調查,泄露的蘋果設備信息的真正源頭是佛羅里達州一家不知名的應用開發商“藍蛙”(Blue Toad)。至于這些泄露的數據為什么會出現在FBI探員的電腦中,個中玄機不言自明(泄露的ID數據在黑客之間分享,難保某位黑客的真實身份不是FBI探員)。
為了幫助廣大蘋果電腦用戶查詢自己的設備是否在數據泄露名單中,TNW特地制作了一個查詢工具,可點擊這里使用。 #p#
9.VMware ESX服務器管理源代碼泄露
今年四月,VMware承認一個ESX 服務器管理源代碼文件被黑客發布到了網上,這為潛在的零日攻擊打開了大門,同時IT經理們也擔心還有其他代碼文件也被泄露。果不其然,今年11月一位化名“Stun”的黑客放出了其他源代碼文件。兩次源代碼泄露事件的細節尚不為公眾所知,難以評估造成的安全風險。不過目前通過升級軟件用戶可以規避代碼泄露產生的安全風險。
8.Mac電腦成為黑客目標
“我不需要殺毒軟件,我用的是Mac!”這句話在2012年不再有效,今年Mac電腦中的Java漏洞—Flashback,導致超過50萬臺Mac電腦被惡意軟件感染。Flashback偽裝成Adobe的Flash安裝和升級程序,從被感染的Mac電腦中收集各種用戶信息。作為第一個成功對蘋果電腦完成大范圍攻擊的惡意軟件,Flashback徹底粉碎了蘋果系統百毒不侵的神話。 #p#
7.微軟粉碎僵尸網絡
微軟今年9月獲得美國弗吉尼亞州地方法院授權,搗毀了Nitol僵尸網絡控制中心,Nitol是500多種惡意軟件的“巢穴”,這些惡意軟件與不安全的計算機銷售供應鏈(盜版軟件和水貨電腦)組成一個犯罪產業鏈(編者按:Android水貨手機目前也存在類似的問題)。根據微軟的研究,從不安全的供應鏈(例如水貨筆記本電腦經銷商和中關村的電腦商城)處購買的電腦中,超過20%被植入了惡意軟件。而這些病毒又能像傳染病一樣通過U盤和網絡感染同事或者家人的電腦。Nitol僵尸網絡就是通過這些途徑不斷傳播擴規模。微軟警告,從不安全的渠道購買電腦和(盜版)軟件都是非常不安全的。 #p#
6.北電遭中國黑客入侵
流年不利多年的電信設備巨頭北電網絡(Nortel Networks)今年二月爆出嚴重泄密事故。報道稱來自中國的黑客入侵北電網絡系統并竊走了幾乎所有重要數據,包括技術文檔、研發報告、商業計劃和大量員工郵件。與此前的黑客從管理層人員環節入手,獲取了包括CEO在內的北電網絡高管的7個密碼,從高管個人信息突破的作案手法與HBGary Federal的信息泄露事件十分類似,唯一的區別是HBGary的首席執行官自身也是Rootkit安全技術高手(但依然被黑客的社交工程手法輕易搞定)。
5.iCloud、亞馬遜云計算爆出嚴重安全漏洞
連線雜志記者Mat Honan今年8月首次報道了iCloud和亞馬遜公共云計算的重大安全隱患,這絕對是獨家報道,因為Mat Honan本人就是這次云安全事件的受害者。黑客將Honan與iCloud同步的三個設備(MacBook、iPad和iPhone)上的數據同時清除,還進入Honan的Gmail和Twitter賬戶(包括Gizimodo的Twitter官方賬號),并在兩個Twitter賬號上發布了一系列種族和同性戀言論。
黑客獲得Honan亞馬遜賬戶的方式簡單到讓人發指。黑客只需要知道目標賬戶的持有人姓名、電子郵件地址和收賬地址,今天,網民的這些信息對于黑客來說簡直唾手可得。
與亞馬遜類似,iCloud目前也非常不安全(除非蘋果提供類似Gmail的雙重認證)。iCloud的唯一安全屏障就是密碼,而獲取密碼的方法也很簡單:你只需要知道賬戶的郵件地址,然后打電話給蘋果的技術支持,報上郵件地址和信用卡后四位數字。Honan用這個方法成功獲得了連線雜志辦公室多位同事的iCloud賬戶密碼。
此外,消費者也注意不要使用iCloud的“Find My Mac”功能,丟失MacBook筆記本電腦的概率很小,而丟失手機的可能性很大,“Find My Mac”功能可以遠程擦除MacBook上的數據,這反而降低了MacBook數據的安全性。 #p#
4.銀行、醫院成網絡安全重災區
根據CRN的報道,2012年第一季度針對美國銀行企業的DDoS攻擊環比暴增80倍。與安全威脅的暴增形成反差的是美國銀行企業在用戶端安全技術方面的大幅落后——歐洲銀行業在在線信息安全方面領先美國同行幾十年,歐洲銀行已經普遍采用雙重認證(Two-Factor Authentication),而美國才剛剛開始。美國的銀行們依然在部署新安全技術與數據泄露成本之間權衡糾結。2012年的多起互聯網用戶數據泄露事件表明,傳統的用戶名密碼越來越不可靠,一些銀行已經采取行動,在用戶的智能手機上啟用硬件或軟件令牌,以及一次性的動態密碼。
與美國銀行企業同病相憐,美國醫療行業也因為安全技術投資的滯后而面臨前所未有的信息安全危機。根據美國國家標準協會2012年4月份發布的一份報告《受保護健康信息泄露的經濟損失評估》顯示:過去兩年有高達1800萬美國公民的個人健康信息被竊取。人們不禁會問,醫院和其他醫療機構為什么沒有采取必要的信息安全措施來保護電子病歷?答案是,醫院的CIO通常認為安全技術投資的ROI很低,不愿投入。但實際上隨著醫院信息化的深入開展,病人隱私信息的安全事故給醫院將給醫院帶來財務、品牌、運營、法律和業務五個方面的巨大損失和麻煩。 #p#
3.LinkedIn賬戶密碼泄露,MD5不再安全
2011年是互聯網用戶賬戶密碼數據大泄露的一年(國內的CSDN,國外有Sony),大多是因為網站沒有對用戶數據采取必要的加密,但2012年LinkedIn的用戶賬戶密碼泄露事件則暴露出MD5加密技術的不足。LinkedIn使用了MD5或者SHA-1加密的哈希密碼,這在過去是標準的密碼保護方法,但在今天已經不夠好了。如何彌補MD5加密技術的不足,更好地保護網站的用戶數據?IT經理網的專欄作者Steve Mushero給出了解決方法。
容易被忽視的是,對LinkedIn的密碼泄漏事件的調查還連帶暴露出一個類似Path的用戶隱私問題:研究人員發現LinkedIn移動應用會不經用戶允許悄悄從日歷資料向外發送數據,其中包括密碼和會議紀錄,在用戶毫不知情的情況下將數據傳回LinkedIn服務器。該消息披露后,LinkedIn表示將終止日歷發送會議紀錄數據。LinkedIn解釋稱日歷同步功能是可選功能,可以關閉,此外LinkedIn并未在服務器上存儲任何用戶隱私數據,而且對傳輸過程中的數據進行了加密。 #p#
2.針對Android智能手機的攻擊首次超過PC
2012年Android智能手機已經占據智能手機市場75%的市場份額,在中國,Android手機的智能市場占有率更是超過9成,這樣一個主流移動操作系統已經引起黑客和無良公司極大的興趣。根據趨勢科技的報告,Android手機惡意軟件的數量近兩年來也一直呈幾何級數增長。根據英國信息安全公司Sophos發布的《2013安全威脅報告》,在澳大利亞和美國,針對Android 的惡意攻擊的比率(Threat Exposure Rate, TER)甚至已經超過PC。(如下圖)
上圖并未給出中國市場的Android系統威脅數據,但是復旦大學計算機科學學院專家今年8月份發布的研究顯示,目前國內安卓系統的應用程序泄露率過半,八成軟件過度要求授權,非法收集用戶隱私信息,包括手機通訊錄、身份信息、地理位置信息、諸多賬號信息以及郵件文件等數據。
根據安全管家行業分析報告,2012年上半年國內共發現手機惡意軟件33930款,Android平臺占據26580款,其中32%悄悄吞噬用戶的手機話費,12%瞄準用戶的通訊錄、照片、短信等個人信息。從第二季度開始,惡意推送廣告的病毒開始蔓延,占當季新增手機病毒的45%。
對于個人消費者來說,水貨Android手機正在成為惡意軟件的溫床,水貨手機中的預裝軟件中存在大量的吸費軟件、竊取個人信息的木馬軟件,以下安全建議針對中國消費者:
買到水貨手機的第一步是立即重新刷回潔凈的官方ROM,盡量不要試圖破解手機獲取Root權限,Root帶來的安全風險大過所謂的自由度。
盡量使用官方電子市場,報告顯示,在Android惡意軟件數量呈幾何級數增長的時候,官方電子市場的惡意軟件數量卻在大幅下降,顯然Android官方電子市場的安全性相比第三方市場要高得多,而且這個差距還在不斷拉大。
下載前先調查一下程序。主要包括兩個方面,發行商的背景調查和程序的用戶評價。
安裝前留意程序請求的權限數量和范圍。很多程序會請求一大堆權限,其中很多跟程序功能毫不相關,例如互聯網訪問權、個人信息(敏感日志數據)、SD卡刪改、硬件控制、GPS等,這時候需要警惕了。
安裝Android殺毒軟件 #p#
1.史上最復雜的間諜軟件——Flame
2012年5月份“一炮而紅”的間諜軟件——Flame迅速成為信息安全行業家喻戶曉的名詞。Flame有很多叫法,包括“Viper”和“Skywiper”等。該間諜軟件最早在中東被發現,專家普遍認為該軟件是針對伊朗設計的。Flame通過攻擊微軟Windows Update認證的MD5算法來實現攻擊,與Stuxnet一起譽為史上最復雜的惡意軟件。
根據紐約時報的報道,Flame并不是針對伊朗核設施的Stuxnet計劃中的一部分,因為Flame的代碼比較陳舊, 大約是5年前的代碼。 根據Wired報道,知情的美國官員拒絕透露美國是否為Flame病毒的幕后推手。 (編者按:但是最近一些網絡安全公司發現Flame和Stuxnet共享關鍵代碼,這也許說明一些問題)
