2014年已經(jīng)過(guò)去一半，過(guò)去半年發(fā)生了很多讓人震驚的消息。有人說(shuō)2013年是數(shù)據(jù)丟失的一年，那么2014年的前半年就可以成為數(shù)據(jù)恐慌的一年。

2014年上半年發(fā)生了很多重大的數(shù)據(jù)安全事件。包括eBay在內(nèi)的大牌零售商以及Neiman Marcus等多家酒店的用戶信息遭到入侵泄漏，這些信息包含了大量用戶的信用卡數(shù)據(jù)，這將帶來(lái)無(wú)法估量的經(jīng)濟(jì)損失。

黑客泛指擅長(zhǎng)IT技術(shù)的人群、計(jì)算機(jī)科學(xué)家。Hacker們精通各種編程語(yǔ)言和各類操作系統(tǒng)，伴隨著計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展而產(chǎn)生成長(zhǎng)。黑客一詞在圈外或媒體上通常被定義為：專門入侵他人系統(tǒng)進(jìn)行不法行為的計(jì)算機(jī)高手。不過(guò)這類人士在hacker眼中是屬于層次較低的cracker(駭客)。如果黑客是炸彈制造專家，那么駭客就是恐怖分子。

除了黑客的主動(dòng)攻擊，2014年的數(shù)據(jù)恐慌中也存在著主動(dòng)丟失問(wèn)題。這里為大家總結(jié)了2014年最讓人震驚的網(wǎng)絡(luò)安全事件。

OpenSSL出現(xiàn)“Heartbleed” 

OpenSSL出現(xiàn)“Heartbleed”

來(lái)自O(shè)penSSL的緊急安全警告：OpenSSL出現(xiàn)“Heartbleed”安全漏洞。這一漏洞讓任何人都能讀取系統(tǒng)的運(yùn)行內(nèi)存。已經(jīng)有了一個(gè)緊急補(bǔ)丁，在安裝它之前，成千上萬(wàn)的服務(wù)器都處于危險(xiǎn)之中。

該漏洞在互聯(lián)網(wǎng)又稱為“heartbleed bug”，中文名稱叫做“心臟出血”、““擊穿心臟””等。

Heartbleed漏洞，這項(xiàng)嚴(yán)重缺陷(CVE-2014-0160)的產(chǎn)生是由于未能在memcpy()調(diào)用受害用戶輸入內(nèi)容作為長(zhǎng)度參數(shù)之前正確進(jìn)行邊界檢查。攻擊者可以追蹤OpenSSL所分配的64KB緩存、將超出必要范圍的字節(jié)信息復(fù)制到緩存當(dāng)中再返回緩存內(nèi)容，這樣一來(lái)受害者的內(nèi)存內(nèi)容就會(huì)以每次64KB的速度進(jìn)行泄露。

Heartbleed漏洞是由安全公司Codenomicon和谷歌安全工程師發(fā)現(xiàn)的，并提交給相關(guān)管理機(jī)構(gòu)，隨后官方很快發(fā)布了漏洞的修復(fù)方案。2014年4月7號(hào)，程序員Sean Cassidy則在自己的博客上詳細(xì)描述了這個(gè)漏洞的機(jī)制。

2014年4月9日，Heartbleed(意為“心臟出血”)的重大安全漏洞被曝光，一位安全行業(yè)人士在知乎上透露，他在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個(gè)用戶名、7個(gè)密碼，用這些密碼，他成功地登錄了該網(wǎng)站。#p#

TrueCrypt商店的紅色警報(bào)

TrueCrypt，是一款免費(fèi)開源的加密軟件，同時(shí)支持Windows Vista,7/XP, Mac OS X, Linux 等操作系統(tǒng)。TrueCrypt不需要生成任何文件即可在硬盤上建立虛擬磁盤，用戶可以按照盤符進(jìn)行訪問(wèn)，所有虛擬磁盤上的文件都被自動(dòng)加密，需要通過(guò)密碼來(lái)進(jìn)行訪問(wèn)。 

 

TrueCrypt商店的紅色警報(bào)

TrueCrypt 提供多種加密算法，包括：AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES, and Twofish，其他特性還有支持FAT32和NTFS分區(qū)、隱藏卷標(biāo)、熱鍵啟動(dòng)等。

FBI在經(jīng)過(guò)一年的嘗試后，還是未能破譯被巴西執(zhí)法機(jī)構(gòu)指控金融犯罪的巴西銀行家的加密文件。巴西一家葡萄牙語(yǔ)報(bào)紙報(bào)道(葡萄牙語(yǔ))，巴西聯(lián)邦警察在2008年7月展開的Satyagraha行動(dòng)中，在銀行家Daniel Dantas位于里約熱內(nèi)盧的公寓內(nèi)收繳了5個(gè)硬盤。文章提到硬盤使用了兩種加密程序，一種是TrueCrypt，另一種是不知名的256位AES加密軟件。在專家未能破解密碼后，巴西政府在2009年初請(qǐng)求美國(guó)提供幫助，然而美國(guó)聯(lián)邦警察在一年不成功的嘗試后，退還了硬盤。巴西現(xiàn)有的法律中不存在強(qiáng)制要求Dantas交出密碼的規(guī)定。

流行的開源加密軟件TrueCrypt突然在其官網(wǎng)上建議Windows用戶改用微軟的BitLocker加密磁盤，并用大紅字警告使用TrueCrypt并不安全。在官網(wǎng)徹底大變臉前，TrueCrypt更新了二進(jìn)制程序。目前完全不清楚TrueCrypt項(xiàng)目究竟發(fā)生了什么事，有許多人懷疑可能與第二階段的TrueCrypt安全審計(jì)報(bào)告即將發(fā)布有關(guān)。

根據(jù)官網(wǎng)上的聲明，在微軟結(jié)束支持Windows XP后TrueCrypt的開發(fā)于2014年5月終止，Windows 8/7/Vista等操作系統(tǒng)集成了磁盤加密支持，它建議用戶將任何TrueCrypt加密的數(shù)據(jù)遷移到平臺(tái)支持的加密磁盤或虛擬磁盤鏡像。#p#

eBay數(shù)據(jù)的大泄漏 

eBay數(shù)據(jù)的大泄漏

5月22日，eBay正要求近1.28億活躍用戶全部重新設(shè)置密碼，此前這家零售網(wǎng)站透露黑客能從該網(wǎng)站獲取密碼、電話號(hào)碼、地址及其他個(gè)人數(shù)據(jù)。

該公司表示，對(duì)這次網(wǎng)絡(luò)攻擊的調(diào)查顯示，“沒有證據(jù)”表明黑客攻破了該集團(tuán)旗下的PayPal在線支付服務(wù)——PayPal的客戶數(shù)據(jù)與eBay的客戶數(shù)據(jù)是分開存儲(chǔ)和加密的。

該公司表示，黑客得手的eBay數(shù)據(jù)庫(kù)不包含客戶任何財(cái)務(wù)信息——比如信用卡號(hào)碼之類的信息。

eBay表示該公司會(huì)就重設(shè)密碼一事聯(lián)系用戶。這次泄密事件發(fā)生在今年2月底和3月初，eBay是在大約兩周前發(fā)現(xiàn)這一泄密事件的。該公司并未說(shuō)明有多少用戶受到此次事件的影響。

eBay還表示，黑客獲取了“少數(shù)”員工登錄授權(quán)，令他們能夠訪問(wèn)該公司的企業(yè)網(wǎng)絡(luò)。#p#

LaCie發(fā)出的安全警告 

LaCie發(fā)出的安全警告

計(jì)算機(jī)硬件企業(yè)LaCie(萊斯)對(duì)在2013年3月27日-2014年3月10日間在LaCie進(jìn)行過(guò)網(wǎng)上交易的用戶做出警告，稱他們的私人數(shù)據(jù)可能存在安全風(fēng)險(xiǎn)。LaCie在今天發(fā)布的聲明中稱，這部分用戶的名字、住址、郵箱地址、支付卡卡號(hào)、卡片有效期與密碼都可能存在安全風(fēng)險(xiǎn)。

Krebs on Security大約在一個(gè)月前就公布了有關(guān)攻擊的證據(jù)，LaCie今天對(duì)此次已存在內(nèi)部長(zhǎng)達(dá)1年時(shí)間的安全漏洞做了揭露。來(lái)自Krebs on Security的Brian Krebs報(bào)告稱，“一個(gè)遭到攻擊的電子商務(wù)站點(diǎn)的僵尸網(wǎng)絡(luò)”已經(jīng)形成，利用的是Adobe ColdFusion的安全漏洞。而LaCie的電子商店前端據(jù)稱就陷入到了受此惡意程序感染的網(wǎng)絡(luò)中。

同時(shí)LaCie母公司希捷(Seagate)企業(yè)通訊主管Clive Over說(shuō)，目前希捷已經(jīng)“執(zhí)行了初步調(diào)查”，“并沒有意識(shí)到公司或第三方信息遭到任何非法的訪問(wèn)”。當(dāng)前LaCie已經(jīng)與一家法院調(diào)查企業(yè)共同合作，對(duì)本次遭遇到的安全風(fēng)險(xiǎn)進(jìn)行深入調(diào)查，并且還執(zhí)行了額外的安全措施。另外LaCie還準(zhǔn)備過(guò)渡到更安全的支付服務(wù)。#p#

古老的勒索把戲 

古老的勒索把戲

如果人們說(shuō)2013年是個(gè)人數(shù)據(jù)泄漏的一年，那么2014年絕對(duì)是數(shù)據(jù)安全的勒索年。2014年年初，部分用戶起床后發(fā)現(xiàn)自己的iCloud用戶無(wú)法登陸，并且有黑客發(fā)來(lái)信件說(shuō)需要部分報(bào)酬才會(huì)恢復(fù)你的iCloud服務(wù)。

在黑客領(lǐng)域，這是一種非常古老的把戲。黑客通過(guò)控制你的電腦，聲稱對(duì)你的電腦和數(shù)據(jù)進(jìn)行破壞，然后想被控制肉雞所有錢財(cái)。到了6月份，安全公司ESET發(fā)現(xiàn)的第一個(gè)例子，在Android平臺(tái)上的文件加密勒索案件。黑客表示除非現(xiàn)在有人可以出更高的贖金，不然他們不會(huì)停止高爆發(fā)的分布式拒絕攻擊(DDoS)。

分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在Internet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。#p#

GnuTLS的協(xié)議漏洞

GnuTLS 是一個(gè)加密協(xié)議庫(kù)，實(shí)現(xiàn)了 SSL、TLS 和 DTLS 協(xié)議和相關(guān)技術(shù)，提供了簡(jiǎn)單的 C 語(yǔ)言編程接口用來(lái)訪問(wèn)這些安全通訊協(xié)議，提供解析和讀寫 X.509、PKCS #12、OpenPGP 和其他相關(guān)結(jié)構(gòu)。特點(diǎn)是可移植性和高效。雖然不像之前傳出重大漏洞的OpenSSL函數(shù)庫(kù)那么流行，不過(guò)GnuTLS的使用范圍也相當(dāng)廣泛，包含在Red Hat、Ubuntu及Debian等Linux操作系統(tǒng)及350種相關(guān)軟件。 

 

GnuTLS的協(xié)議漏洞

安全研究人員近日再次發(fā)現(xiàn)安全通訊庫(kù)GnuTLS的重大漏洞，該漏洞可能使黑客能夠遠(yuǎn)端執(zhí)行惡意代碼。這已經(jīng)是GnuTLS今年第二起安全漏洞事件。2014年3月，Mavrogiannopoulos曾通報(bào)GnuTLS一項(xiàng)goto cleanup重大漏洞，可使網(wǎng)站服務(wù)器誤信黑客偽造的SSL憑證而放行允許控制網(wǎng)站。#p#

有史以來(lái)最大的比特別失竊案

全球最大Bitcoin交易平臺(tái)Mt.Gox申請(qǐng)破產(chǎn)。報(bào)道稱，其他Bitcoin網(wǎng)絡(luò)交易平臺(tái)包括Coinbase、Circle及BTC China發(fā)共同聲明證實(shí)Mt.Gox申請(qǐng)破產(chǎn)。 

有史以來(lái)最大的比特別失竊案

Mt.Gox曾在發(fā)表的聲明中稱：「比特幣軟件中存在一個(gè)漏洞，黑客可以利用該漏洞修改交易信息，比如讓一個(gè)本來(lái)已經(jīng)發(fā)生的比特幣交易看起來(lái)像沒發(fā)生……這會(huì)導(dǎo)致系統(tǒng)重新發(fā)送比特幣……?！?/p>

到本月早些時(shí)候，問(wèn)題變得更加嚴(yán)重，Mt.Gox停止了所有客戶取現(xiàn)，稱比特幣軟件的一個(gè)漏洞使部份用戶能夠更改交易。受到暫停交易的影響，Mt. Gox平臺(tái)比特幣交易價(jià)格上周一度跌至100美元以下。

據(jù)《華爾街日?qǐng)?bào)》稍早前的報(bào)導(dǎo)，比特幣交易所Mt.Gox的CEO Mark Karpeles已經(jīng)在博客中宣布退出比特幣基金會(huì)。至於Karpeles離開的原因，其本人并沒有透露。不過(guò)外媒猜測(cè)這和Mt.Gox接連不斷出現(xiàn)的安全漏洞有一定的關(guān)系。據(jù)了解，Mt.Gox目前面臨一系列長(zhǎng)期的技術(shù)問(wèn)題。這些問(wèn)題去年夏季就已開始出現(xiàn)，當(dāng)時(shí)Mt.Gox暫停了客戶提取美元。