《連線》雜志:2015年六大安全威脅預測
近日,美國《連線》雜志網絡版刊文,根據最新趨勢對2015年網絡安全行業面臨的重大安全威脅進行了預測和盤點。
以下為文章全文:
隨著新年的鐘聲在午夜敲響,新一輪安全威脅無疑也將在2015年陸續上演。但今年的情況會略有不同。以往,當我們預測今后的威脅時,關注的重點往往集中于兩個方面:竊取信用卡數據和銀行密碼的犯罪型黑客,以及秉承某種信念的激進型黑客。
但如今,如果不把國家主導的網絡攻擊行為納入其中(就像愛德華·斯諾登(EdwardSnowden)爆料的那些威脅一樣),根本構不成完整的預測。據悉,當美國國家安全局(NSA)這樣的間諜機構入侵某個系統供自己所用時,它們也會導致該系統更容易被他人攻擊。所以,我們這份榜單首先從國家主導的黑客攻擊開始。
1、國家主導的黑客攻擊
2014年臨近結束時,一條新消息浮出水面,讓我們得以了解NSA及其英國同行政府通信總署(GCHQ)曾經開展的一次重大攻擊。那次事件與比利時半國有電信公司Belgacom有關。當Belgacom被黑事件2013年夏天首次曝光時,立刻被壓制下來。比利時政府幾乎沒有對此提出抗議。我們唯一知道的是,這兩家間諜機構瞄準了這家電信公司的系統管理員,以進入該公司用于管理所有客戶手機流量的路由器。
但最新披露的信息讓外界得以了解那次黑客行動采用的Regin惡意軟件的更多內幕:原來,黑客還希望劫持比利時以外的整個電信網絡,以便控制基站,并監控用戶或攔截通信信息。Regin顯然只是這兩家間諜機構采用的眾多工具中的一個,他們還借助很多方法來破壞私有公司的電信網絡。由此看來,NSA部署的各種解密措施及其在系統中安裝的各種后門,依然是所有電腦用戶面臨的最大安全威脅。
2、勒索
索尼被黑事件引發的爭論仍在持續,黑客的動機依然沒有完全明確。但無論發動此次攻擊的黑客是為了勒索錢財類似的事件都有可能再度發生。索尼被黑事件并不是第一起黑客勒索案。但這類活動的規模之前多數都很小——使用所謂的“勒索軟件”對硬盤進行加密,或者鎖定一個用戶或一家公司的數據或系統,脅迫其支付錢財。
美國政府和很多民間組織都認為,索尼被黑事件的幕后黑手是朝鮮。但無論事實真相如何,這都是第一起涉及數據泄漏威脅的重大黑客勒索案。與低水平的“勒索軟件”攻擊相比,這種黑客攻擊需要掌握更多的技巧。而對于索尼這種擁有大量保密數據的公司而言,也會因此陷入更大的危機。
3、數據破壞
索尼被黑事件帶來了另外一種尚未在美國見過的威脅:數據破壞威脅。這將在2015年更加普遍。索尼被黑事件的黑客不僅從該公司竊取了數據,還刪除了大量數據。韓國、沙特阿拉伯和伊朗之前曾經遭遇過類似的攻擊——韓國的攻擊對象是銀行和媒體,沙特和伊朗的攻擊對象則是與石油有關的企業和政府機構。
惡意軟件在刪除數據和MBR后,會導致系統無法運行。良好的數據備份可以避免因為這種攻擊蒙受巨大損失,但仍然需要花費不少時間來重建系統,而且成本不菲。你必須確保備份數據完全不受影響,避免在系統恢復后被殘余的惡意軟件再次刪除。
4、銀行卡犯罪將繼續
過去幾十年,出現了很多涉及數百萬銀行卡數據的大規模數據被盜案件,受害企業包括TJX、巴諾書店、塔吉特和家得寶等。有些是通過控制店內的POS系統來竊取卡片數據的,還有一些(例如巴諾被黑事件)則是在刷卡器上安裝盜刷器來竊取數據。
發卡機構和零售商都在部署更加安全的EMV或chip-‘n’-PIN卡片和讀卡器,并采用內置芯片來產生一次性的交易,以供店內購物時使用。這樣一來,即使不法分子竊取了用戶購物時輸入的密碼,也無法用于竊取資金。因此,銀行卡被竊案件有望減少。但這類系統的廣泛普及仍需一段時間。
盡管發卡機構正在逐步使用新的EMV卡代替老式銀行卡,但零售商要到2015年10月才能全面安裝新的讀卡器。在那之后,他們才需要為沒有安裝這種讀卡器而發生的欺詐交易負責。零售商無疑會拖慢這種新技術的部署速度,因此從老式DNV卡上竊取的卡號仍可用于無需輸入密碼的欺詐性在線交易。
除此之外,還存在部署不當的問題。最近的家得寶被黑事件表明,黑客之所以能夠破解chip-‘n’-PIN處理系統,正是因為系統部署不當所致。隨著EMV的逐步普及,黑客肯定會轉變重點。他們不會再從零售商那里竊取卡片數據,而是會直接瞄準卡片處理商的賬戶。在最近的兩起案值分別達900萬和4500萬美元的盜竊案中,黑客入侵了負責處理預付費卡賬號的公司網絡。在人為上調了余額,并取消了少數薪金賬戶的取款限額后,黑客在多座城市雇人通過數百臺ATM機大量取現。
5、第三方入侵
最近幾年出現了一種令人不安的“第三方入侵”趨勢。在這些攻擊活動中,黑客之所以入侵一家公司或一項服務,只是為了瞄準另外一個更加重要的目標。在塔吉特被黑事件中,黑客首先入侵了一家空調公司,原因是這家空調公司與塔吉特存在業務關系,并且擁有塔吉特網絡的訪問權限。但與其他一些更加嚴重的第三方入侵事件相比,這種攻擊的手法仍然比較低級。
黑客通過2011年對RSASecurity的攻擊,獲取了政府機構和企業的系統所使用的RSA安全令牌。而認證機構的漏洞——例如匈牙利認證機構2011年遭到的攻擊——則讓黑客得以通過獲得看似合法的身份來散布惡意軟件,將其偽裝成合法軟件。類似地,Adobe2012年遭到的攻擊導致黑客進入該公司的代碼簽名服務器,把惡意軟件偽裝成Adobe認證的合法軟件。
類似的第三方入侵表明其他安全措施正在逐步加強。由于Windows等系統現在都附帶安全功能,可以阻止來源不明的非法軟件,因此黑客需要偽裝成合法身份才能開展攻擊。這類入侵行為非常嚴重,因為這會破壞用戶對互聯網基礎設施的基本信任。
6、關鍵基礎設施
目前為止,最為嚴重的基礎設施黑客攻擊發生在伊朗。當時,“震網”(Stuxnet)病毒對該國的鈾濃縮設施造成了破壞。不過,美國的關鍵基礎設施也不可能始終獨善其身。有跡象表明,黑客的確正在瞄準美國的工業控制系統。2012年,智能電網控制軟件開發商Telvent就遭到了攻擊。美國的部分電網、石油和天然氣管道以及自來水系統,都采用了這家公司的軟件。黑客當時獲得了該公司SCADA系統的項目文件。Telvent這樣的企業使用項目文件來編制工業控制系統的程序,而且擁有極高的權限,可以通過這些文件修改客戶系統中的任何內容。
震網病毒也曾在入侵伊朗鈾濃縮系統時使用過受感染的項目文件。黑客可以使用項目文件感染客戶,或者通過Telvent等公司的訪問權限來研究其客戶的漏洞,最終獲得遠程控制權限。就像使用第三方系統獲取塔吉特的網絡訪問權限一樣,黑客遲早可以借助Telvent這樣的企業控制關鍵基礎設施——或許,他們已經做到了。(長歌)
