2018年信息安全預測
2018年咯,小編收集了一下,今年可能的信息安全威脅。列出這些威脅不是為了加大恐慌程度,而是想列出我們在接下來的一年里可能會遇到的嚴重安全威脅。并且希望,這份報告可以促使行業提前做好準備。有了適當的預防措施后,大部分威脅的危害都能夠降到最小,或者被提前處理。
1. 恐怖主義
發生在世界其他地方的恐怖襲擊,致使了恐怖主義在新一年將成為移動安全的隱患所在。我們可以看到,為了防止被竊聽,Telegram和 Redphone-type通信軟件所使用的端到端加密保護程序越來越普遍。罪犯會使用這軟件與別人溝通,但是時間非常短暫。(有時候他們只使用一次)
展望未來,預測恐怖分子會利用主流媒體服務,比如YouTube,通過將數據與視頻做整合,掩飾他們的通信交流。例如,特殊的音頻頻率正常人無法聽到或辨識,但是可以通過一個特殊的監聽程序將頻率改變。
2. 黑客攻擊移動支付服務
根據黑帽黑客使用的通信頻道的反饋,在2018年,領先的移動支付平臺如Apple Pay或者Samsung Pay將會受到嚴重破壞。這可能不會直接破壞支付平臺的處理算法,但是會通過對整個系統分析,確定并利用其他的支路或漏洞,從而導致信用卡信息詐騙、勒索以及未經授權使用。我們已經看到,被盜的信用卡可以成功添加到ApplePay的賬戶中,即使沒有銀行授權,騙子可以使用被盜的銀行卡在實體店使用。很快,類似的技術將有可能用于在線交易。
蘋果和三星并不是目標中唯一的公司,對等網絡移動支付軟件如Venmo,使用簡單的匯款程序,這使得其更易受到黑客的攻擊,黑客可以將資金從用戶的賬戶中轉移到一個他們可以訪問的虛擬賬戶中。(我們一直在暗中監視這種活動,但是至今還不清楚是否這些攻擊是否已經成功。)
3. 移動網頁黑客攻擊的趨勢上揚
預計Chrome、Firefox 、Safari瀏覽器的移動版本以及安卓或iPhone的相關操作系統在接下來的幾個月中將會遭到頻繁的攻擊。黑客通過攻擊移動瀏覽器是一種破解整個系統最有效的方式,因為瀏覽器存在的漏洞會讓黑客繞過系統的安全措施。下面將會告訴你他們如何運作:
基于Webkit的漏洞會允許黑客繞過瀏覽器的沙箱,或者建立在現代瀏覽器中的安全措施。這將最有可能通過OS/kernel-level開發組件獲取系統的訪問權限,并且完全控制設備。
Stagefright就是一個OS-level的程序,它是安卓OS系統的數據庫中的一個漏洞。雖然谷歌在今年夏天已經發布了針對這個問題的漏洞,Zimperium在今年10月發布了名為Stagefright 2.0的補丁,當其應用到網頁瀏覽器中的時候,它變得非常可靠。
我們預測在接下來的一年中,將有越來越多的漏洞出現,這些漏洞被利用的范圍也會變得更加廣泛。
4. 遠程設備控制/竊聽
由于安卓設備的發展,世界上數十億人很快擁有了自己的智能手機。大多數手機都擁有預裝程序,并且這些程序普遍都沒有經過谷歌安全團隊的分析和檢測,然而,這就會使手機受到遠程控制。原始設備制造商定制的開放性的安卓手機會繼續惡化這一威脅,所以我們也希望原始設備制造商能夠頻繁進行安全升級。
與此相關的是中間人攻擊的趨勢上升。新型智能手機的用戶往往不了解或者對他們的手機缺少足夠的安全保護。例如,他們會讓手機自動接入不安全的AP/WiFi連接,這些網絡連接對傳輸的數據都不加密。這就會使不安全的程序泄露用戶的證書,黑客利用證書可以“看到”移動設備傳輸數據。
另一個值得關注的是,黑客有能力竊聽談話以及看到用戶收發的信息。我的同事Daniel Komaromy和 Nico Golde最近的研究證明了一個簡單的中間人攻擊如何對三星的Shannon基帶芯片產生影響。這個漏洞讓黑客有能力監聽這些設備的通話。
5. DDoS攻擊:進化
到目前為止,大多數拒絕服務攻擊已經比較罕見了,而且影響力也很短暫,大多數互聯網企業都可以處理這種攻擊。然而,移動設備和其他網絡連接設備讓DDoS得以發展。我們開始看到一些設備被控制,變成了DDoS bots,因此要增加屏障用來檢測和預防這類攻擊。我們應該對這類攻擊有所提防,預防的速度要與新的互聯網設備進入市場的速率大致相同。
6. 物聯網
互聯網連接的醫療設備因為安全方面的低配置,變得臭名昭著,因為這使得黑客可以遠程控制這些設備。例如,網絡化的超聲波掃描儀以及其他醫療設備,往往有一個硬編碼的網絡登錄密碼,用來遠程登錄,而且這個密碼很好猜。在2013年,我的同事Jay Radcliff證明了了一個胰島素泵的控制程序可能會被篡改,導致胰島素過量。這真是相當諷刺,挽救我們生命的設備也可能傷害我們。
所有的指一切都可能在未來造成一個恒定的安全威脅,但是我在開頭就說過,好消息是,對于我所列出的漏洞,有一些直接積極的步驟,我真心希望現在的組織可以立刻采納我的這一列表。安全與黑客的發展趨勢將會一夜之間改變,那些安全團隊在2年前采取的措施現在已經遠遠不夠,在2018年當然更加不足。
【本文為51CTO專欄“柯力士信息安全”原創稿件,轉載請聯系原作者(微信號:JW-assoc)】
