2014年,網(wǎng)絡(luò)安全問題受到了空前的關(guān)注,諸多的網(wǎng)絡(luò)安全事件讓用戶知道了網(wǎng)絡(luò)信息所面臨的威脅。
2014年,隨著中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立、首屆國家網(wǎng)絡(luò)安全宣傳周、首屆世界互聯(lián)網(wǎng)大會在浙江烏鎮(zhèn)召開,信息安全上升到了國家戰(zhàn)略高度。
同時,隨著政府把網(wǎng)絡(luò)安全提到了國家安全這一高度,也使得網(wǎng)絡(luò)安全走進了大眾的視野。
面對眾多的網(wǎng)絡(luò)安全事件,不禁對網(wǎng)絡(luò)安全的本質(zhì)問題和原有的防護手段進行反思,國家提出的自主可控、安全可信的戰(zhàn)略更加堅定了解決網(wǎng)絡(luò)安全問題的決心,而這其中可信計算是一個重要途徑。
當(dāng)前,網(wǎng)絡(luò)空間已被視為繼陸、海、空、天之后的“第五空間”,網(wǎng)絡(luò)空間已經(jīng)變?yōu)橹鳈?quán)空間。我們要建成網(wǎng)絡(luò)強國,就必須有可控的網(wǎng)絡(luò)技術(shù)。
1、微軟windowsxp停維事件
今年4月,微軟正式停止為windowsxp提供安全更新,服役13年的windowsxp系統(tǒng)就此“退休”。但是在中國大陸xp系統(tǒng)用戶仍高達57.8%,xp的退出將讓許多仍在使用這一系統(tǒng)的用戶無法升級系統(tǒng)修復(fù)補丁,會導(dǎo)致pc的安全問題變得更加嚴(yán)峻。xp服役多年,已經(jīng)超過了一般系統(tǒng)的生命周期,xp的退役也帶來了相關(guān)產(chǎn)業(yè)的獲益。作為中國電子制造業(yè)界的“國家隊”,中國電子信息產(chǎn)業(yè)集團有限公司(以下簡稱中國電子)自然不會袖手旁觀。4月3日,中國電子旗下中電長城網(wǎng)際和北京可信華泰信息技術(shù)有限公司在北京上地舉辦新聞發(fā)布會,正式向社會發(fā)布新品“白細胞”操作系統(tǒng)免疫平臺,標(biāo)志著我國自主創(chuàng)新的基于可信技術(shù)的新一代網(wǎng)絡(luò)安全技術(shù)路線實現(xiàn)產(chǎn)業(yè)化。
2、openssl心臟滴血
來自openssl的緊急安全警告:openssl出現(xiàn)“heartbleed”安全漏洞。這一漏洞讓任何人都能讀取系統(tǒng)的運行內(nèi)存。雖然已經(jīng)有了一個緊急補丁,但在安裝它之前,成千上萬的服務(wù)器都處于危險之中。
該漏洞在互聯(lián)網(wǎng)又稱為“heartbleedbug”,中文名稱叫做“心臟出血”、“擊穿心臟”等。heartbleed漏洞,這項嚴(yán)重缺陷(cve-2014-0160)的產(chǎn)生是由于未能在memcpy()調(diào)用受害用戶輸入內(nèi)容作為長度參數(shù)之前正確進行邊界檢查。攻擊者可以追蹤openssl所分配的64kb緩存、將超出必要范圍的字節(jié)信息復(fù)制到緩存當(dāng)中再返回緩存內(nèi)容,這樣一來受害者的內(nèi)存內(nèi)容就會以每次64kb的速度進行泄露。
heartbleed漏洞是由安全公司codenomicon和谷歌安全工程師發(fā)現(xiàn)的,并提交給相關(guān)管理機構(gòu),隨后官方很快發(fā)布了漏洞的修復(fù)方案。2014年4月7號,程序員seancassidy則在自己的博客上詳細描述了這個漏洞的機制。
2014年4月9日,heartbleed(意為“心臟出血”)的重大安全漏洞被曝光,一位安全行業(yè)人士在知乎上透露,他在某著名電商網(wǎng)站上用這個漏洞嘗試讀取數(shù)據(jù),在讀取200次后,獲得了40多個用戶名、7個密碼,用這些密碼,他成功地登錄了該網(wǎng)站。
3、ebay數(shù)據(jù)的大泄漏
2014年5月22日,ebay要求近1.28億活躍用戶全部重新設(shè)置密碼,此前這家零售網(wǎng)站透露黑客能從該網(wǎng)站獲取密碼、電話號碼、地址及其他個人數(shù)據(jù)。該公司表示,對這次網(wǎng)絡(luò)攻擊的調(diào)查顯示,“沒有證據(jù)”表明黑客攻破了該集團旗下的paypal在線支付服務(wù)——paypal的客戶數(shù)據(jù)與ebay的客戶數(shù)據(jù)是分開存儲和加密的。
該公司表示,黑客得手的ebay數(shù)據(jù)庫不包含客戶任何財務(wù)信息——比如信用卡號碼之類的信息。ebay表示該公司會就重設(shè)密碼一事聯(lián)系用戶。這次泄密事件發(fā)生在今年2月底和3月初,ebay是在大約兩周前發(fā)現(xiàn)這一泄密事件的。該公司并未說明有多少用戶受到此次事件的影響。ebay還表示,黑客獲取了“少數(shù)”員工登錄授權(quán),令他們能夠訪問該公司的企業(yè)網(wǎng)絡(luò)。
4、中國互聯(lián)網(wǎng)dns大劫難
1月21日下午3點10分左右,國內(nèi)通用頂級域的根服務(wù)器忽然出現(xiàn)異常,導(dǎo)致眾多知名網(wǎng)站出現(xiàn)dns解析故障,用戶無法正常訪問。雖然國內(nèi)訪問根服務(wù)器很快恢復(fù),但由于dns緩存問題,部分地區(qū)用戶“斷網(wǎng)”現(xiàn)象仍將持續(xù)數(shù)個小時,至少有2/3的國內(nèi)網(wǎng)站受到影響。微博調(diào)查顯示,“1·21全國dns大劫難”影響空前。事故發(fā)生期間,超過85%的用戶遭遇了dns故障,引發(fā)網(wǎng)速變慢和打不開網(wǎng)站的情況。