2015年最具創(chuàng)新性和破壞性的黑客攻擊事件

責(zé)任編輯:editor005

作者:litao984lt編譯

2015-12-31 11:04:10

摘自:機(jī)房360

摘要:在即將過去的2015年中所發(fā)生過的一系列最為重大的網(wǎng)絡(luò)攻擊事件突出顯示了現(xiàn)如今的網(wǎng)絡(luò)黑客們是如何改變他們的戰(zhàn)術(shù)的,以及IT 安全人員們又應(yīng)當(dāng)如何在未來采取相應(yīng)的防御措施。

摘要:在即將過去的2015年中所發(fā)生過的一系列最為重大的網(wǎng)絡(luò)攻擊事件突出顯示了現(xiàn)如今的網(wǎng)絡(luò)黑客們是如何改變他們的戰(zhàn)術(shù)的,以及IT 安全人員們又應(yīng)當(dāng)如何在未來采取相應(yīng)的防御措施。

在過去的2015年中,幾乎沒有哪一個禮拜沒有發(fā)生過重大的數(shù)據(jù)泄露事件、重大的網(wǎng)絡(luò)攻擊活動或嚴(yán)重的漏洞報(bào)告。而在這其中,許多安全事件均是由于企業(yè)糟糕的安全控制、執(zhí)行錯誤或其他基本安全失誤所導(dǎo)致的,由此也凸顯了企業(yè)在確保IT安全的諸多基本層面的工作仍然任重而道遠(yuǎn)。

而現(xiàn)在,不妨讓我們超越林林總總的各種網(wǎng)絡(luò)攻擊和漏洞,借此來分析這些攻擊事件所揭示出的網(wǎng)絡(luò)惡意活動的相關(guān)洞察,以及如何在未來采取有效的措施以抵御。在2015年中,有相當(dāng)一部分可以說是耐人尋味的網(wǎng)絡(luò)入侵事件,其中每個事件都突顯了黑客技術(shù)的改進(jìn),帶來了新形式的網(wǎng)絡(luò)違規(guī)行為,或者為我們指明了需要采取防御措施的新的領(lǐng)域。在過去的一年里,某些網(wǎng)絡(luò)罪犯分子采用了創(chuàng)新的方法,并獲得了有關(guān)國家的資助,使得其攻擊行為變得更大膽。而他們進(jìn)行網(wǎng)絡(luò)攻擊的動機(jī)也發(fā)生了轉(zhuǎn)移,獲取經(jīng)濟(jì)利益已經(jīng)不再是他們發(fā)動網(wǎng)絡(luò)攻擊的唯一原因。制造物理損失、竊取商業(yè)機(jī)密,將黑客攻擊行為作為一種抗議形式等等——使得2015年的網(wǎng)絡(luò)攻擊惡意活動可以說是服務(wù)于眾多不同的目的。

日益互聯(lián)的世界意味著網(wǎng)上的犯罪份子可能造成大量的損害;而更重要的是,現(xiàn)在有許多惡意的犯罪份子有相當(dāng)先進(jìn)的能力和手段來實(shí)施網(wǎng)絡(luò)攻擊。下面,我們將為廣大讀者總結(jié)在過去一年的中所發(fā)生過的一系列最為重大的網(wǎng)絡(luò)攻擊事件,其中每一個網(wǎng)絡(luò)攻擊活動都將整體網(wǎng)絡(luò)安全向前推動了的一大步,展示了黑客攻擊的新領(lǐng)域,以及人們亟待采取防御措施的新領(lǐng)域。

被網(wǎng)絡(luò)犯罪份子所窺視的比特幣

比特幣是一種新的加密貨幣的理念。其在2015年獲得了主流的關(guān)注,部分原因就在于網(wǎng)絡(luò)惡意活動者使用該平臺作為其支付掩護(hù)手段。從事勒索的犯罪團(tuán)體強(qiáng)迫受害者必須支付比特幣,才能讓自己被他們攻擊的文件和文件夾獲得解鎖,同時(shí)勒索者都要求以比特幣換取不發(fā)動針對網(wǎng)站的DDoS攻擊。在2015年,基于各種不同的原因,比特幣屢屢成為安全攻擊新聞事件的頭條:甚至有很多小偷竊取比特幣的新聞事件......

2015年一月初,在發(fā)現(xiàn)一款錢包系統(tǒng)存在漏洞被黑客入侵攻破之后,歐洲比特幣交易平臺BitStamp暫停了交易。該交易平臺被認(rèn)為是世界上第三大的比特幣交易平臺,處理全球約6%的比特幣交易。此次黑客入侵導(dǎo)致約1.9萬枚比特幣被盜,價(jià)值約合500萬美元。但這并不是唯一一次比特幣遭遇網(wǎng)絡(luò)黑客攻擊:據(jù)報(bào)道,在2015年二月,中國的比特幣交易平臺比特兒(Bter.com) 發(fā)生被盜事件,導(dǎo)致約合175萬美元的7170枚比特幣從其冷錢包系統(tǒng)被盜。而在2015年十月,小偷又從比特幣初創(chuàng)企業(yè)Purse公司盜走了10.235 BTC,大約是2500美元。

我們可以將這種網(wǎng)絡(luò)攻擊理解為是針對傳統(tǒng)銀行搶劫的一種轉(zhuǎn)折:犯罪分子不再是直接搶劫銀行賬戶或襲擊交易所。這除了顯示出虛擬貨幣有現(xiàn)實(shí)的經(jīng)濟(jì)價(jià)值之外,相關(guān)的盜竊案還凸顯了“制定國際公認(rèn)的比特幣安全標(biāo)準(zhǔn)”的緊迫性,Optiv Inc公司信息安全主管Florindo Gallicchio表示說。在2015年二月,數(shù)字貨幣認(rèn)證協(xié)會(the CryptoCurrency CertificationConsortium,C4)提出了創(chuàng)建、存儲、審核和使用比特幣的10項(xiàng)標(biāo)準(zhǔn)化規(guī)則,并將其作為數(shù)字貨幣安全標(biāo)準(zhǔn)(CCSS)的一部分。

雖然上述被盜事件所涉及的金額都不小,但相比在日本Mt. Gox交易平臺于2014年所消失的85萬枚比特幣,價(jià)值近4.5億美元,可以說是微不足道。該交易平臺被認(rèn)為已處理了全球約70%的比特幣交易,自那時(shí)起一經(jīng)關(guān)閉并宣布破產(chǎn)。日本警方認(rèn)為,此次盜竊事件極有可能是一種監(jiān)守自盜。鑒于比特幣的開采和交易都與技術(shù)相關(guān),因此,其交易平臺迄今往往都主要集中在功能性和易用性方面,而把安全保障排在了較靠后的位置,Hexis網(wǎng)絡(luò)解決方案公司的首席技術(shù)官史提夫·唐納德說。許多攻擊活動都依賴于社會工程,在比特幣交易網(wǎng)絡(luò)平臺獲得一個立足于據(jù)點(diǎn)。交易需要采取安全代碼開發(fā)的方法,以及動態(tài)和靜態(tài)相結(jié)合的代碼分析,以保護(hù)他們的應(yīng)用程序。“比特幣交易平臺應(yīng)采取高度激勵措施來提高安全,而這也是這種新型的貨幣實(shí)現(xiàn)大規(guī)模應(yīng)用之前的一個必須實(shí)現(xiàn)的要求。”唐納德說。

網(wǎng)絡(luò)攻擊進(jìn)入現(xiàn)實(shí)世界

網(wǎng)絡(luò)惡意攻擊在現(xiàn)實(shí)物理世界也造成了極大的損失,其發(fā)生在電視節(jié)目上的要比在觀眾視線以外更頻繁。早在2012年,就曾發(fā)生過相當(dāng)駭人的Shamoon惡意攻擊病毒部分或完全的刪改了沙特Saudi Aramco石油公司大約35,000臺電腦硬盤驅(qū)動器上的信息的事件。這讓我們再次認(rèn)清了網(wǎng)絡(luò)世界和現(xiàn)實(shí)物理世界之間的界線是模糊的,據(jù)報(bào)道,某個實(shí)際發(fā)生在2014年的攻擊活動,而其詳細(xì)的事后調(diào)查報(bào)告則是在今年年底之前剛剛發(fā)布不久的:在德國的一處未詳細(xì)透露名稱的鋼廠曾遭遇過惡意攻擊者的操縱,并破壞了其控制系統(tǒng)。最終導(dǎo)致其高爐無法正常關(guān)閉,進(jìn)而造成了“巨大的”的損失。

有一種傾向認(rèn)為網(wǎng)絡(luò)攻擊就是竊取數(shù)據(jù)或通過攻擊使系統(tǒng)離線脫機(jī)。但事實(shí)上,其甚至可能會真實(shí)世界造成相當(dāng)嚴(yán)重的損害。惡意攻擊者可能會侵入某制藥公司的生產(chǎn)流程或質(zhì)量控制系統(tǒng),并修改某個特定藥物的配方。醫(yī)院系統(tǒng)也很容易受到攻擊,特別是對于那些仍在大規(guī)模使用許多傳統(tǒng)遺留系統(tǒng)的醫(yī)療衛(wèi)生機(jī)構(gòu),這方面的安全無法得到很好的保證。高達(dá)20%的醫(yī)院都非常容易受到網(wǎng)絡(luò)攻擊,導(dǎo)致其重癥監(jiān)護(hù)系統(tǒng)無法正常使用,Gallicchio表示說。

“人們也可能會從網(wǎng)絡(luò)攻擊中遭到物理傷害。” Gallicchio說。

關(guān)于工業(yè)控制系統(tǒng)的安全性已經(jīng)出現(xiàn)在太多的談話中了,但在上述例子中所介紹的德國鋼廠發(fā)生的網(wǎng)絡(luò)攻擊事件更能突顯網(wǎng)絡(luò)安全威脅已不再是理論上的了。談到工業(yè)控制系統(tǒng)的安全性,特別是對于制造業(yè)而言,其當(dāng)前所面臨的一大挑戰(zhàn)是其實(shí)是一個非常簡單的事實(shí):即其各種控制系統(tǒng)一般都是由企業(yè)的運(yùn)營和工程部門所控制的,而不是IT管理部門。而企業(yè)的運(yùn)營和工程團(tuán)隊(duì)往往都將主要精力集中在了可靠性方面,其所作出的維持正常運(yùn)行時(shí)間的各項(xiàng)決策往往都是以犧牲安全性為代價(jià)的。

企業(yè)提高網(wǎng)絡(luò)安全防御需要實(shí)施“一套混合的基礎(chǔ)方案和更現(xiàn)代的防御方案”,如確保適當(dāng)?shù)姆指詈筒煌W(wǎng)絡(luò)之間的訪問控制,唐納德說。

網(wǎng)絡(luò)金融犯罪規(guī)模變大

在2015年,還曾發(fā)生過一系列的針對金融機(jī)構(gòu)的網(wǎng)絡(luò)惡意攻擊活動,但其中沒有一件要比Carbanak犯罪團(tuán)伙的活動來得更為大膽創(chuàng)新。該犯罪團(tuán)伙瞄準(zhǔn)了超過30個國家的100多家銀行及其他金融機(jī)構(gòu)。根據(jù)卡巴斯基實(shí)驗(yàn)室估計(jì),自2013年底以來,該犯罪團(tuán)伙所竊取的金額或?qū)⒏哌_(dá)10億美元,并成功的保持了長達(dá)兩年的神秘低調(diào),因?yàn)樵摲缸飯F(tuán)隊(duì)將每筆交易就都控制在了250萬美元到1000萬美元之間。

針對金融機(jī)構(gòu)的網(wǎng)絡(luò)攻擊活動的規(guī)模顯示了網(wǎng)絡(luò)攻擊不法分子的攻擊目標(biāo)正在由低價(jià)值的消費(fèi)者相關(guān)攻擊(如身份信息竊取和信用卡盜竊),轉(zhuǎn)向?yàn)楦邇r(jià)值的網(wǎng)絡(luò)攻擊活動。過去的依靠 “打砸搶”的笨方法正在變?yōu)榻?jīng)過了精心策劃和縝密執(zhí)行的作業(yè)。CounterTack公司首席技術(shù)官邁克·戴維斯表示說。

而美國聯(lián)邦調(diào)查局還警告說,新的網(wǎng)絡(luò)惡意攻擊還明顯增加了社會工程活動的趨勢:某個網(wǎng)絡(luò)惡意攻擊者向某公司的CFO或其他高級行政人員發(fā)送一封電子郵件,聲稱自己是公司的CEO或其他高級管理人員,要求授權(quán)電匯。如果收件人被騙,或在電匯轉(zhuǎn)賬之前沒有核實(shí)驗(yàn)證郵件的真實(shí)性,錢就白白沒了。

盡管來自外部的攻擊者仍然是對金融機(jī)構(gòu)的最大威脅,但在2015年,一些業(yè)內(nèi)人士的攻擊所造成損失的危害性可能也相當(dāng)嚴(yán)重。在今年早些時(shí)候,摩根士丹利的一名前雇員承認(rèn)有罪,該名前雇員在為一份新工作面試兩名競爭者期間曾竊取了大約700,000名客戶賬戶的機(jī)密數(shù)據(jù)。而還有外部攻擊者將其目標(biāo)瞄準(zhǔn)了金融機(jī)構(gòu)內(nèi)部已經(jīng)過訪問敏感數(shù)據(jù)的內(nèi)部人士。加密、根據(jù)數(shù)據(jù)傳輸實(shí)施的動態(tài)安全政策和強(qiáng)大的多因素身份驗(yàn)證控件是金融機(jī)構(gòu)應(yīng)考慮采取的用以確保未經(jīng)授權(quán)的人無法讀取任何他們不被允許查看的數(shù)據(jù)信息的防御手段,F(xiàn)asoo的副總裁羅恩雅頓說。

醫(yī)療衛(wèi)生保健行業(yè)的違規(guī)活動

在2015年,一些最大規(guī)模的安全漏洞還涉及到了醫(yī)療衛(wèi)生保健機(jī)構(gòu),包括Anthem、Excellus BlueCross BlueShield、Premera Blue Cross和CareFirst等等機(jī)構(gòu)均遭受到不同程度的黑客入侵。而根據(jù)美國衛(wèi)生和公眾服務(wù)部介紹,美國醫(yī)療衛(wèi)生保健行業(yè)排名前十的安全漏洞事件中,有八項(xiàng)安全漏洞事件均發(fā)生在2015年。

鑒于這些醫(yī)療衛(wèi)生保健行業(yè)的企業(yè)往往擁有最為寶貴的數(shù)據(jù)信息,包括姓名,地址,社會安全號碼,醫(yī)療記錄和財(cái)務(wù)信息等等,因此,網(wǎng)絡(luò)惡意攻擊者紛紛開始以該行業(yè)的企業(yè)作為攻擊目標(biāo)也就不足為奇了。而由于這些數(shù)據(jù)信息一般是很難改變的,這就意味著這些數(shù)據(jù)信息具有一個較長的保質(zhì)期,并且可以在各種后續(xù)攻擊中使用。在2015年,網(wǎng)絡(luò)攻擊者訪問了1億多份醫(yī)療記錄。

雖然一些網(wǎng)絡(luò)違規(guī)行為可能是為了盜取客戶的身份數(shù)據(jù)信息,或者是其他網(wǎng)絡(luò)犯罪活動的一部分。但有安全專家認(rèn)為,Anthem 公司所遭遇的網(wǎng)絡(luò)攻擊可能是來自中國的黑客。而這類攻擊者很可能是針對特定的個人資料,以獲取情報(bào)為目的的;或他們可能有想要獲取涉及到醫(yī)療保險(xiǎn)和保險(xiǎn)數(shù)據(jù)庫如何建立的相關(guān)知識產(chǎn)權(quán)。中國政府否認(rèn)了這一襲擊事件,中國當(dāng)局最近還逮捕了聲稱針對Anthem 公司實(shí)施過網(wǎng)絡(luò)犯罪的嫌疑人。

“就像網(wǎng)絡(luò)惡意攻擊者金融行業(yè)發(fā)展成為了新一代的銀行搶劫一樣,我們將很快看到網(wǎng)絡(luò)攻擊者利用醫(yī)療信息記錄,支持更復(fù)雜的商業(yè)模式。”SafeBreach公司的共同創(chuàng)始人兼首席技術(shù)官伊茨克科特勒表示。

這些網(wǎng)絡(luò)攻擊的成功在很大程度上是由于傳統(tǒng)上醫(yī)療保健公司在安全舉措方面的投入遠(yuǎn)不及金融機(jī)構(gòu)。而Anthem公司被黑客入侵事件突出顯示了,一些醫(yī)療保健公司在基本的安全最佳實(shí)踐方案的落后。如同零售服務(wù)商塔吉特塔吉特百貨在2014年所遭遇的數(shù)據(jù)外泄事故為該行業(yè)的同行們上了相當(dāng)震撼的一課一樣,Anthem公司的黑客入侵事件也將讓整個醫(yī)療保健行業(yè)警覺起來,并充分留意其當(dāng)前所面臨的非常現(xiàn)實(shí)的危險(xiǎn)。

更糟糕的是,圍繞著敏感數(shù)據(jù)信息所實(shí)施的加密方法是無效的。在許多針對醫(yī)療保健行業(yè)的漏洞攻擊中,用戶被社會工程泄露了自己的憑據(jù)信息,讓攻擊者能夠很容易繞過加密控件。而且?guī)缀蹩梢哉f是不費(fèi)吹灰之力。有網(wǎng)絡(luò)惡意攻擊者僅僅只是通過侵入五名用戶的帳戶就從一家大型的醫(yī)療保險(xiǎn)公司竊取了8000萬的個人記錄,BlueTalon公司的首席執(zhí)行官Eric Tilenius說。 “因此,每家公司都應(yīng)該問,’如果我們公司的某一個用戶的帳號被竊取,將可能導(dǎo)致多少數(shù)據(jù)會被暴露?’,然后采取相應(yīng)的措施,以限制數(shù)據(jù)信息的泄露。”他說。

“如果您企業(yè)的員工在最佳安全實(shí)踐方案方面沒有得到適當(dāng)?shù)呐嘤?xùn),那么,無論您的安全平臺有多么強(qiáng)大,都是沒有任何意義的。”WinMagic公司技術(shù)副總裁加里·麥克拉肯說。

網(wǎng)絡(luò)攻擊成為了一項(xiàng)長期的活動

也許在2015年所發(fā)生的最有趣、最出名、同時(shí)也最令人震驚的安全事件是針對美國人事管理局(OPM)的襲擊。數(shù)以百萬計(jì)的政府雇員,美國軍事人員,以及曾接受過背景調(diào)查和安全檢查的政府承包商的個人資料均被盜。在一個典型的數(shù)據(jù)泄露事件中,攻擊者以組織機(jī)構(gòu)為目標(biāo)是因?yàn)樗麄兿M@得該組織機(jī)構(gòu)所擁有的相關(guān)數(shù)據(jù)信息。而在此次OPM被黑客攻擊的案例中,攻擊者所希望的并不僅僅只是為了簡單的獲取到這些數(shù)據(jù)信息記錄,同時(shí)更是為了獲得對攻擊目標(biāo)個人的背景信息。

“此次OPM 被黑客攻擊事件有助于我們了解企業(yè)員工是我們最大的安全隱患...是企業(yè)安全管理鏈條上最薄弱的環(huán)節(jié)。”Micro Focus公司的安全產(chǎn)品組合解決方案策略經(jīng)理Renee Bradshaw說。

網(wǎng)絡(luò)惡意攻擊活動的方法遵循一個模式:在社會工程領(lǐng)域瞄準(zhǔn)一個目標(biāo)的轉(zhuǎn)包商,竊取憑據(jù)以獲得網(wǎng)絡(luò)訪問。在一個系統(tǒng)培植惡意軟件并創(chuàng)建一個后門。然后就可以持續(xù)幾個月從該該系統(tǒng)竊取數(shù)據(jù)而不被發(fā)現(xiàn)了。在OPM所實(shí)施的糟糕的安全管理措施是相當(dāng)“令人震驚”的,“包括一致的漏洞掃描和雙因素認(rèn)證的缺失,以及不合時(shí)宜的補(bǔ)丁管理。”Bradshaw說。

OPM被黑客攻擊事件還凸顯了企業(yè)社會工程的脆弱性。政府雇員和承包商現(xiàn)在已經(jīng)開始接受安全意識培訓(xùn)課程,以了解網(wǎng)絡(luò)釣魚和其他社交媒體的安全威脅。

漏洞失控

在2015年夏天,一項(xiàng)反黑客團(tuán)隊(duì)攻擊的活動讓人們大開了眼界。一家總部設(shè)在米蘭的公司開發(fā)監(jiān)控軟件,并向世界各地的政府機(jī)構(gòu)銷售。該公司依靠“零日漏洞”(zero-day)開發(fā)軟件,其很難被檢測到,還可以攔截通信。彼時(shí),一個未知的人發(fā)布超過400GB數(shù)據(jù)被黑客團(tuán)隊(duì)盜取,包括電子郵件通信、商業(yè)文件和源代碼,安全研究人員在Adobe Flash Player中發(fā)現(xiàn)了三款不同的零日漏洞的概念證明。盡管Adobe 公司盡可能快地進(jìn)行了漏洞的修補(bǔ),網(wǎng)絡(luò)罪犯分子也能夠快速創(chuàng)造漏洞,并使用它們進(jìn)行大規(guī)模的攻擊。“在國家和私人的層面上,零日攻擊的積聚對我們每一個人都是危險(xiǎn)的。當(dāng)面臨這些類型的漏洞時(shí),我們不能坐視不管。”安全咨詢公司Rook Security的安全運(yùn)營負(fù)責(zé)人Tom Gorup說。

不向產(chǎn)品供應(yīng)商報(bào)告這些漏洞的存在,并對程序?qū)嵤┬扪a(bǔ)意味著其他人也可能會找到相同的bug。如果這些漏洞一直存在,就代表著其終究會被人發(fā)現(xiàn)。而如果是黑客最先發(fā)現(xiàn)這些漏洞,一旦漏洞被公開,每個人都處于危險(xiǎn)中。零日攻擊不像物理武器,其原來的所有者能夠控制其如何及何時(shí)使用。而一旦這樣的武器落入黑客之手,就具有毀滅性的后果。

“我們需要重新調(diào)整我們在網(wǎng)絡(luò)防御方面的努力,并加大主動進(jìn)攻的力度。”Gorup說。

政府服務(wù)泄露太多信息

在政府機(jī)構(gòu)所遭遇的網(wǎng)絡(luò)攻擊中,美國國稅局遭黑客侵襲可能算是損失較小的事件了。只有10萬名美國納稅人通過該漏洞被暴露了他們的信息,這顯著低于OPM被攻擊所導(dǎo)致的2150萬人受影響的程度。攻擊者通過受害人的姓名、地址和社會安全號碼獲取了他們諸如收入、雇主名稱和家屬等詳細(xì)信息。

更獨(dú)特的是,襲擊者使用合法的服務(wù)偽造基本的個人身份信息,然后利用這些資料成功申報(bào)一些假的退稅。同樣的方法也被用于機(jī)動車輛的在線更新服務(wù)部門或縣級資產(chǎn)評估網(wǎng)站。通過這些服務(wù)獲得的信息,使得黑客進(jìn)行身份盜取變得更容易。而且,攻擊者利用這些偷來的數(shù)據(jù)有50%的成功率。BeyondTrust公司的技術(shù)副總裁Morey Haber指出。

“有很多類似于國稅局這樣的網(wǎng)站,包括國家級、地方級、以及聯(lián)邦政府的相關(guān)機(jī)構(gòu)網(wǎng)站。而國稅局僅僅只是易于攻擊的目標(biāo)之一,而且還有其他更多易于攻擊的政府機(jī)構(gòu)服務(wù)網(wǎng)站。”Haber說。

飛機(jī)上發(fā)生的事件

在2015年,車輛被黑客攻擊的事件頻頻登上安全新聞的頭條,但其實(shí),我們更應(yīng)該擔(dān)心我們并不熟悉的飛機(jī)上的攻擊事件。就在研究人員Charlie Miller 和Chris Valasek利用克萊斯勒的UConnect信息系統(tǒng)遠(yuǎn)程控制了一輛2014年產(chǎn)的克萊斯勒吉普切諾基的同時(shí),就有關(guān)于OPM被黑事件背后的集團(tuán)已成功獲得美國聯(lián)合航空公司的乘客的始發(fā)地和目的地的記錄,以及乘客名單。另一組襲擊者也入侵了波蘭航空公司的IT系統(tǒng),這導(dǎo)致該航空公司取消了20趟航班使1400名乘客受到影響。

當(dāng)然還有美國聯(lián)邦調(diào)查局表示,安全研究人員克里斯·羅伯茨在乘坐美國聯(lián)合航空公司的航班時(shí),曾侵入飛機(jī)娛樂系統(tǒng),有一次還發(fā)出爬升命令,導(dǎo)致飛機(jī)傾向一側(cè)。這些攻擊事件是否應(yīng)該引起我們的高度關(guān)注呢?飛機(jī)飛行是否處于危險(xiǎn)中呢?雙方都拒絕提供有關(guān)問題的任何詳細(xì)信息。 “關(guān)于此,最為可怕的是:我們對此并不知情,這是既令人驚訝和震驚的。”WhiteHat安全公司的安全威脅研究中心的負(fù)責(zé)人Johnathan Kuskos表示。

我們需要特別關(guān)注兩種不同類型的攻擊事件。一種是針對IT系統(tǒng),如航空公司的網(wǎng)站、機(jī)場check-in服務(wù)系統(tǒng)。另一種攻擊的目標(biāo)是針對飛機(jī)的控制系統(tǒng)。而由于飛機(jī)的操作控制系統(tǒng)往往是沙箱控制,并已經(jīng)被鎖定,因而IT系統(tǒng)的風(fēng)險(xiǎn)更高。而且,根據(jù)WhiteHat公司的漏洞統(tǒng)計(jì)報(bào)表顯示,每一款在線應(yīng)用程序都至少有一個嚴(yán)重的漏洞。

“很難想象,一個專業(yè)犯罪集團(tuán)或政府支持的黑客還沒有盯上這些主要的航空公司。”Kuskos說。

蘋果App Store的應(yīng)用程序中毒事件

2015年,Palo Alto Networks公司破獲了XcodeGhost,這是一款會感染iOS應(yīng)用程序的惡意軟件,在被發(fā)現(xiàn)之前就已經(jīng)在蘋果的App Store應(yīng)用程序商店存在幾個月了。這種攻擊依賴于iOS的開發(fā)人員下載某個版本的Xcode,一款iOS的開發(fā)工具包的編譯工具。這種工具鏈并不是一種新的攻擊方法,但XcodeGhost在感染開發(fā)人員獲得了規(guī)模非常廣泛的成功。真正的危險(xiǎn)在于,XcodeGhost團(tuán)隊(duì)從他們的此次成功中獲得了哪些經(jīng)驗(yàn),以及他們將如何卷土重來。

在開發(fā)人員將其iOS應(yīng)用程序提交到App Store之前就已經(jīng)受到惡意軟件感染了,而這種方式完全是新的。Palo Alto Networks公司的情報(bào)總監(jiān)賴安·奧爾森說。開發(fā)商是很脆弱的,攻擊者可以借助他們的應(yīng)用程序進(jìn)入到蘋果公司的應(yīng)用程序商店App Store,從而繞過蘋果公司的安全管理措施。

“雖然XcodeGhost惡意軟件并不是特別危險(xiǎn),但其卻以開創(chuàng)性的方式感染了數(shù)以百萬計(jì)的設(shè)備。”奧爾森說。

XcodeGhost向人們展示了即使是蘋果公司的圍墻也可以被突破,并且是大范圍的。其迫使應(yīng)用程序開發(fā)人員們必須清理他們的系統(tǒng),重新提交自己的應(yīng)用程序,并在獲得他們的開發(fā)工具方面變的更慎重。而為了打擊類似的攻擊,iOS的開發(fā)人員們需要了解他們的開發(fā)系統(tǒng)、以及其應(yīng)用程序?qū)τ谀切ふ腋鞣N方法來針對iOS用戶實(shí)施攻擊的攻擊者是有價(jià)值的。“XcodeGhost是第一款真正影響廣泛的針對非越獄手機(jī)的惡意軟件,它讓那些曾以為蘋果是無懈可擊的iOS用戶們大開了眼界。”奧爾森說。

瞻博網(wǎng)絡(luò)公司未經(jīng)授權(quán)的后門事件

最近,瞻博網(wǎng)絡(luò)公司發(fā)現(xiàn)ScreenOS中未經(jīng)授權(quán)的代碼,可以讓資深的攻擊者獲得對NetScreen設(shè)備的管理權(quán)限和解密VPN連接。該問題產(chǎn)生的原因是,瞻博網(wǎng)絡(luò)公司使用Dual_EC_DRBG,這是一款已知的有缺陷的隨機(jī)數(shù)發(fā)生器,作為用于在NetScreen的ScreenOS中加密運(yùn)算的基礎(chǔ)。瞻博網(wǎng)絡(luò)稱他們使用了額外的預(yù)防措施,以確保隨機(jī)數(shù)發(fā)生器。結(jié)果其保障措施其實(shí)是無效的。

Dual EC的后門可以被看作是兩部分的比喻,其中一個在一扇門的正常鎖上增加了第二個鎖孔,而第二個鎖孔必須配合一個特定的鎖芯,約翰霍普金斯大學(xué)助理教授兼密碼專家馬修·格林在推特上寫道。攻擊者用自己的鎖芯取代了國家安全局批準(zhǔn)的鎖芯。而如果門在第一個地方?jīng)]有更換鎖孔的話,他們就不能更換鎖芯了。

最后,某些地方的人能夠解密瞻博網(wǎng)絡(luò)的流量,而這些人可能來自美國及世界各地。此事件目前正在由美國聯(lián)邦調(diào)查局調(diào)查中。

“國家安全局建立了一個強(qiáng)大的竊聽后門。攻擊者只需改變幾個字節(jié)的代碼即可改變其用途。”格林說。 “說實(shí)話,雖然我擔(dān)心這樣的事情已經(jīng)很長一段時(shí)間了。但看到這樣的事情實(shí)際發(fā)生還是覺得相當(dāng)驚人的。”

鑒于政府監(jiān)管機(jī)構(gòu)對于高科技產(chǎn)業(yè)在程序后門加密的壓力越來越大,發(fā)生在瞻博網(wǎng)絡(luò)公司的此次后門程序被濫用事件或?qū)⒊蔀橐粋€明顯的例子。2016年,相關(guān)執(zhí)法機(jī)關(guān)和政府監(jiān)管機(jī)構(gòu)是否會汲取教訓(xùn),并對此進(jìn)行重新研究尚有待考察。

總結(jié)2015年

很顯然,在過去的2015年中,整個安全行業(yè)在面臨各種網(wǎng)絡(luò)安全攻擊和違規(guī)行為時(shí),并沒有很好的定位,以保護(hù)自己。而清楚的了解現(xiàn)狀無疑是戰(zhàn)斗的一半,但他們在遵循基本的安全最佳實(shí)踐方面仍然有一條漫長的道路要走。“安全性并不便宜,當(dāng)您企業(yè)在歷史上對于安全領(lǐng)域的投資不足時(shí),就需要在技術(shù)投資和人力資本方面花大力氣。”LogRhythm實(shí)驗(yàn)室副總裁兼首席信息安全官詹姆斯·卡德爾表示說。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號