2016年已經(jīng)過(guò)去了一半,全球的安全性問(wèn)題一直備受關(guān)注,漏洞和泄露事件的披露始終占據(jù)媒體的頭條榜首。說(shuō)起今年以來(lái)的重大安全事件,不知道你腦海里浮現(xiàn)的是哪幾起?
Dark Reading 年中數(shù)據(jù)泄露報(bào)告內(nèi)容如下:
NO.1 烏克蘭“電力門(mén)”
烏克蘭攻擊事件實(shí)際發(fā)生于2015年12月底,而針對(duì)烏克蘭“電力門(mén)”事件的主要報(bào)道及分析結(jié)果則出現(xiàn)于2016年第一季度。
2016年1月4日,ESET公司就發(fā)表文章稱(chēng),烏克蘭境內(nèi)的多家配電公司設(shè)備中監(jiān)測(cè)到的KillDisk,由此懷疑使用了BlackEnergy后門(mén),攻擊者能夠利用它來(lái)遠(yuǎn)程訪問(wèn)并控制電力控制系統(tǒng)。由于此事件是針對(duì)電力設(shè)備的攻擊,對(duì)于國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的安全性具有非比尋常的意義,故存在巨大的風(fēng)險(xiǎn)。
烏克蘭電網(wǎng)攻擊事件帶來(lái)的教訓(xùn)
據(jù)專(zhuān)家分析,本次事故中的網(wǎng)絡(luò)攻擊手段包括三種:其一,利用電力系統(tǒng)的漏洞植入惡意軟件;其二,發(fā)動(dòng)網(wǎng)絡(luò)攻擊干擾控制系統(tǒng)引起停電;其三,干擾事故后的維修工作;
針對(duì)此次烏克蘭電網(wǎng)攻擊事件,得出如下教訓(xùn):
1.安全防護(hù)體系存在漏洞,網(wǎng)絡(luò)隔離不足。烏克蘭各類(lèi)公司間為了發(fā)、輸、配電業(yè)務(wù)的通信和控制便利,通過(guò)互聯(lián)網(wǎng)連接,控制類(lèi)與非控制類(lèi)系統(tǒng)未進(jìn)行物理隔離。
2.網(wǎng)絡(luò)安全監(jiān)測(cè)不力。網(wǎng)絡(luò)安全監(jiān)測(cè)可以有效的發(fā)現(xiàn)攻擊行為,阻止攻擊進(jìn)行,避免損失。烏克蘭電網(wǎng)的攻擊者進(jìn)行了長(zhǎng)達(dá)6個(gè)月的“潛伏”,在幾個(gè)月時(shí)間當(dāng)中,他們進(jìn)行了廣泛的網(wǎng)絡(luò)偵察、探索與映射工作,并最終獲得了訪問(wèn)Windows域控制器以管理網(wǎng)絡(luò)內(nèi)用戶(hù)賬戶(hù)的能力。以此為基礎(chǔ),他們收集到相關(guān)員工登錄憑證以及部分工作用VPN以遠(yuǎn)程登錄至該SCADA網(wǎng)絡(luò),并逐步實(shí)施后續(xù)攻擊計(jì)劃。此次黑客成功入侵電網(wǎng),烏克蘭電力卻未發(fā)現(xiàn)攻擊行為,可謂監(jiān)測(cè)不到位。
3.網(wǎng)絡(luò)和信息安全意識(shí)淡薄。事件發(fā)生前,國(guó)際安全機(jī)構(gòu)曾對(duì)烏克蘭電力機(jī)構(gòu)發(fā)布預(yù)警信息,但未引起重視。黑客通過(guò)郵件偽裝而成功誘騙烏克蘭電力工作人員運(yùn)行惡意程序,說(shuō)明其電力工作人員網(wǎng)絡(luò)安全意識(shí)淡薄。
4.不間斷電源(UPS)同樣需要安全防護(hù)。烏克蘭電網(wǎng)攻擊中,攻擊者對(duì)提供后備電力的不間斷電源(簡(jiǎn)稱(chēng)UPS)進(jìn)行了重新配置,隨后通過(guò)被劫持的VPN接入到SCADA網(wǎng)絡(luò),并發(fā)送命令以禁用已經(jīng)被重新配置的UPS系統(tǒng)。此行為,加重了烏克蘭攻擊事件的受災(zāi)度,所以UPS的安全防護(hù)同樣不容忽視。
5.警惕不斷涌現(xiàn)的攻擊新技術(shù)。參加相關(guān)調(diào)查工作的烏克蘭與美國(guó)計(jì)算機(jī)安全專(zhuān)家們指出,攻擊者們覆寫(xiě)了16座變電站的關(guān)鍵性設(shè)備固件,這些惡意固件在十幾座變電站中成功通過(guò)串行到以太網(wǎng)轉(zhuǎn)換機(jī)制取代了合法固件(該轉(zhuǎn)換機(jī)制負(fù)責(zé)處理來(lái)自SCADA網(wǎng)絡(luò)并用于控制變電站系統(tǒng)的命令)。
安全專(zhuān)家表示:
“這種針對(duì)特定目的的惡意固件更新(指向工業(yè)控制系統(tǒng))此前從未出現(xiàn)過(guò),從攻擊的角度來(lái)看,這絕對(duì)是種天才之舉。我的意思是,他們雖然目的邪惡,但手段確實(shí)非常高明。”
No.2勒索軟件風(fēng)頭日盛
勒索軟件近年來(lái)持續(xù)活躍,有關(guān)勒索軟件的新聞已經(jīng)超過(guò)APT攻擊,成為2016年的主要話題。根據(jù)卡巴斯基實(shí)驗(yàn)室的惡意軟件報(bào)告表明,Q1季度檢測(cè)到2,900種最新的勒索軟件變種,較上一季度增加了14%。現(xiàn)在,卡巴斯基實(shí)驗(yàn)室的數(shù)據(jù)庫(kù)包含約15000種勒索軟件變種,而且這一數(shù)量還在不斷增加。
2016年第一季度,卡巴斯基實(shí)驗(yàn)室安全解決方案共攔截了372,602次針對(duì)用戶(hù)的勒索軟件攻擊,其中17%針對(duì)企業(yè)用戶(hù)。遭遇攻擊的用戶(hù)數(shù)量同2015年第四季度相比,增加了30%。
2016年第一季度排名前三位的勒索軟件分別為:Teslacrypt(58.4%)、CTB-Locker (23.5%) 和 Cryptowall (3.4%)。這三種惡意軟件主要通過(guò)包含惡意附件的垃圾郵件或指向受感染網(wǎng)頁(yè)的鏈接進(jìn)行傳播。
1.TeslaCrypt
TeslaCrypt勒索軟件瞄準(zhǔn)的主要是游戲平臺(tái)的玩家們,被盯上的游戲平臺(tái)包括使命召喚、暗黑破壞神、異塵余生、Minecraft、魔獸爭(zhēng)霸、F.E.A.R、刺客信條、生化危機(jī)、魔獸世界、英雄聯(lián)盟以及坦克世界等。TeslaCrypt利用Flash Player漏洞(CVE-2015-0311)或者一個(gè)古老的IE瀏覽器漏洞將TeslaCrypt勒索軟件植入目標(biāo)系統(tǒng)上。然后對(duì)受害者文件進(jìn)行加密,勒索贖金。
2.CTB-Locker
2015年5月1日,名為“CTB-Locker”的比特幣敲詐病毒在國(guó)內(nèi)爆發(fā)式傳播,該病毒通過(guò)遠(yuǎn)程加密用戶(hù)電腦文件,從而向用戶(hù)勒索贖金,用戶(hù)文件只能在支付贖金后才能打開(kāi)。反病毒專(zhuān)家稱(chēng),目前國(guó)內(nèi)外尚無(wú)法破解該病毒。
3.Cryptowall
Cryptowall 擁有一系列的惡意勒索軟件,一旦受害者感染了這些病毒,它們會(huì)立即對(duì)機(jī)器上的所有文件加密。病毒感染受害者機(jī)器的方式有:通過(guò)看似合法的附件和通過(guò)硬盤(pán)本身存在的惡意程序。Cryptowall自2013年出現(xiàn)以來(lái),不斷的更新變化,到目前為止已經(jīng)更新到Cryptowall 4.0版本。該版本的Cryptowall結(jié)合地下市場(chǎng)上最強(qiáng)大的入侵開(kāi)發(fā)工具——核開(kāi)發(fā)組件(Nuclear exploit kit)。
No.3 醫(yī)院勒索
說(shuō)起勒索軟件,今年來(lái),醫(yī)院應(yīng)該是最大的受害者。畢竟與商業(yè)機(jī)構(gòu)相比,醫(yī)院對(duì)于系統(tǒng)安全性的要求更高,更需要保持救護(hù)系統(tǒng)的正常運(yùn)行,以確保其病人的健康,也正是如此,醫(yī)院成功吸引了攻擊者的目光。其中最聳人聽(tīng)聞的攻擊應(yīng)該是發(fā)生在2016年3月的,針對(duì)美國(guó)好萊塢長(zhǎng)老會(huì)醫(yī)院的攻擊,最終該醫(yī)院支付了高達(dá)1.7萬(wàn)美元的贖金,重新恢復(fù)被勒索軟件鎖定的文件。
更多醫(yī)院受災(zāi)
Methodist醫(yī)院在3月18日遭受勒索軟件攻擊,在接下來(lái)五天都處于“緊急狀態(tài)”,隨后他們報(bào)告稱(chēng)解決了這個(gè)問(wèn)題,沒(méi)有支付任何贖金。
3月,美國(guó)加州兩家醫(yī)院被勒索:Chino Valley醫(yī)療中心和Desert Valley醫(yī)院—這兩家醫(yī)院都屬于醫(yī)院管理公司Prime Healthcare Services;該公司發(fā)言人稱(chēng),這兩家醫(yī)院都沒(méi)有支付贖金,并且沒(méi)有病人數(shù)據(jù)被泄露。
3月,加拿大渥太華的一家醫(yī)院被勒索軟件攻擊。該醫(yī)院沒(méi)有支付贖金,而是隔離系統(tǒng)、清理驅(qū)動(dòng)器并從備份恢復(fù)來(lái)解決問(wèn)題。
另外, Ruby Memorial醫(yī)院也受到“惡意軟件或病毒”攻擊,但醫(yī)院發(fā)言人稱(chēng)該攻擊并不是瞄準(zhǔn)病人和員工數(shù)據(jù),也沒(méi)有企圖竊取數(shù)據(jù)。
網(wǎng)絡(luò)安全公司CrowdStrike公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Dmitri Alperovitch表示:
“醫(yī)院不是唯一的受害者,我們看到很多行業(yè)(包括醫(yī)療保健、州政府和地方政府、中小企業(yè)和大型企業(yè)等)遭受勒索軟件攻擊。根據(jù)網(wǎng)絡(luò)威脅聯(lián)盟的報(bào)告顯示,勒索軟件估計(jì)造成總共約3.25億美元的損失,但在現(xiàn)實(shí)中,這個(gè)數(shù)據(jù)可能遠(yuǎn)遠(yuǎn)不止于此。”
No.4 蘋(píng)果“加密門(mén)”
2016年可不只有持續(xù)不斷的攻擊和漏洞事件,還有震動(dòng)全球的FBI與蘋(píng)果的”加密之爭(zhēng)“,該事件對(duì)全球的司法及社會(huì)都產(chǎn)生了深遠(yuǎn)的影響。
FBI與蘋(píng)果:隱私之戰(zhàn)
2015年的12月,美國(guó)加州圣貝納迪諾(San Bernardino)發(fā)生了一起嚴(yán)重的恐怖襲擊事件,被警察射殺的兇手Farook留下了一支被密碼鎖屏的iPhone 5c。這就是引起這場(chǎng)“加密之爭(zhēng)”的導(dǎo)火索。回顧本次事件,我們可以概括為:FBI想要讓蘋(píng)果解鎖一部恐怖分子的iPhone,但是遭到了拒絕。然后FBI想通過(guò)法院來(lái)讓蘋(píng)果妥協(xié),但是最終 在開(kāi)庭的前一天,F(xiàn)BI通過(guò)第三方的幫助成功解鎖了iPhone,并放棄了起訴。
資深政策顧問(wèn)Ross Schulman表示:
“這不僅僅是一部iPhone的問(wèn)題······這關(guān)系到我們所有的軟件和數(shù)字化設(shè)備,如果聯(lián)邦調(diào)查局尋求的先例得以實(shí)現(xiàn),那將對(duì)我們?nèi)粘J褂玫氖謾C(jī)和電腦的可靠性,造成真正的災(zāi)難,我們一直相信那些公司是出于保護(hù)我們的安全考慮而升級(jí)各類(lèi)軟件,但倘若它們只是為了給我們的安全埋下隱患,那我們更情愿不要升級(jí)。”
美國(guó)東北大學(xué)的計(jì)算機(jī)科學(xué)與法律教授Andrea M. Matwyshyn在舒爾曼的看法上做了延伸,她說(shuō)道:
“現(xiàn)眾多科技公司研發(fā)更強(qiáng)的安全性保護(hù),并將其作為產(chǎn)品新特征,是因?yàn)槿缃裆矸荼I竊愈發(fā)猖狂,用戶(hù)擔(dān)心身份信息被竊。通過(guò)加強(qiáng)安全性,我們就能夠與更嚴(yán)重的犯罪抗?fàn)?,防止它們的發(fā)生。因此,這是一場(chǎng)關(guān)于應(yīng)該以防止新型犯罪還是傳統(tǒng)犯罪的激烈討論。”
未來(lái),隱私加密之路將何去何從,我們只能拭目以待了……
No.5 IRS(國(guó)稅局)稅務(wù)欺詐事件
2015年5月,美國(guó)稅局(IRS)遭遇黑客攻擊,10萬(wàn)名左右美國(guó)公民賬號(hào)的登錄權(quán)限被盜,不過(guò)伴隨著調(diào)查的不斷深入,這個(gè)數(shù)字在不斷增長(zhǎng)。去年8月,受影響納稅人數(shù)量已經(jīng)增至22萬(wàn),而未被登錄但也涉及其中的納稅人數(shù)量也增至17萬(wàn)?,F(xiàn)在,這個(gè)數(shù)字已經(jīng)增長(zhǎng)到了可怕的70萬(wàn)。
國(guó)稅局可能是收集美國(guó)公民信息最多的聯(lián)邦政府部門(mén),黑客這一舉動(dòng)嚴(yán)重威脅到公民隱私和財(cái)物安全。參議院財(cái)政委員會(huì)主席Orrin Hatch對(duì)這份報(bào)告表達(dá)了極度的擔(dān)憂,他害怕IRS大量的數(shù)據(jù)泄露將讓辛勤工作的納稅人遭遇新的欺詐。
而事實(shí)證明,大量數(shù)據(jù)泄露確實(shí)帶來(lái)了更為嚴(yán)重的稅務(wù)欺詐事件。其實(shí)早在2014年3月就曝出退稅資金被盜取事件,攻擊者獲取這些美國(guó)公民信息后,可以修改退稅信息,將退稅資金直接存到自己的銀行賬戶(hù)。
國(guó)稅局估計(jì),在2013年就有納稅人和犯罪分子利用虛假材料騙取58億美元的退稅款。2014年被騙取的退稅款高達(dá)5000萬(wàn)美元。更為嚴(yán)重的是,遭竊取的信息是納稅人的永久信息,在未來(lái)仍能繼續(xù)用來(lái)騙取退稅。
此外,泄露的信息還被用于釣魚(yú)攻擊,針對(duì)納稅人實(shí)施釣魚(yú)欺騙,冒充IRS人員騙取納稅人資產(chǎn),造成大量資金損失。
美國(guó)國(guó)稅局提醒民眾,警惕電話釣魚(yú)詐騙
No.6 SWIFT系統(tǒng)風(fēng)波
從去年開(kāi)始,世界范圍內(nèi)使用SWIFT系統(tǒng)的銀行相繼被曝出盜竊案件,從2015年1月的厄瓜多爾銀行損失1200萬(wàn)美元,10月的菲律賓銀行,到今年2月孟加拉國(guó)央行曝出被盜竊8100萬(wàn)美元,隨后第二家及第三家銀行(也是最初受害者)被黑的消息被公開(kāi)。5月菲律賓一家銀行又被盜,這次他們又造成烏克蘭銀行上千萬(wàn)美元的損失。
黑客利用SWIFT系統(tǒng)攻擊全球銀行系統(tǒng)線路圖
一系列的案件逐漸引起了人們對(duì)SWIFT系統(tǒng)的關(guān)注,并對(duì)SWIFT系統(tǒng)的安全性打上了問(wèn)號(hào)。而針對(duì)這些攻擊事件,SWIFT與2015年5月27日宣布了新的客戶(hù)方案,以加強(qiáng)針對(duì)網(wǎng)絡(luò)威脅的安全防護(hù):
全球范圍內(nèi)信息共享,實(shí)現(xiàn)客戶(hù)事件的快速反饋,提升網(wǎng)絡(luò)防護(hù)能力;
提升SWIFT相關(guān)工具的安全性;
提供審計(jì)框架,制定相關(guān)的審計(jì)標(biāo)準(zhǔn)和認(rèn)證程序,在客戶(hù)現(xiàn)場(chǎng)進(jìn)行安全管理;
增加針對(duì)支付模式的安全監(jiān)控;
加強(qiáng)第三方供應(yīng)商的安全支持。
No.7 SSL DROWN
2016年3月,國(guó)外研究人員發(fā)現(xiàn)OpenSSL出現(xiàn)新的安全漏洞“DROWN”,全稱(chēng)是 Decrypting RSA with Obsolete and Weakened eNcryption,即“利用過(guò)時(shí)的脆弱加密算法來(lái)對(duì)RSA算法進(jìn)破解”。據(jù)OpenSSL安全公告,DROWN是一種跨協(xié)議攻擊,如果服務(wù)器使用了SSLv2協(xié)議和EXPORT加密套件,那么攻擊者就可利用這項(xiàng)技術(shù)來(lái)對(duì)服務(wù)器的TLS會(huì)話信息進(jìn)行破解。
攻擊者可利用這個(gè)漏洞破壞網(wǎng)站加密體系,發(fā)起“中間人劫持攻擊”,從而竊取HTTPS敏感通信,包括網(wǎng)站密碼、信用卡帳號(hào)、商業(yè)機(jī)密、金融數(shù)據(jù)等。據(jù)統(tǒng)計(jì),該漏洞影響了全世界多達(dá)1100萬(wàn)個(gè)HTTPS網(wǎng)站,其中包括雅虎、阿里巴巴、新浪微博、新浪網(wǎng)、360、BuzzFeed、Flickr、StumbleUpon 4Shared 和三星等知名網(wǎng)站。
漏洞檢測(cè):
安全無(wú)小事,雖然 DROWN 漏洞直接利用成本較高,降低了被攻擊的風(fēng)險(xiǎn),但是如果有其他漏洞配合 DROWN 漏洞進(jìn)行組合攻擊,危害將不可預(yù)期。
DROWN研究團(tuán)隊(duì)提供了在線檢測(cè),方便了用戶(hù)自行檢查,檢測(cè)地址為:
https://test.drownattack.com/
如果你是一名技術(shù)人員,還可以利用一些漏洞檢測(cè)腳本,比如:
OpenSSL提供的檢測(cè)腳本:
https://mta.openssl.org/pipermail/openssl-dev/2016-March/005602.html
DROWN Scanner:
https://github.com/nimia/public_drown_scanner#drown-scanner
不過(guò),這些檢測(cè)方法并不是百分之百準(zhǔn)確的,都存在誤報(bào)或漏報(bào)的可能。
DROWN漏洞也許不如Heartbleed漏洞的影響范圍廣,也比Heartbleed更難理解。但從攻擊模式看DROWN可以被動(dòng)收集加密信息、并在之后再展開(kāi)在線攻擊,DROWN攻擊并不要求在信息傳輸時(shí)展開(kāi)在線攻擊,也即DROWN可以攻擊離線的加密信息,因此DROWN可以解密之前被認(rèn)為堅(jiān)不可破的TLS流量,DROWN的影響和潛在威脅其實(shí)遠(yuǎn)超出預(yù)想。
以上為Dark Reading總結(jié)的2016上半年最重大的安全事件,您想到的是這些嗎?當(dāng)然,2016上半年發(fā)生的安全大事件肯定不僅于此,您眼中的最大威脅的安全事件是哪些?歡迎與小編一起交流哦~
* 原文鏈接:darkreading,F(xiàn)B小編米雪兒編譯,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客(FreeBf.COM)