这是一篇年终总结。
回头去看,2015 年大家学会了几个新词:「白帽子」、「脱库」、「撞库」、「XCode」……当然学习途径是一次又一次影响广泛的网络安全事件。这背后是企业亟待提升的安全能力和大众需要具备的基本安全意识。
那么从现在就开始学习吧,看看你能从去年的五大安全事件中学到什么。
苹果 Xcode Ghost 病毒事件,原来不越狱也不安全
影响人数:数亿
受感染应用:微信、网易云音乐、滴滴打车、高德地图、12306、同花顺等。
事件回顾:一直被认为相对安全的苹果系统,在今年 9 月被发现感染病毒,中国大陆地区 App Store 中部分应用程序被称为「XCodeGhost」的第三方恶意代码注入,向指定网站上传用户数据。
Xcode 是目前开发 Mac OS 和 iOS 应用程序的最快捷最普遍的开发工具,由苹果制作。这次病毒的感染方式是通过在 XCode 程序中植入恶意,将其上传到网盘中,当应用开发者下载并使用被感染的 XCode 开发程序时,所开发的应用便会被恶意植入代码。
因为这是开发者端的程序污染,所以即便未越狱的 iOS 用户从苹果官方 App Store 下载应用也可能存在风险。
这是当时我们对这件事的报道:这次连苹果也保护不了你的隐私,接下来怎么办?
安全专家怎么说:
百度移动安全部安全技术专家 包沉浮、百度移动安全技术总监 王巍巍
一方面,从病毒本身来说,它的攻击方式很独特,虽然几十年前 Ken Thompson 就提到过利用编译器留后门的思路,但是病毒作者通过精心的布局,最终造成了如此大范围的影响,也算得上是一个创新。
另一方面,从被影响的苹果来说,虽然大家都知道苹果系统本身的安全性相对较高,但是通过这件事,我们看出它并没有能力应对所有的安全问题,审核机制也被轻易的绕过了。说明在安全方面还是有缺失的点,而这一个点就有可能导致很大的安全问题。
这个事件也反映了国内程序员一直以来安全意识的不足,很多程序员都没有从官网下载文件,下载之后比对文件大小、MD5/SHA1 等哈希值的习惯,否则是完全可以避免这类问题的。当然,国内的网络环境不佳也是一个客观原因。
网站宕机事件,一连串知名网站「连跪」
影响人数:数亿
受影响应用:携程,微信公众平台,新浪微博,支付宝,网易,陌陌
事件回顾:
- 微信公众平台故障 11 月 6 日上午,有大量用户反映微信公众平台后台登录出现故障,部分账号出现登录不成功或没有访问权限等错误提示,这已经是微信今年内第四次出现故障。
- 新浪微博故障 9 月 12 日,新浪微博遭遇大面积故障,无论是登录微博、发送微博或是查阅别人的博文,都会遭遇错误提示。
- 携程网瘫痪 5 月 28 日,携程旅行网突然陷入瘫痪,打开主页后点击任意链接显示「Service Unavailable」,而百度搜索上的携程官方页面也显示 404 错误。
- 支付宝故障 5 月 27 日,国内最大的网上支付平台——支付宝出现了大规模瘫痪,对于此次超过两个小时的故障,而其原因是由于杭州市萧山区某地光纤被挖断。
- 网易骨干网遭受攻击 5 月 11 日,网易宣布其骨干网络遭到攻击,导致其移动应用、游戏无法访问、刷新。
- 陌陌故障 5 月 10 日,陌陌通过新浪微博宣布,由于网络故障,用户暂时无法使用其移动应用。
- 12306 大访问量故障 2 月 6 日,由于访问量骤增,铁路订票网站「12306」发生崩溃,从当日上午 10 点起显示「页面无法打开」,瘫痪持续 1 小时,期间乘客无法订票。
安全专家怎么说:
@ 乌云网 303
网站宕机事件已经不是第一次发生,只是 2015 年这样的一连串知名网站「连跪」事件还是比较少见的。
在互联网发展并不算长的历史上,的确出现过因为黑客删除全部数据造成网站宕机甚至关门的事件:2014 年提供代码托管服务的 Code Spaces 就曾因为攻击者设法删除了所有该公司托管的客户数据和大部分备份而宣布停止运营;2014 年 11 月浙江江北区的某贸易公司也因被黑客删除和拷贝了公司服务器中的所有数据而遭遇敲诈。
2015 年发生的这些网站宕机事件虽然大部分还没有明确宕机原因,我们也不便随意猜测,但是在互联网和用户生活紧密联系的今天,这些网民常用网站的宕机的确给大家的生活带来诸多影响,也引起了一定的恐慌。
另外,宕机影响到的不仅是网民的日常生活,对于企业来说,同样会带来巨大的损失。
2015 年包括 App Store、iTunes Store、Mac App Store 以及 iBooks Store 在内的一系列苹果在线商店服务,遭遇大面积服务中断,此次故障使苹果在股市上下跌 1.82%,市值蒸发了 130 亿美元。宕机事件发生后,我们都会去猜测并试图得到宕机的真正原因,但对于无法得知原因的宕机「未解之谜」,我们更应该关注在面对宕机事件时,企业和用户应该如何应对以尽可能地减少因为宕机带来的损失。
社保系统被曝漏洞,成个人信息泄露「重灾区」
影响人数:数千万
受影响产品:多省市社保系统
事件回顾:4 月,补天平台曝出重庆、上海、山西、贵州、河南等省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄露。
相关数据显示,目前围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过 30 个,仅社保类信息安全漏洞统计就达到 5279.4 万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。
安全专家怎么说:
百度云安全部首席架构师 Tony Lee
相比其他行业而言,医疗社保信息泄漏事件的后果更加严重。在地下黑色产业链中,一条医疗社保信息的价格大约是一条普通信用卡信息的 10 倍。这次大规模曝出的漏洞风险,涉及到数千万条信息,甚至可能更多,信息量非常大。
如果信息遭到,参保人的身份证号码、社保信息、财务、薪酬、不动产等各种敏感信息将受到威胁。这些信息被不法分子获得,很有可能被用来进行钓鱼诈骗、电信诈骗等,人们的财产可能会损失。
另一方面,医疗社保信息还关系用户的医疗信息、生病记录等,是用户非常私密的隐私信息。保护这些隐私不收侵害,是法律赋予用户的权利,绝对不能被侵害。
由于安全意识薄弱、缺乏专业技术人员、防护策略过时等多方面的因素,目前各省市的医疗社保系统大多存在不同程度的安全风险。建议各地相关部门及时检测安全系统的漏洞风险,邀请专业的第三方安全厂商对系统进行加固和升级。另外,加强安全意识培训,对员工进行安全教育也必不可少。
网易邮箱数据泄漏,到现在你还没改密码吗?
影响人数:数亿
受影响应用:网易邮箱和使用网易邮箱作为注册账号的应用,如 iCloud、支付宝等
事件回顾:2015 年 10 月,有网易邮箱用户在论坛和微博上反映自己的网易邮箱泄露,一些用网易邮箱注册的第三方账户被盗。10 月 18 日,网易在其微博上称,泄露一事不属实。
但 10 月 19 日,乌云漏洞报告平台宣布,网易的用户数据库疑似泄露,涉及邮箱账号/密码/用户密保等,用户使用网易邮箱绑定的其它账户都受到了波及,这次泄漏事件可能涉及过亿用户。20 日,国家互联网应急中心就该事件进行通报,认为「尚无法支持『过亿数据泄露』这一判断」。
安全专家怎么说:
@ 乌云网 疯狗
2015 年的数据泄漏事件不仅让大众更加明白了数据的重要性,提高了对于数据的安全意识,也让民众知道了「脱库」和「撞库」两个安全名词。
那么如何辨别「脱库」和「撞库」呢?「脱库」是指黑客在拿到数据库权限后直接导出数据库中的数据,脱库影响的并非只有账号密码 而是账号一系列的敏感信息 比如注册 IP、密码提示问题、答案,数据具有完整性与连续性;「撞库」则是指黑客使用弱口令或已经公开泄漏的数据组合成的密码字典,利用用户相同的注册习惯(相同的用户名和密码),尝试登录其它网站,使用这样的手法撞出的数据具有偶然性和不完整性,当然用户数据也不会是连续的。
由此可以轻易看出,「脱库」和「撞库」是具有本质区别的,一种黑客是具有主动权,泄漏的数据也更完整,危害当然也更大,一种黑客是被动的,能否撞到数据全凭运气以及网民的安全意识,危害当然相对而言较小。
智能硬件不安全,不物理接触就能让它叫「爸爸」
影响人数:数亿
受影响产品:大疆和 Parrot 飞行器、拉卡拉、盒子支付 POS 机、小米 SmartHome 智能家庭套装、海尔 SmartCare 智能家居套装、最新 Broadlink 智能设备、长帝智能电烤箱等
事件回顾:10 月下旬,在聚集了国内顶尖白帽黑客的 Geekpwn 大会上,众多智能硬件产品被黑客一一破解。这些破解都有一个共同点——在不接触设备的情况下成为设备的主人。
那天我在场,《10月24号这天,我可能身处世界上最危险的地方》这篇文章更详细地纪录了当时破解的情况。
WooYun 知识库上,《HackPwn2015:IoT 智能硬件安全威胁分析》一文也描述了攻破手环产品的过程,攻击者通过一个本地手机应用程序能够获取到三星 Smartwatch 可穿戴设备上的数据。
专家怎么说:
Keen Team 高级研究员 吕礼胜
随着智能生活的快速发展,新兴智能设备厂商几乎复制了 PC 和移动时代产品安全技术发展的老路,它们在起步阶段重设计运营和用户体验,却忽视了整体的安全开发。
不仅如此,目前智能设备的「智能」很多仅仅是在传统设备上多了一种控制手段,比如通过 Wi-Fi 或者 4G 等网络控制电器等,这种「伪智能」为攻击者增加了新的攻击通道。
GeekPwn 上选手展示的智能软硬件漏洞,不仅仅是单个厂商的问题,事实上代表了智能设备整个行业里普遍存在的问题。GeekPwn 所要求的漏洞展示都必须是无接触式触发漏洞攻击的,因为这样才能揭示出忽略安全可能会给我们生活带来多大的危害。
我们始终坚信:漏洞被发现和修复的越多,产品越安全。如何让智能设备更安全,厂商做好安全防护是第一位的,用户拥有良好的安全意识和使用习惯也很重要。
One more thing...
2015 年总结完了,2016 年会发生什么?我们专门找来百度云安全总经理马杰谈了谈他对 2016 年安全趋势的看法。
第一,万物互联已经成为下一个互联网发展的必然趋势。更多智能硬件设备、移动设备、移动支付环节将成为黑客的目标,由此而引发的用户账户资金被盗和电信欺诈事件将会大量增加;
第二,越来越多的业务在云端开展,越来越多的数据存储在云端,2016 年云端的安全事件将会大量增加;
第三,DDoS 攻击这种「价格实惠量又足」的手段,在 2015 年让大量企业见识到了它对网络业务的破坏性。除了攻击的流量大幅增加,DDoS 攻击也会融合更加复杂的攻击方法,更加难以抵御。网络企业需要谨慎应对,向专业的安全服务机构寻求帮助。
第四,互联网创业的竞争越来越激烈,在专注于业务上开疆拓土之时,黑客也紧随其后,安全将成为这些企业竞争的核心竞争力之一。
