【IT168 评论】2011年逐渐接近尾声了,又到了我们总结过去、展望未来的时候。今年,安全业界依然是不平凡的一年,随着云计算、移动互联网等新技术的落地与广泛的应用,新的安全风险以及出现的更多的未知安全威胁让整个安全业界有些措手不及。属于今年的热门关键字:ATP攻击、云安全、移动安全,这些关键字让所有的主流安全厂商开始转变战略,试看明年的安全业界,云安全、虚拟化安全、移动安全将成为业界的主流旋律!
2011年发生的主要安全事件:
高级可持续攻击(APT)
当RSA执行主席Art Coviello在三月中旬宣布,RSA受到攻击,SecurID令牌身份验证有关的信息被盗时,这仅仅只是一切麻烦的开始。这个事故被认为是年度最大数据泄露事故,很明显攻击者的目标是RSA客户信息。这个事故也使“高级可持续攻击(APT)”这个词开始被大家所熟知。
高级可持续攻击在2011年“遍地开花”。举一个例子,挪威国家安全局透露石油、天然气和国防企业受到高级可持续攻击,工业机密和关于保密合同谈判的信息被盗。挪威有10家公司表示,收到包含病毒的定制电子邮件,但没有触发反恶意软件监测系统。但挪威安全机构并没有说明这些攻击的任何可能来源。
漏洞修复
YGN道德黑客组织(该组织声称只进行“道德”黑客行为以暴露软件漏洞)发现了McAfee网站的漏洞并悄悄地联系该公司告知漏洞信息。但是McAfee并没有修复网站漏洞,YGN三月份将漏洞信息公布于众,这给该安全供应商处于尴尬的境地,但他们声称其客户没有受到威胁。YGN组织对面向公众的网站进行未经授权漏洞测试有点藐视美国法律的意思,他们还发现了苹果公司的漏洞,苹果公司对于修复其开发人员网站一直有点松懈。
开源受到攻击
这些开源堡垒也开始受到攻击:MySQL.com、Linux.com和Linuc.org、Kernel.org,加上开源操作系统商业软件都受到恶意软件攻击。一名俄罗斯黑客声称以3000美元出售My.SQL域名的根访问。
服务中断问题
Verizon的4G LTE网络于2010年12月推出,4月28日, 4G LTE无线网络遭遇了连续24小时的大面积中断。这并不是2011年唯一出现中断的服务。黑莓数据服务在10月份也出现了四天的全球中断,虽然RIM公司(黑莓手机制造商)一直挣扎着与苹果iPhone抗衡,但他们并不希望以这种新闻提高知名度。当RIM的“其双冗余、双容量的核心交换机” 出现故障,并且其备份无法激活时,导致世界各地的黑莓用户根本接受不到服务,RIM公司联合首席执行官Mike Lazaridis被迫发出公开道歉,承认这是该公司历史上最严重的宕机事故。
11月,北美和欧洲遭受的互联网中断很显然与Juniper路由器的漏洞有关,影响着很多运营商,例如Level3。
云端安全
微软BPOS云托管通信和协作套件在6月遭遇宕机,而Amazon的EC2服务在4月遭受可用性问题,8月份出现短暂中断。Vmware的Cloud Foundry服务在其测试中遭遇宕机。而且不要忘了Northrop Grumman,在其提供的数据中心服务出现宕机故障后,它同意向26家机构支付500万美元损失。
俄罗斯对美国伊利诺伊州水力设施发动网络攻击
11月时,一个俄罗斯IP地址攻击了伊利诺伊州公共用水的内部SCADA系统,造成一台水泵被远程打开和关闭,发生故障,这是一次外国网络攻击吗?伊利诺伊州恐怖主义和情报中心(STIC)对此发出了一份机密报告,能源行业分析师兼作家Joe Weiss向华盛顿邮报记者透露了这份报告。但是在随后的报告中,FBI和美国国土安全局表示,他们调查了STIC,没有找到任何证据可以证明他们的报告。有消息称,当时是在俄罗斯出差的承包商远程访问了内部系统。但是国土安全局称“事件正在调查中”。
2011年数据泄露事故一览
No.1:四月,所谓的“Sony hack”可以让攻击者获取索尼在线playstation网络7700万用户的信息,包括信用卡号码等,这导致索尼不得不关闭其服务。在五月,索尼称这次攻击损失达到1.7亿美元。
No.2:营销公司Epsilon公司在四月份透露,攻击者窃取了其2%的客户名称和地址,直接影响着Walgreens、百思买、花旗银行、摩根大通、Kroger连锁超市等。
No.3:一些SSL证书提供商(包括Comodo、DigiNotar和GlobalSign)遭受了数据泄露事故,据称是由一名21岁伊朗学生(自称Comodohacker)发起的攻击,攻击者制造了假的google证书来获取个人Gmail账户的登录信息,且受害者的浏览器没有发出任何警告。DigiNotar因为这次攻击宣布破产,而且荷兰政府禁止使用DigiNotar证书。
No.4:美国政府研究实验室一直是攻击者的目标,最终也难逃一劫。四月份,在约573名实验室员工收到钓鱼电子邮件攻击后,橡树岭国家实验室被迫关闭其电子邮件和互联网服务。
No.5:6月份,花旗银行承认攻击者攻入其系统,并设法窃取约36万名感染客户的信用卡号码。花旗银行损失达到270万美元。
No.6:在发生无意数据泄露事故,泄露了320万人的社保号和其他个人信息后,美国德克萨斯州主计长解雇了信息安全和创新技术负责人。
No.7:11月,大量色情图片进入Facebook,据称是针对用户的“clickjacking攻击”,Facebook随后将这些图片清除。
No.8:罗马尼亚当局逮捕了一名26岁黑客,该黑客被指控攻入多个NASA服务器,对美国航天局系统造成50万美元的损失。 预计将在罗马尼亚受审。
应用程序商店的安全
在3月,当谷歌发现50个Android应用程序为恶意程序时,被迫从其Android Market中删除了这些应用程序。这是谷歌Android Market遭受过最糟糕的情况。
2011年是Anonymous丰收的一年
2011年不得不提的就是Anonymous组织,这个秘密黑客组织主要攻击世界各地的企业和政府组织,用这样或那样的攻击手段来攻入目标网络来窃取数据并张贴出来,或者发动攻击让网站崩溃。除了大家都知道的针对安全公司HBGary的攻击外,Anonymous被认为还攻击了Koch Industries,美国银行和NATO,并对纽约证交所发动了DdoS攻击。Anonymous还在促进世界各地的占领华尔街活动发挥了作用。
Anonymous的其他行动还包括针对突尼斯、巴西、津巴布韦、土耳其、澳大利亚、马来西亚政府和佛罗里达州商会的相关网上资源。Anonymous最近的活动主要专注于儿童色情网站和墨西哥的贩毒集团等。
Duqu病毒
10月份,当匈牙利研究实验室CrySyS与世界各大反病毒供应商分享了其对Duqu病毒的研究,自此Duqu病毒进入安全舞台。
随后安全供应商卡巴斯基实验室确认在苏丹和伊朗(该木马程序的前身—Stuxnet的主要攻击目标)出现了新Duqu恶意软件感染。Duqu病毒被认为与Stuxnet工业破坏病毒密切相关,因为它借用了Stuxnet的代码和功能,Duqu是一个用于数据渗出的灵活的恶意软件交付框架。
该木马程序主要有三个组成部分:内核驱动程序,注入流氓库(DLL)到系统进程;DLL本身,处理命令控制服务器和其他系统操作的通信例如写注册表或执行文件;以及一个配置文件。
CrySyS最终发布了一个工具包来帮助从感染系统检测和删除该病毒,微软也发布了一个修复工具来允许windows用户手动修复系统,阻止Duqu攻击。
Duqu被认为是专门针对企业的有针对性攻击,可能成为2012年的主要恶意软件。
10天攻击
三月份,一个多层次僵尸网络攻击了韩国计算机达10天之久,被证明是无法抵抗的顽固力量。随后,僵尸网络突然停下来了,恶意软件向僵尸机器发送了自杀命令,摧毁了文件,使机器无法启动。McAfee的安全专家称,攻击源自朝鲜,这种攻击的复杂程度(40个命令和控制服务器、代码更新来阻止检测、多种加密方案)远远超出了运行有效DdoS攻击所需要的工具。McAfee观点:十天攻击是一次侦察行动,旨在了解韩国如何应对真正的破坏性攻击以及应对速度。