12014上半年的黑客事件
2014年已經過去一半,過去半年發生了很多讓人震驚的消息。有人說2013年是數據丟失的一年,那么2014年的前半年就可以成為數據恐慌的一年。
2014年上半年發生了很多重大的數據安全事件。包括eBay在內的大牌零售商以及Neiman Marcus等多家酒店的用戶信息遭到入侵泄漏,這些信息包含了大量用戶的信用卡數據,這將帶來無法估量的經濟損失。
黑客泛指擅長IT技術的人群、計算機科學家。Hacker們精通各種編程語言和各類操作系統,伴隨著計算機和網絡的發展而產生成長。黑客一詞在圈外或媒體上通常被定義為:專門入侵他人系統進行不法行為的計算機高手。不過這類人士在hacker眼中是屬于層次較低的cracker(駭客)。如果黑客是炸彈制造專家,那么駭客就是恐怖分子。
除了黑客的主動攻擊,2014年的數據恐慌中也存在著主動丟失問題。這里為大家總結了2014年最讓人震驚的網絡安全事件。
2OpenSSL出現“Heartbleed”
OpenSSL出現“Heartbleed”
OpenSSL出現“Heartbleed”
來自OpenSSL的緊急安全警告:OpenSSL出現“Heartbleed”安全漏洞。這一漏洞讓任何人都能讀取系統的運行內存。已經有了一個緊急補丁,在安裝它之前,成千上萬的服務器都處于危險之中。
該漏洞在互聯網又稱為“heartbleed bug”,中文名稱叫做“心臟出血”、““擊穿心臟””等。
Heartbleed漏洞,這項嚴重缺陷(CVE-2014-0160)的產生是由于未能在memcpy()調用受害用戶輸入內容作為長度參數之前正確進行邊界檢查。攻擊者可以追蹤OpenSSL所分配的64KB緩存、將超出必要范圍的字節信息復制到緩存當中再返回緩存內容,這樣一來受害者的內存內容就會以每次64KB的速度進行泄露。
Heartbleed漏洞是由安全公司Codenomicon和谷歌安全工程師發現的,并提交給相關管理機構,隨后官方很快發布了漏洞的修復方案。2014年4月7號,程序員Sean Cassidy則在自己的博客上詳細描述了這個漏洞的機制。
2014年4月9日,Heartbleed(意為“心臟出血”)的重大安全漏洞被曝光,一位安全行業人士在知乎上透露,他在某著名電商網站上用這個漏洞嘗試讀取數據,在讀取200次后,獲得了40多個用戶名、7個密碼,用這些密碼,他成功地登錄了該網站。
3TrueCrypt商店的紅色警報
TrueCrypt商店的紅色警報
TrueCrypt,是一款免費開源的加密軟件,同時支持Windows Vista,7/XP, Mac OS X, Linux 等操作系統。TrueCrypt不需要生成任何文件即可在硬盤上建立虛擬磁盤,用戶可以按照盤符進行訪問,所有虛擬磁盤上的文件都被自動加密,需要通過密碼來進行訪問。
TrueCrypt商店的紅色警報
TrueCrypt 提供多種加密算法,包括:AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES, and Twofish,其他特性還有支持FAT32和NTFS分區、隱藏卷標、熱鍵啟動等。
FBI在經過一年的嘗試后,還是未能破譯被巴西執法機構指控金融犯罪的巴西銀行家的加密文件。巴西一家葡萄牙語報紙報道(葡萄牙語),巴西聯邦警察在2008年7月展開的Satyagraha行動中,在銀行家Daniel Dantas位于里約熱內盧的公寓內收繳了5個硬盤。文章提到硬盤使用了兩種加密程序,一種是TrueCrypt,另一種是不知名的256位AES加密軟件。在專家未能破解密碼后,巴西政府在2009年初請求美國提供幫助,然而美國聯邦警察在一年不成功的嘗試后,退還了硬盤。巴西現有的法律中不存在強制要求Dantas交出密碼的規定。
流行的開源加密軟件TrueCrypt突然在其官網上建議Windows用戶改用微軟的BitLocker加密磁盤,并用大紅字警告使用TrueCrypt并不安全。在官網徹底大變臉前,TrueCrypt更新了二進制程序。目前完全不清楚TrueCrypt項目究竟發生了什么事,有許多人懷疑可能與第二階段的TrueCrypt安全審計報告即將發布有關。
根據官網上的聲明,在微軟結束支持Windows XP后TrueCrypt的開發于2014年5月終止,Windows 8/7/Vista等操作系統集成了磁盤加密支持,它建議用戶將任何TrueCrypt加密的數據遷移到平臺支持的加密磁盤或虛擬磁盤鏡像。
4eBay數據的大泄漏
eBay數據的大泄漏
eBay數據的大泄漏
5月22日,eBay正要求近1.28億活躍用戶全部重新設置密碼,此前這家零售網站透露黑客能從該網站獲取密碼、電話號碼、地址及其他個人數據。
該公司表示,對這次網絡攻擊的調查顯示,“沒有證據”表明黑客攻破了該集團旗下的PayPal在線支付服務——PayPal的客戶數據與eBay的客戶數據是分開存儲和加密的。
該公司表示,黑客得手的eBay數據庫不包含客戶任何財務信息——比如信用卡號碼之類的信息。
eBay表示該公司會就重設密碼一事聯系用戶。這次泄密事件發生在今年2月底和3月初,eBay是在大約兩周前發現這一泄密事件的。該公司并未說明有多少用戶受到此次事件的影響。
eBay還表示,黑客獲取了“少數”員工登錄授權,令他們能夠訪問該公司的企業網絡。
5LaCie發出的安全警告
LaCie發出的安全警告
LaCie發出的安全警告
計算機硬件企業LaCie(萊斯)對在2013年3月27日-2014年3月10日間在LaCie進行過網上交易的用戶做出警告,稱他們的私人數據可能存在安全風險。LaCie在今天發布的聲明中稱,這部分用戶的名字、住址、郵箱地址、支付卡卡號、卡片有效期與密碼都可能存在安全風險。
Krebs on Security大約在一個月前就公布了有關攻擊的證據,LaCie今天對此次已存在內部長達1年時間的安全漏洞做了揭露。來自Krebs on Security的Brian Krebs報告稱,“一個遭到攻擊的電子商務站點的僵尸網絡”已經形成,利用的是Adobe ColdFusion的安全漏洞。而LaCie的電子商店前端據稱就陷入到了受此惡意程序感染的網絡中。
同時LaCie母公司希捷(Seagate)企業通訊主管Clive Over說,目前希捷已經“執行了初步調查”,“并沒有意識到公司或第三方信息遭到任何非法的訪問”。當前LaCie已經與一家法院調查企業共同合作,對本次遭遇到的安全風險進行深入調查,并且還執行了額外的安全措施。另外LaCie還準備過渡到更安全的支付服務。
6古老的勒索把戲
古老的勒索把戲
古老的勒索把戲
如果人們說2013年是個人數據泄漏的一年,那么2014年絕對是數據安全的勒索年。2014年年初,部分用戶起床后發現自己的iCloud用戶無法登陸,并且有黑客發來信件說需要部分報酬才會恢復你的iCloud服務。
在黑客領域,這是一種非常古老的把戲。黑客通過控制你的電腦,聲稱對你的電腦和數據進行破壞,然后想被控制肉雞所有錢財。到了6月份,安全公司ESET發現的第一個例子,在Android平臺上的文件加密勒索案件。黑客表示除非現在有人可以出更高的贖金,不然他們不會停止高爆發的分布式拒絕攻擊(DDoS)。
分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上,在一個設定的時間主控程序將與大量代理程序通訊,代理程序已經被安裝在Internet上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術,主控程序能在幾秒鐘內激活成百上千次代理程序的運行。
7GnuTLS的協議漏洞
GnuTLS的協議漏洞
GnuTLS 是一個加密協議庫,實現了 SSL、TLS 和 DTLS 協議和相關技術,提供了簡單的 C 語言編程接口用來訪問這些安全通訊協議,提供解析和讀寫 X.509、PKCS #12、OpenPGP 和其他相關結構。特點是可移植性和高效。雖然不像之前傳出重大漏洞的OpenSSL函數庫那么流行,不過GnuTLS的使用范圍也相當廣泛,包含在Red Hat、Ubuntu及Debian等Linux操作系統及350種相關軟件。
GnuTLS的協議漏洞
安全研究人員近日再次發現安全通訊庫GnuTLS的重大漏洞,該漏洞可能使黑客能夠遠端執行惡意代碼。這已經是GnuTLS今年第二起安全漏洞事件。2014年3月,Mavrogiannopoulos曾通報GnuTLS一項goto cleanup重大漏洞,可使網站服務器誤信黑客偽造的SSL憑證而放行允許控制網站。
有史以來最大的比特別失竊案
全球最大Bitcoin交易平臺Mt.Gox申請破產。報道稱,其他Bitcoin網絡交易平臺包括Coinbase、Circle及BTC China發共同聲明證實Mt.Gox申請破產。
有史以來最大的比特別失竊案
Mt.Gox曾在發表的聲明中稱:「比特幣軟件中存在一個漏洞,黑客可以利用該漏洞修改交易信息,比如讓一個本來已經發生的比特幣交易看起來像沒發生……這會導致系統重新發送比特幣……。」
到本月早些時候,問題變得更加嚴重,Mt.Gox停止了所有客戶取現,稱比特幣軟件的一個漏洞使部份用戶能夠更改交易。受到暫停交易的影響,Mt. Gox平臺比特幣交易價格上周一度跌至100美元以下。
據《華爾街日報》稍早前的報導,比特幣交易所Mt.Gox的CEO Mark Karpeles已經在博客中宣布退出比特幣基金會。至於Karpeles離開的原因,其本人并沒有透露。不過外媒猜測這和Mt.Gox接連不斷出現的安全漏洞有一定的關系。據了解,Mt.Gox目前面臨一系列長期的技術問題。這些問題去年夏季就已開始出現,當時Mt.Gox暫停了客戶提取美元。
京公網安備 11010502049343號