2014年2月27日,中央成立了網絡安全和信息化領導小組,習總書記任組長,并發表重要講話,強調“沒有網絡安全,就沒有國家安全;沒有信息化,就沒有現代化。” 顯示出最高層保障網絡安全、維護國家利益、推送信息化發展的決心。網絡安全和信息化建設已經上升為國家重大戰略。同時,習主席第一次系統、完整地提出了中國的互聯網治理觀。通過一系列舉措加快國內網絡空間法治化進程,并且通過巴西會議、首屆世界互聯網大會、中美互聯網對話等面向全球發出聲音。
2014年,也是中國互聯網歷史上有特別意義的一年。既是中國互聯網20周年的日子,也是全球網民數量突破30億的一年。中國移動互聯網用戶第一次超過PC用戶,中國互聯網第一次誕生出3000億美元的互聯網巨頭。展現網絡大國邁向網絡強國的良好態勢。
然而,2014年互聯網上大大小小的個人信息泄露事件頻發,信息安全問題比以往任何一個年份都更為突出。從2014年春運第一天12306爆用戶信息泄露漏洞,中間最嚴重的是泄露了130萬考研信息,到年底12月25日12306用戶數據遭泄露,賬號密碼身份證信息被售賣。不論是通過不安全的第三方平臺還是繼續遭受2012年年底的“泄密門”事件持續影響,過去的2014年都是數據泄密的高發持續增長期,使用失竊賬戶密碼依然是非法獲取信息的最主要途徑,而這里面三分之二的數據泄露都與漏洞或失竊密碼有關。網民的郵箱、微博、游戲、網上支付、購物等賬號信息成為網絡犯罪分子眼中的“搖錢樹”,個人信息倒賣產業鏈已形成規模。
同時,2014年也是多個互聯網嚴重漏洞集中爆發的一年,如OpenSSL的心臟出血(Heartbleed)漏洞、OpenSSL 3.0的貴賓犬漏洞、Bash Shellshock破殼、IE的0Day漏洞、Struts漏洞、Flash漏洞、Linux內核漏洞、Synaptics觸摸板驅動漏洞、USBbad等重大漏洞先后曝光,受影響的網站、操作系統、硬件設備范圍之廣、之深,聞所未聞。
2014年我們所知的所有網絡攻擊,實際上還只是冰山一角,未來的網絡空間將出現更多錯綜復雜、有組織性甚至是由敵對國家發起的網絡襲擊。APT攻擊事件目前趨于爆發式增長,有些黑客秘密潛入重要系統竊取重要情報,而且這些網絡間諜行動往往針對國家重要的基礎設施和單位進行,包括能源、電力、金融、國防等;有些則屬于商業黑客犯罪團伙入侵企業網絡,搜集一切有商業價值的信息。
安恒信息盤點了2014年發生在全球的熱點互聯網信息安全事件,以及全年互聯網網絡漏洞與網站安全分析整理,希望能給我們的國家、機構、組織、企業,還有人民帶來安全意識的啟發,敲響網絡信息安全的警鐘。
國內互聯網安全十大熱點事件
(一)維護網絡安全首次列入政府工作報告
2014年2月27日,中央網絡安全和信息化領導小組宣告成立,在北京召開了第一次會議。中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長,李克強、劉云山任副組長,再次體現了中國最高層全面深化改革、加強頂層設計的意志,顯示出保障網絡安全、維護國家利益、推動信息化發展的決心。而3月6日播出的央視晚間新聞《據說兩會》欄目,向全國觀眾介紹了當前我國所處的網絡安全形勢,首次將維護網絡安全列為國家安全和發展的重大戰略問題之一。
(二)2014世界互聯網大會
以“互聯互通 共享共治”為主題的首屆世界互聯網大會于2014年11月19日至11月21日在浙江烏鎮舉辦。國家互聯網信息辦公室主任魯煒在30日國務院新聞辦舉行的發布會上表示,舉辦世界互聯網大會,旨在搭建中國與世界互聯互通的國際平臺和國際互聯網共享共治的中國平臺。世界互聯網大會也將永久會址確定在烏鎮,打造網絡空間的“烏鎮峰會”。
此次大會是我國舉辦的規模最大、層次最高的互聯網大會,據了解,有來自100個國家和地區的1000多位政要、企業巨頭、專家學者等參加。
中方呼吁國際社會齊心協力,攜手建立多邊、民主、透明的國際互聯網治理體系,共同構建和平、安全、開放、合作的網絡空間,并提出九點倡議,具體包括:促進網絡空間互聯互通、尊重各國網絡主權、共同維護網絡安全、聯合開展網絡反恐、推動網絡技術發展、大力發展互聯網經濟、廣泛傳播正能量、關愛青少年健康成長以及推動網絡空間共享共治。
與此同時,安恒信息協助本次大會安全保障部門全面參與了世界互聯網大會網絡安全技術支撐工作,在安恒信息的風暴中心,技術人員7*24小時對世界互聯網大會的網站進行實時監測,大會主會場的網絡安全保障工作也閃現著安恒專家團隊的身影。同時,作為大會新聞官網唯一網絡安全支持保障單位,安恒信息也派出了最強陣容的專家團隊駐場支持。據安恒信息世界互聯網大會網絡安全技術保障團隊統計,截止到2014年11月21日13:00世界互聯網大會結束,部署在世界互聯網大會新聞官網中的WAF防護系統共防護了277531次嚴重攻擊,大部分為SQL注入攻擊、跨站腳本、WEB組件漏洞攻擊和少量CC攻擊。
(三)2014首屆國家網絡安全周
2014年11月24日,以“共建網絡安全,共享網絡文明”為主題的首屆國家網絡安全宣傳周啟動儀式在北京中華世紀壇舉行。此后,國家網絡安全宣傳周將于每年11月最后一周舉行。
首屆國家網絡安全宣傳周是我國第一次舉辦全國范圍的網絡安全主題宣傳活動,不僅國家有關職能部門共同參與主辦,各省、自治區、直轄市也將同期舉辦相關主題活動,在全國掀起網絡安全宣傳的高潮。
活動圍繞金融、電信、電子政務、電子商務等重點領域和行業網絡中社會公眾關注的安全熱點問題展開,舉辦網絡安全體驗展等系列主題宣傳活動,營造網絡安全人人有責、人人參與的良好氛。
(四)2014年春運第一天12306爆用戶信息泄露漏洞
2014年鐵路春運售票第一天,在經歷了1小時宕機之后,12306鐵路客戶服務中心網站再次爆發用戶賬號串號問題,大量用戶身份證等信息遭泄露。下午15時左右,有網友爆料稱12306出現“串號”情況,登錄網站購票卻出現其他客戶信息,疑似信息遭泄露。網友們反映,登錄自己賬號后,“我的12306”下拉菜單中的“常用聯系人”中,顯示的是其他用戶的訂票信息,包括姓名、身份證號碼、手機號等信息。下午17時34分,新版12306網站出現泄露大量用戶資料的漏洞,危害等級為高。
(五)支付寶前員工被曝販賣20G用戶資料
此則消息引發了用戶對于信息安全問題的關注,也令網絡信息販賣產業鏈浮現。一條價值較高的用戶信息甚至可以被賣至數十元。此次支付寶信息泄露中,超過20G的海量用戶信息,被支付寶員工在后臺下載并有償出售給電商公司、數據公司。
一二線電商企業本身有完善的用戶數據庫,需要進行嚴格的數據監控,防止數據泄露至黑色交易鏈。此類信息販賣產業,有的甚至采取公司的運作方式,從互聯網上購買個人或單位信息,轉賣他人獲利;通過網上購買公民戶籍、住房、車輛等個人信息為他人提供婚戀、追債、手機定位等服務項目并從中獲利;通過網上購買信息推銷產品;利用自身特殊身份盜竊、騙取公民、企業信息轉賣獲利。
(六)DNS癱瘓致全國三分之二網站故障
2014年1月21日下午3時20分左右,全國DNS域名解析系統出現了大范圍的訪問故障,包括DNSPod在內的多家域名解析服務提供商予以確認,此次事故波及全國,有近三分之二的網站不同程度的出現了不同地區、不同網絡環境下的訪問故障,其中百度、新浪等知名網站也受到了影響。據了解,在此次故障中,多數網站被解析到了65.49.2.178這一IP地址,由于錯誤的解析,多數網站出現了訪問故障,對普通網民而言,最直接的表現就是很多網站打不開了。下午4時許,匿名者黑客團體宣布對在3時31分發生的DNS癱瘓負責。
這次DNS癱瘓除了給網民帶來負面體驗外,也普及了根服務器的概念:根服務器是是互聯網域名解析系統(DNS)中最高級別的域名服務器,目前全世界只有13臺,其中10臺在美國,另外3臺位于英國、瑞典和日本。這給我們敲響了警鐘,泱泱網民大國只有根服務器的租用權是相當危險的。
(七)“2000萬開房信息泄露案”開審
2014年2月14日上午,“2000萬開房信息泄露事件”首例訴訟在浦東法院第一次開庭審理。原告王金龍起訴漢庭星空(上海)酒店管理有限公司和浙江慧達驛站網絡有限公司,并要求賠償20萬元。
王金龍通過分析,完成了《上海市民信息泄露情況分析報告》,上海有86萬受害人,居全國首位。
王金龍舉例說,根據被泄露的詳盡個人信息,不法分子可能篩選出18—35歲女性,進行化妝品、母嬰產品等定向電話騷擾。更可怕的是,一旦破譯郵箱密碼,還可能獲取受害人的微博、微信賬號,向好友行騙。甚至能入侵支付寶等其他關聯賬戶,直接威脅資金安全。
實名認證的新浪微博賬戶@股社區發布了一個名為“查開房”的網址。只需輸入姓名或身份證號,即可查詢到包括身份證號、生日、地址、手機號、郵箱、公司、登記日期等真實信息。
(八)攜程支付出現漏洞導致大量用戶信用卡信息泄露
漏洞報告平臺烏云網2014年3月22日披露了攜程網安全漏洞信息,漏洞發現者稱由于攜程開啟了用戶支付服務接口的調試功能,支付過程中的調試信息可被任意駭客讀取。
在烏云披露該信息后,攜程官方表示,兩個小時內修復該問題。
該漏洞發現者稱,由于該漏洞存在,攜程安全支付日志可遍歷下載,導致大量用戶銀行卡信息泄露,包含持卡人姓名、身份證、銀行卡號、卡CVV碼、6位卡Bin等。所謂遍歷(Traversal),是指沿著某條搜索路線,依次對樹中每個結點均做一次且僅做一次訪問。訪問結點所做的操作依賴于具體的應用問題。
攜程表示,可能受影響用戶為3月21日與3月22日的部分交易客戶,目前并沒有因該漏洞的影響而造成相應財產損失的情況發現。
(九)全國碩士考試報名信息遭泄露1萬5買130萬用戶數據
某漏洞平臺報道《國內考研130W報名信息泄漏事件》并表示該漏洞導致泄露的信息正在被黑產利用。出售的用戶信息截止到2014年11月份的130萬考研用戶,而且數據已經被多次轉賣,經過與賣家了解,數據泄漏了考研用戶的姓名、手機、座機、身份證、住址、郵編、學校、專業等敏感數據。
(十)年底12306超十萬條數據泄露
2014年12月25日,當人們還沉浸在圣誕的喜悅中,烏云漏洞平臺率先爆出大量12306用戶數據泄露,有公安部門介入調查,根據烏云漏洞平臺披露的信息,目前已知公開傳播的數據涉及用戶數為131653條,尚不清楚是否有更多用戶數據被泄露。隨后12306通過微信等多個渠道表示,“泄露信息全部含有用戶明文密碼。我網站數據庫所有用戶密碼均為多次加密的非明文轉換碼,網上泄露的用戶信息系經其他網站或渠道流出。”
鐵路公安機關于當日晚,將涉嫌竊取并泄露他人電子信息的犯罪嫌疑人抓獲。經查,嫌疑人蔣某某、施某某通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名加密碼信息,嘗試登陸網站進行“撞庫”,非法獲取用戶的其他信息,并謀取非法利益。
安恒信息安全研究院對此次泄露事件進行了不同角度的解析,撞庫是利用其他泄漏的數據庫用戶密碼信息,對另外一個網站進行密碼的碰撞。如果要將6000萬條的數據跑完,每秒嘗試10次需要兩個多月時間才能完成(除非12306完全沒有請求數據限制,或者攻擊者利用了分布式的方式),也有可能只跑了一部分數據,真正能撞到的數據還有更多。
另外一個問題就是驗證碼,12306的PC端的驗證碼比較難識別,但登陸接口并非只有一個,手機APP也存在登陸接口,經過測試也沒有驗證碼。密碼只是md5進行了一次hash,這個接口登陸也不需要進行短信驗證。所以很容易利用這個接口進行撞庫攻擊。如果是撞庫,這是否也暴露出了12306對此類新型攻擊手段的防范意識與手段有待加強呢?
還有一個可能是數據庫信息之前已經泄漏了一部分,這次只是對密文密碼的碰撞所得,這樣12306日志中就監測不到相關的攻擊,目前公布的情況似乎不是這類,但是否真存在其他的地下數據庫就不得而知了。查看一下Web服務器的訪問日志應該就可以很容易確定,但在目前12306多子站安全問題頻發以及該站對撞庫攻擊應對不力的現狀來看,到底會不會存在更嚴重的數據泄露事件,還有待進一步觀察。
[page]國際互聯網安全十大熱點事件
(一)Windows XP停服
服役13年的微軟Windows XP系統于2014年4月8日正式“退休”。盡管這之后XP系統仍可以繼續使用,但微軟不再提供官方服務支持。對于中國數以億計的XP用戶來說,一方面是對已經使用了13年的操作系統依依不舍,一方面也對即將面臨的安全風險顧慮重重。微軟官方對此的解釋是由于系統運行周期較長,加上技術條件的落后,已經無法抵御網絡黑客和病毒的攻擊,運行環境方面存在很大的漏洞。
(二)土耳其石油管道事件
就網絡黑客而言,入侵某一跨國企業的電腦系統是一回事,而通過入侵某一國家的民用基礎設施并引起爆炸則就完全是另一回事了,而最早發生于2008年的土耳其石油管道爆炸事件就是其中之一,這是一次具有分水嶺意義的事件。
美國《星條旗報》網站在2014年12月12日發表題為《俄羅斯和格魯吉亞戰爭僅僅幾天前,神秘的石油管道爆炸開啟了新的網絡戰時代》的文章:土耳其境內的巴庫-第比利斯-埃爾祖魯姆(Baku-Tbilisi-Erzurum)石油管道從打造之初就將安全性放在了首要位置,但這一管道的建設卻依舊沒能抵擋住來自黑客的數字戰爭。據悉,當時黑客首先入侵了該石油管理部門的網絡系統,然后安裝了一個惡意軟件,并關閉了警報、切斷了通信聯系、給管道內的原油大幅增壓。由于管道內壓力的不斷增大,該石油管道最終發生了爆炸,爆炸的火焰高度甚至高達150英尺。
對此,專門研究美國安全政策的雷維隆(Derek Reveron)博士就認為,土耳其這一事件的披露讓美國政府深感憂心,因為全美境內有著長達數千英里的原油、天然氣管道線。
(三)伊朗黑客瞄準航空公司系統
國外知名安全機構指出,雖然來自俄羅斯的黑客動態一直都占據著科技媒體的頭條位置,但近年來來自伊朗的黑客們大有后來居上的勢頭。
這家安全機構透露稱,持續兩年的調查發現來自伊朗的黑客曾成功入侵了包括韓國、阿聯酋、巴基斯坦在內多個商業航空公司的安全系統。根據公布的這份長達86頁的報告顯示,在過去2年時間里,伊朗黑客已經直接攻擊、滲透全球多個國家的政府機關、企業和重要基礎設施的網絡,受害國家包括美國、中國、英國、德國、加拿大以及土耳其、沙特阿拉伯等16個國家。
同時,這些黑客的攻擊目標還包括了旅客的護照照片以及機場員工卡等機密內容,而這些內容的泄露將有可能幫助不法之徒輕松通過機場的安檢程序。
(四)英國央行雇傭黑客
在IT界,大型組織常常雇傭電腦黑客已經是一個眾所周知的“秘密”了。這些特殊黑客的工作,就是對系統進行調校,以盡可能地確保公司的安全。然而,盡管這或許已經是一個常識性的東西,但卻并沒有多少公司公開談論雇傭黑客的事情。畢竟討論安全協定可以看作是有風險的。
所以2014年4月,當英國央行(Bank of England)宣布雇傭黑客來幫助其對二十多個主要銀行進行防御測試時,立刻引起了軒然大波。然而,此舉還是得到了網絡安全專業人士的認可。有人認為,英國走在了網絡保護的前沿,能夠對消費者、企業和經濟起到正面的影響作用。
(五)愛德華·斯諾登警示社交媒體監聽
2014年,通過一名叫做愛德華·斯諾登的人持續不斷地向世人首次揭露美國國家安全局、英國國家通信總局(GCHQ)以及其他政府的監聽計劃,表明需要關注監聽的不僅僅是那些大企業。
在政府持續成為曝光主要焦點的同時,斯諾登又爆出了使用云服務、搜索引擎和社交媒體的有關風險,暗示谷歌和臉譜都與政府勾結進行監聽和提供“危險”服務。2014年7月,斯諾登又指責Dropbox公司“對隱私懷有敵意”,并是美國政府棱鏡窺探計劃的走狗。
由人民出版社出版的《美國是如何監視中國的-美國全球監聽行動紀錄》中披露,中國國內網絡安全權威技術部門檢測發現,美國思科公司的路由器存在嚴重的預置式“后門”。受到美國國安局信息監視項目-"棱鏡"監控的主要有10類信息:電郵、即時消息、視頻、照片、存儲數據、語音聊天、文件傳輸、視頻會議、登錄時間和社交網絡資料的細節。通過棱鏡項目,國安局甚至可以實時監控一個人正在進行的網絡搜索內容。
(六)美國通過互聯網監聽從事工業間諜活動
美國國家安全局監聽計劃的揭露給2014年的整個IT界和各國政府都蒙上了一層陰影。可以說,2014年1月愛德華·斯諾登聲稱的以民主堡壘自居的美國通過互聯網監聽從事工業間諜活動是最令人不寒而栗的事件之一。
斯諾登稱,美國的工業間諜活動所針對的不僅僅只是限于“國家安全問題”,而且還包括任何可能對美國有價值的工程和技術資料。他以德國工業巨頭西門子為例說:“如果西門子的信息符合美國的國家利益,即使這些信息與美國的國家安全沒有半毛錢關系,他們照樣還是會拿取這些信息。”
和今年的其他安全事件一樣,斯諾登的言論毫無疑問地引起了很多關于將敏感信息存儲在云端是否符合其背后邏輯的質疑。
(七)摩根大通受攻擊波及多數美國人
網絡對摩根大通的攻擊最早發生在2014年8月,導致聯邦調查局開始調查俄羅斯政府與摩根大通被攻擊之間的關聯。然而,不管是誰發起的攻擊,事件造成了7600萬個人賬戶和700萬小企業賬戶的戶名、地址、電話和電子郵件被泄露的嚴重后果。
人們一般認為,被攻破的都是些安全措施薄弱的公司,然而眾所周知的是,摩根大通在安全保護領域有著非常完善的安全規劃并不惜投入巨資。摩根大通事件以慘痛的教訓向世界做出警示,沒有人是絕對安全的。
(八)“攻擊世界杯行動”
四年一度的世界杯可謂讓巴西的黃綠色染遍了全球,但并非所有人都高興。2014年6月,一個名為“Anonymous巴西”的黑客組織,制定了一個名為“攻擊世界杯行動”的計劃,進行了大量拒絕服務攻擊,導致世界杯相關網站無法正常使用。該組織也是全球松散的黑客組織“Anonymous”的一部分。
在推特發布的一條信息中,上述黑客組織宣布,自從巴西世界杯開幕以來,他們已經實施了一百多次網絡攻擊,被攻擊的網站對象隸屬于巴西情報機構、世界杯贊助商現代公司巴西分公司,巴西足球協會,巴西司法部,圣保羅軍事警察機構,巴西銀行,以及Africa.com.br網站。本次攻擊行動的主要目的是對巴西的貧困現象、腐敗和警方暴力表示抗議。
(九)蘋果iCloud安全漏洞泄漏名人裸照
蘋果公司一向以其自身設備和服務的安全而自豪,但2014年8月,隨著其iCloud服務被攻破,許多的名人信息被泄露,這個iPhone和iPad制造商也被狠狠地打了臉。事件造成數百張家喻戶曉的名人私密照片被盜,其中包括主演影片《饑餓游戲》(The Hunger Games)的明星詹妮弗·勞倫斯(Jennifer Lawrence)的裸照,蘋果公司只好加緊解決其iCloud服務的安全問題。
在這么多的企業和個人越來越愿意相信云服務的背景下,該事件向我們敲響了警鐘,那就是在云服務上存儲敏感文件可能并不像我們想象的那樣安全。將敏感資料放在云端,就要對這樣的潛在后果有所警醒。很多人可能還不知道,智能手機通常都會自動備份文件到云服務器。今天的設備都非常熱衷于將數據推送至各自的云服務器上,人們應該小心敏感資料不會自動上傳到網上或者其他配對的設備上。
(十)索尼影業被黑
2014年11月份,索尼影視娛樂受到黑客攻擊,導致公司系統被迫關閉。這是安全聲譽欠佳的索尼繼一連串針對其PlayStation(PS)網絡的攻擊后,受到的又一次打擊。攻擊造成從包括個人信息和名人電子郵件在內的員工詳細信息到未發布的影片都被公之于眾。
美國聯邦調查局聲稱背后黑手是朝鮮,總統奧巴馬也二次發聲要打擊網絡攻擊行為。朝鮮當局呼吁成立朝美聯合調查組,并威脅如果未遂其愿的話可能導致“嚴重后果”。此事已經上升到國家政治層面。
京公網安備 11010502049343號