如果黑客沒有異于常人的毅力,那么他將會一事無成。當其他人遇到障礙時,一般人都會選擇放棄,但黑客會通過暴力破解等方式來繞過這些障礙。除此之外,他們還會非常耐心地花上好幾個星期或者幾個月的時間來設計出新型的攻擊方法。
在黑客的創新觀念中,摩爾定律是沒有任何意義的。但凡是關注網絡安全領域的人都知道,這些年來,網絡攻擊活動變得越來越高調,而且相應的技術也變得越來越復雜。在去年,即2015年,我們發現了一些新的攻擊趨勢,毫無疑問,這些攻擊事件在2016年將會發生得更加頻繁。
下面,我們將給大家介紹一下,在2016年將會有哪些網絡攻擊。
敲詐勒索型攻擊
在2014年,索尼公司曾遭受了一次網絡攻擊,在我們對此事件進行了研究和分析之后,我們當時預測此類勒索事件的發生次數在2015年將會激增。我在這里所指的勒索并不是普通的基于勒索型惡意軟件的攻擊,因為勒索型的惡意軟件的功能是將目標用戶計算機中存儲的數據進行加密,或者通過加密技術直接鎖定目標用戶的系統,直到受害者向攻擊者支付“贖金”。在我所指的敲詐勒索型攻擊事件中,攻擊者會以公布公司或者用戶的敏感數據作為威脅,如果受害者拒絕支付“贖金”或者拒絕滿足攻擊者其他的要求,那么攻擊者將會把這些敏感數據公布出來。這樣一來,即使你已經備份了你的數據,即使你無所謂黑客是否對你的系統進行了鎖定,但如果你的數據被公布了出來,這將會給你的公司以及客戶帶來嚴重的損失。
但現在還有一個問題需要考慮。如果受害者屈服了,并表示愿意支付“贖金”,那么公眾也許并不會知道此次勒索事件。根據記錄顯示,在2015年曾發生過至少兩起敲詐勒索性攻擊:其一為針對Ashley Madison的攻擊,此事件導致該公司的CEO直接引咎辭職,并且數百萬用戶的隱私數據被公之于眾,給社會帶來了巨大的影響。其二為針對阿拉伯聯合酋長國投資銀行的攻擊事件,此次攻擊事件導致大量銀行客戶的賬戶信息被曝光。
對企業以及公司高管而言,敲詐勒索型攻擊絕對是他們的噩夢。如果不能妥善處理,公司的敏感數據將會被曝光,客戶將會對公司提起訴訟,而且高管們也將會失去工作。我們預計在2016年,此類事件將會發生得更加頻繁。
修改數據型攻擊
James Clapper是美國國家情報局的負責人,他在2015年向美國國會報告稱,修改或操作電子數據的網絡活動將會給他們帶來非常嚴重的影響,因為此類攻擊將會破壞機構的數據完整性,而不會刪除或公布他們的數據。Mike Rogers是美國國家安全局的局長,同時他也是美國網絡司令部的負責人,他說到:“現在在大多數的攻擊事件中,攻擊者都會竊取目標系統中的數據。但如果成功進入系統的攻擊者開始對你的數據進行操作和修改,那么你還會相信你在系統中所看到的數據嗎?”
與震網病毒所帶來的物理破壞相比,針對數據的破壞行為則更加難以進行檢測。這是因為數據的改變很可能是非常輕微的,但這種操作所帶來的后果和影響將會非常嚴重。還有人記得九十年代的Lotus 1-2-3漏洞嗎?這個漏洞會導致程序在一定的條件下,對電子表單的數據計算會產生錯誤。這個錯誤也許是無心之舉。但攻擊者卻可以侵入金融中心和股票交易系統來修改其中的數據,并且隨意提高或降低股票價格,結果如何就得取決于他們的目的了。
某些類型的數據修改行為甚至會帶來死亡。在1991年第一次海灣戰爭期間,由于武器控制系統中的軟件發生故障,進而導致一枚愛國者導彈未能成功攔截一枚飛在天上的飛毛腿導彈,最終這枚飛毛腿導彈打向了一個軍營,并殺死了28名士兵。當然了,這樣的一個錯誤同樣也是無心之舉。但在過去的十年中,某國家的間諜曾無數次入侵了美國國防承包商的網絡系統中,這一行為引起了美國軍方官員的密切關注,因為這些間諜不僅只是竊取了武器的制作藍圖,而且很有可能還修改或插入了代碼來破壞武器控制系統的完整性,并修改了系統的運行和操作方式。
芯片-密碼卡的創新
每當安全社區成功“消滅”了一種攻擊方法時,攻擊者總能設計出其他的攻擊方法。當零售商不再在數據庫中存儲客戶的信用卡數據以及交易記錄時,攻擊者就會開始對零售商的網絡通信數據進行攔截,當信用卡交易信息通過網絡傳輸到銀行端進行驗證時,攻擊者就可以從中截取未加密的數據。當零售商為了防止數據被竊取而對他們的交易通信數據進行了加密處理之后,攻擊者又在POS機的讀卡器中安裝了惡意軟件,并在系統對交易信息進行加密處理之前獲取到信用卡數據。現在,為了防止黑客的攻擊,銀行和零售商已經開始向客戶推出新的芯片-密碼卡了。
這種卡片包含一塊芯片,設備可以通過這塊芯片來驗證這張卡片是否為一張合法的銀行卡,在每一次購買商品時,它都會生成一個一次性的交易碼,以防止黑客將竊取來的信息寫入一張克隆卡中。但這并不會阻止欺詐行為的發生,它只會將黑客的注意力轉移到在線零售商。英國從2003年起就開始使用這種芯片-密碼卡了,受到欺詐交易行為影響的人數已經顯著下降了。但根據英國支付管理局的報告,通過電話或網絡完成的信用卡欺詐交易事件從2004年的百分之三十上升到了2014年的百分之六十九。當用戶在網上使用他們的信用卡時,既不需要密碼,也不需要簽名。所以,攻擊者只需要竊取到信用卡號就夠了。我們估計,這種欺詐性的網絡事件將會蔓延到美國。
針對物聯網的攻擊
很多人都說,2015年是物聯網蓬勃發展的一年。但這也是物聯網不斷受到網絡攻擊的一年。在2015年,類似汽車、醫療設備、滑板,甚至連芭比娃娃都遭到過黑客的攻擊。
2015年,黑客給大家展示了很多針對物聯網設備的攻擊PoC,那么在2016年,我們將會見到很多此類攻擊行為發生在現實生活之中。
京公網安備 11010502049343號