2011 年已經過去，我們有必要回顧一下過去12 個月中IT 安全領域所發生的重大事件。如果必須用一個詞總結這過去的一年，我覺得“火爆”這個詞非常貼切。這一年，發生了太多的事件、故事，揭露了眾多真相，同時也出現很多新的趨勢和新的主角，所以，要選擇2011 年十大安全事件并不容易。我挑選這些事件的目的是讓大家記住這些故事，同時了解其代表的最新安全趨勢以及登上安全舞臺的新主角。通過了解這些事件，我們能夠預測2012 年的安全形勢。

1.“黑客主義”的興起

我想，任何閱讀本文的讀者肯定都聽說過Anonymous 和LulzSec，還可能有 TeaMp0isoN。在過去的2011 年中，這些黑客組織同其它黑客組織一起，積極投入到針對執法機關、銀行、政府、安全公司以及大型軟件公司的攻擊行為中。有時候，他們協同作戰，有時候又各自為戰，這些黑客團體無疑是2011 年安全領域最重要的角色之一。它們制造出眾多安全事件，如聯合國網絡、FBI 承包商IRC Federal、美國國防部承包商ManTech 以及CIA 被黑事件。有趣的是，有些安全事件，如Stratfor 被黑事件，暴露出很多安全問題，包括CVV 號碼采用未加密格式儲存，或者系統管理員使用強度非常弱的密碼。

整體來看，黑客主義興起是2011 年的主要安全趨勢之一。毫無疑問，這一趨勢在2012 年仍將繼續，并且還會因此產生類似的安全事件。

2.HBGary Federal 被黑事件

雖然這一事件同上述的黑客組織攻擊有關，但是我認為有必要將其單獨列為一個事件。2011 年1 月，來自Anonymous 黑客組織的黑客通過SQL 注入攻擊方式，攻陷了GBGary Federal 公司的網頁服務器—— hbgaryfederal.com。黑客想辦法獲取到多個MD5 哈希值，其中包括公司CEO Aaron Barr 和COO Ted Vera所使用的密碼。不幸的是，他們所使用的密碼均十分簡單，僅包括六位小寫字母和兩位數字。通過這些密碼，黑客獲取到該公司的研究資料以及儲存在Google App 上的數萬份電子郵件。我認為這一事件具有典型性，因為其發生的前提很巧。首先，使用的密碼強度較弱，而且公司使用的是較為陳舊的軟件系統，而且還使用了云存儲技術，最終這些因素導致了一場安全噩夢。如果公司的CEO 和COO 都是用高強度密碼，這一攻擊事件可能就不會發生。或者，如果他們在Google App 中使用多重認證系統，攻擊者也不會輕易獲取超級賬號，將公司的電子郵件全部拷貝下來。另外，需要指出的是，即使該公司所采用的安全措施都到位了，我們仍然不能排除黑客通過其它途徑將其攻陷的可能，因為黑客可能會發現其它的入侵渠道。

攻擊者具有持久的耐心和不懈的決心，再加上大量的時間，使得他們能夠最終攻擊成功。

3. 高級持續性威脅

雖然很多安全專家對于這一詞匯頗有微詞，但是該詞匯確實被主流媒體所引用，并且因為RSA 安全事件或Night Dragon 行動、Lurid 和Shady Rat 等類似的事件成為一個熱門詞匯。但是有趣的是，很多這樣的網絡攻擊行為所采用的技術和手段并不高超。另一方面，很多這樣的安全事件中，網絡黑客都采用了零日漏洞攻擊，例如RSA 被黑事件中。該案例中，攻擊者利用Adobe Flash Player 中的CVE-2011-0609 漏洞，在被攻擊計算機上運行惡意代碼。而在針對美國國防部承包商ManTech 的針對性攻擊中，黑客則利用CVE-2011-2462 漏洞發起攻擊，該漏洞是一個存在于Adobe Reader 中的零日漏洞。很多攻擊都是以美國為目標，同美國軍方或政府有合作的公司更是首當其沖。Lurid 攻擊的目標主要是東歐國家，例如俄羅斯或其它獨聯體國家。這些攻擊表明網絡武器超級大國的出現，意味著網絡間諜行為已經變得普遍。此外，很多這樣的攻擊似乎之間都有關聯，甚至是全球范圍內攻擊的一部分。例如，RSA 被黑事件中造成SecurID 電子口令數據庫失竊，而這些電子口令之后則被用在其它攻擊中。

4.Comodo 和DigiNotar 被黑事件

2011 年3 月15 日，知名安全軟件和SSL 電子證書發放公司Comodo 的一個下屬公司遭黑客攻陷。攻擊者很快利用其基礎設施，創建了九個假冒的數字證書，其中包括針對mail.google.com、login.yahoo. com、addons.mozilla.com、和 login.skype.com 等的電子證書。調查過程中，Comodo 最終確認攻擊者的IP 地址來自伊朗的德黑蘭，IP 地址為212.95.136.18。但是，僅從攻擊規模來說，這次攻擊同針對 DigiNotar 的攻擊相比，規模要小得多。2011 年6 月17 日，黑客開始對DigiNotar 服務器發起攻擊。在接下來的五天內，黑客獲取到該公司的基礎設施訪問權限，并且創建了超過300 個假冒數字證書。黑客還以數字證書的形式進行了留言，留言為波斯語，內容為“了不起的黑客，我將解密所有的加密內容，我將摧毀你”。幾天后，該假冒的數字證書被用來發動針對十萬個Gmail 用戶的中間人攻擊，攻擊來自伊朗，更證實了此次攻擊同伊朗有關。

早在這些案例之前，大家對證書發放機構(CA)的信任度就有所下降，這些事件更是加劇了這一情況。未來，針對CA 機構的攻擊可能會越來越多，而且采用數字簽名的惡意軟件也可能會逐漸增多。

5. Duqu 木馬

2010 年6 月，來自白俄羅斯VirusBlokada 公司的研究人員Sergey Ulasen 發現了一款復雜的惡意軟件。該惡意軟件似乎采用了被盜數字證書對其驅動進行簽名，而且還利用典型的Autorun 方式復制自身，并包含.Ink 文件零日漏洞利用程序。這一惡意軟件迅速走紅，并且被命名為Stuxnet。Stuxnet 是一種計算機蠕蟲，其攻擊目標非常特殊，直接攻擊目標是伊朗的核設施。Stuxnet 劫持伊朗的Natanz 電站所使用的西門子PLC 系統，將其重新編程。其行為只有一個目的，就是破壞Natanz 的濃縮鈾加工設施。當時，我看到該惡意程序的代碼能夠對控制64000 轉離心機的PLC 系統進行重新編程，覺得不可思議。因為如果沒有接觸到原理圖和源代碼，是不可能寫出這樣的代碼的。但是，攻擊者是如何獲取到這些敏感的代碼的呢?而且這些代碼還控制著價值上百億美元的設施。

答案可能就在Duqu 木馬中，因為Duqu 木馬和Stuxnet 出自同一群惡意軟件編寫者。Duqu 最早于2011 年 8 月被匈牙利研究實驗室CrySyS 發現。最初，我們還不清楚Duqu 木馬是如何感染攻擊目標的。后來，能夠利用CVE-2011-3402 漏洞的惡意Word 文檔被發現，并且是Duqu 入侵攻擊目標的手段之一。Duqu 木馬的目的同Stuxnet 非常不同。該木馬其實是一個復雜的攻擊工具，可以用來攻破系統，從而榨取其中的信息。此外，該木馬還能加載新的模塊并聯機運行，不會留下文件系統足跡。Duqu 木馬具有高度模塊化的架構，并且在全球只感染了很少的系統，使得其出現多年以后才被發現。最早的Duqu 相關活動其實早在2007 年8 月就已經出現。我們分析這些攻擊事件，發現攻擊者都使用被攻陷服務器組成基礎設施從受感染計算機上轉移數據，有時候這些數據甚至有數百兆大小。

Duqu 和Stuxnet 是目前最為先進的網絡武器。它們的出現預示著我們已經進入網絡冷戰時代。由于真實戰爭具有局限性，所以一些超級勢力開始利用網絡武器互相攻擊。

6. 索尼PSN 網絡被黑事件

2011 年4 月19 日，索尼發現其PSN 網絡被黑客攻陷。最初，索尼并不愿意公布發生的狀況，并且聲稱該服務于4 月20 日暫停，并將在幾天內恢復。但直到4 月26 日，索尼才承認PSN 網絡中的個人數據被盜，其中可能包括信用卡賬號信息。三天后，有報道出現說有220 萬個信用卡賬號信息在黑客論壇上出售。到5 月1 日，PSN 網絡仍然不能訪問，使得其用戶不僅面臨信用卡被盜的事實，還不能玩已經付費的游戲。2011 年10 月，PSN 網絡再次成為媒體焦點，因為索尼為了避免賬號被濫用，凍結了93,000 個被盜竊的PSN 服務賬號。索尼PSN 網絡被黑事件是2011 年一件重大的安全事件，因為它揭示出在云存儲時代，個人身份信息雖然很容易通過互聯網在其它地方快速訪問，但一旦那出現設置錯誤或安全問題，很容易就造成失竊。在云存儲時代的2011 年，全球有約7700 萬用戶賬號和220 萬信用卡信息被盜。

7. 打擊網絡犯罪和僵尸網絡的關閉

雖然索尼PSN 被黑事件的幕后攻擊者還沒有找到，但2011 年對很多網絡罪犯來說，絕對是難過的一年。因為全球范圍內，很多網絡罪犯被執法機關所逮捕。例如，ZeuS 的幕后攻擊者被逮捕，DNSChanger 網絡犯罪集團被打掉，Rustock、Coreflood 和Kelihos/Hilux 僵尸網絡被關閉等。打擊網絡犯罪集團對于在全球范圍內抑制網絡犯罪有長遠意義，因為通過大力度的打擊，能夠向其余的網絡罪犯發出信號，即從事網絡犯罪不再是一項沒有風險的行為。需要特別提到的是Kelihos 僵尸網絡，它的關閉是卡巴斯基實驗室同微軟數字犯罪小組共同協作完成的。卡巴斯基實驗室首先為該僵尸網絡進行了“排污行動”，每天檢測到數萬臺被感染計算機。正是在這個時候，一場爭論開始了。了解該僵尸程序的更新詳情后，卡巴斯基實驗室或執法機關能夠推送一個程序給所有的受感染用戶，通知他們清除感染，甚至可以自動將受感染計算機上的僵尸程序清除。在Securelist 網站上進行的調查中，有超過83% 的參與調查人員投票認為卡巴斯基實驗室應該推送清除工具，清除感染。但是，這一做法在大部分國家是非法的。所以，基于這些顯而易見的原因，我們并沒有這樣做。但是，這一事件卻表明今天的立法系統對于有效打擊網絡犯罪，還存在很多限制。

8. 安卓惡意軟件的崛起

2010 年8 月，我們發現了安卓平臺下首個木馬程序——Trojan-SMS.AndroidOS.FakePlayer.a，該木馬會偽裝成一個媒體播放器程序。在僅僅不到一年時間內，安卓惡意軟件迅速增長，目前已經成為最常見的手機惡意軟件種類之一。這一趨勢在2011 年第三季度更為明顯。2011 年期間我們所發現的所有手機惡意軟件中，安卓惡意軟件所占比例超過40%。并最后于2011 年11 月達到臨界值，總數超過1000 個惡意程序樣本。這一數量幾乎是過去六年中所有發現的其它手機惡意軟件之和。安卓惡意軟件之所以如此盛行，有多個原因。首先，安卓平臺本身增長迅速。其次，有大量免費的安卓平臺文檔可供參考，使得編寫安卓惡意軟件較為方便。最后，還有很多人責怪Google 的安卓電子市場，因為該市場的審核措施比較薄弱，使得網絡罪犯很容易上傳惡意程序到電子市場中。而目前，針對iPhone 的惡意軟件目前僅發現兩款，我們收集到的安卓木馬數量現在已經接近2000 個。

9. CarrierIQ 事件

CarrierIQ 是一個成立于2005 年的小型私人公司，地址位于加利福尼亞的山景城。根據公司網站提供的信息，全球有1.4 億臺設備安裝了CarrierIQ 軟件。雖然該公司聲稱CarrierIQ 的目的是從手機終端收集“診斷”信息，但安全研究專家Trevor Eckhart 卻演示了CarrierIQ 收集到的信息遠遠不止“診斷”信息，該軟件甚至還包括鍵盤記錄工具以及URL 地址監控功能。CarrierIQ 具有典型的命令和控制架構，系統管理員能夠決定收集何類信息，并選擇將這些信息返回。很明顯，CarrierIQ 確實收集了很多手機用戶的信息，但這并非表示其目的是不良的。至少其所屬公司以及HTC 這樣支持其使用的公司是這樣宣稱的。但是，作為一個美國公司，美國執法機關通過相關證明，可以強制CarrierIQ 公司交出他們收集的這些數據。這一法律漏洞甚至能夠變成政府竊聽和監控的工具。不管事實是否如此，很多用戶決定將他們手機中的 CarrierIQ 軟件清除。但不幸的是，清除過程并不簡單，而且針對iPhone、安卓手機和黑莓手機，清除手段各不相同。對安卓系統手機，用戶必須先要破解手機，才能夠清除該軟件。或者，很多用戶選擇重新刷新手機固件，如 Cyanogenmod 固件。

CarrierIQ 事件表明我們對于運行在自己手機設備中的軟件幾乎毫不知情，對于他人控制我們手機硬件的程度也知之甚少。

10.Mac 系統下的惡意軟件

我意識到我一旦提到Mac OS X 系統下的惡意軟件，就將自己推入了火線。但是，Mac 惡意軟件的出現是2011 年不能忽視的一個重大安全趨勢。2011 年5 月，出現了一些名為MacDefender、MacSecurity 或 MacGuard 的惡意軟件。它們都是Mac 操作系統下的流氓反病毒軟件，并且很快普及開來。這些惡意軟件利用黑帽搜索引擎優化技術，通過Google 搜索結果進行傳播。此外，這些惡意程序還利用社交工程技術，誘惑用戶下載安裝，并讓用戶付費獲取完整版。如果用戶付費40 美元購買完整版，會發現自己其實支付了140 美元，有時候甚至還多次被扣費。PC 平臺下的威脅跨平臺出現于Mac 平臺，是2011 年一個重要趨勢(流氓反病毒軟件是PC 平臺下最常見的惡意軟件種類之一)。除了Mac 平臺下的流氓反病毒軟件，DNSChanger 家族的木馬程序同樣值得關注。該類惡意軟件最早于2007 年被發現，這類木馬會利用簡單的方式感染系統，修改系統的DNS 設置，將DNS 指向網絡罪犯設置的專用DNS 服務器，之后將自身刪除。這樣，即使用戶感染了DNSChanger，系統DNS 設置被更改，但用戶也不易發現，因為計算機上并不存在惡意軟件。但是，網絡罪犯利用這種手段，感染DNS 通訊，讓用戶訪問假冒的網站，或者進行點擊詐騙以及中間人攻擊。幸運的是，2011 年11 月，FBI 逮捕了六個愛沙尼亞國籍的網絡罪犯，他們是 DNSChanger 惡意軟件的幕后操作者。根據FBI 提供的數據，在過去四年中，他們在全球100 多個國家共感染400 萬臺計算機，獲得非法利潤約1400 萬美元。這些事件表明Mac 操作系統下的惡意軟件同PC 平臺下的一樣真實存在，即使采取了當今的安全措施，也很難預防復雜的社交工程感染技術。而且毫無疑問，這兩個平臺下的惡意軟件數量還會增加。

總結來說，上述十個事件只是2011 年眾多安全事件中的一小部分。之所以選擇這些事件，是因為它們是2011 年安全領域里的絕對主角，并且在不遠的將來，仍將繼續在網絡安全領域扮演重要角色。其中涉及黑客主義者集團、安全公司以及超級大國互相對抗，進行網絡間諜行為的高級持續性威脅，此外，還包括軟件和游戲開發商(如Adobe、微軟和索尼)、執法機關、傳統的網絡罪犯、安卓系統開發商 Google 以及Mac OS X 平臺開發商蘋果公司。他們之間的關系可能會錯綜復雜，充滿戲劇性或包含很多秘密，就像是電視劇《Dexter》那樣神秘和夢幻。但有一點可以確認，這些IT 領域的明星在2012 年的安全大戲中，仍將繼續吸引大家的眼球。