2015年十大安全事件:打破常规的榜单

整个2015年发生的互联网安全事件可谓数不胜数。要从所有这些中挑选出10个当年最热门的话题可以说是一项极其艰巨的任务。照旧如果你对榜单有异议或认为还有哪些事件应该入围的话,请在下面的评论栏留下您宝贵的意见。闲话少说,下面就开始逐一揭晓2015年十大安全事件榜单。

整个2015年发生的互联网安全事件可谓数不胜数。要从所有这些中挑选出10个当年最热门的话题可以说是一项极其艰巨的任务。但为了保持客观性,我决定从Threatpost上选出10个在2015年搜索最多的安全事件。当然了,在IT或安全行业中的每一名从业者心目中,有着属于自己的一份榜单,而我只能尽力保持公平性–所有上榜事件均是由广大读者而不是我评选出的。照旧如果你对榜单有异议或认为还有哪些事件应该入围的话,请在下面的评论栏留下您宝贵的意见。闲话少说,下面就开始逐一揭晓2015年十大安全事件榜单。

今年入围榜单的安全事件总共分为五大类:

  • 并不引人注目却针对终端用户的威胁;
  • ‘最出乎意料的’漏洞:物联网、家用电器和工业网络设备安全;
  • 加密问题;
  • 在主要平台存在的众所周知的漏洞和高端网络威胁,以及最高级网络攻击的案例;
  • 在商业软件内存在的常见危险bug

下面就正式开始! 终端用户威胁

第10名:Facebook内存在木马病毒,这早在1月份就已被发现(新闻故事)。超过11万名Facebook用户的设备上感染了这一木马病毒,只是因为在社交网站上点击了恶意链接!哦不!

不幸的是,大多数互联网用户往往成为了网络犯罪分子与各国安全机构和公司之间’网络战争’的牺牲品。例如,有一种木马病毒将自身巧妙装扮成Adobe Flash更新程序,成功在受害人计算机上安装键盘记录器。尽管我们不断在追踪此类安全事件,但却鲜有入围安全行业业内各项榜单,原因在于安全专家对这些’小问题’早已见怪不怪了。 不幸的是,大多数互联网用户往往成为了网络犯罪分子与各国安全机构和公司之间’网络战争’的牺牲品。例如,有一种木马病毒将自身巧妙装扮成Adobe Flash更新程序,成功在受害人计算机上安装键盘记录器。尽管我们不断在追踪此类安全事件,但却鲜有入围安全行业业内各项榜单,原因在于安全专家对这些’小问题’早已见怪不怪了。

针对物联网、家庭路由器和工业联网设备的攻击

车库门远程控制器和Cisco联网软件之间到底有何共同之处?答案是:安全保护能力一样薄弱。 尽管用户和生产商对传统计算机和设备的安全保护愈加重视,但对联网”智能”设备的安全保护却往往熟视无睹。人们常常会忘了这些智能设备同样也是功能强大的计算机,但由于缺少足够的安全保护措施,很容易被黑客攻破甚至导致更严重的后果。

在针对此类型设备的网络攻击方面,Threatpost网站上报道了不少有关的精彩新闻。

第9名,早在2014年,Check Point的安全研究专家就发现了影响1200万台家庭路由器的漏洞(新闻故事)。通过一个精心编写的数据包就能找出路由器的网页界面。

第8名,之后到了2015年6月,在Cisco的安全设备内发现了硬编码的默认SSH秘钥(新闻故事)。在网络家电和软件内发现这类bug的案例可谓枚不胜举,而这只是其中一个而已。

第7名,同一时间,知名安全研究专家Samy Kamkar发现远程车库门控制器(在英国十分常用)的安全保护能力相当薄弱(新闻故事)。他只花了30分钟时间就成功暴力破解密钥,而软件内的一系列bug使得Kamkar只需短短的10秒就能成功破解。

至少我们还未遗忘存在于汽车系统内的严重漏洞。今年夏天,伴随着Charlie Miller和Chris Valasek的突破性研究,菲亚特-克莱斯勒发布了有史以来第一个针对汽车的安全补丁:该漏洞能通过多媒体仪表盘被用来远程黑客入侵汽车管理系统,最终甚至车内转向系统也可能遭劫持。说实在的,既然软件和计算机设备存在如此众多的bug,汽车怎可能幸免呢?在这里我不得不引用推特上一段著名的话(现被删除):

在使用计算机完成各种工作时,计算机几乎从不犯错也不会给人类平添烦恼。但毕竟编写计算机程序的是人,人都难免会犯错误,同时执行许多关键任务必须要用到计算机系统,从核电站管理到城市交通控制几乎无所不包。请欢迎来到勇敢新世界!

加密 毫无疑问,加密方法真正变得越来越复杂。目前,只有真正的科学研究专家才有能力对各种加密方法的效率进行评估。有个很好的例子能证明这一点:一种流行的散列算法SHA-1在5年前依然被认为极度可靠,但2015年却被发现可能存在理论上的漏洞。 NSA(美国国家安全局)已对椭圆曲线加密算法弹性产生了质疑,并正在考虑(或设想)新的加密技术,即便用量子计算机也无法破解。

第6名,这并非是加密存在的唯一问题。薄弱的加密会对公开智能网格协议造成严重威胁(新闻故事)。OSGP(开放式智能电网协议)是一种部署了物联网的电网,目的是想将所有仪表和管理系统整合到单个网络内。这意味着,潜在的安全问题可能会对供电造成危害。网络的复杂性使得评估加密弹性的关键标准成为了’信任’。 在2014年,TrueCrypt开发者们决定停止他们正在开发的项目-一款流行的动态加密实用工具。

第4名,我们先后见证了多个独立源代码审核及令人好奇的TrueCrypt分支:VeraCrypt和CipherShed(新闻故事)。最近Junipe路由器被发现存在后门,此次安全事件中加密问题依然是重中之重。

严重的漏洞和网络攻击

第5名,尽管去年最严重的漏洞非ShellshockHeartbleed莫属,而今年安卓系统内发现的Stagefright漏洞(新闻故事)和(第3名)Linux系统标准GLIBC库函数内的bug(新闻故事)则成为今年的’最大赢家’。

Linux操作系统bug搜寻器。极具艺术性的诠释 每一种已知漏洞的发现无外乎是在实际应用中找出,或通过’理论’推算而得。有些情况下,研究人员会首先进行概念验证攻击,但有时只有在互联网上遭受攻击后才会发现新的bug。 就实际网络攻击而言,卡巴斯基实验室发现了两个重大网络攻击活动,它们分别是:CarbanakThe Equation。尽管前者在持续损失方面(告诉你总共达到10亿美元)令人印象深刻,但后者因采用了各种高级和复杂的工具也同样让人大感震惊,这些工具包括:通过使用修改后的HDD固件恢复对受害人PC电脑控制能力的方法,且攻击的时间跨度-长达数十年之久。

商业软件中的常见漏洞

Adobe Flash是这一类型软件的最好说明:1月14日24日28日3月6月7月9月12月。坏消息是Adobe Flash软件仍然存在漏洞,尽管这有些让人难以置信。好消息是Adobe Flash软件开发商发布了大量安全补丁(至少是针对Adobe的),使得原先众多bug在经过此次更新后全部得到修复。尽管这并不意味软件已变得更安全,但至少这一年的整体趋势是积极向上:Adobe Flash软件开发者们已开始认真对待安全问题。

Adobe Flash软件可安装在包括网页浏览器在内的众多系统中,因此也得到了广泛的关注。而浏览器开发者则被迫一边监督自己软件的运行状况,同时还要保护用户免遭网站的威胁(有时只能限制某些特定功能,就比如Chrome浏览器内Flash插件的问题)。

第2名,参加3月份举办的pwn2own黑客马拉松比赛的参赛者们被要求黑客入侵目前所有主流浏览器:首先是火狐和IE浏览器,然后再是Chrome和Safari(新闻故事)。

在’pwn2own’黑客大赛上成功黑客入请浏览器后的’白帽’黑客们

第1名,早已过时的NPAPI扩展在Chrome浏览器中遭禁用(新闻故事)。NPAPI在4月份被禁用,直接导致众多插件(从Java到Sliverlight)无法使用,也让开发者伤透脑筋。逐步淘汰遗留代码已成为最近业内的一个主要趋势。   我预测2016年安全问题将有所缓和。同时我始终坚信,对抗网络威胁的新方法终将出现。明年我们绝对还是会拥有许多互联网安全方面的话题可以讨论。要想了解本文的相关背景,我建议阅读由卡巴斯基实验室专家们编写的2015年网络威胁概要,其中不仅对针对企业用户的众多网络威胁专门进行了分析,同时也就2016年安全行业做了许多预测

SIM卡的历史演变过程

手机只有插入SIM卡(客户识别模块)才能正常通讯几乎是人所共知的事情。我们可以很容易地从手机中插入/拔出SIM卡,因此更换起来相当方便,但要知道SIM卡的历史可要远短于手机出现的历史。历史上的第一代手机仅支持’嵌入式’通讯标准:入网参数被硬编码到手机终端内存中。

提示