写在前面:
经历了一段时间的沉寂整理之后,每周安全简评又回来了,以后,我们将每周为大家选取焦点性或具代表意义的安全事件进行简单解析,希望能为我们自己,也能为大家带来启发。
下面进入上一周(12.19-12.25)的每周安全简评,让我们来看一下信息安全圈发生了哪些大事。
1. CSDN 600万用户密码泄漏,揭开2011年度密码泄漏事件大幕
近日,有媒体爆出国内最大的程序员网站CSDN 600万用户明文密码泄漏,紧接着,更多的互联网公司用户密码被指泄漏,从而拉开了2011最大的信息安全事件的序幕。目前,事件仍然在持续发酵
点评:
- 明文保存密码算是低级错误了,发生在CSDN这样的程序员技术社区就更加不应该,无论出于何种原因,都凸显了国内大部分企业在信息安全方面完全没有及格;
- 事件暴露了国内脆弱和混乱的信息安全生态,黑客横行,相关法规明显滞后,是时候需要一场变革了;
- 事件也在一定程度上暴露了互联网用户安全意识不足的现状,很少人认为一个密码走天下是不安全的,更是极少的用户会执行安全的密码策略,随着网络环境的复杂多变,从我做起增强安全意识,也是自救的一种方式
近日,有用户反映国外知名的三维设计软件Solidworks中存在严重后门,会将个人计算机上的信息泄露给他人。国家相关部门已通知各军工企业停止使用该软件,以防资料被窃取而可能导致的泄密事件。
评论:类似Solidwork、AutoCAD这一类市场占有率和使用率极高的设计类软件,其安全自然关系到千千万万企业用户的安全。一般来说,正规软件公司不应该有未经用户同意收集信息的行为,此次事件,很可能是由于用户使用的盗版产品中包含后门(中国企业的工程软件正版率…大家懂的),作为软件公司,我们当然建议用户在条件允许的情况下使用正版产品,切勿贪图小便宜而丢失了价值更大的知识产权。另外,对于重要的工程文档,最好采取额外的保护措施,如限制权限或加密保护。
美国东部时间12月17日,被指控向“维基揭密” (WikiLeaks) 泄露数十万份外交电文和军事报告的美国陆军士兵布拉德利·曼宁在华盛顿市附近米德堡军营的一个军事法庭出庭受审。被捕前曼宁是一位一等兵,曾任陆军情报分析员。他被控2009年11月到2010年5月在伊拉克服役期间非法下载数十万份敏感文件。据称,他把下载的文件交给了维基揭密网站。
评论:沸沸扬扬的维基泄密事件慢慢淡出了我们的视野,其影响却让很多政府部门和企业心有余悸。如何控制内部人员带来的泄密风险,是IT部门,尤其是高度涉密的IT部门现在必须考虑的问题。抛开维基泄密的正义性与否,自己的信息系统中存在此类漏洞,永远都是最大的威胁。
由一款手机数据记录软件CarrierIQ (简称CIQ)所引起,轰动全球的“CIQ间谍软件泄密事件”仍在持续升级。据外媒报道,美国已有5名用户对这一事件的厂商提出集体诉讼,涉及三星、HTC、苹果、Carrier IQ 等8家厂商。
评论:CIQ泄密事件,说起来应该不算新闻了;毕竟服务商出于种种目的跟踪用户的行为已经十分普遍。然而,随着垃圾信息对于私人空间无孔不入的侵入行为的加剧,用户对于信息泄漏的忍耐程度变得越来越低,服务商、用户、监管部门之间,应该尽快达成共识,解决这个问题。否则,各家都面临着更大的风险。
12月26日,易观国际移动互联网项目高级分析师孙培麟日前做客和讯科技《高端访谈》栏目时表示,“2012年一是说安全明年可能会有一定的发展;第二内容形式上是一个长久的引爆点或推力。”
评论:的确,伴随近期严重的大规模信息泄密事件,以及近年来电子商务等应用的爆发式增长,一定会倒逼信息安全、内容安全、支付安全等市场的需求。2012,世界末日可能不会来,但内容安全的机会一定会来,各位厂商要加油了。
北京时间12月26日上午消息,黑客组织匿名者(Anonymous)开始启动其圣诞周攻击计划,首个遭到攻击的机构是美国知名安全情报智库“战略预测”(Stratfor),导致该机构的客户电邮、信用卡信息被盗。
评论:Anonymous又回来了,提示了我们一件事,黑客永远不会消失,安全永远与你有关。
由《信息安全与通信保密》杂志主办的第六届“内网安全战略与技术论坛——暨政府与行业应用经验交流会”,于2011年12月22日在北京隆重召开。
评论:会议年年开,内网安全的概念却依然模糊。从目前来看,内网安全的内涵更加丰富,当中包含了行为管理、信息防泄漏、系统管理、终端安全等多个领域,厂商是时候沉淀下来,把心思放到专业化和细分化自己的产品,而不是拿奖上。