2011信息安全大事记(上)

传说中的2012还未到来,最近的CSDN用户密码泄漏风暴却给行将结束的2011信息安全圈,写下了一笔最大的注脚,并提醒身处信息安全圈的我们:又是一年结束了,信息安全圈的战斗,还在继续。

以史为鉴,可以知兴替。像其他领域的安全事件一样,信息安全事件的发生,是任何人都不愿意看到的;然而同时,频发的信息安全事件,也给我们提供了提升信息安全水平、推进信息安全建设的动力。通过分析、总结已经发生的信息安全事件,可以为我们检讨自身的信息安全水平提供一个不同的视角。

下面,我们就跟大家一起回顾一下,2011年值得我们记住的10大信息安全事件,看看能有哪些教训,哪些收获。

 

10. 安全机构也中枪——RSA遭入侵以及DigiNotar伪造证书事件

事件回放:

 RSA遭遇攻击事件:

2011年3月17日,美国RSA的执行总裁在其官网上发表一封公开信称,有人以APT(Advance Persistent Threat,先进持续性威胁)的攻击方式对RSA发起了相当复杂的网络攻击,并入侵窃取了RSA系统中的重要数据,而这些数据中有些是专门用于RSA的SecurID双因素认证的产品。事件发生后,RSA为部分用户更换了Secure ID,并建议用户注意异常情况,同时加强令牌管理及注意社交工程攻击。

随后的5月份,美国军火商洛克希德马丁公司传言遭受网络攻击,导致部分机密武器资料等泄漏。有传言称,此次攻击,黑客正是利用了早前失窃的RSA SecureID数据,复制了洛克希德马丁公司使用的SecureID令牌,并最终实施了入侵。

 DigiNotar伪造证书事件:

今年8月底,网络上出现由DigiNotar凭证所颁发的假Google凭证,而使得此一事件曝光。调查后发现,黑客人侵DigiNotar至少颁发了涉 及20个网域的500个凭证,由于假凭证数量与范围仍不明,因此包括Google与Mozilla皆已更新旗下的产品,暂时停止信任由DigiNotar 所发布的所有凭证。这些假冒的凭证波及了Google、Facebook、微软、Yahoo、Skype、荷兰政府网站,以及美/英/以色列的情报单位。

由于事件影响巨大,DigiNotar随后不久宣布破产,母公司Vasco在刚刚收购Diginotar不足两年的时间内遭受了重大损失。

评论:

Secure ID双因素认证以及CA证书技术,都是目前应用广泛的安全技术,广泛应用于政府机构、企业、金融等敏感部门,典型的如网银登录等,可以说,一旦出现漏洞,会造成非常重大的实质性损失,波及范围也会非常广泛,站在黑客的角度,自然跟更有利可图。因此,威胁也就更大。

针对RSA和DigiNotar这两个安全机构所进行的攻击,提醒了我们,在你部署了你认为足够安全和全面的安全措施之后,你可能还是不够安全。这就好像你买了一把高级密码锁来保护你的资产,结果不怀好意者拿到了原配的钥匙;更有甚者,不怀好意者甚至卖了一把假的锁给你,让你的防线形同虚设。

这两起事件中,都涉及到了APT攻击,黑客采取了稳扎稳打的方式,以钓鱼、0day等为突破点,通过曲线进攻,以内部合法用户的终端为跳板,长时间的潜伏,并最终攻破权限机得以盗窃机密信息,这中间融合了社会工程、0day技术等不同领域的技术,最终得逞。

APT攻击已经初露端倪,这两起事件也引起了相当大的震动。对于那些应用了类似技术的组织来说,有几点建议是应该现在就开始考虑的:

  • 重视信息安全审计:不要放过你系统中的任何一点异动,即使你觉得已经部署了足够安全的措施——因为没有绝对的安全;
  • 加强教育你的用户:很多APT攻击是以内部安全意识薄弱的用户为突破点的,你应该从教育你的用户不点击可疑的链接、邮件开始,提升安全意识;制定即时奖惩的评价机制,有利于用户更快的学习;
  • 注意你的终端——处于最底端的终端,也是最可能的突破点,注意加强终端的安全,反病毒/间谍软件/系统补丁这些都不必说,外设、网页浏览等也应该加以规范。

 

9. 争议的正义——LulzSec、Anonymous等黑客机构发起大规模网络攻击事件

 事件回放: 

2011年4.5月起,一个名为LulzSec的黑客组织发起了一系列针对不同组织的网络攻击,一时间声名鹊起,最知名的一起攻击,是其对于索尼PS网络的持续攻击;此外,该组织对于FBI的攻击也使其声名大噪。在该组织于6月份宣布解散,其后名为Anonymous的组织宣布收编了其成员并接替其事业,持续对一些组织进行网络攻击。

与谋取利益的黑客不同,LulzSec、Anonymous等黑客组织声称是为了提高人们的信息安全意识才发起了攻击,但其自诩的网络骑士身份却屡有争议。

较为知名的几起黑客攻击事件:

  •  2011年5月底,LulzSec 攻击PBS.org网站、外泄密码,并在该网站上发布一篇恶搞文章。据悉,攻击是由于该组织对PBS对WikiLeaks的告密不满;
  • 2011年6月10日,LulzSec 窃取并发布了55家色情网站的管理员电子邮件和密码;嘲笑政府雇员和军方有人热衷色情站点;政府部门公信力大受打击;
  • 2011年6月13日,美国参议院网站遭受攻击;6月16日,CIA网站遭到DDoS攻击沦陷,美国政府部门网络安全受到普遍质疑;
  • LulzSec 还声称对索尼音乐日本网站、Sony Pictures、Sony BMG比利时和荷兰网站、索尼计算机娱乐开发者网络及Sony BMG网站被黑负责。
  • Anonymous则曾经以政治原因攻击伊朗、埃及、土耳其等政府网站,因PS3黑客被捕而攻击索尼;因维基泄密事件攻击相关的Master、Visa等金融机构。

评论:

姑且不论动机如何,披着“正义”外衣的LulzSec和Anonymous所发起的这些黑客攻击,造成的实际后果确实是严重的。针对政府网站的攻击,损害了政府部门的公信力;对于索尼等大公司的攻击,则实实在在的把用户隐私暴露于光天化日之下,给用户带来了实际的风险,也给对应的公司带来了重大的损失。数据显示,仅索尼一家,就因为黑客事件而损失1.71亿美元,而由于信用卡信息失窃,给相关联金融机构可能带来的损失高达3亿美元。

可能有人会认为,类似的这种黑客主动攻击的行为近乎“天灾”,受害者往往是无计可施的。其实不然,本质上,这些机构遭受损失,还是本身安全防护措施不足造成的。再试想一下,连索尼这种知名企业,以及FBI、CIA等顶尖的政府机构,都会被黑客攻破,如果黑客把目光集聚在普通企业身上,必然会不堪一击。

这一事件提醒我们,对于安全的追求,永远没有终点,安全人员也应该时刻有危机意识;同时,黑客的宣言也提醒我们:安全是一件需要高调对待但低调宣扬的事,2012快来了,不要主动招惹黑客,同时也不应该对黑客示弱。

 

 8. 当银行失去可靠性——韩国农商行遭黑客入侵删除交易记录宕机三天

 事件回放:

2011年4月19日,紧接在韩国现代资本公司之后,韩国农协银行也疑遭电脑黑客袭击,其电脑网络瘫痪了三天,数以万计的客户受影响。

根据农协银行工作人员报告的情况,本次事件源于系统服务器数据被删除造成的系统瘫痪和数据丢失。大约540万名信用卡客户的交易记录被删除。

根 据调查员的进一步分析,认为整个事件是一次恶意黑客攻击,笔记本的所有者表示删除命令并非自己所下达。事发当时,该员工的笔记本放置在银行的办公室内。根据当天闭路电视的录像,可能有20个人有机会接触到这台笔记本,这20人当中有一人拥有Super Root权限。

 评论:

由于涉及到实实在在的“金钱”,一般来说,银行等金融机构对于信息安全的要求是最高的,其信息安全防护水平也一直走在IT业界前列,包括防入侵、灾备等都有完善的方案。然而,此次韩国农商行的水准却让人大跌眼镜。瘫痪三天,这在任何金融机构都是不可想象的。

通过回访此次事件,业界研究者得出的事件原因有三:一是对于最高级别权限即super root的管理不足;二是没有基本的隔离安全机制(笔记本直接连入外网);三是容灾备份机制没有发挥作用。这当中的每一点单独拿出来,都可能是致命的漏洞。

黑客所策划的此次攻击,是以IT运维部门的用户机位跳板实施的,这就暴露了目前广泛存在的一种威胁,即通过窃取内部合法用户的权限进行非法活动。这种漏洞,说白了就是IT内控的不足。对于类似银行的敏感机构的敏感部门,尤其应该注意用户权限的管理;另外,在必要时进行网络隔离甚至物理隔离是必然的要求。同时,也要加强平时对于合法用户的行为审计,防范合法权限被滥用或被利用等情况的发生。最后,对于最重要的信息,完善的多点灾备机制是必须的选择。

7. 社交网络的逆袭——新浪微博病毒首次大肆传播

事件回放:

2011年6月28日,新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等微博和私信,并自动关注一位名为hellosamy的用户。

事件的经过线索如下:

  • 20:14,开始有大量带V的认证用户中招转发蠕虫
  • 20:30,2kt.cn中的病毒页面无法访问
  • 20:32,新浪微博中hellosamy用户无法访问
  • 21:02,新浪漏洞修补完毕

 评论:

小编不是技术人,但也可以猜测,如果单纯讨论技术,此次攻击可能算不上是最高级别的黑客攻击。但此次事件暴露出来的社交网络风险,却是实实在在的给我们提了一个醒。

相关数据显示,截止2011年11月,国内社交网站注册用户达到了2.6亿,微博用户达到恶劣2.5亿,再加上数亿用户使用的QQ等,规模化的社交网络,前所未有的改变了我们的生活的同时,也带来了前所未有的风险。无论是此前一直存在的QQ钓鱼、诈骗,还是此次新浪微博首次出现病毒传播,都给我们提了个醒:社交网络安全风险不容忽视。

对于企业来说,社交网络是一个难题。时代的前进和发展迫使公司的日常运营中要应用社交网络等新的技术,但相关的安全防护手段却未必跟得上技术的发展。IT管理员应该对社交网络采取怎样的态度,允许还是禁止,进行多大程度的限制,这些问题都需要提上考虑的日程了。单纯的允许与禁止做起来可能容易,但前景似乎不那么明朗。对于IT管理员甚至组织的管理者来说,是时候制定社交网络使用规范了。

6. 当病毒成为武器——Duqu病毒爆发,伊朗及三菱重工中招

 事件回放:

微软11月发布公告称,Windows系统中一项此前未知的漏洞,被黑客利用来传播Duqu病毒。一些安全专家称,这将对网络安全构成重大威胁。关于Duqu病毒的消息于10月出现,当时安全软件生产商赛门铁克称,发现一种神秘电脑病毒,与Stuxnet包含相似代码。Stuxnet是一个恶意软件,据信该软件曾给伊朗核项目造成严重破坏。世界各地政府及独立调查人正热火朝天解密Duqu病毒,早期分析认为,该病毒由手段高超黑客开发,作为铺垫工作,来攻击发电站、炼油厂和管道等重要基础设施。

直到微软周二公布Duqu病毒感染与其操作系统有关,该病毒如何到达被感染机器才首次浮出水面。赛门铁克研究人员称,他们认为,该病毒是由黑客通过电子邮件发送到目标机器上,在电子邮件中附带有受病毒感染的Word文档。

评论:

与以前的黑客攻击更多的是为了炫耀技术不同,目前有相当一部分黑客是利益驱动的,这中间既包括经济利益,也可能有政治、宗教等复杂的因素。更有甚者,有组织的政府或公司黑客行为正被越来越多的曝光。去年对伊朗核设施发动攻击的震网病毒就是典型的例子,今年的Duqu病毒只是延续的这一趋势。这也就意味着,我们面临着比以往更严峻的安全威胁。

针对工业设施和控制系统进行的特定攻击,显示了目前黑客攻击更有针对性和更强烈的利益倾向。就像Duqu病毒所利用的Word漏洞一样,黑客往往利用常见系统工具的漏洞,从普通用户入手渗透到核心系统,最终获取机密信息。相较以往,用户的安全意识已经有了提升,但震网等病毒的存在提醒了我们,IT规范化管理以及用户安全教育的道路上,永远没有终点。

对于核心的应用系统,应该采用更加严格的权限控制机制,以及更加有效的网络区隔手段;对于合法的用户也应该加强规范化管理;同时,是时候部署系统而完善的防病毒、防间谍软件技术在你的系统中了——你要知道,只要有一个不安全的终端,你的信息系统安全就存在短板,而且是致命的短板。

 

以上是排名6-10位的2011十大信息安全事件,稍后,溢信为你带来排名1-5位的下篇,敬请期待!

2011信息安全大事记(上)》上有 1 条评论

  1. Pingback 引用通告: 2011信息安全大事记(下) | 溢信的内网安全博客

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注