当新年的钟声响起时,2015年新一轮的安全威胁及泄露活动也开始数倒计时了。但2015年较以往会有些许不同之处。过去当我们谈论安全威胁预测时,我们或关注那些窃取信用卡数据及银行密码的网络黑客,或关注为满足自身喜好而投身黑客互动的活跃分子(或者他们是为了给企业一个教训);但现在,如果预测不解决由国家攻击者所带来的威胁,如斯诺登解密事件,那么这些预测便是不完整的。我们常常说当诸如NSA的间谍机构破坏一个系统为己所用时,这个系统同时也容易受到其他人的攻击。而今年的预测会将以上方面考虑在内。
国家攻击
2014年随着披露NSA及其友军GCHQ所引发的最具影响力的入侵活动而画上句号。这些入侵活动包括对比利时部分国有电信公司Belgacom发动的入侵。我们所知道的是,间谍机构针对该电信公司的系统管理员发起攻击,目的是访问公司用来管理客户手机流量的特殊路由器。而根据对所使用恶意软件Regin的分析来看,他们的目的还包括劫持比利时境外的整个电信网络,以完全控制基站并控制用户或者拦截通讯。很显然,Regin只是间谍机构用来攻陷私营企业网络所使用的诸多工具之一。因此,NSA为攻破系统而使用的加密以及安装后门的做法依然是计算机用户普遍面临的最大安全威胁。
敲诈勒索
关于索尼被黑事实及其动机的讨论依然如火如荼。但不管黑客攻陷索尼系统是为了勒索钱财还是为了阻止《刺杀金正恩》的播放,黑客勒索的活动将会再次发生。索尼被黑并非我们所知道的唯一一起黑客勒索事件。但其他勒索事件多数只是小范围事件,即这些事件只是利用勒索软件或加密硬盘驱动,或将用户或企业或系统数据锁定直到支付款项。但索尼被黑则不同——根据政府及多种理论来看,这些可能是由黑客活跃分子在内部人员或国家支持的黑客所为——索尼被黑是第一起涉及数据泄露的高级别勒索事件。这种入侵所需技巧超过低水平恶意勒索软件攻击,它可能会为诸如索尼这样高级别且会因数据泄露而不得不因此承担大量损失的目标带来更多问题。
数据损毁
索尼被黑还显示出在美国不多见的另外一种威胁:数据损毁威胁。这种威胁在2015年将变得更为普遍。黑客不仅盗取还删除了索尼影视的数据。这种策略曾发生在韩国、沙特阿拉伯及伊朗——在韩国是针对银行及媒体公司,在沙特阿拉伯及伊朗是针对涉及石油行业的政府机构。清洗数据并掌控引导记录的恶意软件让系统无法运行。数据备份可避免此类攻击所带来的巨大灾难,但重建被清洗的系统依然耗时耗钱,并且必须确保所恢复的备份完全未受感染,这样才能保证重建后的系统不会被阴魂不散的恶意软件重新清洗。
银行卡泄露
过去十年出现了无数涉及上亿银行卡数据高级别盗取事件——比如TJX、Barnes、Noble、Target及Home Depot等等。它们或涉及商店PoS系统遭入侵,银行卡数据在进入零售商网络时被盗取;或涉及用户刷银行卡时,数据被安装在读卡器上的恶意工具盗取。如今,发卡及零售机构正采用新的安全EMV卡(或即chip-‘n’-PIN卡)以及读卡器,这种卡及读卡器使用了一种内嵌微芯片,在店内购买及顾客输入的PIN上会生成一种一次性交易代码,这样被盗取的数据对于盗贼就没有那么有用了。因此,诸如此类的银行卡泄露事件预计会减少,但问题是EMV系统被广泛使用还需要一段时间。另一个存在的问题是执行不力。比如Home Depot(家得宝)数据泄露事件证明黑客能够利用EMV处理系统中存在的漏洞发动攻击,原因就是银行并未妥善采用该技术。随着EMV卡的兴起,黑客的注意力也在转移。黑客不再追随零售商获取银行卡数据,他们会以处理工资账户的银行卡处理器为目标。
第三方泄露
近年来出现一种令人不安的趋势:第三方网络入侵。这种入侵专门针对一家企业或服务商,且目标也很明确即获取数据或获取访问更重要目标的权限。比如在Target数据泄露事件中,黑客通过入侵一家与Target有业务往来的暖气及空调企业进而访问Target网络。但与其他针对证书机构及其他提供关键服务的第三方数据的泄露事件相比,这只不过是小巫见大巫。例如,2012年Adobe的数据泄露导致攻击者获得访问公司代码签名服务器的权限,且黑客通过该服务器用一个有效的Adobe证书对恶意软件进行了签名。不过相关安全措施也在增强。现在黑客需要窃取证书才能进行此类活动,因为诸如Windows的操作系统具有一种安全功能,能够阻止某些代码进行安装除非它通过合法证书进行了签名。这种泄露事件影响巨大,因为它们破坏了用户对互联网基础架构最基本的信任。
关键基础设施
截至目前,我们所知道的最严重的关键基础设施攻击事件是伊朗铀浓缩项目遭遇蠕虫事件。但美国远离此类攻击的日子快要结束了:因为黑客盯上了美国工控系统,例如2012年黑客针对智能电网控制软件制造商Telvent发动的攻击。在那次攻击中,黑客获得了访问公司SCADA系统项目文件的权限。要知道,Telvent等提供商需要使用项目文件来规划客户的工控系统并且拥有通过这些文件对客户系统进行任意修改的完全权力。受感染的项目文件是蠕虫获得访问伊朗铀浓缩系统访问权限的方法之一。黑客能够利用项目文件来感染客户,或利用如Telvent访问客户网络的权限研究客户运行行为并以此来寻找漏洞并获得控制网络的远程访问权限。就像黑客利用第三方系统可获得访问Target的权限那样,黑客利用诸如Telvent这样的企业来获得对关键工业控制的访问权限只是时间问题,如果他们现在还未这样做的话。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。