近日,美国《连线》杂志网络版刊文,根据最新趋势对2015年网络安全行业面临的重大安全威胁进行了预测和盘点。
以下为文章全文:
随着新年的钟声在午夜敲响,新一轮安全威胁无疑也将在2015年陆续上演。但今年的情况会略有不同。以往,当我们预测今后的威胁时,关注的重点往往集中于两个方面:窃取信用卡数据和银行密码的犯罪型黑客,以及秉承某种信念的激进型黑客。
但如今,如果不把国家主导的网络攻击行为纳入其中(就像爱德华·斯诺登(EdwardSnowden)爆料的那些威胁一样),根本构不成完整的预测。据悉,当美国国家安全局(NSA)这样的间谍机构入侵某个系统供自己所用时,它们也会导致该系统更容易被他人攻击。所以,我们这份榜单首先从国家主导的黑客攻击开始。
1、国家主导的黑客攻击
2014年临近结束时,一条新消息浮出水面,让我们得以了解NSA及其英国同行政府通信总署(GCHQ)曾经开展的一次重大攻击。那次事件与比利时半国有电信公司Belgacom有关。当Belgacom被黑事件2013年夏天首次曝光时,立刻被压制下来。比利时政府几乎没有对此提出抗议。我们唯一知道的是,这两家间谍机构瞄准了这家电信公司的系统管理员,以进入该公司用于管理所有客户手机流量的路由器。
但最新披露的信息让外界得以了解那次黑客行动采用的Regin恶意软件的更多内幕:原来,黑客还希望劫持比利时以外的整个电信网络,以便控制基站,并监控用户或拦截通信信息。Regin显然只是这两家间谍机构采用的众多工具中的一个,他们还借助很多方法来破坏私有公司的电信网络。由此看来,NSA部署的各种解密措施及其在系统中安装的各种后门,依然是所有电脑用户面临的最大安全威胁。
2、勒索
索尼被黑事件引发的争论仍在持续,黑客的动机依然没有完全明确。但无论发动此次攻击的黑客是为了勒索钱财,还是为了阻止《刺杀金正恩》(TheInterview)上映,类似的事件都有可能再度发生。索尼被黑事件并不是第一起黑客勒索案。但这类活动的规模之前多数都很小——使用所谓的“勒索软件”对硬盘进行加密,或者锁定一个用户或一家公司的数据或系统,胁迫其支付钱财。
美国政府和很多民间组织都认为,索尼被黑事件的幕后黑手是朝鲜。但无论事实真相如何,这都是第一起涉及数据泄漏威胁的重大黑客勒索案。与低水平的“勒索软件”攻击相比,这种黑客攻击需要掌握更多的技巧。而对于索尼这种拥有大量保密数据的公司而言,也会因此陷入更大的危机。
3、数据破坏
索尼被黑事件带来了另外一种尚未在美国见过的威胁:数据破坏威胁。这将在2015年更加普遍。索尼被黑事件的黑客不仅从该公司窃取了数据,还删除了大量数据。韩国、沙特阿拉伯和伊朗之前曾经遭遇过类似的攻击——韩国的攻击对象是银行和媒体,沙特和伊朗的攻击对象则是与石油有关的企业和政府机构。
恶意软件在删除数据和MBR后,会导致系统无法运行。良好的数据备份可以避免因为这种攻击蒙受巨大损失,但仍然需要花费不少时间来重建系统,而且成本不菲。你必须确保备份数据完全不受影响,避免在系统恢复后被残余的恶意软件再次删除。
4、银行卡犯罪将继续
过去几十年,出现了很多涉及数百万银行卡数据的大规模数据被盗案件,受害企业包括TJX、巴诺书店、塔吉特和家得宝等。有些是通过控制店内的POS系统来窃取卡片数据的,还有一些(例如巴诺被黑事件)则是在刷卡器上安装盗刷器来窃取数据。
发卡机构和零售商都在部署更加安全的EMV或chip-‘n’-PIN卡片和读卡器,并采用内置芯片来产生一次性的交易,以供店内购物时使用。这样一来,即使不法分子窃取了用户购物时输入的密码,也无法用于窃取资金。因此,银行卡被窃案件有望减少。但这类系统的广泛普及仍需一段时间。
尽管发卡机构正在逐步使用新的EMV卡代替老式银行卡,但零售商要到2015年10月才能全面安装新的读卡器。在那之后,他们才需要为没有安装这种读卡器而发生的欺诈交易负责。零售商无疑会拖慢这种新技术的部署速度,因此从老式DNV卡上窃取的卡号仍可用于无需输入密码的欺诈性在线交易。
除此之外,还存在部署不当的问题。最近的家得宝被黑事件表明,黑客之所以能够破解chip-‘n’-PIN处理系统,正是因为系统部署不当所致。随着EMV的逐步普及,黑客肯定会转变重点。他们不会再从零售商那里窃取卡片数据,而是会直接瞄准卡片处理商的账户。在最近的两起案值分别达900万和4500万美元的盗窃案中,黑客入侵了负责处理预付费卡账号的公司网络。在人为上调了余额,并取消了少数薪金账户的取款限额后,黑客在多座城市雇人通过数百台ATM机大量取现。
5、第三方入侵
最近几年出现了一种令人不安的“第三方入侵”趋势。在这些攻击活动中,黑客之所以入侵一家公司或一项服务,只是为了瞄准另外一个更加重要的目标。在塔吉特被黑事件中,黑客首先入侵了一家空调公司,原因是这家空调公司与塔吉特存在业务关系,并且拥有塔吉特网络的访问权限。但与其他一些更加严重的第三方入侵事件相比,这种攻击的手法仍然比较低级。
黑客通过2011年对RSASecurity的攻击,获取了政府机构和企业的系统所使用的RSA安全令牌。而认证机构的漏洞——例如匈牙利认证机构2011年遭到的攻击——则让黑客得以通过获得看似合法的身份来散布恶意软件,将其伪装成合法软件。类似地,Adobe2012年遭到的攻击导致黑客进入该公司的代码签名服务器,把恶意软件伪装成Adobe认证的合法软件。
类似的第三方入侵表明其他安全措施正在逐步加强。由于Windows等系统现在都附带安全功能,可以阻止来源不明的非法软件,因此黑客需要伪装成合法身份才能开展攻击。这类入侵行为非常严重,因为这会破坏用户对互联网基础设施的基本信任。
6、关键基础设施
目前为止,最为严重的基础设施黑客攻击发生在伊朗。当时,“震网”(Stuxnet)病毒对该国的铀浓缩设施造成了破坏。不过,美国的关键基础设施也不可能始终独善其身。有迹象表明,黑客的确正在瞄准美国的工业控制系统。2012年,智能电网控制软件开发商Telvent就遭到了攻击。美国的部分电网、石油和天然气管道以及自来水系统,都采用了这家公司的软件。黑客当时获得了该公司SCADA系统的项目文件。Telvent这样的企业使用项目文件来编制工业控制系统的程序,而且拥有极高的权限,可以通过这些文件修改客户系统中的任何内容。
震网病毒也曾在入侵伊朗铀浓缩系统时使用过受感染的项目文件。黑客可以使用项目文件感染客户,或者通过Telvent等公司的访问权限来研究其客户的漏洞,最终获得远程控制权限。就像使用第三方系统获取塔吉特的网络访问权限一样,黑客迟早可以借助Telvent这样的企业控制关键基础设施——或许,他们已经做到了。
作者:长歌
来源:51CTO
