2015年,如何防火防盜防黑客
責編:admin |2015-01-05 19:16:251月5日,美國《連線》雜志網絡版近日刊文,根據最新趨勢對2015年網絡安全行業面臨的重大安全威脅進行了預測和盤點。
以下為文章全文:
隨著新年的鐘聲在午夜敲響,新一輪安全威脅無疑也將在2015年陸續上演。但今年的情況會略有不同。以往,當我們預測今后的威脅時,關注的重點往往集中于兩個方面:竊取信用卡數據和銀行密碼的犯罪型黑客,以及秉承某種信念的激進型黑客。
但如今,如果不把國家主導的網絡攻擊行為納入其中(就像愛德華·斯諾登(EdwardSnowden)爆料的那些威脅一樣),根本構不成完整的預測。據悉,當美國國家安全局(NSA)這樣的間諜機構入侵某個系統供自己所用時,它們也會導致該系統更容易被他人攻擊。所以,我們這份榜單首先從國家主導的黑客攻擊開始。
1、國家主導的黑客攻擊
2014年臨近結束時,一條新消息浮出水面,讓我們得以了解NSA及其英國同行政府通信總署(GCHQ)曾經開展的一次重大攻擊。那次事件與比利時半國有電信公司Belgacom有關。當Belgacom被黑事件2013年夏天首次曝光時,立刻被壓制下來。比利時政府幾乎沒有對此提出抗議。我們唯一知道的是,這兩家間諜機構瞄準了這家電信公司的系統管理員,以進入該公司用于管理所有客戶手機流量的路由器。
但最新披露的信息讓外界得以了解那次黑客行動采用的Regin惡意軟件的更多內幕:原來,黑客還希望劫持比利時以外的整個電信網絡,以便控制基站,并監控用戶或攔截通信信息。Regin顯然只是這兩家間諜機構采用的眾多工具中的一個,他們還借助很多方法來破壞私有公司的電信網絡。由此看來,NSA部署的各種解密措施及其在系統中安裝的各種后門,依然是所有電腦用戶面臨的最大安全威脅。
2、勒索
索尼被黑事件引發的爭論仍在持續,黑客的動機依然沒有完全明確。但無論發動此次攻擊的黑客是為了勒索錢財,還是為了阻止《刺殺金正恩》(TheInterview)上映,類似的事件都有可能再度發生。索尼被黑事件并不是第一起黑客勒索案。但這類活動的規模之前多數都很小——使用所謂的“勒索軟件”對硬盤進行加密,或者鎖定一個用戶或一家公司的數據或系統,脅迫其支付錢財。
美國政府和很多民間組織都認為,索尼被黑事件的幕后黑手是朝鮮。但無論事實真相如何,這都是第一起涉及數據泄漏威脅的重大黑客勒索案。與低水平的“勒索軟件”攻擊相比,這種黑客攻擊需要掌握更多的技巧。而對于索尼這種擁有大量保密數據的公司而言,也會因此陷入更大的危機。
3、數據破壞
索尼被黑事件帶來了另外一種尚未在美國見過的威脅:數據破壞威脅。這將在2015年更加普遍。索尼被黑事件的黑客不僅從該公司竊取了數據,還刪除了大量數據。韓國、沙特阿拉伯和伊朗之前曾經遭遇過類似的攻擊——韓國的攻擊對象是銀行和媒體,沙特和伊朗的攻擊對象則是與石油有關的企業和政府機構。
惡意軟件在刪除數據和MBR后,會導致系統無法運行。良好的數據備份可以避免因為這種攻擊蒙受巨大損失,但仍然需要花費不少時間來重建系統,而且成本不菲。你必須確保備份數據完全不受影響,避免在系統恢復后被殘余的惡意軟件再次刪除。
4、銀行卡犯罪將繼續
過去幾十年,出現了很多涉及數百萬銀行卡數據的大規模數據被盜案件,受害企業包括TJX、巴諾書店、塔吉特和家得寶等。有些是通過控制店內的POS系統來竊取卡片數據的,還有一些(例如巴諾被黑事件)則是在刷卡器上安裝盜刷器來竊取數據。
發卡機構和零售商都在部署更加安全的EMV或chip-‘n’-PIN卡片和讀卡器,并采用內置芯片來產生一次性的交易,以供店內購物時使用。這樣一來,即使不法分子竊取了用戶購物時輸入的密碼,也無法用于竊取資金。因此,銀行卡被竊案件有望減少。但這類系統的廣泛普及仍需一段時間。
盡管發卡機構正在逐步使用新的EMV卡代替老式銀行卡,但零售商要到2015年10月才能全面安裝新的讀卡器。在那之后,他們才需要為沒有安裝這種讀卡器而發生的欺詐交易負責。零售商無疑會拖慢這種新技術的部署速度,因此從老式DNV卡上竊取的卡號仍可用于無需輸入密碼的欺詐性在線交易。
除此之外,還存在部署不當的問題。最近的家得寶被黑事件表明,黑客之所以能夠破解chip-‘n’-PIN處理系統,正是因為系統部署不當所致。隨著EMV的逐步普及,黑客肯定會轉變重點。他們不會再從零售商那里竊取卡片數據,而是會直接瞄準卡片處理商的賬戶。在最近的兩起案值分別達900萬和4500萬美元的盜竊案中,黑客入侵了負責處理預付費卡賬號的公司網絡。在人為上調了余額,并取消了少數薪金賬戶的取款限額后,黑客在多座城市雇人通過數百臺ATM機大量取現。
5、第三方入侵
最近幾年出現了一種令人不安的“第三方入侵”趨勢。在這些攻擊活動中,黑客之所以入侵一家公司或一項服務,只是為了瞄準另外一個更加重要的目標。在塔吉特被黑事件中,黑客首先入侵了一家空調公司,原因是這家空調公司與塔吉特存在業務關系,并且擁有塔吉特網絡的訪問權限。但與其他一些更加嚴重的第三方入侵事件相比,這種攻擊的手法仍然比較低級。
黑客通過2011年對RSASecurity的攻擊,獲取了政府機構和企業的系統所使用的RSA安全令牌。而認證機構的漏洞——例如匈牙利認證機構2011年遭到的攻擊——則讓黑客得以通過獲得看似合法的身份來散布惡意軟件,將其偽裝成合法軟件。類似地,Adobe2012年遭到的攻擊導致黑客進入該公司的代碼簽名服務器,把惡意軟件偽裝成Adobe認證的合法軟件。
類似的第三方入侵表明其他安全措施正在逐步加強。由于Windows等系統現在都附帶安全功能,可以阻止來源不明的非法軟件,因此黑客需要偽裝成合法身份才能開展攻擊。這類入侵行為非常嚴重,因為這會破壞用戶對互聯網基礎設施的基本信任。
6、關鍵基礎設施
目前為止,最為嚴重的基礎設施黑客攻擊發生在伊朗。當時,“震網”(Stuxnet)病毒對該國的鈾濃縮設施造成了破壞。不過,美國的關鍵基礎設施也不可能始終獨善其身。有跡象表明,黑客的確正在瞄準美國的工業控制系統。2012年,智能電網控制軟件開發商Telvent就遭到了攻擊。美國的部分電網、石油和天然氣管道以及自來水系統,都采用了這家公司的軟件。黑客當時獲得了該公司SCADA系統的項目文件。Telvent這樣的企業使用項目文件來編制工業控制系統的程序,而且擁有極高的權限,可以通過這些文件修改客戶系統中的任何內容。
震網病毒也曾在入侵伊朗鈾濃縮系統時使用過受感染的項目文件。黑客可以使用項目文件感染客戶,或者通過Telvent等公司的訪問權限來研究其客戶的漏洞,最終獲得遠程控制權限。就像使用第三方系統獲取塔吉特的網絡訪問權限一樣,黑客遲早可以借助Telvent這樣的企業控制關鍵基礎設施——或許,他們已經做到了。