一周安全要聞:黑客大閱兵 12億帳戶信息遭竊
責編:admin |2014-08-11 12:08:30在多數人的印象中,黑客就是躲在電腦屏幕后面威脅網絡安全的一群神秘人物。不過,你能想象,在同一時間,在同一地點,看見這些網絡高手嗎?
在本周,世界上最著名的黑帽大會(Black Hat USA 2014)和黑客大會(DEFCON)在美國拉斯維加斯相繼舉行,堪稱全球黑客大閱兵。前者已經成為全球專業黑客交流以及黑客研究成果發布的平臺,后者則更像是各路黑客展示絕技的比武會。今年黑帽大會的議題包括應用安全、互聯網延伸到各類設備(汽車、工控設備等)的安全、移動互聯網安全,網絡審計、取證等幾大領域。
黑帽大會結束后,聚會者常會轉戰接下來舉行的號稱世界上規模最大的黑客大會——DEFCON大會。相比黑帽大會,DEFCON更像是各路黑客展示絕技的比武盛會,而且,入場費更加便宜,活動也更輕松有趣。每年DEFCON黑客大會最精彩的部分是黑客技術比拼,其中的核心競賽,也叫CTF奪旗大賽。而且在今年的大賽上,“安全寶-藍蓮花”戰隊將再次出擊CTF總決賽,向世界展現中國最尖端的黑客力量。
談起黑客,我們常會聯想到黑客攻擊、信息泄露等安全威脅。而在近日,據美國安全廠商Hold Security披露,俄羅斯一個黑客組織竊取了12億個互聯網帳戶的帳戶名和密碼,這也是已知的最嚴重的互聯網信息盜竊案。Hold Security稱,俄羅斯黑客組織掌握的信息與約5億個電子郵件地址有關。
上述黑客組織竊取的資料與黑客間諜的竊取目標資料不一樣,黑客間諜所竊取的資料關乎國家機密,例如美國中情局(CIA)前雇員愛德華?斯諾登曝光的美情報資料。
很多人知道,美國的情報體系由17個機構組成。但是這些機構通常由國防部或者國會監督,普通民眾對于它們的運作可謂知之甚少。在斯諾登曝光美國情報體系資料之前,人們對于那些情報機構的預算和主要任務幾乎一無所知。直到“棱鏡門”事件和后續的諸多絕密文件曝光后,人們對于它們才有了更多的了解。
棱鏡門事件已過去一年多,斯諾登目前的狀況如何呢?據斯諾登的律師庫切列納(Anatoly Kucherena)表示,斯諾登已獲得俄羅斯居留許可,為期3年,許可從8月1日起正式生效。而且,在獲得居留許可后,斯諾登可在5年內向俄政府提交加入俄羅斯國籍申請。
安全無小事,在進行黑客攻擊防護的同時,安全人員必須要了解當前形勢。近日,烏云平臺發布了2014年10大安全風險,建議大家了解一下。這十大風險主要包括:互聯網泄密、不安全的第三方應用、系統錯誤/邏輯錯誤帶來的暴力破解、SQL注入、XSS等成為2014年最大的安全風險。
你的企業沒有出現過安全問題,不代表你的團隊沒有短板,不代表你的線上沒有漏洞,更不代表你的用戶數據沒有在黑市上買賣。所以企業要時時刻刻加強安全意識,需要技術團隊嚴加防守。 近日曝出的寧夏銀行系統崩潰就是一個安全防護不力的例子。
8月4日,據知情人士透露,寧夏銀行今年7月1日下午15時至7月3日核心系統數據庫出現故障,導致存取款、網銀、ATM等業務全部中斷長達37個多小時,其間只能依靠手工辦理業務。寧夏銀行系統故障的根源在于,安全意識薄弱、應急管理體系缺失、應急處置過程混亂。
隨著網絡的快速發展以及網絡防護手段的提高,伴隨網絡而生的網絡犯罪也愈加猖獗。在過去,惡意軟件被稱為Dirty Dozen(十二金剛),因為當時只有十二個惡意程序。而現在我們面對著上億的惡意程序,數千個專業黑客組織,以及數萬個攻擊者,他們每年通過互聯網竊取數億美元。
為什么我們會讓互聯網犯罪發展成如此規模呢?為什么我們會讓互聯網在影響和威脅我們的網絡使用后仍然讓網絡黑客逍遙法外,讓網絡犯罪肆虐呢?基于此,這里有幾點原因: 互聯網犯罪分子幾乎從來沒有被抓到、法律尚不健全、缺少合法證據、缺乏資源、網絡犯罪對經濟的破壞程度還不足以引起人們的注意、解決方案就在我們眼前,只是我們還沒有重視。