【中培课堂】2015年我们面临的最大安全威胁
随着新一年的到来,新一轮安全威胁和入侵无疑也会随之而来。但 2015 年会略有不同。在以往,当我们谈论威胁预测时,我们专注的要么是盗窃信用卡数据和银行密码的黑客罪犯,要么是一群黑客激进分子。
现如今,如果威胁预测不考虑国家攻击(想想爱德华•斯诺登事件)的潜在威胁,这样的威胁预测就不完整。安全专家们一直强调,当诸如 NSA 的情报机构出于自身的使用考虑而破坏某个系统时,这个系统也会更便于其他人入侵。因此,随着雷锋网看看2015 年我们面临的最大安全威胁吧。看完这些,你是否会认识整个世界都不安全了?
国家攻击
2014 年快结束时,NSA 及其合作情报机构英国的 GCHQ 所进行的最大一次黑客行为之一被曝光。这次攻击涉及比利时部分国有化的电信公司比利时电信。当比利时电信被黑事件在 2013 年夏首次曝光时,这一事件很快就被掩盖了下去。比利时官方未就此事进行任何抗议。我们知道的情况是,NSA 针对了在比利时电信工作的系统管理员,以便访问比利时电信用来管理客户手机流量的特殊路由器。对用于此次攻击的 Regin 恶意软件的曝光显示,攻击者们还寻求劫持比利时之外的整个电信网络,以便控制基站并监控用户或窃听通信。很显然,Regin 只是 NSA 用来破坏私有公司网络的众多工具之一。总的来说,NSA 破坏加密并在系统中安装后门的此类举动依然是计算机用户面临的最大安全威胁。
勒索
围绕索尼被黑事件及其背后的动机依然存在争议。无论黑客们入侵索尼的系统是为了勒索金钱还是要求索尼承诺下架《采访》这部电影,黑客勒索事件都可能再次发生。索尼被黑事件不是我们见到的第一次黑客勒索。但在索尼被黑事件之前,此类事件都是小规模发生,黑客们使用所谓的勒索软件来加密硬盘或者不让用户或企业访问数据或系统,直到付费为止。索尼被黑是首个涉及数据泄露威胁的高调勒索入侵事件。这类黑客活动要求的技术比低级勒索软件攻击高,但给索尼等知名目标造成的麻烦更大,因为它们泄露一次数据会损失巨大。
数据销毁
索尼被黑事件宣告了另一类在美国不常见的威胁:数据销毁威胁。这类威胁在 2015 年会更常见。索尼被黑事件背后的攻击者们不仅窃取了索尼的数据;他们还删除了数据。这是曾用于攻击韩国、沙特阿拉伯和伊朗计算机的策略;黑客们采用这种策略攻击了韩国的银行和媒体公司,攻击了沙特阿拉伯和伊朗石油行业的公司和政府机构。
黑客们使用的恶意软件抹除了数据和主引导记录,使得系统无法运行。好的数据备份能防止此类攻击变成一场大灾难。但重建遭受抹除攻击的系统依然需要耗费大量时间和金钱,而且你必须确保恢复的备份完全没有被感染,否则残余的恶意软件可能会再次抹除恢复的系统。
银行卡泄密将继续
在过去十年中,发生了无数次涉及数百万银行卡数据被窃的高调泄密事件,比如 TJX、巴诺书店、塔吉特百货和家得宝等。其中一些事件是通过黑掉商店中的销售点系统来窃取卡数据;巴诺书店被黑等事件则是通过安装在读卡器上的泄密装置,这些装置会在刷卡时复制卡数据。卡发行商和零售商们已经行动起来,采用了更安全的 EMV 或芯片加 PIN 码卡和读卡器。这种卡内嵌了能生成一次性交易码的芯片,用户在店内刷卡时需要输入 PIN 码,这会减少被窃数据的用途。因此,此类卡数据泄密事件预计将减少。但芯片加 PIN 码系统需要一段时间才能被广泛采用。
尽管卡发行商们在慢慢地用新的 EMV 卡替代旧银行卡,零售商们需要在 2015 年 10 月前安装能处理此类卡片的新读卡器。在此之后,如果没有安装新型读卡器的零售商发生欺诈交易,零售商们需要自行承担责任。零售商们肯定会采用新技术,但由于在线交易无需 PIN 码或安全码,以前被窃的 DNV 卡的卡号仍然能用于欺诈。而且还存在糟糕部署的问题;最近的家得宝被黑事件显示,黑客们能利用芯片加 PIN 码处理系统的原因是它们部署得很糟糕。
随着行业转向 EMV 卡,黑客们也会跟着转移自己的关注重心。与其从零售商那里窃取卡数据,黑客们转而直接针对处理工资账号的卡片处理商。在最近涉及窃取 900 万美元和 4500 万美元的黑客事件中,黑客们入侵了负责处理工资支付预付卡账户的公司网络。在虚增了一些工资账户的余额和取现限额后,全世界的“骡子”们(帮黑客取现的人)在多个城市的数百台 ATM 机上从这些账户中取现。
第三方泄密
近年来,出现了一股第三方被黑的令人不安的趋势,这类入侵只是为了获得更重要目标的数据或访问权。我们在塔吉特百货被黑事件中见证了此类活动,黑客们是通过与塔吉特百货做生意的空调公司入侵了塔吉特百货的网络。但这依然不能与通过第三方入侵证书颁发机构及其他提供必要服务的机构相比。2011 年 RSA 安全公司遭入侵,黑客们发动这次入侵旨在获得政府机构和企业保全自己系统的 RSA 安全令牌。对证书颁发机构的入侵(比如一家匈牙利证书颁发机构在 2011 年遭入侵)可以让黑客们获得貌似合法的证书来给恶意软件签名,让恶意软件看起来像是合法软件。
类似的,Adobe 公司在 2012 年被入侵让黑客们得以访问 Adobe 的代码签名服务器,进而可以用有效的 Adobe 证书来签署恶意软件。像这样的第三方入侵事件是其他安全措施增加的迹象之一。黑客们窃取证书的原因是,Windows 等操作系统现在可以阻止特定代码安装,除非代码经过合法证书签名。这类入侵事件影响巨大,因为它们破坏了用户对互联网基础设施的基本信任。
关键基础设施
直到目前,我们见过的最严重的关键基础设施入侵事件发生在伊朗。在这次事件中,震网病毒(Stuxnet)被用于破坏伊朗的铀浓缩计划。美国关键基础设施未遭入侵的日子估计也快到头了。黑客们在研究美国工业控制系统的迹象之一是,2012 年针对 Telvent 公司的一次入侵。Telvent 公司生产的智能电网控制软件被用于部分美国电网以及一些石油、天然气管道和水系统中。黑客们访问了 Telvent 公司 SCADA 系统的项目文件。
Telvent 公司等厂商使用项目文件来给客户的工业控制系统编程,通过这些文件可以全权修改客户系统中的任何东西。感染的项目文件是震网病毒用来访问伊朗铀浓缩系统的方法之一。黑客们可以使用项目文件来感染客户,或者通过 Telvent 等公司具备的权限来访问客户网络,进而研究客户的运营来寻找漏洞并远程控制客户的控制网络。
就和黑客们使用第三方系统来访问塔吉特公司一样,他们通过 Telvent 等公司来访问美国的关键工业控制系统也只是时间问题。