近日,美国《连线》杂志网络版刊文,根据最新趋势对2015年网络安全行业面临的重大安全威胁进行了预测和盘点。
以下为文章全文:
随着新年的钟声在午夜敲响,新一轮安全威胁无疑也将在2015年陆续上演。但今年的情况会略有不同。以往,当我们预测今后的威胁时,关注的重点往往集中于两个方面:窃取信用卡数据和银行密码的犯罪型黑客,以及秉承某种信念的激进型黑客。
但如今,如果不把国家主导的网络攻击行为纳入其中(就像爱德华·斯诺登(EdwardSnowden)爆料的那些威胁一样),根本构不成完整的预测。据悉,当美国国家安全局(NSA)这样的间谍机构入侵某个系统供自己所用时,它们也会导致该系统更容易被他人攻击。所以,我们这份榜单首先从国家主导的黑客攻击开始。
1、国家主导的黑客攻击
2014年临近结束时,一条新消息浮出水面,让我们得以了解NSA及其英国同行政府通信总署(GCHQ)曾经开展的一次重大攻击。那次事件与比利时半国有电信公司Belgacom有关。当Belgacom被黑事件2013年夏天首次曝光时,立刻被压制下来。比利时政府几乎没有对此提出抗议。我们唯一知道的是,这两家间谍机构瞄准了这家电信公司的系统管理员,以进入该公司用于管理所有客户手机流量的路由器。
但最新披露的信息让外界得以了解那次黑客行动采用的Regin恶意软件的更多内幕:原来,黑客还希望劫持比利时以外的整个电信网络,以便控制基站,并监控用户或拦截通信信息。Regin显然只是这两家间谍机构采用的众多工具中的一个,他们还借助很多方法来破坏私有公司的电信网络。由此看来,NSA部署的各种解密措施及其在系统中安装的各种后门,依然是所有电脑用户面临的最大安全威胁。
2、勒索
索尼被黑事件引发的争论仍在持续,黑客的动机依然没有完全明确。但无论发动此次攻击的黑客是为了勒索钱财类似的事件都有可能再度发生。索尼被黑事件并不是第一起黑客勒索案。但这类活动的规模之前多数都很小——使用所谓的“勒索软件”对硬盘进行加密,或者锁定一个用户或一家公司的数据或系统,胁迫其支付钱财。
美国政府和很多民间组织都认为,索尼被黑事件的幕后黑手是朝鲜。但无论事实真相如何,这都是第一起涉及数据泄漏威胁的重大黑客勒索案。与低水平的“勒索软件”攻击相比,这种黑客攻击需要掌握更多的技巧。而对于索尼这种拥有大量保密数据的公司而言,也会因此陷入更大的危机。
3、数据破坏
索尼被黑事件带来了另外一种尚未在美国见过的威胁:数据破坏威胁。这将在2015年更加普遍。索尼被黑事件的黑客不仅从该公司窃取了数据,还删除了大量数据。韩国、沙特阿拉伯和伊朗之前曾经遭遇过类似的攻击——韩国的攻击对象是银行和媒体,沙特和伊朗的攻击对象则是与石油有关的企业和政府机构。
恶意软件在删除数据和MBR后,会导致系统无法运行。良好的数据备份可以避免因为这种攻击蒙受巨大损失,但仍然需要花费不少时间来重建系统,而且成本不菲。你必须确保备份数据完全不受影响,避免在系统恢复后被残余的恶意软件再次删除。
4、银行卡犯罪将继续
过去几十年,出现了很多涉及数百万银行卡数据的大规模数据被盗案件,受害企业包括TJX、巴诺书店、塔吉特和家得宝等。有些是通过控制店内的POS系统来窃取卡片数据的,还有一些(例如巴诺被黑事件)则是在刷卡器上安装盗刷器来窃取数据。
发卡机构和零售商都在部署更加安全的EMV或chip-‘n’-PIN卡片和读卡器,并采用内置芯片来产生一次性的交易,以供店内购物时使用。这样一来,即使不法分子窃取了用户购物时输入的密码,也无法用于窃取资金。因此,银行卡被窃案件有望减少。但这类系统的广泛普及仍需一段时间。
尽管发卡机构正在逐步使用新的EMV卡代替老式银行卡,但零售商要到2015年10月才能全面安装新的读卡器。在那之后,他们才需要为没有安装这种读卡器而发生的欺诈交易负责。零售商无疑会拖慢这种新技术的部署速度,因此从老式DNV卡上窃取的卡号仍可用于无需输入密码的欺诈性在线交易。
除此之外,还存在部署不当的问题。最近的家得宝被黑事件表明,黑客之所以能够破解chip-‘n’-PIN处理系统,正是因为系统部署不当所致。随着EMV的逐步普及,黑客肯定会转变重点。他们不会再从零售商那里窃取卡片数据,而是会直接瞄准卡片处理商的账户。在最近的两起案值分别达900万和4500万美元的盗窃案中,黑客入侵了负责处理预付费卡账号的公司网络。在人为上调了余额,并取消了少数薪金账户的取款限额后,黑客在多座城市雇人通过数百台ATM机大量取现。
5、第三方入侵
最近几年出现了一种令人不安的“第三方入侵”趋势。在这些攻击活动中,黑客之所以入侵一家公司或一项服务,只是为了瞄准另外一个更加重要的目标。在塔吉特被黑事件中,黑客首先入侵了一家空调公司,原因是这家空调公司与塔吉特存在业务关系,并且拥有塔吉特网络的访问权限。但与其他一些更加严重的第三方入侵事件相比,这种攻击的手法仍然比较低级。
黑客通过2011年对RSASecurity的攻击,获取了政府机构和企业的系统所使用的RSA安全令牌。而认证机构的漏洞——例如匈牙利认证机构2011年遭到的攻击——则让黑客得以通过获得看似合法的身份来散布恶意软件,将其伪装成合法软件。类似地,Adobe2012年遭到的攻击导致黑客进入该公司的代码签名服务器,把恶意软件伪装成Adobe认证的合法软件。
类似的第三方入侵表明其他安全措施正在逐步加强。由于Windows等系统现在都附带安全功能,可以阻止来源不明的非法软件,因此黑客需要伪装成合法身份才能开展攻击。这类入侵行为非常严重,因为这会破坏用户对互联网基础设施的基本信任。
6、关键基础设施
目前为止,最为严重的基础设施黑客攻击发生在伊朗。当时,“震网”(Stuxnet)病毒对该国的铀浓缩设施造成了破坏。不过,美国的关键基础设施也不可能始终独善其身。有迹象表明,黑客的确正在瞄准美国的工业控制系统。2012年,智能电网控制软件开发商Telvent就遭到了攻击。美国的部分电网、石油和天然气管道以及自来水系统,都采用了这家公司的软件。黑客当时获得了该公司SCADA系统的项目文件。Telvent这样的企业使用项目文件来编制工业控制系统的程序,而且拥有极高的权限,可以通过这些文件修改客户系统中的任何内容。
震网病毒也曾在入侵伊朗铀浓缩系统时使用过受感染的项目文件。黑客可以使用项目文件感染客户,或者通过Telvent等公司的访问权限来研究其客户的漏洞,最终获得远程控制权限。就像使用第三方系统获取塔吉特的网络访问权限一样,黑客迟早可以借助Telvent这样的企业控制关键基础设施——或许,他们已经做到了。(长歌)