圣诞节,信仰基督教的黑客与安全人员都开始了他们的“休假”而接着就是2017年新年了。过去几年圣诞之后新年之前这段时间总是显得比较平静,今年的圣诞期间也有多起漏洞爆发,今天我们的次条微信就说了其中一条重要的漏洞信息请多加注意。圣诞结束之后就是元旦了,总之在我们先来总结一下即将结束的2016,然后稍微展望一下即将到来的2017。
回首2016
2016年3月,全球有三分之二的网站服务器用的开源的加密工具OpenSSL爆出新的安全漏洞“水牢漏洞”,这一漏洞允许“黑客”攻击网站,并读取密码、信用卡账号、商业机密和金融数据等加密信息,对全球网站产生巨大的安全考验。我国有十万余家网站受到影响。
4月份,网络威胁情报监测平台报料,称他们监控发现有1.5万名Jeep车主信息遭到泄露,资料包括买家姓名,住址,联系电话,购买车型等信息。同时期,不法分子还将罪恶的双手伸向儿童,通过网上购买的软件工具,非法入侵免疫规划系统网络获取20万儿童信息并在网上公开售卖。可怕的是,这些儿童信息还能够精确到家庭住址的门牌号!
进入5月,再次发生了两起恶性信息窃取事件:俄国黑客盗取了2.723 亿邮箱信息,其中包括 4000 万个雅虎邮箱、3300 万微软邮箱以及 2400 万个谷歌邮箱;黑客利用漏洞,盗取3亿6000万MySpace用户的电子邮件地址以及密码。
7月,准大学生徐玉玉遭电信诈骗后死亡。山东临沂的准大一新生徐玉玉,被一通诈骗电话骗走家人辛苦一年攒下的9900元学费,两天后不幸离世。之后相继又爆出了“清华大学老师被冒充公检执法骗走1760万元“”深圳老人被骗1156万元“等事件。
11月,域名提供商Dyn.com经历了一次大规模的分布式拒绝服务(DDoS)攻击。此次攻击不仅导致该公司所提供的DNS服务访问速度明显降低,而且还使北美地区的大量网站被迫下线。不仅如此,此次DDoS攻击还使得数百万用户无法正常访问互联网。根据安全研究专家的分析,此次攻击主要是由物联网设备所组成的僵尸网络驱动的。
据了解,此次DDoS攻击的规模之大是前所未有的,并且这足以证明“脚本小子”们的黑客水平又上升到了一个新的层次。不仅如此,Mirai恶意软件的开源也会使得DDoS攻击在今后将会变得更加频繁。
从不同角度来看,2016年的信息安全环境仍然显得比较恶劣,不管是对个人信息财产方面的威胁,还是对于网络供应商的攻击,以及黑客利用漏洞进行大规模攻击。甚至出现了大范围的DDOS攻击。
展望2017
2017 仍将是网络勒索之年,网络勒索集团将会想出更多新的方法来针对个别受害者的心理,每一次的攻击会变得更“个人化”。而激进主义黑客攻击、移动恶意程序在明年也将不断增长,网络不法分子将采取更先进、更具针对性的方式来进行网络攻击。据此,安全专家建议个人消费者与企业用户要更加重视网络攻击技术的演变,并持续改进网络安全防御措施,以应对不断精进的网络安全威胁。
未来,网络勒索集团将会想出更多新的方法来针对个别受害者的心理,让每一次的攻击变得更“个人化”,不论其目标是特定用户或是某家企业。名誉就是一切,因此能够威胁个人或企业名誉的攻击,不但非常有效,而且最重要的,非常有利可图。
2017年对于网络安全行业来说是非常重要的一年。在网络防护方面,政府将更加重视网络安全法律及政策的制定,越来越多的企业将把网络安全防护作为重要的企业战略。在网络攻击方面,随着用户网络威胁防御意识的不断提升,黑客势必会采取更强烈的攻势,采用更先进、更具针对性的方式来攻击特定目标。但是,正义之士将会看到更多正面的成效,包括更多成功破获网络犯罪的案例,掌握有效提升防御能力的办法,并肩作战、共同进步。
2017 年全球网络攻击手段将发生不少新变化,其中恶意广告的转变,以及黑客针对智能设备的攻击将尤为突出。首先,2016年广告拦截软件在全球使用率增长了 41%,并且在国内具备广告拦截插件功能的浏览器也越来越流行,不法广告商开始尝试其它类型的网络广告推送方式,以谋求绕过拦截软件,例如借助山寨APP进行广告推送。 其次,2016年发生多起过智能装置遭到入侵的事件,从婴儿监视器、智能型电视到联网汽车都有,随着智能联网家用设备“被黑”情况的愈演愈烈,或将促成政府制定法规来约束智能设备的生产与使用。
2017年将是网络勒索行为大幅度扩展的一年,锁屏(FakeAV)、恐吓型勒索软件、加密型勒索软件会严重影响个人与企业用户信息系统的正常使用。一方面是因为与其它网络犯罪手段相比,网络勒索更有可能帮助不法分子获得高额收益。另一方面,安全专家也发现,微信等社交网络的应用加速了网络勒索行为的发展,黑客将尽可能通过消费者心理弱点传播恶意软件,造成二次感染,以勒索目标对象。
在网络攻防中,黑客并非总是会采取固定不变的攻击套路,而是会根据个人消费者及企业的安全防御措施而改变攻击方式。因此,我们可以看到,尽管网络安全的技术不断进步、网络安全投入迅速提升,但重大的安全事件仍然时有发生。因此,在网络攻击面前,即使个人消费者与组织用户采取了周密的网络安全防御措施,仍不可轻视网络攻击的巨大威胁。
【本文为51CTO专栏“柯力士信息安全”原创稿件,转载请联系原作者(微信号:JW-assoc)】