每到年底,我們都會收到來自派出所民警的貼心關懷:“防火防電防偷盜”,如今這三防得再加上一防了,那就是對網絡風險的防御。在萬物互聯的時代,我們享受著網購、網游、移動支付等諸多便利,而這也給犯罪分子提供了新“靈感”。據統計,2016年中國因數據泄露引發的經濟損失高達915億元。許多信息網絡漏洞和攻擊工具被不法分子商品化,使信息安全威脅的范圍進一步擴大。
在今年的各種PWN會議(破解大會)上,極客團隊們現場演示了許多駭人的破解,擴大NFC刷卡距離以盜刷別人的信用卡,無需指紋密碼就能堂而皇之地打開你家的智能門鎖,超聲波攻擊AppleSiri即可將木馬植入手機,遠程操控心臟起搏器輸出高壓電流殺人......這些恐怖的故事隨時有可能變成現實。
那么黑客現在又有了哪些“黑魔法”,我們又該如何防范網絡風險呢?記者采訪了螞蟻金服巴斯光年安全實驗室,請他們從專業技術層面為我們解讀2017年發生過的代表性網絡安全事件,為業界和用戶揭示智能設備的安全風險和保護手段。
1、CIA和NSA黑客工具包泄露
今年三四月份,美國中央情報局(CIA)和美國國家安全局(NSA)的黑客工具包分別遭公布。這些工具的攻擊對象包括微軟、安卓、蘋果iOS、AppleOSX和Linux等操作系統以及某些智能電視、路由器等網絡節點單元和智能設備。其中,Windows漏洞EternalBlue(永恒之藍)的泄露,更是為勒索病毒“WannaCry”的爆發埋下伏筆。
巴斯光年點評:
各國政府都會研究一些用于安全對抗與制衡的具有極強攻擊性的漏洞利用攻擊套件,它們既是網絡空間安全實力的體現,同時也是一種安全隱患。因為這種武器化的漏洞一旦泄露,對企業個人乃至政府部門會構成極大的安全威脅。WannaCry就是一個典型的案例。在網絡空間安全重要性日益顯露的今天,如何防止網絡空間的武器化攻擊套件被竊取濫用,這是需要慎重考慮的問題。
2、WannaCry勒索病毒席卷全球
5月12日,一個名為“WannaCry”的勒索蠕蟲病毒在全球大范圍爆發并蔓延,100多個國家的數十萬名用戶中招,其中包括醫療、教育等公用事業單位和有名聲的大公司。這款病毒對計算機內的文檔、圖片、程序等實施高強度加密鎖定,并向用戶索取以比特幣支付的贖金。
巴斯光年點評:
WannaCry是全球首款通過武器化的系統漏洞實現傳播的勒索蠕蟲病毒。依托于被泄露的Windows漏洞“永恒之藍”,只要開機聯網且漏洞存在,它就能入侵電腦。比起傳統蠕蟲病毒依附下載安裝等被動式傳播,WannaCry通過漏洞,主動掃描網段式的傳播速度可以說是建立了蠕蟲傳播速度的新紀錄,相當于原來是靠徒步,現在飛車前行。在WannaCry蠕蟲爆發之后,還陸續出現了更多的以美國國家安全局(NSA)泄露的武器化漏洞為基礎、進行遠程攻擊并傳播的蠕蟲病毒,這也標志這制作蠕蟲病毒的技術的進一步提升。另外,要求以比特幣形式支付贖金的操作也很心機,區塊鏈系統中,支持匿名的收付方式讓警方難以根據金錢流向查人。
公共系統頻繁成為勒索病毒的受害者,醫院、電力、機場、交通等因遭受攻擊癱瘓,嚴重影響整個社會運轉和民眾生活。面對已公布的漏洞以及勒索病毒爆發和后期變種時,相關政府部門應迅速制定措施,引導并更新基礎設施的各種漏洞補丁。
3、勒索病毒冒充“王者榮耀輔助工具”
今年6月,一款冒充“王者榮耀輔助工具”的勒索病毒,通過PC端和手機端的社交平臺、游戲群等渠道大肆擴散,威脅幾乎所有Android平臺,設備一旦感染后,病毒將會把手機里面的照片、下載、云盤等目錄下的個人文件進行加密,如不支付勒索費用,文件將會被破壞,還會使系統運行異常。
巴斯光年點評:
作為移動互聯網的頭號終端,手機面臨的攻擊日益增加,開放的Android系統更是如此。2017年上半年中國網絡安全報告顯示,排名前5位的手機病毒均是針對Android系統。在最近幾次的PWN活動中,巴斯光年安全實驗室演示利用某安卓手機系統漏洞,遠程在手機中靜默地安裝惡意應用及植入惡意圖片,成功竊取了現場演示觀眾的照片。
目前AndroidROM存在的安全問題非常嚴重,很多病毒通過ROM進行傳播,植入系統底層,無法查殺,還能獲取到系統所有權限,導致用戶手機死機、關機、個人資料被刪、向外發送垃圾郵件、泄露個人信息等,甚至會損毀SIM卡、芯片等硬件,造成使用者無法正常使用手機。用戶需盡量避免刷一些第三方提供的ROM,因為開發者代碼質量良莠不齊,很容易存在安全漏洞。整個行業急需加大對ROM安全的關注,作為移動設備基礎設施,保障用戶根本安全。另外值得注意的是,借勢熱門APP和仿照計算機病毒的手機病毒越來越多,用戶下載APP插件時需注意辨別。
4、央視調查發現大量家庭攝像頭被入侵
今年6月,央視《每周質量報告》調查發現網上有眾多家庭攝像隱私在售,黑客利用弱口令密碼大范圍掃描家用攝像頭進行破解,可獲得IP地址和登錄密碼,遠程操作別人家的攝像頭。隨后在質檢總局的抽檢中,采樣品牌涵蓋市場關注度前5位產品的情況下,40批次產品中有32批次存在安全漏洞,占比高達80%。
巴斯光年點評:
物聯時代,智能產品越來越多,功能大幅升級。然而由于IOT(物聯網)設備開發水平尚未成熟,其在“云端+終端+手機APP”的業務環節上,安全漏洞頻出,設備安全機制甚至已知漏洞的修復程度都明顯落后業界平均水平。對攻擊者而言是一個是低攻擊成本,高隱形收益的的不二對象。2016年,Mirai蠕蟲病毒批量控制全球大量攝像頭發起DDOS攻擊,導致許多網站宕機;在XDEF2017安全峰會上,巴斯光年安全實驗室的安全研究人員也演示了,通過Wi-Fi可以遠程在微單上安裝具有勒索和竊取照片功能的惡意軟件,從而獲取操作系統的最高權限,通過相機遠程獲取各種圖片信息。
值得重視的是,大量在桌面操作系統已經修復的安全漏洞在IOT設備上可能被重新利用,而這些與物理世界連密更密切的設備一旦被操控會帶來更可怕的后果,甚至威脅到人身財產安全。IOT設備的安全性需要全行業的重視,各方應從網絡數據傳輸的安全、協議層數據的合規、系統層漏洞的修補、固件的加固與加密校驗以及硬件設計的安全封閉等多個環節保障用戶的信息安全和使用安全。同時,也要關注公共系統在物聯網設備使用上的安全性。
采訪中,巴斯光年安全實驗室的安全攻防技術負責人曲和強調,如今的安全問題已經不是一家公司、一個領域能夠抵抗的。
推薦閱讀
12月1日上午10點,一加5T在官網與京東開啟首銷。一加5T星辰黑有兩種存儲組合可選,6GB RAM+64GB ROM售價2999元,8GB RAM+128GB ROM售價3499元。新品發布會后僅48小時,一>>>詳細閱讀
本文標題:物聯網已成黑客盛宴?巴斯光年實驗室點評2017年網絡安全事件
地址:http://www.geekbao.cn/a/05/304954.html
網友點評
精彩導讀
科技快報
品牌展示