Monday, February 13, 2012

2011信息安全大事件盘点


对于信息安全行业而言,刚过去不久的2011无疑是“多事之秋”。年初的索尼PlayStation network的泄密事件为这“不寻常”的一年“正式”拉开帷幕,而年末的知名开发者社区CSDN信息泄密事件则是使得2011惨淡收官。
 
像其他领域的安全事件一样,信息安全事件的发生,是任何人都不愿意看到的。然而信息安全如雷贯耳般的警钟声却不容忽视。以史为鉴,可以知兴替。通过总结、分析已经发生的信息安全事件,我们可审视自身的不足,提高防范,以最大限度避免类似事件的发生。
 
下面,跟大家一起回顾2011年影响较大的10大信息安全事件,看看有怎样的经验与教训值得我们深思。
 
 
10. 安全机构也中枪——RSA遭入侵
 
事件回放:
 
2011年3月17日,美国RSA的执行总裁在其官网上发表一封公开信称,有人以APT(Advance Persistent Threat,先进持续性威胁)的攻击方式对RSA发起了相当复杂的网络攻击,并入侵窃取了RSA系统中的重要数据,而这些数据中有些是专门用于RSA的SecurID双因素认证的产品。事件发生后,RSA为部分用户更换了Secure ID,并建议用户注意异常情况,同时加强令牌管理及注意社交工程攻击。
 
随后的5月份,美国军火商洛克希德马丁公司传言遭受网络攻击,导致部分机密武器资料等泄漏。有传言称,此次攻击,黑客正是利用了早前失窃的RSA SecureID数据,复制了洛克希德马丁公司使用的SecureID令牌,并最终实施了入侵。
 
评论:
 
Secure ID双因素认证以及CA证书技术,都是目前应用广泛的安全技术,广泛应用于政府机构、企业、金融等敏感部门,典型的如网银登录等,可以说,一旦出现漏洞,会造成非常重大的实质性损失,波及范围也会非常广泛,站在黑客的角度,自然跟更有利可图。因此,威胁也就更大。
 
这一事件提醒了我们,在你部署了你认为足够安全和全面的安全措施之后,你可能还是不够安全。这就好像你买了一把高级密码锁来保护你的资产,结果不怀好意者拿到了原配的钥匙;更有甚者,不怀好意者甚至卖了一把假的锁给你,让你的防线形同虚设。
 
这就需要我们重视安全审计,不放过系统中的任何一点异动,即使你觉得已经部署了足够安全的措施——因为没有绝对的安全。
 
9. “悲剧”的索尼——接连被黑
 
事件回放:
 
2011年4月26日,索尼在“游戏站”博客发布通告,称黑客侵入旗下“游戏站”和云音乐服务Qriocity网络,窃取大量用户个人信息,包括姓名、地址、电子邮箱、出生日期、登录名、登录密码、登录记录、密码安全问题等,受影响用户大约7800万。
 
评论:
可能有人会认为,类似的这种黑客主动攻击的行为近乎“天灾”,受害者往往是无计可施的。其实不然,本质上,这些机构遭受损失,还是本身安全防护措施不足造成的。再试想一下,连索尼这种知名企业,以及FBI、CIA等顶尖的政府机构,都会被黑客攻破,如果黑客把目光集聚在普通企业身上,必然会不堪一击。
 
这一事件提醒我们,对于安全的追求,永远没有终点,安全人员也应该时刻有危机意识;同时,黑客的宣言也提醒我们:安全是一件需要高调对待但低调宣扬的事,不要主动招惹黑客,同时也不应该对黑客示弱。
 
 
 8. 当银行失去可靠性——韩国农商行遭黑客入侵删除交易记录宕机三天
 
 事件回放:
 
2011年4月19日,紧接在韩国现代资本公司之后,韩国农协银行也疑遭电脑黑客袭击,其电脑网络瘫痪了三天,数以万计的客户受影响。
 
根据农协银行工作人员报告的情况,本次事件源于系统服务器数据被删除造成的系统瘫痪和数据丢失。大约540万名信用卡客户的交易记录被删除。
 
根据调查员的进一步分析,认为整个事件是一次恶意黑客攻击,笔记本的所有者表示删除命令并非自己所下达。事发当时,该员工的笔记本放置在银行的办公室内。根据当天闭路电视的录像,可能有20个人有机会接触到这台笔记本,这20人当中有一人拥有Super Root权限。
 
评论:
 
由于涉及到实实在在的“金钱”,一般来说,银行等金融机构对于信息安全的要求是最高的,其信息安全防护水平也一直走在IT业界前列,包括防入侵、灾备等都有完善的方案。然而,此次韩国农商行的水准却让人大跌眼镜。瘫痪三天,这在任何金融机构都是不可想象的。
 
通过回访此次事件,业界研究者得出的事件原因有三:一是对于最高级别权限即super root的管理不足;二是没有基本的隔离安全机制(笔记本直接连入外网);三是容灾备份机制没有发挥作用。这当中的每一点单独拿出来,都可能是致命的漏洞。
 
黑客所策划的此次攻击,是以IT运维部门的用户机位跳板实施的,这就暴露了目前广泛存在的一种威胁,即通过窃取内部合法用户的权限进行非法活动。这种漏洞,说白了就是IT内控的不足。对于类似银行的敏感机构的敏感部门,尤其应该注意用户权限的管理;另外,在必要时进行网络隔离甚至物理隔离是必然的要求。同时,也要加强平时对于合法用户的行为审计,防范合法权限被滥用或被利用等情况的发生。最后,对于最重要的信息,完善的多点灾备机制是必须的选择。
 
7. 社交网络的逆袭——新浪微博病毒首次大肆传播
 
事件回放:
 
2011年6月28日,新浪微博出现了一次比较大的XSS攻击事件。20:14,开始有大量带V的认证用户中招转发蠕虫;20:30,2kt.cn中的病毒页面无法访问;20:32,新浪微博中hellosamy用户无法访问;21:02,新浪漏洞修补完毕。
 
评论:
 
如果单纯讨论技术,此次攻击可能算不上是最高级别的黑客攻击。但此次事件暴露出来的社交网络风险,却是实实在在的给我们提了一个醒。
 
相关数据显示,截止2011年11月,国内社交网站注册用户达到了2.6亿,微博用户达到了2.5亿,再加上数亿用户使用的QQ等,规模化的社交网络,前所未有的改变了我们的生活的同时,也带来了前所未有的风险。
 
对于企业来说,社交网络是一个难题。时代的前进和发展迫使公司的日常运营中要应用社交网络等新的技术,但相关的安全防护手段却未必跟得上技术的发展。IT管理员应该对社交网络采取怎样的态度,允许还是禁止,进行多大程度的限制,这些问题都需要提上考虑的日程了。单纯的允许与禁止做起来可能容易,但前景似乎不那么明朗。对于IT管理员甚至组织的管理者来说,是该制定社交网络使用规范的时候了。
 
6. 当病毒成为武器——Duqu病毒爆发
 
事件回放:
 
11月,在苏丹和伊朗(该木马程序的前身—Stuxnet的主要攻击目标)出现了新Duqu恶意软件感染。Duqu病毒被认为与Stuxnet工业破坏病毒密切相关,因为它借用了Stuxnet的代码和功能,Duqu是一个用于数据渗出的灵活的恶意软件交付框架。
 
Duqu被认为是专门针对企业的有针对性攻击,可能成为2012年的主要恶意软件。
 
评论:
 
针对工业设施和控制系统进行的特定攻击,显示了目前黑客攻击更有针对性和更强烈的利益倾向。就像Duqu病毒所利用的Word漏洞一样,黑客往往利用常见系统工具的漏洞,从普通用户入手渗透到核心系统,最终获取机密信息。
 
相较以往,大家的安全意识已经有了提升,但这些病毒的存在提醒了我们,信息安全防护一直在路上

5. 坚实的法律后盾——两高联合制定《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》开始施行
 
事件回放:
 
2011年8月29日,最高人民法院、最高人民检察院联合发布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》。这个共有十一条的司法解释从2011年9月1日起开始正式执行。
 
2012年1月,国内知名黑客,“黑基网”实际控制人王献冰,因为提供侵入、非法控制计算机信息系统的程序、工具罪,被判处有期徒刑5年,罚金人民币60万元;被告人周林亮被判处有期徒刑4年,罚金人民币10万元。这是上述司法解释出台后审结的第一起有显著影响力的黑客案件。可以说,有关信息安全犯罪行为,真正“有法可依”。
 
评论:
 
目前我国现行法律法规及规章中,与信息安全直接相关的是65部,它们涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域。从数量上来看,确实很多,但也还有很多不足。
 
目前国内有关信息安全的法规,大多都是规章制度,立法法律层面的明显不足,如果发生类似的信息安全事件或犯罪行为,执法的威慑力与执行力,都不如其他领域的法律有保障,从根本上不能震慑犯罪行为。目前个人隐私信息泄漏事件频发,其根源一定程度上也在于此。国外在这一方面做的就比较好,例如,美国2002年的《联邦信息安全管理法》、87年的《计算机安全法案》、俄罗斯95年的《联邦信息、信息化和信息保护法》等。
 
此次两高解释的出台,算是为国内的信息安全法律开了一个好头,但仍有许多相关法律亟待完善。例如信息安全中涉及的个人权利主要包括通信秘密、言论自由、隐私权、著作权及相关知识产权,而与通信秘密、言论自由相关的法律是宪法、国家安全法和警察法,与隐私权相关的法律是民法通则,与著作权及相关知识产权相关的法律是著作权法、合同法,信息安全中涉及的单位的权利主要包括商业秘密、技术秘密、著作权及相关知识产权等,而与商业秘密、技术秘密相关的法律有反不正当竞争法、技术合同法,与著作权及相关知识产权相关的法律有著作权法、合同法。如何提高这些法律法规的整体性,使其相互配合,并尽量不产生冲突,让各大企业以及个人都能依法办事,有法可依。
 
好的开头已开启,希望下文更精彩。
 
4. 人云亦云,不知所云——亚马逊云服务宕机,服务终端,部分客户数据丢失
 
事件回放:
 
(美国时间)11年4月21日上午01:30分,北弗吉尼亚州的数据中心出现故障,造成了Amazon公司旗舰数据中心EBS服务无法正常使用。在大约12小时后,AWS表示,在除一个区域以外,所有可用区域的功能均已恢复并运行正常。4月24日晚上7:00,AWS表示,该服务运行稳定,恢复过程仍在进行中,但是直至4月25日AWS才将美国东部地区的运行状态标为正常。
 
服务宕机事件导致包括问答网站Quora、手机地理位置社交网络服务商Foursquare及社交媒体Reddit等创业公司均受到不同程度影响。
 
 
评论:
 
过去的一两年,“云”似乎成为了一个大热的话题,“云存储”、“云计算”甚至是“云杀毒”,云的触角似乎蔓延到了每一个角落,言必称“云”,是很多展会上的常见风景。然而,“云”是什么?至今尚无人能说得清。
 
此次亚马逊云服务宕机事件,为我们提了一个醒,在你兴奋的想要应用这些先进的技术之前,应该问自己几个问题:云计算是什么?我需要的是哪种云计算,平台即服务(PaaS),软件即服务(SaaS),还是基础设施即服务(IaaS)? 我是应该选择公有云,还是私有云? 如果把我的业务转移到云平台中,无论是公有云,还是私有云,目前有相对应的信息安全保护解决方案么?换句话说,连我都不知道在云中何处的信息,它安全么?
 
 
3. 免费安全时代来临?——360成功上市
 
事件回放:
 
2011年3月30日,奇虎360在美国纽交所上市,这是2011年第一家在美国成功上市的中国互联网公司,也是迄今为止第一个独立上市的中国互联网安全公司。上市当日收盘价为34美元,首日涨幅达134.48%,首日总市值达38.5亿美元,以当日计算位居中国十大互联网公司行列。
 
2011年,360还低调推出了企业版360安全卫士,进军企业市场。通过与国内的部分企业级IT厂商合作,360免费企业安全产品也在低调推进中。
 
评论:
 
我们姑且不评论360所推行的免费安全的质量如何,只讨论企业级的免费安全是否可行?我想,恐怕有待商榷。
 
很关键的一点,企业级产品对于服务的要求是免费安全无法给予的。免费安全产品,说白了就是用“免费”来换取市场份额,并在后期通过增值业务收费。用户接受了免费,换来的就是一句“一切解释权均为本企业所有”。而安全对于企业来说,恰恰是最要求拥有自主权和实际保证的。如果出了安全事故,免费产品的用户显然不可能凭着一份当初直接按下下一步的“用户协议”来维护自己的权益。
 
企业免费安全,看上去很美,但接下来的路如何走,前方是康庄大道还是断头崖,我们拭目以待。
 
2. 老大哥在看着你——运营商Carrier IQ跟踪用户手机使用信息事件
 
事件回放:
 
2011年12月,一位 25 岁的黑客 Trevor Eckhart,发现 Android、Nokia、HTC 等手机内置的 Carrier IQ 服务会不断上传用户的操作数据,并发布了一段视频作为佐证。
 
此后,涉及此次事件的几大手机厂商与运营商大部分都出面承认了事件的真实性。尽管CIQ的开发商辩称,他们的产品并不收集用户隐私信息,只是为了运营商改进产品与服务,用户对此仍有重大疑虑,美国部分议员也表示了对此的关切。目前,部分手机厂商和运营商已经公布了补救措施,包括如何移除手机内置的Carrier IQ产品,以及不再在产品内预先安装此软件。
 
评论:
 
这是继之前苹果与Android跟踪用户地理位置之后爆出的又一牵涉用户隐私信息保护的重大安全事件。
 
随着基于i-OS、Android等系统的只能移动设备的爆发性增长,智能设备迎来了前所未有的春天,随之而来的安全威胁也不得不让人正视。
 
作为智能操作系统,这些产品能实现更多的应用,但是越来越频繁的个人信息泄漏事件,让用户对于个人隐私泄漏的焦虑越来越严重。
 
另外,企业层面,智能设备的普及,也让IT部门面临着两难。员工利用私人设备,能够方便的处理工作任务,加快工作进程,但不断爆出的安全事件,却让IT管理人员对于私人设备进入企业IT系统充满了警惕,因为一旦企业的机密信息通过私人设备泄露,造成的经济及其他非经济损失更加直接,影响也更大。
 
智能设备的狂潮肯定是不可阻挡的,粗暴的禁止无异于因噎废食。IT管理人员应该做的,是开始考虑对于智能设备应该采用怎样的安全策略,在享受科技便利的同时保障信息安全。
 
 
1. 当密码不再是秘密——CSDN、天涯等遭遇最大用户密码泄漏事件
 
事件回放:
 
11年12月21日,知名程序员网站CSDN被曝600万用户帐户密码泄漏。黑客在网上公布了用户数据库,此数据库在网络上广泛传播,并被制作成网页供网友查询。更为惊人的是,此次泄漏的用户数据库中,密码竟然是明文存储的。CSDN随后承认用户密码失窃,但强调这些密码都是在2009年之前注册用户的,现在已经不再明文存储密码。
 
此后又有多家知名网站包括天涯、人人网、开心网等爆出了用户密码数据库泄漏。一时间人人自危,“改密码”成了热词。
 
评论:
 
本次事件充分暴露了互联网上脆弱的安全生态,企业防范不到位,法规缺失,黑客产业链,用户安全意识不足。种种负面因素的累加,使得类似事件的发生也就有了其必然性。
 
 
盘点结语:
 
2011年发生的信息安全事件,远远不止以上10起,其影响力,实在难以一语概之。希望通过对过往这一年影响较大的安全事件的回顾,让更多企业、个人真正意识到信息安全的重要性,并行动起来。古语有云“空谈误国,实干兴邦”,唯有用行动才能迎接已经到来的、形势汹涌的2012。未来一年的信息安全行业将如何收官,我们静观其变。

No comments:

Post a Comment