北京时间12月30日消息,据国外媒体报道,首先,读者们需要明确一个比较热门的观点:2014年是互联网安全多灾多难的一年。
讽刺的是,虽然去年爱德华-斯诺登(Edward Snowden)的泄密事件已经足够糟糕了,但是这件事至少让企业和公众们看待自己资料隐私的方式产生了重大改变。同时,它也促使科技巨头如苹果、谷歌等加强了自己产品的保密措施,这也是在2014年混乱的互联网安全中唯一能看到的积极点了。
本文将从苹果开始说起。
OSX与iOS用户今年受到过“中间人攻击”,并且还发生过两次。回到本年初,苹果被指出:过于轻信自己的链接是安全的,但苹果使用的SSL对“中间人攻击”防御能力低下,导致苹果用户处于数据被盗用的风险之中。虽然该缺陷已被打补丁,但在11月,有关DoubleDirect的消息传出,该威胁主要是使用ICMP在用户设备上重新定位路径,导致iOS与OSX用户再次陷入危险中。
然而,在这一次事件中,安卓用户也被波及。安卓系统通常被认为比iOS更不安全,因此安卓卷入此次互联网安全灾难中也不足为奇。
然而,最令人担心的恐怕要数9月浮出水面的事件,该事件牵扯到了基于WebKit的安卓浏览器上的开放源码。据称,有一个缺陷导致浏览器对恶意的代码注入攻击处于毫无防备的状态。还有人指出,在安卓4.4以前的版本,为防止脚本从其他网站获取数据而设计的同源政策已经崩溃。
如果说手机是今年入侵载体的首选,那么毫无疑问,SSL不仅声名狼藉,并且本身也运作得很糟糕。首先,在年初由于OpenSSL的“Heartbleed漏洞”的新闻已经使之名声大震,年底时又爆出有关它的漏洞新闻。
其次,谷歌的安全中心称SSL3.0中使用过时的RC4暗码,形成所谓的POODLE漏洞。这一报道如给SSL一记重锤。为什么呢?据微软称,全球超过40%网站都在使用该暗码。好不奇怪,紧接着,一大批恶意软件随即利用此漏洞入侵市场。该漏洞已经是几十年的老问题了,但它在系统漏洞中依旧十分顽强,成为互联网安全的最大威胁之一,这足以使所有IT人在2014年蒙羞。
毫无疑问,无论是犯罪企业还是某些国家赞助的黑客团队,这些黑客们越来越精明。从使用恶意软件的角度来说,他们凭借那些古老的技巧及方法,也依然是成功的。
无论称之为社交工程、网络钓鱼还是高级持续性威胁,对于网络罪犯来说,欺诈网络用户的侵入途径其实是相似的,而这些词语在语义上的变化其实毫不相干。从个人、小企业一直到大企业,都有人成为这些欺诈技巧的牺牲品。不幸的是,对于许多企业来说,它们同时发现它们信息的侵入途径往往是来自于它们的商业伙伴。所以,可以直接攻击一个并不安全的企业时,为什么要选择攻击那些看起来相对安全的企业呢?这个方法在去年一整年披露的不安全事件中一直起效。
不能忽略今年最重大的一个不安全事件。该事件无论从其规模、受影响的潜在数据量,还是它在目前尚未被发现、但在将来可能产生的影响,都值得一提。
是的,笔者要提及的就是索尼电影娱乐公司(Sony Pictures Entertainment)的不安全事件。该事件导致以邮件、文件及尚未上映影片等形式高达上千兆字节的数据丢失,同时在最终公司采取向黑客妥协。
入侵索尼的黑客被认为是恐怖分子。当索尼被入侵后,按照黑客的要求,索尼一度撤回了原本打算公映的电影。
还有另外一起事件:在韩国的某个核设施基地,入侵黑客们强行试图关闭反应器,否则有关系统规范的文档将被公之于众。该事件发生于写这篇文章时,因此有关被盗文件的细节以及韩国方面的反应笔者尚不明了。但政治勒索已参与进入侵事件中这一事实意味着所有的企业在2015年都应加倍努力,保证安全。
笔者在本文开头即提到,今年的互联网安全事件中几乎没有什么积极点可说。今年,网络安全大量地登上主流媒体。
这是一件好事,因为当这些事件找到技术领域之外的出路,并融入公众的生活之中,便意味着人们意识到了这些威胁。另外,毕竟,对威胁的意识几乎是我们所剩的用于抵御这些互联网安全问题的唯一武器了。