公历的2013年已经结束,但对于中国人来说,才正要进入辞旧迎新的阶段。每当这个时候,世界上最大的“动物”迁徙也要开始了。其实对于劳累了一年的中国人来说,临近年底,我们最常听到的就是注意安全这四个字。每逢这个时节,总是有些心怀不轨的人赶在这个时候大捞一笔。其实对于安全问题,小到个人安全,大到国家安全,在2013年都发生了一些不小的事件。年底,我们也对走过的2013进行一次年终总结,总结一下那些影响我们生活的安全问题,好为2014年引以为戒。 1、棱镜门 2013年我想各类安全事件在棱镜门的映衬下都显得有些微不足道,斯诺登的爆料使得信息安全问题像一枚核弹,炸响了整个IT市场对于安全问题的重视,其实对于美国政府的这种窃取或者监控的行为,我们不会傻到认为它不存在,但也没有想到会进行到了如此惊人的地步。这种国家级的网络窃听计划,让全世界的民众对于自身的信息安全有了重新的认识。企业也意识到,安全问题一刻都不能松懈。但从另一个角度来看,这次事件也让各国从国家安全的角度从上至下的开始审视本国信息技术自主化的重要性。 2、NSA斥千万美元在RSA算法中安插后门 美国国安局(NSA)曾与业内影响力巨大的电脑安全公司RSA达成了一个价格高达1000万美元的秘密协议,NSA要求后者在被广泛使用的电脑加密算法中安置后门。 在这一消息一经披露后,许多计算机安全领域专家都感到十分震惊。因为RSA在保密用户隐私和安全方面一直表现出众,并且是上世纪90年代反对当时的NSA 要求在电脑和通讯产品中安置一块特殊芯片以进行监控的主要公司之一。目前,RSA是电脑存储巨头厂商EMC的子公司,并曾经在斯诺登事件爆发后敦促消费者不要继续使用由NSA提供的数字加密安全算法。 3、支付宝转账信息被谷歌抓取 在今年的3月27号,有网友爆料,支付宝的转账信息能够被谷歌抓取,大量的个人支付宝信息可以通过谷歌搜索得到。消息一出便引发了众多用户和网友的担忧。支付宝方面对于此次事件,归结为用户自己分享到了公共区域,之后便再无下文。 对于此次事件移动互联网副秘书长杨晓明发表了意见表示:信息泄露明显是支付宝在技术方面存在漏洞,即便是用户需要将支付成功的信息反馈给卖家,其自身也并不知信息已经被分享到了公共区域。 4、新版12306网站漏洞 为配合新一轮的春运工作,新版中国铁路客户服务中心12306网站两天前正式上线试运行。不过,就在上线第一天(12月6日),擅长“挑刺”的IT高手们就发现12306新版网站存在漏洞。漏洞发现者指出,12306网站漏洞泄露用户信息,可查询登录名、邮箱、姓名、身份证以及电话等隐私信息。另一个漏洞的发现者也曝出“新版12306网站存在多个订票逻辑漏洞”,该漏洞可能导致后期订票软件泛滥,造成订票不公。铁路总公司对此回应,“上线当晚漏洞已经弥补”,但12306的安全性也由此被人们打上一个大大的问号。 5、全球范围政府网站遭攻击 NASA Space your Face站点遭黑客入侵;3684个中国政府站点遭黑客入侵;网络技术历来就是一把双刃剑,于亚当斯沃茨一样信奉自由的人而言,它将造福世界,于心怀各种鬼魅般动机,尝试进行各种颠覆和破坏的人而言,他们打破了一个又一个的平静,并最终引火烧身。2013年全球范围内针对政府网站的攻击进入到了近乎癫狂的状态,在这种无序的技术滥用的背后,各国政府终于展开了针对网络犯罪的严厉打压。 6、比特币引来的攻击 比特币,绝对是2013年网络中最为火热的一个词汇,由于部分国家开始支持比特币交易,导致了比特币价格的持续攀升,在比特币火热的背后,黑客们也开始将比特币及比特币交易平台作为了攻击目标。黑客们甚至开发了利用Skype网络进行比特币挖掘的木马。各种网络黑市中,比特币也成为黑产从业者最佳的交易平台,在中国央行发出禁止比特币在国内交易的通知后,比特币的支持者们立即对中国央行网站展开了DDoS攻击,并一度造成央行网站服务中断。 7、利用波士顿马拉松爆炸事件的新型APT攻击 2013年4月16日,波士顿马拉松赛场惊现爆炸事件,仅仅过了一天时间,一个利用该事件的APT定向攻击邮件就出现了。这封以“please pray for Boston”为名的邮件号召大家为此次惨案祈祷,并附带一个doc文档,用户打开文档后即触发CVE-2012-0158漏洞,漏洞触发成功后将会链接到gnorthpoint.eicp.net并下载一个木马,窃取用户文件。 该文档使用了多种躲避技术,可以躲避绝大部分杀毒软件的查杀。启明星辰技术专家介绍说:利用当前热点新闻进行攻击的事件近年来呈现增长之势。不管是什么样的邮件,如果你并不了解发件人的情况,请不要随意打开邮件附件。不要让你的善意被攻击者利用,提高警惕会让你远离APT攻击。 8、全球范围信息泄露 如果说棱镜计划、APT攻击更多的是针对重要的信息系统或个人而展开的,那么全球范围内频繁爆出的各类因网络攻击导致的重要信息泄露事件,则影响到了每一个网民,且这种影响可能会持续数年。发生的事件包括Adobe论坛3800万用户信息的泄露;如家、锦江之星等酒店的用户信息泄露;雅虎22万用户信息;诺基亚台湾站点被黑,超过10万账户泄露。 9、著名黑客、积极行动主义者Aaron Swartz自杀身亡 信息是自由的,应当被获取,而不应该被雪藏,信息是大众的,而不是封锁在图书馆成为传播的藩篱。这也许就是亚伦斯沃茨从图书馆中下载资料时的想法,但是这位开发了包括RSS和Markdown的技术天才,却没有能在信息的封锁中坚持到最后,在美国政府的调查下,这位技术天才最终还是放弃了抗争,用死亡表达了最后的抗争。亚伦斯沃茨——互联网知识与信息自由传播最悲情的践行者。 10、匿名黑客组织公开4000多位美国银行家登录账户和证书等信息 匿名黑客组织开展了一项名为Operation Last Resort的黑客行动,并公开了4000多位美国银行家的登录账户和个人信息,要求政府改革美国计算机犯罪法。 |