爱华网虽然安全问题从互联网诞生之日就在年年讲、月月讲,常讲常新,但直到2012年春节前夕,CSDN、天涯等网站用户信息泄露事件让数千万的中国用户切身体验到了“信息裸奔”的滋味:登录密码、邮箱密码、支付密码、验证码;社交网站、电商网站、游戏网站、门户网站……用户绞尽脑汁回忆自己曾经在哪个网站注册并留下个人的真实信息,并逐个儿修改。而今年央视315晚会曝光的多家银行内部员工出售用户个人资料,导致数十位用户网银余额被窃超过300多万元的案件,让互联网个人信息与上网安全成为舆论焦点。 自从2008年中国互联网网民数量跃居世界第一位以来,中国互联网以惊人的速度快速发展,同时快速增长的还有黑客和攻击事件。NCC Group公布的今年一、二季度黑客事件发源地排行榜(Origins of Global Hacks)中,美国、中国和俄罗斯占据着全球10大黑客事件发源地排行榜的前三位,并且呈快速上升的趋势。NCC全球CEO Rob Cotton对此并不表示惊讶——“美中俄三国人口众多,并且关联紧密”,反而是恶意网络活动在全球范围内显示出的野火般的生命力令他难以置信,“如此大规模的活动目前却没有有效防治的办法,信息安全产业仅仅集中在少数国家,彼此缺乏透明度和相互协作”。 不为炫技为获利 网络罪犯早就不是单纯为了“炫技”而各自为战的业余不法之徒,他们已经逐渐进化为与恐怖活动组织一样的作案手法——金钱、动机及目标,他们能够出尽奇谋、利用大量时间及资源策动僵尸网络发起攻击,令企业蒙受数以百万美元的损失。 他们盗窃的也并非单纯是财务信息,目前网络罪犯更希望获得客户的一般个人数据而非账单或信用卡数据,因为利用客户个人数据,黑客可以发动更精准的攻击,增加成功率,获得更大的利益。对某些用户来说,社交身份比信用卡对黑客更有价值,目前新浪微博拥有3亿用户,其中近3千万活跃用户每天都会登录,社交网络为网络罪犯带来更大的作案空间。 与美国、俄罗斯黑客放眼全球不同,中国的网络罪犯大多将目标锁定自己的同胞。在互联网安全威胁的背后,大多有着信息安全地下黑色产业链的身影。与现实社会中贩卖毒品等物理世界犯罪产业链不同的是,信息安全地下产业链以攻击和利用互联网用户盈利,其非法商品服务以及最终攫取的金钱都可以依赖互联网进行传输与实现,因此这一独特的产业链分为真实资产盗窃、网络虚拟资产盗窃、互联网资源与服务滥用与黑帽技术工具培训4大块,并完全依托于互联网。 由于涉及银行账户的真实资产盗窃案件危害重大,因此也一直是中国执法部门重点打击的对象。2011年,中国公安机关开展了代号为“天网-2011”的打击银行卡犯罪专项行动,重点打击伪卡类、套现类和涉网类等主观恶意程度高、涉案金额大的银行卡犯罪案件,共破获案件2.4万余起,挽回经济损失4亿元。 在公安部公布的10大案例中,除了5项信用卡非法套现案件之外,其他5个案件均与互联网真实资产盗窃地下经济链密切相关。例如在浙江湖州“3·28”特大网络信用卡诈骗案中,犯罪团伙从互联网地下黑市购买“网络钓鱼”程序,并以网站出售畅销商品为诱饵实施网络钓鱼,窃取网购顾客的银行卡账号密码资料,然后再实施信用卡盗刷,获取巨额非法所得。此案中犯罪团伙使用QQ作为联系手段,作案人员分布于10余省市,受害人数众多,是一起典型的通过互联网地下产业链组织实施的真实资产盗窃案件。
湖南衡阳妨害信用卡管理案中,犯罪嫌疑人利用地下产业链上线提供的他人身份证办理假冒银行卡,公安机关攻击收缴涉案信用卡8000余张,身份证5万余张,而每张假冒银行卡以每张60~80元价格卖给上线,用于其他犯罪,这是近年来公安机关破获的冒用他人身份信息办理银行卡数量最多的案件,体现了冒用他人身份办理的银行卡在真实资产盗窃地下产业链中的作用。 对于避免真实资产被盗,除了用户自身提高警惕外,还需要企业、银行与政府机构的联手合作。清华大学的网络信息网络安全实验室负责人诸葛建伟认为,今后消费者的个人信息可以通过公安部或者更权威的机构进行在线的身份认证,而不需要消费者自己把这些个人信息分别在各个电商以及第三方支付的企业进行注册,这样可以大大降低企业行为造成的用户信息泄露。 黑客更看好移动 移动计算已经成为商业通信的常用手段,尽管企业CIO们已逐渐接受这种趋势,但对种类繁多、而且使用不同操作系统的移动设备连接到企业网络,仍然希望建立合适的移动及网络访问安全政策。Check Point的调查表明,78%的受访企业表示连接到它们公司网络的个人移动设备数量是两年前的两倍,63%更认为这个趋势与安全事故增加有关。 移动设备也成为黑客盗取信息及敏感数据的温床。如果没有稳妥的安全防范措施,黑客能在几秒钟内把特洛伊木马病毒上载到一台移动设备,然后以每20秒一帧的速度拍摄设备的屏幕情况,从而掠夺其中的敏感数据,包括短信、邮件、上网记录或用户所处地点,为移动安全带来更大的挑战。 趋势科技主管移动全球副总裁Ron Clarkson表示,各大应用商店中都已经出现过可能会故意盗窃用户信息、劫持账户以及发送高价短信的恶意移动工具。尽管从目前的已知情况来看,移动领域中所面临的实际威胁依然算不上“重大犯罪”的程度,但在不久的将来,安全局势就很可能会出现急转直下的改变——由于支持近场通信技术(NFC)的下一代手机呈现迅速普及的态势,意味着更多种类的电子商务与金融类应用的涌现,可能吸引更多“职业”网络犯罪分子对于该领域的关注。“按照我们的预测,一旦网络犯罪分子认识到这些技术可以被用来在资金盗窃方面获取更多的好处,由‘职业’网络犯罪分子造就涉及范围更广危害更严重的危急局面就将会出现。” Ron Clarkson敦促系统管理员对于购买现成解决方案的决策进行重新审视,“现在已经没有时间让消费者与技术部门继续使用头痛医头脚痛医脚零敲碎打的传统方式来保障移动设备的安全,而需要马上建立起一个覆盖范围全面的统一安全体系,涉及的部分包括了企业网络与设备以及下载到设备上需要获得有效管理的各种各样应用程序。” 在IT消费化加上自带设备(BYOD)已经如此明显的趋势之下,移动安全的工作重点不仅仅在设备管理之上,对于应用软件管理领域也需要给予足够的关注。 虚拟化技术在诞生之初是用作整合服务器及IT资源以节省成本、空间及耗电,时至今日,其用途已经变得更加广泛,其中一种是企业在部署BYOD时利用虚拟化技术作为一层额外的安全保护屏障来保护其网络及端点设备,把企业数据与互联网分开,让用户可以自由上网冲浪,又不受路过式下载、网络钓鱼及恶意软件的威胁。 Ron Clarkson进一步解释说,这意味着用户在决定将应用下载到设备上之前需要先进行扫描;此外,应用程序商店的现有环境也应当进行规范,确保已知恶意免费应用都被标注出来。 看好账户,看好钱包 “谷歌钱包”有幸或者说不幸成为了NFC早期应用的小白鼠。今年2月,在“谷歌钱包”漏洞可能导致用户资金被窃的消息曝光后,谷歌暂停了这项服务与预付费卡的关联。 值得注意的是,漏洞都源于“谷歌钱包”,而非NFC技术——谷歌钱包的PIN码并未存储在硬件“安全单元”中,而是存放于一个被Android系统保护的数据库中;通过对该数据库的强力攻击,黑客就可以获取PIN码。如果谷歌将谷歌钱包的PIN码存放在硬件的安全单元中,几乎就不会被破解。安全专家表示,“即使出现这两个漏洞,谷歌钱包仍比目前使用的信用卡更安全”。目前谷歌已经悄悄地更新了旗下移动支付服务谷歌钱包(Google Wallet)的网站,宣布“即将发布的更加智能的新版谷歌钱包(smarter wallet)”。 僵尸网络是企业2012年最感头疼的网络安全威胁之一。网络罪犯在成千上万、甚至数以百万计的系统寻找漏洞,“绑架”计算机然后进行破坏活动,包括盗窃数据、潜入未经授权访问的网络资源、启动拒绝服务(DoS)攻击或散布垃圾邮件。过去一般认为大部分常见的僵尸网络是在Windows系统计算机上操作的,如今Linux及Mac计算机也不能幸免。 无论如何,操作系统的安全保护演进日趋成熟,只要企业实施合理的安全政策及保护,可以抵御颇多的安全威胁,未来将会有更多黑客通过利用人的弱点策动对机构的攻击。 基于社交网站工程的攻击一般是瞄准那些掌握敏感信息的人士。如今只需数分钟,黑客就可以通过各种社交网站通信渠道,便取得某个人的许多信息——在Facebook搜索并知道姓名、出生日期及人际网络;在Twitter上获悉兴趣及追随者;从LinkedIn获悉工作履历及教育背景;在FourSquare 或Yelp得悉目前用户身处何地……基于社交网站设计的攻击是根据某人的资料量身订制,所以它们乍看起来是无害的。另外,由于电子邮件、即时通信、SNS、博客等应用的交叉相关性,一个账户被破解往往带来连锁反应,相当于把“串好”的鸡蛋放在了一个篮子里,更容易被一扫而光。 2010年,Twitter公司某管理人员的个人电子邮件被黑客入侵,黑客利用邮件中的信息访问了该员工的Google Apps账户,最终窃取了Twitter公司的大量文件,从各种创意文案到详细的财务资料一应俱全。很快,一份包含310份Twitter机密文件的压缩包开始在互联网上公开叫卖。 调研显示,基于社交网站的攻击的主要动机是谋取金钱利益(51%),其次是获得专有信息(46%),然后是获得竞争优势(40%),最后是报复性攻击(14%),这种攻击能令企业造成2.5万~10万美元的经济损失。
