年度盘点 | 2017临近尾声,你的年度“安全关键词”是什么?

2017-12-26 305261人围观 ,发现 8 个不明物体 特别企划

2017 年圣诞,北纬 31 度东经 121 度,一个身影匆匆出门,压低帽檐走到了公交站。路旁的商店都洋溢着喜庆的氛围,节日的气息随处可见。走进公司,一向简洁的门口也装饰上了圣诞贴纸。2017 年已经见底,马上就是 2018 年新年了。

“一年过得可真快啊。想想似乎很平淡,但也留下了点印记。”他歪歪头,随手在便签本上划拉了几个词,然后继续盯着电脑开始敲字。

他是某安全公司的一枚职员。即将过去的 2017 年,对他来说,普通而又不平凡。他在本子上记下的词,很多安全从业者都很熟悉甚至印象深刻。

热词词云.png

一、漏洞与攻击

WannaCry?Cry!

如果说现在有人不知道 WannaCry,那他一定不是安全圈的一员,甚至可能连上网都很少。这个利用微软 SMB 漏洞、使用 EternalBlue 工具的勒索软件极具杀伤力,在 2017 年 5 月中旬席卷全球 150 多个国家,感染接近 23 万台计算机设备,导致大量医院、政府系统业务瘫痪,国内多所高校中招。一时之间,连只关注韩剧的萌妹子与朋友交谈时,口中也不时蹦出 WannaCry 或者勒索病毒的字眼。

WannaCry.png

这场勒索风波持续了很久,各大中招组织的技术人员连夜抢修,各大研究机构不断发布报告。FreeBuf 也专门制作了专题,收录或撰写了大量相关文章,涵盖技术分析、溯源、观点、甚至无奈之至自娱自乐的 勒索页面截图大赏。此事持续了半年多,直到前几天,白宫还发布声明,表示经过多方调查,证据显示 朝鲜是 WannaCry 幕后真凶,而朝鲜自然对此表示否认。这场大戏,可能还会继续。

WannaCry 之后,许多安全公司股票大涨,CISO 的年薪也随之升高,安全行业人才稀缺再度加剧,而普通民众也开始意识到了网络安全的重要性。在 2017 年安全圈大事件中,稳占一席之地。

Petya?NotPetya!

5 月份的 WannaCry 余波未尽,6 月底,新一轮勒索病毒 NotPetya 也气势汹汹地发起攻击。最先中招的是乌克兰,机场、银行、船舶公司、私人企业、政府系统……都难以幸免,连乌克兰副总理的电脑也受到了波及。最初,研究人员认为其是 2016 年的 Petya 病毒变种,但经过研究发现二者并不相同。最初为了报道的时效性,很多媒体和公司都称其为 Petya,但后来随着研究的深入,NotPetya 成为了这个勒索病毒的称号。

NotPetya.png

与 WannaCry 一样,NotPetya 也利用了微软 SMB 漏洞 (MS17-010),但不一样的是,NotPetya 不再逐个加密单独文件,而是加密磁盘的 MFT,并且破坏MBR,使得用户无法进入系统。当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。随着攻击的进一步扩大,俄罗斯、英国、印度、荷兰、西班牙、丹麦等国家都受到了影响。随着调查的深入,研究人员发现,作者可能并不是为了勒索谋利,而是纯粹为了破坏。更值得关注的是, NotPetya 背后可能是一次国家攻击

FreeBuf 围绕  NotPetya 也发布了多篇文章,感兴趣的同学可以在首页搜索栏,搜索 Petya 关键词查看来龙去脉。

Bad Rabbit——这个兔子有点坏

10 月下旬,一种新型的恶意软件“Bad Rabbit”在东欧国家引起了一阵不小的骚乱,俄罗斯、乌克兰、保加利亚、土耳其等国家的政府和商业机构都受到了冲击。Bad Rabbit 通过虚假 Flash 更新进行传播,也可通过网络内部横向蔓延,蔓延速度与 WannaCry 和 NotPetya 相近。研究表明,Bad Rabbit 主要用到水坑攻击和勒索这两种手段,相当于 NotPetya “昨日重现”。

BadRabbit 1.png

关于 Bad Rabbit 还有一个引人关注的概念,那就是很多研究人员都认为它是一个烟雾弹,只是为了吸引大众视线,来掩盖其他更危险的攻击。这种事情也不是没有发生过,朝鲜臭名昭著的 Lazarus 黑客组织就曾利用勒索软件来掩饰其入侵银行的行为。

KRACK——WiFi 的一记重创

10 月中下旬,鲁汶大学的研究人员 Mathy Vanhoef 在 WPA2 协议的四次握手过程中发现了严重的安全漏洞,可能影响所有 WiFi 设备,利用这个漏洞发起的攻击就叫 KRACK 攻击。

KRACK.png

WPA 2 安全加密协议在WiFi 网络中的作用主要是认证合法设备接入网络,并对接入设备在链路层做数据加密。KRACK 可以利用 WPA2 协议四次握手过程中存在的漏洞进行中间人攻击,直接对数据进行解密,而不需要知晓或破解实际密码。据称,这是十二年来 WPA 协议首次曝出漏洞,此外漏洞影响范围很大,因此一时间各安全厂商与个人都人心惶惶。好在暂未发现在野利用实例,而包括苹果在内的厂商也在逐步修复。

Struts 2

漏洞频出的 Apache Struts 2 在 2017 年依旧占据着人们的注意力。

3 月初,距离上一次 Struts 2 半年之后,新的 RCE 任意代码执行漏洞 S2-045(CVE-2017-5638)出现在人们的视野中。Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行。默认情况下jakarta是启用的,而 S2-045 的利用无需任何前置条件,因此危害严重,影响范围很广。

 Struts 2.png

3 月下旬,距离 S2-045 曝出不到一个月,相似的远程代码执行漏洞 S2-046 也跳了出来 ,S2-047 则因为影响不大而没有激起水花。7 月份,FreeBuf 母公司斗象科技发现了 S2-048 漏洞。9 月份,较为严重的 S2-052 和 S2-053 漏洞也都一一浮现。截至写稿日,Struts 2 的漏洞已经排到了 S2-055。

Mirai 及其变种——借助 IoT 设备蔓延的僵尸网络

2016 年 10 月底,僵尸网络 Mirai 开始成形。Mirai 利用 IoT 设备进行传播,发起大规模 DDoS 攻击,当时曾导致美国半个互联网瘫痪。Amazon、Spotify、Twitter等知名公司网站纷纷中招。到 2017 年,Mirai 开始升级,利用 Windows 木马大肆传播。2017 年 8 月份,知名内容分发网络(CDN)和云服务提供商 Akamai Technologies 的研究报告表明, Mirai 事实上更类似于一群群小规模的 bot 和 C&C 服务器,其不断的攻击促成了 DDoS 的商业化,可被归类为“付费(pay-for-play)”攻击。

Mirai.jpeg

11 月和 12 月初,先后有两种 Mirai 变种大量传播,但由于预警及时而得到遏制。12 月 下旬,美国联邦官员表示已经逮捕了三名承认参与制造和分发 Mirai 僵尸网络的罪犯,三人都是美国人

Mirai 的蔓延带来了新的问题:旧攻击方式重受青睐,由于物联网安全问题太多,利用物联网组成的僵尸网络日渐庞大,DDoS 攻击数量猛增,且已经走向商业化。未来,与僵尸网络有关的 DDoS 攻击还可能继续增长。

MongoDB——不变的启示录

2016 年底到 2017 年初,一场屠戮 MongoDB 数据库的黑客盛宴狂欢开启,超33000个数据库遭遇入侵勒索。最初只是源于黑客的 0.2 比特币勒索,但并没有引起 MongoDB 的重视,因此黑客变本加厉,利用这些数据库实例安全性不高的特点,大规模入侵,甚至贩卖攻陷数据库的工具赚钱。这场大规模屠戮的一个显著后果就是世界范围内存储在MongoDB数据库里的数据量大幅下滑,多少引起了一些反思,被赋予了“启示录”般的意义。

MongoDB.png

而到了 2017 年 9 月,又一起 MongoDB 数据库大规模勒索事件发生,三个黑客团伙劫持了MongoDB逾26000多台服务器,被研究人员称为“启示录”再临。MongoDB 连续遭遇的两起大规模攻击都表明了工作人员安全意识淡薄带来的大灾难。数据库作为存储大量资源的平台,一旦管理人员出现疏忽,造成的影响将难以预估。

二、 泄露,各种泄露

说起网络安全事件,每年都少不了数据泄露,各种大大小小的泄露事件,让公司苦不堪言,让受害者心力交瘁。

Wikileaks 文档披露—— CIA 秘密武器的前世今生

2017 最大的泄露事件是什么?CIA 机密文档遭维基解密泄露恐怕是首个进入候选名单的。从 2017 年 3 月初第一次曝出消息以来,维基解密孜孜不倦,坚持每周更新,将 CIA Vault 7 系列二十几款秘密武器的详细文档公布于世,仿佛是在给 CIA 处以凌迟。

Wikileaks.jpg

这些工具主要针对终端设备(如摄像头、路由器等)以及各大系统(macOS、Windows、Linux),可以实现监控、反取证、追踪、后门留存等多种功能。其中有不少被黑客利用实施攻击,对网络安全造成了很大威胁。根据赛门铁克研究人员的观点,CIA 这些泄露的工具应当对 16 个国家的 40 多起网络攻击负责。FreeBuf 曾经对维基解密有关 CIA 的文档披露进行过专题盘点,读者可以点击此处进入阅读。

维基解密休息 2 个月之后,在 11 月底又开始有所行动,开始 Vault 8 系列泄密,首批公布的是 Vault 7 系列中 蜂巢项目的源代码和详细文档,再一次引起了恐慌。这出泄露大戏还将如何上演,也许新年之后我们还能继续拭目以待。

ShadowBrokers 与 NSA 的情仇恩怨

2016 年 8 月,ShadowBrokers 入侵了 NSA 的方程式小组,获取到部分软件和黑客工具,并因此名声大噪。但后来他们公开拍卖工具的企图并未顺利实施,只好去 ZeroNet 平台销售部分黑客工具。到了 2017 年年初,他们突然宣布退隐江湖,停止售卖黑客工具。

ShadowBrokers.png

但是,对于这种风云人物而言,退隐江湖和金盆洗手都不可能言出必行。4 月份,ShadowBrokers 也学起了维基解密,开始每周推送,公布 NSA 的工具,大量针对 Windows 系统的严重 0day 泄露。而 5 月份,掀起腥风血雨的 WannaCry 就正是利用了泄露的 EternalBlue 发起攻击。WannaCry 刚爆发没几天,ShadowBrokers 就蹭着热点宣布以后公布工具需要订阅,也就是说,以后想要获取 NSA 的工具,就要付费给他们。不仅如此,他们还一度见风使舵,看到订阅人数不少,顺势提升订阅费,并宣称要曝光 NSA 某高官的隐私。

不得不说,这个黑客组织很会搞事情。截至最后一次报道,他们的订阅费已经升级到 400 万美元一月了。总之 FreeBuf 的编辑们就算众筹也付不起订阅费,因此他们发布的订阅内容到底有没有干货,着实不得而知。但可以确定的是,一旦窃取到 0-day 或者机密情报或工具,黑客就能获取暴利,这也是众多攻击事件的起因。

AWS S3 ——存储服务器变成泄露的地狱

说起泄露,就不得不提 AWS S3。作为 Amazon 的 云存储服务,AWS S3 因配置逻辑设置不当,导致很多使用者配置错误,不慎泄露敏感资料。根据安全公司 Skyhigh Networks 的统计数据显示,7%的 Amazon S3 bucket 都未做公开访问的限制,35%的 bucket 都未做加密,这意味着整个 Amazon S3 服务器中都普遍存在这样的问题。

AWS S3.png

仅 2017 年,AWS S3 涉及的大规模数据泄露此起彼伏,每次涉及的资料都数量庞大。9 月初,美国 TigerSwan 招聘公司因疏忽,导致超 9400 简历在未受保护的 AWS 上泄露,员工住址、电话号码、电子邮件地址、驾照、护照号码以及社会保险号码等敏感信息都曝光;10 月中旬,四大咨询公司之一的埃森哲将其重要资料放在 4 个未受保护的 AWS 云存储服务器中,密钥,密码和客户信息都可被公开访问;也是 10 月中旬,美国某家医疗机构的 47.5 GB 数据在 AWS 服务器上公开,患者测试报告(包括测试日期,家庭住址,电话号码和测试详细信息,甚至包括医生的姓名和病例管理笔记)遭曝光;11 月下旬, 美国五角大楼因配置错误,导致国防部近 18 亿条来自社交媒体和论坛帖子的数据在三台 AWS 服务器上公开,引发公众对国防部监控之举的议论;11 月底,美国陆军智库 INSCOM 的最高机密文件公开在 AWS S3 服务器上;12 月下旬,数据分析公司 Alteryx 将包含 1.23 亿美国家庭详细信息的资料公开放在 Amazon S3 上,个人身份信息:地址、家庭详情、联系信息、房主种族;还包括抵押贷款状况、财务状况和购买行为等财务细节都暴露无余。

由于安全事件频发,Amazon 后来也为 AWS S3 服务添加了新的安全加密功能。确切来说,这些泄露大多不是因为漏洞,而是因为简单的配置错误。但这也暴露了一个问题,那就是不论政府还是企业,其工作人员的安全意识亟待提升。

HBO 上演“Game of Leaks”

今年 8 月初开始,HBO 就不断被爆出未播出剧集泄露。其中以大火美剧《权利的游戏》最为引人注目(http://www.freebuf.com/news/155008.html)。外媒报道称,黑客 5 月份入侵 HBO 后总共获取了 1.5 TB 的资源与数据,原本打算狠狠勒索一笔(600万美金),但 HBO 高管只打算以漏洞奖金的形式支付 25 万。黑客拒绝之后,分阶段公布了《权力的游戏》剧本,以及《球手们》、《Barry》、《104号房间》、《抑制热情》、《不安感》、《堕落街传奇》和《副校长》等多部未播出美剧的剧本。因此,HBO 的泄露游戏一直持续了一个多月。其中,《权力的游戏》第七季第六集由于技术人员“手抖”而泄露,并未经过黑客之手。当时,HBO 的西班牙和北欧分公司意外地将该集发布到了他们各自的本地 HBO 点播平台上,简直是惨。

HBO 泄露.jpg

经过复杂的调查取证,在 11 月底,美国联邦调查局才对涉事的伊朗黑客 Behzad Mesri 正式提出官方指控。但目前,Mesri 似乎仍然在逃。

Equifax——大规模数据泄露造成惨痛教训

9 月 10 日左右,美国征信巨头 Equifax 曝出数据泄漏事件,高达 1.43 亿美国居民个人信息暴露,涉及姓名、社会保障号、出生日期、地址,以及一些驾驶执照号码等。而事实上,Equifax 在 7 月底就已经发现黑客从 5 月中旬到 7 月之间在持续入侵其网络系统,窃取信息。经过一个月的调查与发酵,其首席信息官、首席安全官以及 CEO 纷纷宣布离职。10 月中旬,相关机构表示,有 70 万英国用户的个人数据也受到影响,涉及 1520 万条信息记录。屋漏偏逢连夜雨,后来 Equifax 的网站还被重定向到虚假 Flash 升级下载的页面,导致 Equifax 只好暂时关闭网站。

Equifax.png

自 9 月份 数据泄漏事件曝出之后,Equifax 股价暴跌,市场损失达到数十亿美元。据 Equifax 收入公告表示,除了市场损失和直接指出之外,Equifax 还将支付 5600 万美元到 1.1 亿美元的赔偿费。Equifax 在其报告中表示,Q3 直接损失就达到 8750 万美元。美国相关政府也吸取教训,纽约检察长直接推出新的立法,保护纽约公民免受数据泄漏事件的影响。

Fappening 2.0 ——看热闹背后的信息安全问题

2017 年 3 月,艾玛·沃森(Emma Watson)、阿曼达·塞弗里德(Amanda Seyfried)等明星的私照遭大规模泄露,拉开了 Fappening 2.0 泄露的序幕。到 8 月份,安妮·海瑟薇(Anne Hathaway)、麦莉·赛勒斯(Miley Cyrus)、克里斯汀·斯图尔特(Kristen Stewart)等当红女星的裸照也 在国外知名论坛 Reddit、Tumblr 和 Twitter 疯传。这些泄露主要是因为黑客通过漏洞获取权限或利用钓鱼、社工等方法造成的。获取到私密照后,他们可以用于交易或者勒索。

Fappening 2.0.jpg

8月底,当红女星Selena Gomez 的 Instagram 账号被黑,黑客用账号发布了其前男友 Justin Bieber 的裸照,引起吃瓜群众一阵热议。到 11 月份,国外知名婚外情网站 Ashley Madison 也被曝出漏洞,泄露用户隐私照片。这类隐私照片的泄露往往被网友津津乐道,饱饱眼福之后便不了了之。但这其中的安全问题却不容忽视,这些泄露往往都是因为社交网站的漏洞或者因为钓鱼而引起的。一方面,社交网站的安全性有待加强;另一方面,用户自身的安全意识也有待提高。否则,前一天还在吃瓜看戏的网友,说不定就可能成为下一次“艳照门”的主角。

三、立法

《网络安全法》

2016 年 11 月 7 日,第十二届全国人大常委会第二十四次会议以 154 票赞成、1 票弃权表决通过《中华人民共和国网络安全法》,并于 2017 年 6 月 1 日起施行。这部法律填补了我国关于网络安全犯罪行政处罚方面的空白,《网络安全法》明确了网络空间主权的原则;明确了网络产品和服务提供者的安全义务;明确了网络运营者的安全义务;进一步完善了个人信息保护规则;建立了关键信息基础设施安全保护制度;确立了关键信息基础设施重要数据跨境传输的规则。

网络安全法.jpg

围绕着这部堪称里程碑意义的法律,各行各业都纷纷给出了自己的解读。公安第三研究所、国家网络与信息系统安全产品质量监督检验中心还联手主办了相关的培训与会议。今年 8 月份,重庆当地一家网络运营商因为在提供网络服务过程中,未依法留存用户登录网络日志,因此受到警告处罚,并被责令限期十五日内整改。这是《网络安全法》首个处罚案例。

当然,在具体的实施落地中,《网络安全法》还有待完善,不过这至少让整个社会开始意识到网络安全的分量。

GDPR

在数据保护方面,欧盟通用数据保护条例(GDPR) 大概是最骇人听闻的了。这部法律即将于 2018 年 5 月正式实施,但在此之前,很多立法或者数据泄露事件都要以此为标准来进行一番评估。

根据 GDPR 的规定,任何一个处理欧洲公民个人信息的公司如果不能充分保护持有的数据,将被处以高达全球营业额 4% 的罚款。这对于那些年入数百亿美元的全球运营企业来说,一旦确定违法,罚款金额将是惊人的数字。这也为其他立法提供了参考。毕竟,在巨额的罚款或赔偿面前,各大企业多少会有所收敛。而 Equifax 之后的纽约数据保护立法,也参考了 GDPR 的模式,只是要求没那么严格。

GDPR.png

Gartner 也预测,GDPR 将刺激安全消费,到 2018 年会促成 65% 的 DLP(数据泄露预防)购买决策。 届时,所有相关企业都要深入研究法规内容,而那些已经采取一定形式预防数据泄露(DLP)措施的企业则需要关注如何进一步提升企业安保措施、增强 DLP 保护能力。

四、技术与发展

人工智能(AI)与大数据——攻防猫鼠游戏升级

人工智能(AI)从来都不是近两年才出现的概念,人工智能从 1956 年开始至今历经了三波浪潮。在 1956 年的达特茅斯会议上,4 名图灵奖得主, 1 名诺贝尔奖得主,另外加上信息论创始人香农,被认为是最早提出人工智能的一批人。2016 年底,Gartner 在报告中指出,人工智能将成为服务提供商的主要战场,“AI 会成为一种新常态”,且到 2021 年,会有 30% 的经济增长与 AI 相关

2017 年见证了 AI 的高速发展。这一年,与科技相关的领域都把目光聚焦到 AI 上,竞相推出新产品与新技术。各大安全厂商也纷纷布局 AI,拥抱新技术的速度,越来越快。根据 CB Insights 的 AI Deals Tracker 所得到的统计结果,在应用了 AI 技术的领域中,网络安全是活跃度排名第四的行业。

人工智能.jpg

而在 AI 的落地中,数据俨然是很重要的部分,尤其是运用 AI 的机器学习技术,更是大大依赖于数据和样本。2017 年大大小小的安全会议上,大数据和人工智能成为绝对热点,人人都在探讨,人人都想挖掘更多。分析公司 ABI Research 的一份报告也预估,网络安全领域将大大加强在机器学习用于大数据、智能和分析方面的支出,到2021年,相关支出可能达到960亿美元(719亿英镑)。没有数据,AI 实践将举步维艰。

技术是双刃剑,这个观点在科技领域屡屡被提起,AI 做为新的技术,也难逃这个特点。安全从业者在使用 AI 技术构筑防御体系的同时,攻击者也在使用 AI 技术发展黑产。毫无疑问,AI 有助于加强网络安全基础设施,提高安全从业者工作效率,但是仅仅依靠 AI 这种可以按照人类意愿塑造的智能技术来保护网络安全,无疑是将自己再次置于危险之中。

AI 与大数据结合,无疑加速了攻防的对抗,攻防的猫鼠游戏开始升级,角逐之战加速,安全从业者依然任重而道远。

五、行业大会

2017 年,随着安全事件频发,安全法律法规出台,安全领域的大会也越来越多。除了大家耳熟能详的 RSA 大会Black&DEFCON,国内重要安全会议也不在少数。

Blackhat.jpg

4.29 国家网络安全日前后,习近平总书记再次强调了“没有网络安全就没有国家安全”的理念,表达了国家政府对“网络安全”的重视。此后,在北京、上海先后召开过第三届CSS中国互联网安全领袖峰会ISC 2017中国互联网安全大会2017网络安全法及关键信息基础设施保护培训会2017第二届中国信息安全服务年会国家网络安全周、世界互联网大会等多届会议。各大科技厂商及安全厂商也纷纷办会,以会议为平台,交流现状、发掘问题、展望未来。

六、其他大事件

卡巴斯基与 NSA 之争

 2017 年年初,卡巴斯基就被曝顶级安全研究员因叛国罪被捕,不过此事似乎对其业务影响不大。而到 7 月份,美国(尤其是 NSA)针对卡巴斯基发起了一项犀利指控,称其与俄罗斯政府勾结,利用反病毒软件可以帮助俄罗斯政府入侵美国政府系统并实施间谍活动,甚至还窃取了 NSA 的机密信息。9月份,美国政府宣布将禁用卡巴斯基产品。随后,卡巴斯基宣布公开反病毒软件源代码以自证清白,同时还发布了关于 NSA 资料泄露的详细调查报告。这一系列争端前前后后持续了半年之久,但结果依然一片混乱。美国继续禁用卡巴斯基的产品,甚至连欧洲小国立陶宛在12月份也插了一脚,表示卡巴斯基产品可能对国家带来潜在威胁,也将禁用。

卡巴斯基.jpg

这起争端表面看来是大公司与大国之间的矛盾,折射出的却是整个安全领域(包括安全产品、安全企业)的严重“地缘政治斗争”。原则上来说,在网络安全领域,更多的合作共享与联动才能带来更好的响应与防御效果。但事实是,网络空间已成为各国新的战场,而良好的合作则“道阻且长”

DarkWeb ——执法机关瞄准黑市

2017 年 7 月份,美国司法部以及荷兰的欧洲刑警组织正式对外宣布,暗网市场 AlphaBay 和 Hansa 已被执法部门查封。这是警方经过长期的潜伏调查之后,对黑市的重拳出击。FreeBuf 报道过不少有关黑市和暗网的内容,暗网中充斥着暴力色情枪支毒品,更是滋生黑客工具、信息买卖、黑客技术、黑客服务等网络安全重大威胁的温床。

AlphaBay.png

当年喧嚣一时的“丝绸之路”关闭之后,黑市用户就转战到 AlphaBay,将其发展成为“新丝绸之路”。如今,AlphaBay 关停,其替代者 Hansa 也随之倒下,据说连新的场地 DreamMarket 也被安插了后门黑市几个大市场似乎受挫不小,但这可能并不会影响黑市的繁荣。因为这背后牵涉的技术、人员,乃至攻防之间的对抗,都无比复杂。打击黑市之路,以及攻防对抗之路,都漫长而修远。

德勤公司被黑引发打脸嘲讽

2017 年 9 月下旬,全球四大会计师事务所之一的Deloitte(德勤)遭到网络攻击,导致其全球电子邮件服务器被入侵,一时之间网上炸开了锅,各种段子应运而生。大型公司被黑我们早已见怪不怪,但这次德勤被曝出“大量RDP端口对外”“一个帐号全线入侵”“员工将VPN密码上传Github”等低级风险,而其又有着被Gartner评为全球第一的安全咨询业务和销往全球的安全解决方案,因此才引起了很大的风波

德勤.jpg

德勤在今年三月份发现遭遇入侵,但事实是 2016 年 10 月份黑客就可能已经攻击了其网络系统。德勤自身宣称的安全服务解决方案覆盖应用安全、身份和访问管理、信息和隐私保护、基础设施安全、脆弱性管理等多个方面,但在入侵事件中却曝出多个低级错误,这不得不令人唏嘘。在攻击事件中,员工安全意识淡薄是一个方面,另一方面,攻击者能利用一个管理员账号完成“全线入侵”,是因为德勤的网络系统中并没有部署任何的双因素身份验证机制,这暴露出的是德勤安全管理的疏忽。

由此我们也可以看到,除了员工安全意识有待提升,企业自身的安全管理体系,也有待升级。

Uber 收买黑客,隐瞒数据泄露事件

2017 年 11 月,继残酷商业策略、冷漠企业文化、性别歧视等负面新闻之后,知名打车公司 Uber 又卷入了一则安全相关的丑闻:向黑客支付 10 万元封口费来掩盖大规模用户信息泄露事件

Uber.jpg

用户信息泄露发生在 2016 年 10 月,当时黑客利用开发者个人账号 github 代码库中包含用户名和密码的代码文件,进而顺藤摸瓜获取到 Uber 在 Amazon 云服务上的司机与乘客信息。得知此事之后,Uber 没有选择通知用户,也没有遵守信息披露原则将事件上报给相关部门,而是向黑客支付了 10 万美元封口费以掩盖此事。但时隔一年,纸终究包不住火,事件败露之后,Uber 开除了其 CSO,并面临多个州的巨额罚款。

此事让本已恶名累累的 Uber 雪上加霜,也为其他企业敲响了警钟。可以说,缺乏安全意识的开发者在代码中写入身份信息,却不加以限制,导致凭证泄露,引发更大规模的泄露或入侵,这种错误并不少见。这也是近年来越来越多人号召 DevSecOps 的原因。

世纪佳缘信息贩卖引发的惨案与诈骗

世纪佳缘的乱象已经存在很久,今年 WePhone 开发者自杀事件再次引起了人们对于这种婚恋网站背后安全问题的关注。这名开发者因为前妻的威胁与诈骗,最终不堪压力而自杀,而这位前妻正是通过世纪佳缘认识的。经过检索与调查,世纪佳缘等婚恋交友网站存在的安全问题除了信息窃取与贩卖,还有很多人曾因为这类网站而误入传销组织;有些用户还隐瞒婚史甚至伪造资料骗婚骗财

世纪假缘.jpg

多家媒体都报道过世纪佳缘等婚恋网站存在的诈骗问题,但是这些网站依然钻着法律的空子屹立不倒。我们期待以后有与此相关更细致的立法,也提醒用户无论何时都提高警惕。

智能摄像头的安全问题与是非之争

智能摄像头的安全问题显而易见,就是各种漏洞导致的信息泄露,以及各种后门带来的监控问题和隐私侵犯。2017 年 12 月,一封 92 年女生写给 360 的信,引发了摄像头安全之争的舆论风波,最终导致 360 水滴摄像头相关的水滴直播直接关闭业务。

摄像头.jpg

在我们的报道中,不论国内摄像头还是国外摄像头,都爆出过漏洞。连维基解密泄露的 CIA 资料中也有好几款针对摄像头的监控工具。一方面,摄像头原本是为了方便用户生活,带来安全与便捷,另一方面因为监管、厂商乃至使用者自身安全意识不足,或者受利益驱使,而变成了监控工具和侵犯隐私的帮凶。智能摄像头作为较早一批的物联网设备,存在的漏洞与问题为数不少,这也反映了物联网安全问题迫在眉睫。随着技术的发展以及安全法律法规的普及,也许可以期待这类问题在未来能得到缓解。

比特币风波

比特币作为今年科技圈的热词可谓师出有名,其引发的安全问题也为数不少。2017 年,发生了很多起比特币钱包或交易所被黑客攻击的事件(当然,在 2016 年,这些问题也不少)。在 WannaCry 等大型勒索攻击中,黑客将比特币等虚拟货币作为收款货币;下半年,各种比特币挖矿木马也层出不穷,导致多家网站被攻击。而这一切,都源自“利益”二字。

比特币.jpg

由于虚拟货币存在不少风险,且日益成为洗钱、走私、非法集资等犯罪活动的工具,因此,2017 年 9 月初,国内监管层先后出手 ICO 和比特币。如今 ICO 在国内已经偃旗息鼓,国内比特币交易所的业务先后调整和关停。不过,比特币在国际上依然牢牢占据着大众的视线,大起大落,变化惊人。

七、他们的 2017 

某安全服务小哥

2017 年我的安全关键词是: 网络安全法、WannaCry、Struts 2 S2-0

Wannacry感染了很多高校,引起了大量对勒索软件的关注。网络安全法的话,让我看到了国家对个人用户隐私的逐渐关注,希望以后对个人数据的保护可以越来越完善吧。s2-045 刚出来那会儿真是杀遍江湖,我们的产品上也出现了大量的045漏洞,可以说对整个安全行业都是影响挺大的事情。

希望安全行业越来越受重视,希望贩卖用户个人信息数据的公司可以被就地正法!

某研发小哥

大牛那么多,我就说两句:据说 WannaCry 是三胖搞的,他们赚了一大笔,掀起多少腥风血雨。还有,比特币大起大落,简直high的不要不要的。

某安全产品售前小哥

比特币年底大涨,之前没买真是后悔后悔后悔后悔!还有 Wannacry,那段时间我电话都被打爆了!对于个人而言就是机遇和学习吧,机缘巧合进了安全圈,学习到了很多新知识,还需要不断成长才行。

某安全公司 HR

关键词:  AI  大数据

印象最深的是: 圈子很小、牛人很缺

想对大家说:安全是个小而美的圈子,你值得加入

某运营大佬

作为圈子里比较边缘的群体,我个人的感触如下:

1. Struts 02,今年爆洞太多了;

2. 安全峰会,感觉今年的安全会议很多,尤其到年底大家更忙;

3. 信息泄露,今年很多信息泄露的公司都被曝光,对企业造成的危害也都比较大。(比如 Equifax等)对名誉和股价都造成直接损失;

4. 泛娱乐化,这个圈子还是有些浮躁了,很多务虚存在,不过为了 KPI 可以理解。

某资深编辑

关键词:协作 

印象深刻的事件:NotPetya 

感触:信息安全作为一个“行业”让我感觉是挺奇怪的一件事。因为这个行业分支甚多,而且彼此可能关联都不大,另外各分支发展速度差别很大,比如防火墙一类网络设备市场规模明确放缓,但 AST 应用安全测试市场却达到了超高增速。我觉得安全更像是信息技术行业的某个纬度切分,如果说一定要划归到一个“行业”,那些“协作”的本质就是将这些并不相干的东西组合起来。

八、我们的 2017 

2017 年,也是FreeBuf 成长的一年。这一年,FreeBuf 主站发布了将近 3000 篇文章,涵盖国内外安全快讯、会议报道、技术干货、行业动态、观点共享等多种类型。WannaCry 等大型事件背后,有加班加点赶报道的编辑,期望把最新消息和解决方案第一时间带给大家;不同大会的现场,有特派记者的身影,为不能到场的读者记录现场精彩内容;不同的社会热点出现时,也有评论员的观点与关心。

这一年,FreeBuf 的主站进行了改版,招聘、专栏、企业空间全新上线,期望为用户带来更多好的体验;这一年,FreeBuf 研究院发布了几份报告,涉及金融、移动 APP、黑产、企业安全,期望为读者呈现深度行业剖析;这一年,FIT 举办了第三届,结合时下大热趋势,为观点与思考提供了交流分享的平台。

当然,最重要的是,这一年,有越来越多的读者支持 FreeBuf,这才是我们前行的动力。

2017,感谢有你!2018,期待继续与你携手,见证安全领域的方方面面,不断成长、向前!

小心心

那么,你的 2017 安全关键词是什么呢?新的一年,又有怎样的打算呢?

发表评论

已有 8 条评论

取消
Loading...
css.php