2015在即,国外媒体评出2014年的网络安全十大事件。见下:
一、eBay两次被黑
2014年,对于遭遇多次安全事件的eBay来说,可不是一个好年份。今年九月,eBay受到跨站脚本攻击,导致向其部分用户发送恶意网站以窃取用户凭证。有报道称,eBay公司应对安全问题异常缓慢,从首个用户向易贝反映问题开始,网站持续被攻破时间长达12小时。
更令人担忧的是,在2014年里eBay已经不是第一次受到安全凭据方面的质疑。早在五月份,eBay就因受到攻击造成用户密码和个人数据泄露,但却在事发三个月后才对用户披露而备受争议。可见eBay在处理安全方面有多不专业。
二、英国央行雇佣黑客
在IT界,大型组织常常雇佣电脑黑客已经是一个众所周知的“秘密”了。这些特殊黑客的工作,就是对系统进行调校,以尽可能地确保公司的安全。然而,尽管这或许已经是一个常识性的东西,但却并没有多少公司公开谈论雇佣黑客的事情。毕竟讨论安全协定可以看作是有风险的。
所以今年四月,当英国央行(Bank of England)宣布雇佣黑客来帮助其对二十多个主要银行进行防御测试时,立刻引起了轩然大波。然而,此举还是得到了网络安全专业人士的认可。有人认为,英国走在了网络保护的前沿,能够对消费者、企业和经济起到正面的影响作用。
三、摩根大通受攻击波击多数美国人
美国最大的银行摩根大通或许应该采取英国央行所使用的黑客技术,这起历史上最大的数据泄露事件没准儿就可以避免。网络对摩根大通的攻击最早发生在八月,导致联邦调查局开始调查俄罗斯政府与摩根大通被攻击之间的关联。然而,不管是谁发起的攻击,事件造成了7600万个个人账户和700万个小企业账户的户名、地址、电话和电子邮件被泄露的严重后果。
人们一般认为,被攻破的都是些安全措施薄弱的公司,然而众所周知的是,摩根大通在安全保护领域有着非常完善的安全规划并不惜投入巨资。摩根大通事件以惨痛的教训向世界做出警示,没有人是绝对安全的。
四、塔吉特CIO因重大数据泄露而辞职
摩根大通可能是美国历史上最大的数据泄露事件,但以这种形式的网络犯罪造成的影响还算不上是最大的。美国零售巨头塔吉特数据泄露事件影响人数多达1.1亿。数据泄露最终造成塔吉特对业务进行重组,CIO贝丝·雅各布(Beth Jacob)于今年三月辞职。
五、爱德华·斯诺登警示社交媒体监听
2014年,通过一名叫做爱德华·斯诺登的人持续不断地向世人首次揭露美国国家安全局、英国国家通信总局(GCHQ)以及其他政府的监听计划,表明需要关注监听的不仅仅是那些大企业。
在政府持续成为曝光主要焦点的同时,斯诺登又爆出了使用云服务、搜索引擎和社交媒体的有关风险,暗示谷歌和脸谱都与政府勾结进行监听和提供“危险”服务。七月,斯诺登又指责Dropbox公司“对隐私怀有敌意”,并是美国政府棱镜窥探计划的走狗。
六、Bash安全漏洞
2014年可以称得上是安全漏洞年,包括Bash漏洞和心血漏洞(将在后面介绍)在内的大量新漏洞的出现,让企业和安全专家忧心忡忡。
Bash漏洞,即破壳漏洞,最早出现在九月,安全专家在发现时警告其可能造成从IT系统到联网设备全线的严重破坏,将有超过五亿台设备可能面临风险。基于如此严重的潜在威胁,美国计算机紧急响应小组(US-CERT)对系统管理员发出警告,建议他们打补丁以应对该漏洞。
七、索尼影业被黑
十一月份,索尼影视娱乐受到黑客攻击,导致公司系统被迫关闭。这是安全声誉欠佳的索尼继一连串针对其PlayStation(PS)网络的攻击后,受到的又一次打击。攻击造成从包括个人信息和名人电子邮件在内的员工详细信息到未发布的影片都被公之于众。
美国联邦调查局声称背后黑手是朝鲜,总统奥巴马也二次发声要打击网络攻击行为。朝鲜当局呼吁成立朝美联合调查组,并威胁如果未遂其愿的话可能导致“严重后果”。此事已经上升到国家政治层面。
八、iCloud安全漏洞泄漏名人裸照
苹果公司一向以其自身设备和服务的安全而自豪,但今年八月,随着其iCloud服务被攻破,许多的名人信息被泄露,这个iPhone和iPad制造商也被狠狠地打了脸。事件造成数百张家喻户晓的名人私密照片被盗,其中包括主演影片《饥饿游戏》(The Hunger Games)的明星詹妮弗·劳伦斯(Jennifer Lawrence)的裸照,苹果公司只好加紧解决其iCloud服务的安全问题。
在这么多的企业和个人越来越愿意相信云服务的背景下,该事件向我们敲响了警钟,那就是在云服务上存储敏感文件可能并不像我们想象的那样安全。将敏感资料放在云端,就要对这样的潜在后果有所警醒。很多人可能还不知道,智能手机通常都会自动备份文件到云服务器。今天的设备都非常热衷于将数据推送至各自的云服务器上,人们应该小心敏感资料不会自动上传到网上或者其他配对的设备上。
九、美国通过互联网监听从事工业间谍活动
美国国家安全局监听计划的揭露给2014年的整个IT界和各国政府都蒙上了一层阴影。可以说,今年一月爱德华·斯诺登声称的以民主堡垒自居的美国通过互联网监听从事工业间谍活动是最令人不寒而栗的事件之一。
斯诺登称,美国的工业间谍活动所针对的不仅仅只是限于“国家安全问题”,而且还包括任何可能对美国有价值的工程和技术资料。他以德国工业巨头西门子为例说:“如果西门子的信息符合美国的国家利益,即使这些信息与美国的国家安全没有半毛钱关系,他们照样还是会拿取这些信息。”
和今年的其他安全事件一样,斯诺登的言论毫无疑问地引起了很多关于将敏感信息存储在云端是否符合其背后逻辑的质疑。
十、心血漏洞
今年四月发现的OpenSSL核心安全漏洞心血漏洞,在整个IT行业及更广的周边行业引起了普遍的恐慌。德国程序员罗宾·西格尔曼(Robin Seggelmann)声称对导致缺陷的OpenSSL代码负责。然而,还是有人指责一些使用了OpenSSL代码的网站巨头,从未支援过开源社区的检查修复工作。据说90%的网站都使用了OpenSSL代码,但很少有人为OpenSSL做出捐献。
虽然关于该漏洞的新闻早在四月就已经爆出,但是直到六月,仍有成千上万的系统没有得到修复和保护。心血漏洞爆出后,就发现了60万个系统存在该漏洞。一个月后,有一半的系统得到了修复,但一半仍未得到修复。可是两个月后,仍然还有30万个系统存在该漏洞。看来该漏洞可能还会持续几年的时间。没准十年后,仍然还会发现有成百上千的系统甚至是非常重要的系统都还存在着该漏洞。