北京時間12月30日消息�����,據(jù)國外媒體報道���,首先�,讀者們需要明確一個比較熱門的觀點:2014年是互聯(lián)網(wǎng)安全多災(zāi)多難的一年�����。
諷刺的是,雖然去年愛德華-斯諾登(Edward Snowden)的泄密事件已經(jīng)足夠糟糕了��,但是這件事至少讓企業(yè)和公眾們看待自己資料隱私的方式產(chǎn)生了重大改變��。同時���,它也促使科技巨頭如蘋果���、谷歌等加強了自己產(chǎn)品的保密措施,這也是在2014年混亂的互聯(lián)網(wǎng)安全中唯一能看到的積極點了���。
本文將從蘋果開始說起�����。
OSX與iOS用戶今年受到過“中間人攻擊”�����,并且還發(fā)生過兩次������;氐奖灸瓿酰O果被指出:過于輕信自己的鏈接是安全的��,但蘋果使用的SSL對“中間人攻擊”防御能力低下�,導致蘋果用戶處于數(shù)據(jù)被盜用的風險之中����。雖然該缺陷已被打補丁,但在11月����,有關(guān)DoubleDirect的消息傳出,該威脅主要是使用ICMP在用戶設(shè)備上重新定位路徑�����,導致iOS與OSX用戶再次陷入危險中�����。
然而��,在這一次事件中���,安卓用戶也被波及�����。安卓系統(tǒng)通常被認為比iOS更不安全��,因此安卓卷入此次互聯(lián)網(wǎng)安全災(zāi)難中也不足為奇���。
然而���,最令人擔心的恐怕要數(shù)9月浮出水面的事件,該事件牽扯到了基于WebKit的安卓瀏覽器上的開放源碼��。據(jù)稱����,有一個缺陷導致瀏覽器對惡意的代碼注入攻擊處于毫無防備的狀態(tài)。還有人指出���,在安卓4.4以前的版本����,為防止腳本從其他網(wǎng)站獲取數(shù)據(jù)而設(shè)計的同源政策已經(jīng)崩潰。
如果說手機是今年入侵載體的首選����,那么毫無疑問,SSL不僅聲名狼藉���,并且本身也運作得很糟糕���。首先,在年初由于OpenSSL的“Heartbleed漏洞”的新聞已經(jīng)使之名聲大震�����,年底時又爆出有關(guān)它的漏洞新聞�。
其次��,谷歌的安全中心稱SSL3.0中使用過時的RC4暗碼����,形成所謂的POODLE漏洞。這一報道如給SSL一記重錘��。為什么呢?據(jù)微軟稱��,全球超過40%網(wǎng)站都在使用該暗碼��。好不奇怪,緊接著�����,一大批惡意軟件隨即利用此漏洞入侵市場�。該漏洞已經(jīng)是幾十年的老問題了,但它在系統(tǒng)漏洞中依舊十分頑強�,成為互聯(lián)網(wǎng)安全的最大威脅之一,這足以使所有IT人在2014年蒙羞���。
毫無疑問����,無論是犯罪企業(yè)還是某些國家贊助的黑客團隊���,這些黑客們越來越精明����。從使用惡意軟件的角度來說�����,他們憑借那些古老的技巧及方法,也依然是成功的��。
無論稱之為社交工程��、網(wǎng)絡(luò)釣魚還是高級持續(xù)性威脅���,對于網(wǎng)絡(luò)罪犯來說�����,欺詐網(wǎng)絡(luò)用戶的侵入途徑其實是相似的��,而這些詞語在語義上的變化其實毫不相干�����。從個人、小企業(yè)一直到大企業(yè)���,都有人成為這些欺詐技巧的犧牲品�。不幸的是�����,對于許多企業(yè)來說,它們同時發(fā)現(xiàn)它們信息的侵入途徑往往是來自于它們的商業(yè)伙伴���。所以�����,可以直接攻擊一個并不安全的企業(yè)時�,為什么要選擇攻擊那些看起來相對安全的企業(yè)呢?這個方法在去年一整年披露的不安全事件中一直起效���。
不能忽略今年最重大的一個不安全事件�。該事件無論從其規(guī)模�����、受影響的潛在數(shù)據(jù)量���,還是它在目前尚未被發(fā)現(xiàn)��、但在將來可能產(chǎn)生的影響�����,都值得一提����。
是的,筆者要提及的就是索尼電影娛樂公司(Sony Pictures Entertainment)的不安全事件�����。該事件導致以郵件����、文件及尚未上映影片等形式高達上千兆字節(jié)的數(shù)據(jù)丟失,同時在最終公司采取向黑客妥協(xié)��。
入侵索尼的黑客被認為是恐怖分子��。當索尼被入侵后����,按照黑客的要求,索尼一度撤回了原本打算公映的電影����。
還有另外一起事件:在韓國的某個核設(shè)施基地��,入侵黑客們強行試圖關(guān)閉反應(yīng)器�����,否則有關(guān)系統(tǒng)規(guī)范的文檔將被公之于眾。該事件發(fā)生于寫這篇文章時���,因此有關(guān)被盜文件的細節(jié)以及韓國方面的反應(yīng)筆者尚不明了���。但政治勒索已參與進入侵事件中這一事實意味著所有的企業(yè)在2015年都應(yīng)加倍努力,保證安全���。
筆者在本文開頭即提到��,今年的互聯(lián)網(wǎng)安全事件中幾乎沒有什么積極點可說���。今年,網(wǎng)絡(luò)安全大量地登上主流媒體����。
這是一件好事,因為當這些事件找到技術(shù)領(lǐng)域之外的出路�,并融入公眾的生活之中,便意味著人們意識到了這些威脅�����。另外,畢竟��,對威脅的意識幾乎是我們所剩的用于抵御這些互聯(lián)網(wǎng)安全問題的唯一武器了�����。
