在2010年新年前夜，由于無人知道密碼，舊金山無法獲取其緊急行動中心上運行的備份系統(tǒng)，這或許可以被視為一個不祥的預(yù)兆。

2011年即將過去，我們需要回顧并盤點一下這一年中發(fā)生的重大IT安全事件。其中的一些事件甚至可能被定性為2011年度高級持續(xù)性威脅。

3.15黑客攻擊事件

RSA執(zhí)行總裁ArtCoviello在3月15日稱，RSA遭到黑客攻擊，獲取認證的SecurID相關(guān)信息被竊取。而這只是麻煩的開始。在這起數(shù)據(jù)泄露事件中，黑客隨后攻擊了RSA客戶，包括洛克希德馬丁公司。Coviello的聲明讓高級持續(xù)性威脅(APT)成為了一個流行詞匯。

APT一詞最初由美國空軍使用，現(xiàn)在演變?yōu)閷Ｖ笇W(wǎng)絡(luò)不間斷的攻擊行為。RSA的數(shù)據(jù)泄露在去年第二季度為其母公司EMC帶來了5500萬美元的損失。

APT在2011年全面爆發(fā)。挪威國家安全局在11月稱，石油、天然氣和防務(wù)公司已經(jīng)成為了這一復(fù)雜攻擊的目標(biāo)，這些公司的行業(yè)秘密和機密合同談判等信息均遭到了竊取。據(jù)稱，有10家挪威公司遭到了帶有病毒的特制郵件的攻擊，而郵件中的病毒卻不會觸發(fā)反惡意軟件探測系統(tǒng)。不過，挪威安全部門并沒有透露這些APT可能的來源。

修補這個漏洞!

YGN道德黑客組織(TheYGNEthicalHackerGroup)發(fā)現(xiàn)安全廠商邁克菲的網(wǎng)站McAfee.com存在嚴(yán)重漏洞，并私下與邁克菲取得了聯(lián)系，向該公司通報了隱患情況。由于邁克菲遲遲沒有解決這些隱患，YGN在3月份對外公布了這一情況。YGN的這一舉動讓邁克菲非常尷尬，并向客戶解釋并不存在風(fēng)險。此外，YGN還在蘋果開發(fā)者網(wǎng)站上發(fā)現(xiàn)安全漏洞的消息。YGN為緬甸的網(wǎng)絡(luò)安全研究機構(gòu)，身份為白帽黑客。盡管他們僅進行“道德”攻擊，以發(fā)現(xiàn)軟件存在的弱點，但是他們在實際操作中對公共網(wǎng)站進行未經(jīng)授權(quán)的弱點測試違反了美國的法律。

芝麻開門!開源也遭黑

開源軟件的領(lǐng)軍公司MySQL.com、擁有Linux.com和Linux.org的Linux基金會、Kernel.org以及開源的OSCommerce軟件都遭到了惡意軟件的黑手。一名俄羅斯黑客甚至以3000美元的價格叫賣My.SQL域名的超級用戶訪問權(quán)限。

你能聽到我的呼喚嗎?

Verizon在2010年12月推出的4GLTE網(wǎng)絡(luò)出現(xiàn)全國性的大面積中斷。大面積的網(wǎng)絡(luò)中斷事件在去年不只出現(xiàn)這么一起。黑莓的數(shù)據(jù)服務(wù)在10月份出現(xiàn)了持續(xù)四天的全球范圍內(nèi)的中斷。在黑莓正在全力讓迎戰(zhàn)蘋果iPhone的挑戰(zhàn)時候，出現(xiàn)這種情況想必也是黑莓不愿意看到的。RIM號稱的“雙冗余、雙容量的核心交換機”出現(xiàn)故障，備份交換機也未能激活，這導(dǎo)致全球的黑莓用戶要么出現(xiàn)了問題，要么沒有服務(wù)。RIM公司在首席執(zhí)行MikeLazaridis被迫為此事件公開向用戶道歉，并表示這次特殊的服務(wù)中斷事件是公司歷史上最糟糕的事件。

在11月份，北美和歐洲之間出現(xiàn)了短暫的互聯(lián)網(wǎng)中斷。這一事件明顯與進行邊界網(wǎng)關(guān)協(xié)議升級的Juniper路由器存在泄漏有關(guān)，這導(dǎo)致美國寬帶運營商Level3等公司受到了影響。這一事件提醒我們，我們每天習(xí)以為常的互聯(lián)網(wǎng)很容易出現(xiàn)故障。

或許根本就不在云上……

微軟基于云的BPOS通信與協(xié)作套件在6月份出現(xiàn)了服務(wù)中斷，此前亞馬遜的EC2服務(wù)在2月份出現(xiàn)過訪問問題并在8月份出現(xiàn)了短暫的中斷。VMware的CloudFoundry服務(wù)在測試期間就出現(xiàn)了服務(wù)中斷事件。此外，我們不應(yīng)當(dāng)忘記諾斯羅普格魯門公司。該公司已經(jīng)同意向弗吉尼亞州的26個政府部門支付500萬美元，以作為數(shù)據(jù)中心服務(wù)中斷的賠償金。

到底是俄羅斯黑客攻擊了伊利諾斯州供水系統(tǒng)，還是承包商碰巧在俄羅斯旅行?

是俄羅斯境內(nèi)的IP地址11月份對伊利諾斯州Curran-Gardner城區(qū)供水系統(tǒng)的SCADA系統(tǒng)發(fā)動攻擊，遠程遙控水泵頻繁開關(guān)并最終導(dǎo)致燒毀的嗎?伊利諾斯州反恐與情報中心(STIC)在11月份針對此事件提交了一份秘密報告，不過能源行業(yè)分析師JoeWeiss在當(dāng)月就向《華盛頓郵報》的記者披露了報告的內(nèi)容。在媒體紛紛報道這一事件的時候，美國FBI和國土安全部表示，他們已經(jīng)調(diào)查了伊利諾斯州反恐與情報中心的報告，但是手中沒有證據(jù)能夠證明這些猜測。消息人士稱，網(wǎng)絡(luò)訪問來自俄羅斯這一疑問目前與Curran-Gardner城區(qū)供水系統(tǒng)承包商碰巧在俄羅斯遠程訪問Curran-Gardner網(wǎng)絡(luò)有關(guān)。不過，美國國土安全部表示，事件分析還在進行當(dāng)中。

2011年數(shù)據(jù)泄露排行榜

在4月份發(fā)生的“索尼被黑”事件導(dǎo)致黑客從索尼在線PlayStation網(wǎng)絡(luò)中竊取了7700萬客戶的信息，包括信用卡賬號。這一黑客攻擊事件導(dǎo)致索尼被迫關(guān)閉了該服務(wù)。索尼在5月份表示，攻擊導(dǎo)致其損失了1.7億美元。

Epsilon公司在4月份稱，一名黑客竊取了其大約2%的用戶名和客戶地址，這些客戶包括了Walgreens、百思買、花旗銀行、摩根大通、Kroger連鎖超市。

在Comodo、DigiNotar和GlobalSign等SSL數(shù)字認證提供商紛紛發(fā)生數(shù)據(jù)泄露問題之時，一名自稱為“Comodohacker”的21歲伊朗學(xué)生聲稱對其中的部分公司發(fā)動了攻擊。攻擊手法包括偽造谷歌證書，通過這種方法，攻擊者可以竊取用戶Gmail賬戶登錄細節(jié)，同時用戶的瀏覽器也不會發(fā)出用戶所登錄的網(wǎng)站并不是真正谷歌網(wǎng)站的警告。這一黑客攻擊發(fā)生后，荷蘭政府禁止使用DigiNotar證書，這最終導(dǎo)致荷蘭Vasco安全系統(tǒng)旗下的DigiNotar破產(chǎn)倒閉。

美國政府的研究實驗室一直以來都是黑客攻擊的目標(biāo)。4月份發(fā)生的網(wǎng)絡(luò)攻擊迫使位于田納西州的橡樹嶺國家實驗室關(guān)閉了其電子郵件和互聯(lián)網(wǎng)訪問。在這起網(wǎng)絡(luò)攻擊中，該實驗室的573名雇員均收到了釣魚郵件。由于在今年夏季收到了類似的魚叉式網(wǎng)絡(luò)釣魚攻擊，美國能源部下屬的太平洋西北實驗室也關(guān)閉了其電子郵件和互聯(lián)網(wǎng)連接。

6月份，花旗集團承認有黑客侵入并有超過36萬用戶的信用卡數(shù)據(jù)被黑客盜取。這起黑客入侵事件為花旗集團造成了270萬美元的損失。

由于德克薩斯州320萬市民的社保賬號和個人信息被泄露，該州審計官辦公室解雇了其信息安全主管和創(chuàng)新與技術(shù)主管。

11月份，有大量Facebook用戶的信息流中出現(xiàn)了色情和暴力圖片,其中部分是偽造的賈斯汀·比伯(JustinBieber)和其他名人的不雅照。Facebook被迫清除了這些色情數(shù)據(jù)。

羅馬尼亞有關(guān)部門逮捕了一名26歲的黑客，指控其非法侵入多個NASA服務(wù)器，導(dǎo)致美國宇航局的系統(tǒng)損失了50萬美元。

誰在關(guān)注應(yīng)用商店?

由于發(fā)現(xiàn)了惡意應(yīng)用，谷歌在3月份被迫從其安卓市場上下架了大約50個安卓應(yīng)用，這是一個令人震驚的消息。DroidDream惡意軟件的影響遠遠超過了之前谷歌安卓市場遭到的任何攻擊。

Anonymous黑客組織崛起

2011年是活躍的黑客組織Anonymous崛起的一年。該組織通常以全球的商業(yè)和政府機構(gòu)為攻擊目標(biāo)，他們竊取數(shù)據(jù)后并對外公布，或是發(fā)動攻擊迫使網(wǎng)站下線。由于試圖跟蹤Anonymous黑客組織，該組織在去年冬季對安全技術(shù)公司HBGaryFederal公司發(fā)動了攻擊，并引起了外界高度重視。據(jù)信，Anonymous領(lǐng)導(dǎo)了對美國科氏工業(yè)集團、美國銀行和北約的攻擊，以及對紐交所的DDoS攻擊。Anonymous在“占領(lǐng)華爾街”和舊金山灣區(qū)疾速交通網(wǎng)(BART)的抗議運動中非常活躍。

此外，外界認為Anonymous還參與了針對突尼斯、巴西、津巴布韋、土耳其、澳大利亞、馬來西亞政府和佛羅里達商會的攻擊行動。近期，Anonymous活躍分子將攻擊目標(biāo)轉(zhuǎn)向了兒童色情網(wǎng)站和墨西哥販毒集團，后者被指綁架了Anonymous成員。

Duqu病毒：我們并不期盼的東西

Duqu病毒在10月份被發(fā)現(xiàn)。匈牙利研究實驗室CrySyS與全球頂級反病毒廠商分享了他們對這一新威脅的分析情況。

卡巴斯基實驗室在蘇丹和伊朗均發(fā)現(xiàn)了Duqu病毒感染案例。據(jù)信，Duqu病毒與震網(wǎng)蠕蟲病毒有著密切的聯(lián)系。Duqu為非常靈活的惡意軟件傳輸架構(gòu)，其可用于偷運數(shù)據(jù)。

木馬主要模塊由三個部分組成：將流氓庫(DLL)注入至系統(tǒng)程序中的核心驅(qū)動;用于諸如寫入注冊表或執(zhí)行文件等處理與命令與控制服務(wù)器和其它系統(tǒng)操作間通信的DLL;配置文件。

CrySyS最終公布了一個用于探測與刪除病毒的工具包。微軟也公布了一個專用工具，允許Windows用戶手動修補系統(tǒng)，以應(yīng)對Duqu病毒威脅。

Duqu病毒據(jù)信已經(jīng)發(fā)起了多起針對機構(gòu)的定向攻擊。該病毒極可能在2012年大爆發(fā)。

十天大雨

在3月份，韓國境內(nèi)的計算機受到了一個多層僵尸網(wǎng)絡(luò)為期十天的攻擊，這一事件證明僵尸網(wǎng)絡(luò)是一種極難對付的威脅。然而正當(dāng)人們開始全力應(yīng)對時，攻擊戛然而止，同時惡意軟件突然給予僵尸計算機致命一擊，破壞了其文件并讓機器無法啟動。邁克菲的安全專家稱，攻擊是由朝鮮發(fā)起的，整個攻擊設(shè)置極為復(fù)雜——40個命令與控制服務(wù)器、能針對探測進行的代碼、多重加密表，這些已經(jīng)遠遠超過了發(fā)動有效DDoS攻擊的需要。邁克菲的觀點是：這起被稱為“十天大雨”的攻擊事件旨在偵察和評估韓國政府和軍事承包商的應(yīng)對速度，這對于日后發(fā)動毀滅性攻擊是一個非常有價值的情報。

【編輯推薦】

1. 淺談網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)犯罪
2. 現(xiàn)行主要網(wǎng)絡(luò)安全技術(shù)介紹
3. 網(wǎng)絡(luò)安全之密碼抵御網(wǎng)絡(luò)犯罪的第一道防線
4. 抵御高級持續(xù)性威脅 保護你的網(wǎng)絡(luò)安全