2011年的互聯(lián)網(wǎng)信息安全攻擊事件，除了常見的針對(duì)操作系統(tǒng)的漏洞攻擊，針對(duì)金融機(jī)構(gòu)的釣魚網(wǎng)站

除攻擊之外、還包括以日本索尼千萬級(jí)用戶和國內(nèi)CSDN超過600萬用戶密碼泄露為代表的針對(duì)互聯(lián)網(wǎng)用戶的安全事件。這些安全事件的發(fā)生，其本質(zhì)也離不開對(duì)各種安全漏洞或者是0day漏洞的依賴，這也為安全漏洞的挖掘分析提供了參考。2012年，以基礎(chǔ)設(shè)施的漏洞安全、云安全、社交網(wǎng)絡(luò)的信息泄露、移動(dòng)智能終端的安全以及APT高持續(xù)性攻擊為代表的關(guān)鍵詞匯，將成為信息安全領(lǐng)域的研究熱點(diǎn)。

1、基礎(chǔ)設(shè)施安全漏洞

此類以微軟和蘋果為代表，涉及到操作系統(tǒng)、瀏覽器類等。這一部分基礎(chǔ)設(shè)施類的應(yīng)用程序研究重點(diǎn)有三大部分：

1）以微軟為代表的操作系統(tǒng)類的產(chǎn)品安全漏洞：2011年微軟共發(fā)布了接近100個(gè)安全補(bǔ)丁，修復(fù)的包括操作系統(tǒng)內(nèi)核、Office系列辦公軟件、IE瀏覽器等近200多個(gè)安全漏洞；

2）非微軟系的操作系統(tǒng)和瀏覽器安全漏洞：如Mozilla公司的Firefox、谷歌的chrome瀏覽器以及蘋果的Safari等，這些瀏覽器已經(jīng)占據(jù)超過40%的市場(chǎng)份額，是除微軟之外另一個(gè)不可忽視的部分。2011年蘋果公司也發(fā)布了數(shù)十個(gè)針對(duì)蘋果MACOS操作系統(tǒng)和Safari瀏覽器的安全漏洞，僅在2011年7月份就發(fā)布了多個(gè)針對(duì)Safari瀏覽器安全漏洞，如CVE-2011-0218/0221/0222/0225/0233/0234等，通過這些安全漏洞容易誘使用戶訪問網(wǎng)頁并被植入惡意代碼；

3）以O(shè)racle數(shù)據(jù)庫及Adobe為代表的典型應(yīng)用程序安全漏洞：僅在2011年第四季度，甲骨文就發(fā)布了57個(gè)Oracle關(guān)鍵補(bǔ)丁更新，涉及到多個(gè)Oracle數(shù)據(jù)庫版本和中間件，其中有22個(gè)是遠(yuǎn)程登錄漏洞，最高級(jí)別的補(bǔ)丁為Solaris操作系統(tǒng)更新，其一旦被黑客利用將造成數(shù)據(jù)庫被遠(yuǎn)程控制的巨大危害。而黑客利用Adobe的flash安全漏洞，也成功的實(shí)施了影響巨大的RSA安全攻擊事件?？紤]到這些應(yīng)用程序的基礎(chǔ)設(shè)施類的定位，2012年這仍然是安全研究領(lǐng)域的重中之重。

2、云計(jì)算環(huán)境下的安全風(fēng)險(xiǎn)

無論是大型云計(jì)算服務(wù)商的公有云或是企業(yè)的私有云建設(shè)，云安全始終是整體建設(shè)方案中不可缺少的部分，尤其對(duì)于公有云服務(wù)而言，用戶對(duì)于自身的數(shù)據(jù)在云中安全性的擔(dān)憂正在阻礙云計(jì)算的發(fā)展。2012年，針對(duì)云計(jì)算環(huán)境下的三類安全風(fēng)險(xiǎn)，仍將繼續(xù)存在并成為研究重點(diǎn)。

1）虛擬化軟件廠商各種底層應(yīng)用程序的安全漏洞。典型代表如VMware、Citrix和微軟的虛擬化應(yīng)用程序ESX/XEN/Hyper-V，這些應(yīng)用程序的安全漏洞將影響到主機(jī)的安全，另外還包括以vCenter為代表的虛擬機(jī)管理程序，因?yàn)槠涓采w了整個(gè)虛擬架構(gòu)下的多個(gè)虛擬機(jī)管理，一旦其安全漏洞被利用將可能導(dǎo)致整個(gè)虛擬架構(gòu)不能正常工作。2011年，VMware和微軟都公告了多個(gè)安全漏洞，如VMware ESX的lsassd服務(wù)存在遠(yuǎn)程拒絕服務(wù)安全漏洞（CVE-2011-1786），vCenter Orchestrator存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2010-1870）等；

2）承載在虛擬機(jī)之上的多種應(yīng)用程序的安全漏洞。這些應(yīng)用程序是云服務(wù)交付的核心組成，包括WEB前端的應(yīng)用程序、各種中間件應(yīng)用程序及數(shù)據(jù)庫程序等。這些應(yīng)用程序本身，即使在傳統(tǒng)網(wǎng)絡(luò)安全環(huán)境下，仍然會(huì)因?yàn)榫幊碳夹g(shù)的缺陷而存在多個(gè)安全漏洞；在云計(jì)算環(huán)境下，這些安全漏洞仍然會(huì)繼續(xù)存在，典型如各種WEB會(huì)話控制漏洞、會(huì)話劫持漏洞及各種注入攻擊漏洞。同時(shí)為了適應(yīng)或使用虛擬化環(huán)境下的各種API管理接口，也可能導(dǎo)致一些新的安全漏洞。2011年德國某大學(xué)爆出亞馬遜WEB服務(wù)存在多個(gè)安全漏洞，攻擊者通過XML簽名封裝攻擊獲取了很多客戶帳號(hào)的管理員權(quán)限，從而可以隨意創(chuàng)建或者刪除客戶的鏡像文件，同時(shí)他們也發(fā)現(xiàn)亞馬遜云服務(wù)存在多個(gè)XSS跨站腳本的安全漏洞。類似的問題在各大云計(jì)算服務(wù)商的環(huán)境中應(yīng)該是普遍存在的；

3）用戶身份認(rèn)證授權(quán)管理系統(tǒng)的安全漏洞。在所有的云服務(wù)包括每個(gè)云服務(wù)的管理界面，都需要針對(duì)用戶的身份管理、認(rèn)證、授權(quán)和審計(jì)，確保"合法"的用戶訪問正確的服務(wù)器，在這種情況下，薄弱的用戶驗(yàn)證機(jī)制，或者是單因素的用戶密碼驗(yàn)證很可能產(chǎn)生安全隱患。同時(shí)，針對(duì)公有云服務(wù)而言，按需的自助服務(wù)是其重要的特征，而這意味著云服務(wù)商需要提供一個(gè)自助服務(wù)管理門戶，便于用戶進(jìn)行身份認(rèn)證及訪問權(quán)限管理。此時(shí)，認(rèn)證管理系統(tǒng)本身的安全漏洞將導(dǎo)致各種未經(jīng)授權(quán)的"合法"訪問。一旦發(fā)生這種未經(jīng)授權(quán)訪問，黑客完全可以借助HTTPS加密等手段，逃避傳統(tǒng)安全防護(hù)系統(tǒng)的檢查，實(shí)現(xiàn)對(duì)用戶后臺(tái)數(shù)據(jù)的惡意訪問。

3、社交網(wǎng)絡(luò)的信息泄露安全

2011年，從索尼超過千萬級(jí)別用戶的個(gè)人信息和信用卡信息泄露，到年底國內(nèi)以CSDN為代表的超過600萬互聯(lián)網(wǎng)用戶的賬號(hào)密碼泄露，信息安全泄露在這一年成為了網(wǎng)民關(guān)注的焦點(diǎn)。數(shù)量龐大的網(wǎng)民一夜之間發(fā)現(xiàn)互聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)就在自己身邊。黑客產(chǎn)業(yè)鏈也認(rèn)識(shí)到大規(guī)模互聯(lián)網(wǎng)用戶信息的價(jià)值，除了常規(guī)的SQL注入等手段實(shí)現(xiàn)對(duì)企業(yè)關(guān)鍵數(shù)據(jù)庫的信息竊取之外，針對(duì)社交網(wǎng)絡(luò)或游戲類服務(wù)商保存的用戶私密信息的竊取，將成為2012年的黑客興趣所在。在黑客的眼中，社交網(wǎng)絡(luò)的賬號(hào)信息和用戶的信用卡一樣具備吸引力，黑客產(chǎn)業(yè)鏈中甚至不乏專門活躍在各種論壇中進(jìn)行社交網(wǎng)絡(luò)賬號(hào)信息交易的罪犯，只要獲取了規(guī)模的用戶私密信息，就可以價(jià)值最大化的謀取經(jīng)濟(jì)利益。尤其是社交網(wǎng)絡(luò)集聚了相互信任的親朋好友，如果黑客成功登陸了你的社交網(wǎng)絡(luò)賬號(hào)，便可以輕易的對(duì)用戶的好友實(shí)現(xiàn)經(jīng)濟(jì)欺詐。從技術(shù)實(shí)現(xiàn)的角度，黑客第一步仍然需要通過諸如SQL注入等方式突破社交網(wǎng)絡(luò)服務(wù)商的關(guān)鍵數(shù)據(jù)庫并獲取完全讀取權(quán)限。因此針對(duì)知名社交網(wǎng)絡(luò)服務(wù)商的關(guān)鍵數(shù)據(jù)庫應(yīng)用的安全漏洞分析和挖掘，應(yīng)該重點(diǎn)關(guān)注。

4、移動(dòng)智能終端的安全

移動(dòng)互聯(lián)網(wǎng)的市場(chǎng)正在快速擴(kuò)大，以蘋果和谷歌為代表的移動(dòng)操作系統(tǒng)智能終端也在快速流行。根據(jù)Gartner預(yù)測(cè)，截至目前全球已經(jīng)有超過4億的智能終端互聯(lián)網(wǎng)用戶，而國內(nèi)三大運(yùn)營商的3G智能終端互聯(lián)網(wǎng)用戶也已經(jīng)達(dá)到千萬級(jí)別。如此龐大的用戶規(guī)模勢(shì)必帶來潛在的互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)，如手機(jī)被植入惡意代碼導(dǎo)致進(jìn)行惡意流量下載，惡意電話撥號(hào)產(chǎn)生高額電話費(fèi)，或者是通過竊取用戶手機(jī)聊天工具和網(wǎng)上支付的機(jī)密信息獲取經(jīng)濟(jì)利益，從而對(duì)移動(dòng)用戶的互聯(lián)網(wǎng)安全產(chǎn)生嚴(yán)重危害。

從另外一個(gè)角度看，現(xiàn)階段移動(dòng)智能終端大量的特色應(yīng)用，如蘋果或安卓應(yīng)用商店，蘋果的icloud云共享服務(wù)，客觀上更加刺激了黑客對(duì)移動(dòng)互聯(lián)網(wǎng)安全的興趣。黑客可以通過發(fā)布帶有惡意代碼的應(yīng)用程序侵入用戶智能終端，一旦拿到用戶在蘋果云中的ID和登錄密碼后，將輕易竊取到用戶在云中共享的各種數(shù)據(jù)并從中牟利。2011年3月份，由于發(fā)現(xiàn)了惡意應(yīng)用，Google被迫從其安卓應(yīng)用商店下架了大約50個(gè)應(yīng)用。同時(shí)蘋果在2011年也發(fā)布了數(shù)十個(gè)危害嚴(yán)重的涉及到iPhone和IPad的安全漏洞。2012年針對(duì)移動(dòng)智能終端操作系統(tǒng)的安全漏洞分析、以及針對(duì)移動(dòng)應(yīng)用商店應(yīng)用程序的惡意代碼檢測(cè)，仍然是安全研究的工作重點(diǎn)。

5、APT高持續(xù)性安全攻擊

APT（Advanced Persistent Threat)，顧名思義就是一種高級(jí)持續(xù)性攻擊，這種攻擊的攻擊者有明確的攻擊目標(biāo)，攻擊行為通常持續(xù)較長(zhǎng)的時(shí)間，部分攻擊可能存在數(shù)天或者是數(shù)月。在設(shè)定攻擊目標(biāo)后，黑客往往通過多種手段包括社會(huì)工程學(xué)的方式，逐步獲取目標(biāo)組織內(nèi)部的傀儡機(jī)權(quán)限并作為跳板，在多個(gè)不同的時(shí)間段輪番進(jìn)行攻擊。在這個(gè)過程中，包括零日漏洞、釣魚垃圾郵件、SQL注入等技術(shù)手段常常被利用，入侵之后，黑客往往通過壓縮或SSL加密等技術(shù)手段將數(shù)據(jù)傳送到后端，以避開企業(yè)內(nèi)部的常規(guī)安全防護(hù)系統(tǒng)的檢查。典型攻擊如2011年3月，RSA公司部分Secure ID技術(shù)和重要客戶的信息被竊取，導(dǎo)致很多使用RSA Secure ID作為認(rèn)證憑證的客戶網(wǎng)絡(luò)，如洛克希德馬丁公司，遭到攻擊且資料被盜。在這次攻擊事件中，黑客向RSA的部分員工發(fā)送了暗藏Adobe flash 0day漏洞（CVE-2011-0609）的電子郵件，有員工點(diǎn)擊該Email并導(dǎo)致其機(jī)器被注入惡意代碼，從而使得遠(yuǎn)程攻擊主機(jī)通過指令控制該傀儡機(jī)并入侵RSA的開發(fā)服務(wù)器（Staging Server）。預(yù)計(jì)在2012年，該類型的安全攻擊將持續(xù)存在并更加具有目的性，針對(duì)APT的安全研究將為企業(yè)的攻擊檢測(cè)和防護(hù)提供參考。

結(jié)束語

各安全研究機(jī)構(gòu)，在緊密圍繞上述幾個(gè)領(lǐng)域關(guān)鍵詞的基礎(chǔ)上，結(jié)合自身在各領(lǐng)域內(nèi)的技術(shù)積累情況，針對(duì)重點(diǎn)系統(tǒng)應(yīng)用進(jìn)行安全分析，提前掌握高危安全漏洞隱患，必將提升信息安全產(chǎn)業(yè)的風(fēng)險(xiǎn)防范能力。