[[105420]]

即將過去的2012年可謂是網(wǎng)絡(luò)安全的災(zāi)年，從銀行到醫(yī)院，從中情局局長(zhǎng)到普通白領(lǐng)，沒有企業(yè)和個(gè)人能夠確保自己的信息和隱私安全。DDoS、社會(huì)化釣魚、APT、Android惡意軟件正在成為網(wǎng)絡(luò)犯罪集團(tuán)乃至各國(guó)政府的最愛，信息安全的舊賬未了，新威脅又不斷涌現(xiàn)。以下是精選出的有代表性的2012年十大網(wǎng)絡(luò)安全話題：

10.1200萬蘋果設(shè)備ID泄露

今年9月，著名黑客組織“匿名者”(Anonymous)的分支 機(jī)構(gòu)AntiSec 聲稱他們掌握了超過1200萬個(gè)蘋果設(shè)備ID(包括用戶姓名、手機(jī)號(hào)碼、地址等信息)。AntiSec還以加密的方式在論壇中放出了100萬個(gè)泄露的蘋果設(shè)備唯一設(shè)備識(shí)別符(Unique Device Identifiers，UDID)，并發(fā)表聲明稱這些數(shù)據(jù)來自FBI探員Christopher K. Stangl 使用的一部戴爾 Vostro 筆記本。AntiSec 藉此抨擊FBI 監(jiān)視公民隱私，此事也引起全球范圍內(nèi)科技媒體的高度關(guān)注。對(duì)于AntiSec的指控，F(xiàn)BI迅速通過Twitter做出回應(yīng)，矢口否認(rèn)曾收集蘋果用戶信息。

最終，根據(jù)Intrepidus Group的信息安全顧問David Schuetz的深入調(diào)查，泄露的蘋果設(shè)備信息的真正源頭是佛羅里達(dá)州一家不知名的應(yīng)用開發(fā)商“藍(lán)蛙”(Blue Toad)。至于這些泄露的數(shù)據(jù)為什么會(huì)出現(xiàn)在FBI探員的電腦中，個(gè)中玄機(jī)不言自明(泄露的ID數(shù)據(jù)在黑客之間分享，難保某位黑客的真實(shí)身份不是FBI探員)。

為了幫助廣大蘋果電腦用戶查詢自己的設(shè)備是否在數(shù)據(jù)泄露名單中，TNW特地制作了一個(gè)查詢工具，可點(diǎn)擊這里使用。 #p# 

9.VMware ESX服務(wù)器管理源代碼泄露

今年四月，VMware承認(rèn)一個(gè)ESX 服務(wù)器管理源代碼文件被黑客發(fā)布到了網(wǎng)上，這為潛在的零日攻擊打開了大門，同時(shí)IT經(jīng)理們也擔(dān)心還有其他代碼文件也被泄露。果不其然，今年11月一位化名“Stun”的黑客放出了其他源代碼文件。兩次源代碼泄露事件的細(xì)節(jié)尚不為公眾所知，難以評(píng)估造成的安全風(fēng)險(xiǎn)。不過目前通過升級(jí)軟件用戶可以規(guī)避代碼泄露產(chǎn)生的安全風(fēng)險(xiǎn)。

8.Mac電腦成為黑客目標(biāo)

“我不需要?dú)⒍拒浖?，我用的是Mac!”這句話在2012年不再有效，今年Mac電腦中的Java漏洞—Flashback，導(dǎo)致超過50萬臺(tái)Mac電腦被惡意軟件感染。Flashback偽裝成Adobe的Flash安裝和升級(jí)程序，從被感染的Mac電腦中收集各種用戶信息。作為第一個(gè)成功對(duì)蘋果電腦完成大范圍攻擊的惡意軟件，F(xiàn)lashback徹底粉碎了蘋果系統(tǒng)百毒不侵的神話。 #p# 

7.微軟粉碎僵尸網(wǎng)絡(luò)

微軟今年9月獲得美國(guó)弗吉尼亞州地方法院授權(quán)，搗毀了Nitol僵尸網(wǎng)絡(luò)控制中心，Nitol是500多種惡意軟件的“巢穴”，這些惡意軟件與不安全的計(jì)算機(jī)銷售供應(yīng)鏈(盜版軟件和水貨電腦)組成一個(gè)犯罪產(chǎn)業(yè)鏈(編者按：Android水貨手機(jī)目前也存在類似的問題)。根據(jù)微軟的研究，從不安全的供應(yīng)鏈(例如水貨筆記本電腦經(jīng)銷商和中關(guān)村的電腦商城)處購(gòu)買的電腦中，超過20%被植入了惡意軟件。而這些病毒又能像傳染病一樣通過U盤和網(wǎng)絡(luò)感染同事或者家人的電腦。Nitol僵尸網(wǎng)絡(luò)就是通過這些途徑不斷傳播擴(kuò)規(guī)模。微軟警告，從不安全的渠道購(gòu)買電腦和(盜版)軟件都是非常不安全的。 #p# 

6.北電遭中國(guó)黑客入侵

流年不利多年的電信設(shè)備巨頭北電網(wǎng)絡(luò)(Nortel Networks)今年二月爆出嚴(yán)重泄密事故。報(bào)道稱來自中國(guó)的黑客入侵北電網(wǎng)絡(luò)系統(tǒng)并竊走了幾乎所有重要數(shù)據(jù)，包括技術(shù)文檔、研發(fā)報(bào)告、商業(yè)計(jì)劃和大量員工郵件。與此前的黑客從管理層人員環(huán)節(jié)入手，獲取了包括CEO在內(nèi)的北電網(wǎng)絡(luò)高管的7個(gè)密碼，從高管個(gè)人信息突破的作案手法與HBGary Federal的信息泄露事件十分類似，唯一的區(qū)別是HBGary的首席執(zhí)行官自身也是Rootkit安全技術(shù)高手(但依然被黑客的社交工程手法輕易搞定)。

5.iCloud、亞馬遜云計(jì)算爆出嚴(yán)重安全漏洞

連線雜志記者M(jìn)at Honan今年8月首次報(bào)道了iCloud和亞馬遜公共云計(jì)算的重大安全隱患，這絕對(duì)是獨(dú)家報(bào)道，因?yàn)镸at Honan本人就是這次云安全事件的受害者。黑客將Honan與iCloud同步的三個(gè)設(shè)備(MacBook、iPad和iPhone)上的數(shù)據(jù)同時(shí)清除，還進(jìn)入Honan的Gmail和Twitter賬戶(包括Gizimodo的Twitter官方賬號(hào))，并在兩個(gè)Twitter賬號(hào)上發(fā)布了一系列種族和同性戀言論。

黑客獲得Honan亞馬遜賬戶的方式簡(jiǎn)單到讓人發(fā)指。黑客只需要知道目標(biāo)賬戶的持有人姓名、電子郵件地址和收賬地址，今天，網(wǎng)民的這些信息對(duì)于黑客來說簡(jiǎn)直唾手可得。

與亞馬遜類似，iCloud目前也非常不安全(除非蘋果提供類似Gmail的雙重認(rèn)證)。iCloud的唯一安全屏障就是密碼，而獲取密碼的方法也很簡(jiǎn)單：你只需要知道賬戶的郵件地址，然后打電話給蘋果的技術(shù)支持，報(bào)上郵件地址和信用卡后四位數(shù)字。Honan用這個(gè)方法成功獲得了連線雜志辦公室多位同事的iCloud賬戶密碼。

此外，消費(fèi)者也注意不要使用iCloud的“Find My Mac”功能，丟失MacBook筆記本電腦的概率很小，而丟失手機(jī)的可能性很大，“Find My Mac”功能可以遠(yuǎn)程擦除MacBook上的數(shù)據(jù)，這反而降低了MacBook數(shù)據(jù)的安全性。 #p# 

4.銀行、醫(yī)院成網(wǎng)絡(luò)安全重災(zāi)區(qū)

根據(jù)CRN的報(bào)道，2012年第一季度針對(duì)美國(guó)銀行企業(yè)的DDoS攻擊環(huán)比暴增80倍。與安全威脅的暴增形成反差的是美國(guó)銀行企業(yè)在用戶端安全技術(shù)方面的大幅落后——歐洲銀行業(yè)在在線信息安全方面領(lǐng)先美國(guó)同行幾十年，歐洲銀行已經(jīng)普遍采用雙重認(rèn)證(Two-Factor Authentication)，而美國(guó)才剛剛開始。美國(guó)的銀行們依然在部署新安全技術(shù)與數(shù)據(jù)泄露成本之間權(quán)衡糾結(jié)。2012年的多起互聯(lián)網(wǎng)用戶數(shù)據(jù)泄露事件表明，傳統(tǒng)的用戶名密碼越來越不可靠，一些銀行已經(jīng)采取行動(dòng)，在用戶的智能手機(jī)上啟用硬件或軟件令牌，以及一次性的動(dòng)態(tài)密碼。

與美國(guó)銀行企業(yè)同病相憐，美國(guó)醫(yī)療行業(yè)也因?yàn)榘踩夹g(shù)投資的滯后而面臨前所未有的信息安全危機(jī)。根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)2012年4月份發(fā)布的一份報(bào)告《受保護(hù)健康信息泄露的經(jīng)濟(jì)損失評(píng)估》顯示：過去兩年有高達(dá)1800萬美國(guó)公民的個(gè)人健康信息被竊取。人們不禁會(huì)問，醫(yī)院和其他醫(yī)療機(jī)構(gòu)為什么沒有采取必要的信息安全措施來保護(hù)電子病歷?答案是，醫(yī)院的CIO通常認(rèn)為安全技術(shù)投資的ROI很低，不愿投入。但實(shí)際上隨著醫(yī)院信息化的深入開展，病人隱私信息的安全事故給醫(yī)院將給醫(yī)院帶來財(cái)務(wù)、品牌、運(yùn)營(yíng)、法律和業(yè)務(wù)五個(gè)方面的巨大損失和麻煩。 #p# 

3.LinkedIn賬戶密碼泄露，MD5不再安全

2011年是互聯(lián)網(wǎng)用戶賬戶密碼數(shù)據(jù)大泄露的一年(國(guó)內(nèi)的CSDN，國(guó)外有Sony)，大多是因?yàn)榫W(wǎng)站沒有對(duì)用戶數(shù)據(jù)采取必要的加密，但2012年LinkedIn的用戶賬戶密碼泄露事件則暴露出MD5加密技術(shù)的不足。LinkedIn使用了MD5或者SHA-1加密的哈希密碼，這在過去是標(biāo)準(zhǔn)的密碼保護(hù)方法，但在今天已經(jīng)不夠好了。如何彌補(bǔ)MD5加密技術(shù)的不足，更好地保護(hù)網(wǎng)站的用戶數(shù)據(jù)?IT經(jīng)理網(wǎng)的專欄作者Steve Mushero給出了解決方法。

容易被忽視的是，對(duì)LinkedIn的密碼泄漏事件的調(diào)查還連帶暴露出一個(gè)類似Path的用戶隱私問題：研究人員發(fā)現(xiàn)LinkedIn移動(dòng)應(yīng)用會(huì)不經(jīng)用戶允許悄悄從日歷資料向外發(fā)送數(shù)據(jù)，其中包括密碼和會(huì)議紀(jì)錄，在用戶毫不知情的情況下將數(shù)據(jù)傳回LinkedIn服務(wù)器。該消息披露后，LinkedIn表示將終止日歷發(fā)送會(huì)議紀(jì)錄數(shù)據(jù)。LinkedIn解釋稱日歷同步功能是可選功能，可以關(guān)閉，此外LinkedIn并未在服務(wù)器上存儲(chǔ)任何用戶隱私數(shù)據(jù)，而且對(duì)傳輸過程中的數(shù)據(jù)進(jìn)行了加密。 #p# 

2.針對(duì)Android智能手機(jī)的攻擊首次超過PC

2012年Android智能手機(jī)已經(jīng)占據(jù)智能手機(jī)市場(chǎng)75%的市場(chǎng)份額，在中國(guó)，Android手機(jī)的智能市場(chǎng)占有率更是超過9成，這樣一個(gè)主流移動(dòng)操作系統(tǒng)已經(jīng)引起黑客和無良公司極大的興趣。根據(jù)趨勢(shì)科技的報(bào)告，Android手機(jī)惡意軟件的數(shù)量近兩年來也一直呈幾何級(jí)數(shù)增長(zhǎng)。根據(jù)英國(guó)信息安全公司Sophos發(fā)布的《2013安全威脅報(bào)告》，在澳大利亞和美國(guó)，針對(duì)Android 的惡意攻擊的比率(Threat Exposure Rate, TER)甚至已經(jīng)超過PC。(如下圖)

上圖并未給出中國(guó)市場(chǎng)的Android系統(tǒng)威脅數(shù)據(jù)，但是復(fù)旦大學(xué)計(jì)算機(jī)科學(xué)學(xué)院專家今年8月份發(fā)布的研究顯示，目前國(guó)內(nèi)安卓系統(tǒng)的應(yīng)用程序泄露率過半，八成軟件過度要求授權(quán)，非法收集用戶隱私信息，包括手機(jī)通訊錄、身份信息、地理位置信息、諸多賬號(hào)信息以及郵件文件等數(shù)據(jù)。

根據(jù)安全管家行業(yè)分析報(bào)告，2012年上半年國(guó)內(nèi)共發(fā)現(xiàn)手機(jī)惡意軟件33930款，Android平臺(tái)占據(jù)26580款，其中32%悄悄吞噬用戶的手機(jī)話費(fèi)，12%瞄準(zhǔn)用戶的通訊錄、照片、短信等個(gè)人信息。從第二季度開始，惡意推送廣告的病毒開始蔓延，占當(dāng)季新增手機(jī)病毒的45%。

對(duì)于個(gè)人消費(fèi)者來說，水貨Android手機(jī)正在成為惡意軟件的溫床，水貨手機(jī)中的預(yù)裝軟件中存在大量的吸費(fèi)軟件、竊取個(gè)人信息的木馬軟件，以下安全建議針對(duì)中國(guó)消費(fèi)者：

買到水貨手機(jī)的第一步是立即重新刷回潔凈的官方ROM，盡量不要試圖破解手機(jī)獲取Root權(quán)限，Root帶來的安全風(fēng)險(xiǎn)大過所謂的自由度。

盡量使用官方電子市場(chǎng)，報(bào)告顯示，在Android惡意軟件數(shù)量呈幾何級(jí)數(shù)增長(zhǎng)的時(shí)候，官方電子市場(chǎng)的惡意軟件數(shù)量卻在大幅下降，顯然Android官方電子市場(chǎng)的安全性相比第三方市場(chǎng)要高得多，而且這個(gè)差距還在不斷拉大。

下載前先調(diào)查一下程序。主要包括兩個(gè)方面，發(fā)行商的背景調(diào)查和程序的用戶評(píng)價(jià)。

安裝前留意程序請(qǐng)求的權(quán)限數(shù)量和范圍。很多程序會(huì)請(qǐng)求一大堆權(quán)限，其中很多跟程序功能毫不相關(guān)，例如互聯(lián)網(wǎng)訪問權(quán)、個(gè)人信息(敏感日志數(shù)據(jù))、SD卡刪改、硬件控制、GPS等，這時(shí)候需要警惕了。

安裝Android殺毒軟件 #p# 

1.史上最復(fù)雜的間諜軟件——Flame

2012年5月份“一炮而紅”的間諜軟件——Flame迅速成為信息安全行業(yè)家喻戶曉的名詞。Flame有很多叫法，包括“Viper”和“Skywiper”等。該間諜軟件最早在中東被發(fā)現(xiàn)，專家普遍認(rèn)為該軟件是針對(duì)伊朗設(shè)計(jì)的。Flame通過攻擊微軟Windows Update認(rèn)證的MD5算法來實(shí)現(xiàn)攻擊，與Stuxnet一起譽(yù)為史上最復(fù)雜的惡意軟件。

根據(jù)紐約時(shí)報(bào)的報(bào)道，F(xiàn)lame并不是針對(duì)伊朗核設(shè)施的Stuxnet計(jì)劃中的一部分，因?yàn)镕lame的代碼比較陳舊， 大約是5年前的代碼。 根據(jù)Wired報(bào)道，知情的美國(guó)官員拒絕透露美國(guó)是否為Flame病毒的幕后推手。 (編者按：但是最近一些網(wǎng)絡(luò)安全公司發(fā)現(xiàn)Flame和Stuxnet共享關(guān)鍵代碼，這也許說明一些問題)