回顧2018年上半年，我們可以發(fā)現(xiàn)，其沒(méi)有像去年同期那么多的政府泄密和全球勒索軟件攻擊，當(dāng)然，這也是上半年僅存的一個(gè)好消息。更多的仍然是令人擔(dān)憂的壞消息：企業(yè)安全性沒(méi)有獲得足夠快的提升;關(guān)鍵基礎(chǔ)設(shè)施安全性懸而未決;來(lái)自世界各地國(guó)家支持的黑客行為越來(lái)越復(fù)雜激進(jìn)等等。

[[237135]]

以下是今年上半年“上演”的大型數(shù)字安全劇，當(dāng)然，這還只是概括了一些最嚴(yán)重的安全事件，并非全部：

1. 俄羅斯電網(wǎng)攻擊

2017年，安全研究人員就曾對(duì)俄羅斯黑客入侵和調(diào)查美國(guó)電力公司的行為發(fā)出了警告;甚至有證據(jù)顯示，威脅行為者的滲透能力已經(jīng)足以截獲實(shí)際的控制面板，操縱電力系統(tǒng)的操作，從而展示其破壞電網(wǎng)的能力。結(jié)合2017年其他備受矚目的俄羅斯黑客攻擊事件來(lái)看——如NotPetya勒索軟件攻擊——電網(wǎng)滲透已經(jīng)稱為一個(gè)令人警醒的信號(hào)。

然而，直到今年，美國(guó)政府才開(kāi)始公開(kāi)宣稱俄羅斯政府參與了這些行動(dòng)。在今年2月和3月，特朗普政府首次公開(kāi)將NotPetya勒索軟件攻擊，以及電網(wǎng)攻擊行為歸咎于俄羅斯政府之前，美國(guó)官員們已經(jīng)暗戳戳地譴責(zé)了俄羅斯好幾個(gè)月。

雖然，對(duì)于俄羅斯就是幕后黑手的指控已被廣泛認(rèn)可，但是白宮的公開(kāi)承認(rèn)仍然是至關(guān)重要的一步。目前，國(guó)家支持的黑客攻擊行為正日趨復(fù)雜激進(jìn)，電網(wǎng)也成為最薄弱的環(huán)節(jié)之一，未來(lái)的網(wǎng)絡(luò)場(chǎng)景勢(shì)必將更為復(fù)雜危險(xiǎn)。

2. 美國(guó)大學(xué)

今年3月，美國(guó)司法部起訴了9名伊朗黑客，他們涉嫌對(duì)美國(guó)和國(guó)外300多所大學(xué)發(fā)動(dòng)攻擊事件。嫌疑人被指控滲透144所美國(guó)大學(xué)、其他21個(gè)國(guó)家的176所大學(xué)、47家私營(yíng)公司、聯(lián)合國(guó)、美國(guó)聯(lián)邦能源監(jiān)管委員會(huì)以及夏威夷州和印第安納州等其他目標(biāo)。

美國(guó)司法部表示，黑客竊取了31TB的數(shù)據(jù)，以及預(yù)估價(jià)值30億美元的知識(shí)產(chǎn)權(quán)信息。這些攻擊使用了精心設(shè)計(jì)的魚(yú)叉式釣魚(yú)電子郵件，誘騙教授和其他大學(xué)附屬機(jī)構(gòu)點(diǎn)擊惡意鏈接并輸入他們的網(wǎng)絡(luò)登錄憑據(jù)。在黑客攻擊的100,000個(gè)賬戶中，他們能夠獲得大約8,000個(gè)憑證，其中有3,768個(gè)來(lái)自美國(guó)機(jī)構(gòu)。

據(jù)美國(guó)司法部介紹，該活動(dòng)是伊朗境內(nèi)的黑客組織馬布那研究所(Mabna Institute)所為。據(jù)悉，馬布那研究所成立于2013年前后，主要負(fù)責(zé)為伊朗高校和科研機(jī)構(gòu)獲取信息。同時(shí)，該機(jī)構(gòu)還為伊朗政府和私人實(shí)體提供服務(wù)，代其從事黑客活動(dòng)。

伊朗和美國(guó)之間的緊張局勢(shì)經(jīng)常會(huì)蔓延到數(shù)字領(lǐng)域，而最近的情況更是表明，兩國(guó)正處于一個(gè)異常微妙的階段。

3. 猖獗的數(shù)據(jù)暴露

數(shù)據(jù)泄露(Data breaches)事件在2018年仍然呈現(xiàn)持續(xù)增長(zhǎng)的趨勢(shì)，而它們的“表兄”——數(shù)據(jù)暴露(data exposure)今年也變現(xiàn)得十分突出。顧名思義，所謂“數(shù)據(jù)暴露”是指數(shù)據(jù)因存儲(chǔ)和保護(hù)不當(dāng)，而暴露在公開(kāi)的互聯(lián)網(wǎng)上，可供任何人隨意訪問(wèn)。當(dāng)云用戶錯(cuò)誤配置數(shù)據(jù)庫(kù)或其他存儲(chǔ)機(jī)制時(shí)，通常就會(huì)發(fā)生這種情況，只需很少的身份驗(yàn)證或根本無(wú)需身份驗(yàn)證就能夠成功訪問(wèn)數(shù)據(jù)。

美國(guó)數(shù)據(jù)匯總公司Exactis就曾發(fā)生過(guò)這種情況。今年6月，Exactis公司泄露了大約3.4億條記錄，而造成此次信息泄露的原因并不是黑客撞庫(kù)或者其它惡意攻擊所致，而是他們自己的服務(wù)器沒(méi)有防火墻加密，直接暴露在公共的數(shù)據(jù)庫(kù)查找范圍內(nèi)。據(jù)悉，此次泄露的數(shù)據(jù)雖然不包含信用卡號(hào)、社會(huì)保障號(hào)碼等敏感的金融信息，但是隱私深度卻超乎想象，包括一個(gè)人是否吸煙，他們的宗教信仰，他們是否養(yǎng)狗或養(yǎng)貓，以及各種興趣，如潛水和大碼服裝，這幾乎可以幫助構(gòu)建一個(gè)人的幾乎完整“社會(huì)肖像”。

據(jù)悉，這一問(wèn)題最早是由安全研究員Vinny Troia發(fā)現(xiàn)的，并于今年6月份由《連線》(WIRED)網(wǎng)站對(duì)外報(bào)道。目前，Exactis公司已經(jīng)對(duì)這些數(shù)據(jù)采取了保護(hù)措施，但仍將面臨針對(duì)這一事件的集體訴訟。

“云泄露”(Cloud leaks)的問(wèn)題會(huì)定期彈出，但是當(dāng)軟件漏洞無(wú)意中以不同于預(yù)期的格式或位置存儲(chǔ)數(shù)據(jù)時(shí)，也會(huì)發(fā)生數(shù)據(jù)暴露。例如，Twitter在5月初披露，它無(wú)意中將一些未受保護(hù)的用戶密碼存儲(chǔ)在內(nèi)部日志的純文本中。不過(guò)，該公司已在問(wèn)題發(fā)現(xiàn)之初就解決了該問(wèn)題，但問(wèn)題是，它們也不知道在問(wèn)題發(fā)現(xiàn)之前，這些密碼在上面掛了多久。

在數(shù)據(jù)暴露后，受害組織一般都會(huì)提供一個(gè)經(jīng)典的保證——即沒(méi)有證據(jù)表明這些數(shù)據(jù)遭到了非法訪問(wèn)。雖然，公司可以在審查訪問(wèn)日志和其他指標(biāo)的基礎(chǔ)上真正得出這一結(jié)論，但數(shù)據(jù)暴露最危險(xiǎn)的情況是，沒(méi)有辦法確定在沒(méi)人看到的地方，或沒(méi)人看的時(shí)候究竟發(fā)生了什么事情。

4. 安德瑪(Under Armour)

今年2月底，美國(guó)體育運(yùn)動(dòng)裝備品牌Under Armour發(fā)現(xiàn)，其健康和健身追蹤應(yīng)用MyFitnessPal遭到黑客攻擊，大約有1.5億用戶受到影響，泄露的信息包括用戶名、電子郵件地址以及密碼等。據(jù)悉，該公司直至3月25日才發(fā)現(xiàn)了此次入侵行為，并在一周之內(nèi)對(duì)外披露了這一消息。

從此次數(shù)據(jù)泄露事件似乎可以看出，Under Armour公司已經(jīng)做了充足的工作來(lái)建立其數(shù)據(jù)保護(hù)，所以，盡管黑客獲取了足夠多的登錄憑證，仍然無(wú)法訪問(wèn)到有價(jià)值的用戶信息，如位置、信用卡號(hào)或出生日期等。該公司甚至通過(guò)散列它們來(lái)保護(hù)它所存儲(chǔ)的密碼，或者將它們轉(zhuǎn)換成難以理解的字符串。盡管這種方式非常有效，但仍然存在一個(gè)關(guān)鍵的問(wèn)題：盡管做了很多努力，但Under Armour承認(rèn)，它只使用名為bcrypt的強(qiáng)大函數(shù)來(lái)散列一些密碼;其余的仍然受到稱為SHA-1的較弱的散列方案的保護(hù)，該方案具有已知的缺陷。這就意味著，攻擊者可能會(huì)破解部分被盜密碼，并將其出售或?yàn)E用于其他在線欺詐活動(dòng)中。

Under Armour數(shù)據(jù)泄露雖然并不是歷史上最糟糕的數(shù)據(jù)泄露事件，但令人沮喪的現(xiàn)實(shí)是，企業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀仍然不容樂(lè)觀。

5. 一個(gè)值得關(guān)注的惡意軟件：VPNFilter

今年5月底，美國(guó)聯(lián)邦調(diào)查局警告稱，俄羅斯的黑客攻擊活動(dòng)已經(jīng)影響了全球超過(guò)50萬(wàn)臺(tái)路由器。該攻擊傳播了一種惡意軟件，稱為“VPNFilter”，可用于協(xié)調(diào)受感染的設(shè)備以創(chuàng)建大規(guī)模的僵尸網(wǎng)絡(luò)。但同時(shí)，它也可以直接監(jiān)視和操縱受感染路由器上的Web活動(dòng)。這些功能可用于多種用途，包括啟動(dòng)網(wǎng)絡(luò)操作或垃圾郵件活動(dòng)、竊取數(shù)據(jù)、制定有針對(duì)性的本地化攻擊等。

據(jù)悉，VPNFilter可以感染來(lái)自Netgear、TP-Link、Linksys、ASUS、D-Link以及華為等公司的數(shù)十種主流路由器型號(hào)。聯(lián)邦調(diào)查局一直致力于削弱該僵尸網(wǎng)絡(luò)，但新的研究發(fā)現(xiàn)表明，VPNFilter還在不斷增長(zhǎng)，其范圍已經(jīng)擴(kuò)大。這也意味著，VPNFilter仍然保持在活躍狀態(tài)。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文