WannaCry之后,许多安全公司股票大涨,CISO的年薪也随之升高,安全行业人才稀缺再度加剧,而普通民众也开始意识到了网络安全的重要性。在2017年安全圈大事件中,稳占一席之地。
Petya?NotPetya!
5月份的WannaCry余波未尽,6月底,新一轮勒索病毒NotPetya也气势汹汹地发起攻击。最先中招的是乌克兰,机场、银行、船舶公司、私人企业、政府系统……都难以幸免,连乌克兰副总理的电脑也受到了波及。最初,研究人员认为其是2016年的Petya病毒变种,但经过研究发现二者并不相同。最初为了报道的时效性,很多媒体和公司都称其为Petya,但后来随着研究的深入,NotPetya成为了这个勒索病毒的称号。
BadRabbit——这个兔子有点坏
10月下旬,一种新型的恶意软件“BadRabbit”在东欧国家引起了一阵不小的骚乱,俄罗斯、乌克兰、保加利亚、土耳其等国家的政府和商业机构都受到了冲击。BadRabbit通过虚假Flash更新进行传播,也可通过网络内部横向蔓延,蔓延速度与WannaCry和NotPetya相近。研究表明,BadRabbit主要用到水坑攻击和勒索这两种手段,相当于NotPetya“昨日重现”。
KRACK——WiFi的一记重创
10月中下旬,鲁汶大学的研究人员MathyVanhoef在WPA2协议的四次握手过程中发现了严重的安全漏洞,可能影响所有WiFi设备,利用这个漏洞发起的攻击就叫KRACK攻击。
Struts2
漏洞频出的ApacheStruts2在2017年依旧占据着人们的注意力。
3月初,距离上一次Struts2半年之后,新的RCE任意代码执行漏洞S2-045(CVE-2017-5638)出现在人们的视野中。Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行。默认情况下jakarta是启用的,而S2-045的利用无需任何前置条件,因此危害严重,影响范围很广。
3月下旬,距离S2-045曝出不到一个月,相似的远程代码执行漏洞S2-046也跳了出来,S2-047则因为影响不大而没有激起水花。7月份,FreeBuf母公司斗象科技发现了S2-048漏洞。9月份,较为严重的S2-052和S2-053漏洞也都一一浮现。截至写稿日,Struts2的漏洞已经排到了S2-055。
Mirai及其变种——借助IoT设备蔓延的僵尸网络
2016年10月底,僵尸网络Mirai开始成形。Mirai利用IoT设备进行传播,发起大规模DDoS攻击,当时曾导致美国半个互联网瘫痪。Amazon、Spotify、Twitter等知名公司网站纷纷中招。到2017年,Mirai开始升级,利用Windows木马大肆传播。2017年8月份,知名内容分发网络(CDN)和云服务提供商AkamaiTechnologies的研究报告表明,Mirai事实上更类似于一群群小规模的bot和C&C服务器,其不断的攻击促成了DDoS的商业化,可被归类为“付费(pay-for-play)”攻击。
11月和12月初,先后有两种Mirai变种大量传播,但由于预警及时而得到遏制。12月下旬,美国联邦官员表示已经逮捕了三名承认参与制造和分发Mirai僵尸网络的罪犯,三人都是美国人。
Mirai的蔓延带来了新的问题:旧攻击方式重受青睐,由于物联网安全问题太多,利用物联网组成的僵尸网络日渐庞大,DDoS攻击数量猛增,且已经走向商业化。未来,与僵尸网络有关的DDoS攻击还可能继续增长。
MongoDB——不变的启示录
2016年底到2017年初,一场屠戮MongoDB数据库的黑客盛宴狂欢开启,超33000个数据库遭遇入侵勒索。最初只是源于黑客的0.2比特币勒索,但并没有引起MongoDB的重视,因此黑客变本加厉,利用这些数据库实例安全性不高的特点,大规模入侵,甚至贩卖攻陷数据库的工具赚钱。这场大规模屠戮的一个显著后果就是世界范围内存储在MongoDB数据库里的数据量大幅下滑,多少引起了一些反思,被赋予了“启示录”般的意义。
而到了2017年9月,又一起MongoDB数据库大规模勒索事件发生,三个黑客团伙劫持了MongoDB逾26000多台服务器,被研究人员称为“启示录”再临。MongoDB连续遭遇的两起大规模攻击都表明了工作人员安全意识淡薄带来的大灾难。数据库作为存储大量资源的平台,一旦管理人员出现疏忽,造成的影响将难以预估。
二、泄露,各种泄露
说起网络安全事件,每年都少不了数据泄露,各种大大小小的泄露事件,让公司苦不堪言,让受害者心力交瘁。
Wikileaks文档披露——CIA秘密武器的前世今生
2017最大的泄露事件是什么?CIA机密文档遭维基解密泄露恐怕是首个进入候选名单的。从2017年3月初第一次曝出消息以来,维基解密孜孜不倦,坚持每周更新,将CIAVault7系列二十几款秘密武器的详细文档公布于世,仿佛是在给CIA处以凌迟。
这些工具主要针对终端设备(如摄像头、路由器等)以及各大系统(macOS、Windows、Linux),可以实现监控、反取证、追踪、后门留存等多种功能。其中有不少被黑客利用实施攻击,对网络安全造成了很大威胁。根据赛门铁克研究人员的观点,CIA这些泄露的工具应当对16个国家的40多起网络攻击负责。FreeBuf曾经对维基解密有关CIA的文档披露进行过专题盘点,读者可以点击此处进入阅读。
维基解密休息2个月之后,在11月底又开始有所行动,开始Vault8系列泄密,首批公布的是Vault7系列中蜂巢项目的源代码和详细文档,再一次引起了恐慌。这出泄露大戏还将如何上演,也许新年之后我们还能继续拭目以待。
ShadowBrokers与NSA的情仇恩怨
2016年8月,ShadowBrokers入侵了NSA的方程式小组,获取到部分软件和黑客工具,并因此名声大噪。但后来他们公开拍卖工具的企图并未顺利实施,只好去ZeroNet平台销售部分黑客工具。到了2017年年初,他们突然宣布退隐江湖,停止售卖黑客工具。
但是,对于这种风云人物而言,退隐江湖和金盆洗手都不可能言出必行。4月份,ShadowBrokers也学起了维基解密,开始每周推送,公布NSA的工具,大量针对Windows系统的严重0day泄露。而5月份,掀起腥风血雨的WannaCry就正是利用了泄露的EternalBlue发起攻击。WannaCry刚爆发没几天,ShadowBrokers就蹭着热点宣布以后公布工具需要订阅,也就是说,以后想要获取NSA的工具,就要付费给他们。不仅如此,他们还一度见风使舵,看到订阅人数不少,顺势提升订阅费,并宣称要曝光NSA某高官的隐私。
不得不说,这个黑客组织很会搞事情。截至最后一次报道,他们的订阅费已经升级到400万美元一月了。总之FreeBuf的编辑们就算众筹也付不起订阅费,因此他们发布的订阅内容到底有没有干货,着实不得而知。但可以确定的是,一旦窃取到0-day或者机密情报或工具,黑客就能获取暴利,这也是众多攻击事件的起因。
AWSS3——存储服务器变成泄露的地狱
说起泄露,就不得不提AWSS3。作为Amazon的云存储服务,AWSS3因配置逻辑设置不当,导致很多使用者配置错误,不慎泄露敏感资料。根据安全公司SkyhighNetworks的统计数据显示,7%的AmazonS3bucket都未做公开访问的限制,35%的bucket都未做加密,这意味着整个AmazonS3服务器中都普遍存在这样的问题。
由于安全事件频发,Amazon后来也为AWSS3服务添加了新的安全加密功能。确切来说,这些泄露大多不是因为漏洞,而是因为简单的配置错误。但这也暴露了一个问题,那就是不论政府还是企业,其工作人员的安全意识亟待提升。
HBO上演“GameofLeaks”
经过复杂的调查取证,在11月底,美国联邦调查局才对涉事的伊朗黑客BehzadMesri正式提出官方指控。但目前,Mesri似乎仍然在逃。
Equifax——大规模数据泄露造成惨痛教训
Fappening2.0——看热闹背后的信息安全问题
2017年3月,艾玛·沃森(EmmaWatson)、阿曼达·塞弗里德(AmandaSeyfried)等明星的私照遭大规模泄露,拉开了Fappening2.0泄露的序幕。到8月份,安妮·海瑟薇(AnneHathaway)、麦莉·赛勒斯(MileyCyrus)、克里斯汀·斯图尔特(KristenStewart)等当红女星的裸照也在国外知名论坛Reddit、Tumblr和Twitter疯传。这些泄露主要是因为黑客通过漏洞获取权限或利用钓鱼、社工等方法造成的。获取到私密照后,他们可以用于交易或者勒索。
8月底,当红女星SelenaGomez的Instagram账号被黑,黑客用账号发布了其前男友JustinBieber的裸照,引起吃瓜群众一阵热议。到11月份,国外知名婚外情网站AshleyMadison也被曝出漏洞,泄露用户隐私照片。这类隐私照片的泄露往往被网友津津乐道,饱饱眼福之后便不了了之。但这其中的安全问题却不容忽视,这些泄露往往都是因为社交网站的漏洞或者因为钓鱼而引起的。一方面,社交网站的安全性有待加强;另一方面,用户自身的安全意识也有待提高。否则,前一天还在吃瓜看戏的网友,说不定就可能成为下一次“艳照门”的主角。
三、立法
《网络安全法》
2016年11月7日,第十二届全国人大常委会第二十四次会议以154票赞成、1票弃权表决通过《中华人民共和国网络安全法》,并于2017年6月1日起施行。这部法律填补了我国关于网络安全犯罪行政处罚方面的空白,《网络安全法》明确了网络空间主权的原则;明确了网络产品和服务提供者的安全义务;明确了网络运营者的安全义务;进一步完善了个人信息保护规则;建立了关键信息基础设施安全保护制度;确立了关键信息基础设施重要数据跨境传输的规则。
当然,在具体的实施落地中,《网络安全法》还有待完善,不过这至少让整个社会开始意识到网络安全的分量。
GDPR
在数据保护方面,欧盟通用数据保护条例(GDPR)大概是最骇人听闻的了。这部法律即将于2018年5月正式实施,但在此之前,很多立法或者数据泄露事件都要以此为标准来进行一番评估。
根据GDPR的规定,任何一个处理欧洲公民个人信息的公司如果不能充分保护持有的数据,将被处以高达全球营业额4%的罚款。这对于那些年入数百亿美元的全球运营企业来说,一旦确定违法,罚款金额将是惊人的数字。这也为其他立法提供了参考。毕竟,在巨额的罚款或赔偿面前,各大企业多少会有所收敛。而Equifax之后的纽约数据保护立法,也参考了GDPR的模式,只是要求没那么严格。
四、技术与发展
人工智能(AI)与大数据——攻防猫鼠游戏升级
技术是双刃剑,这个观点在科技领域屡屡被提起,AI做为新的技术,也难逃这个特点。安全从业者在使用AI技术构筑防御体系的同时,攻击者也在使用AI技术发展黑产。毫无疑问,AI有助于加强网络安全基础设施,提高安全从业者工作效率,但是仅仅依靠AI这种可以按照人类意愿塑造的智能技术来保护网络安全,无疑是将自己再次置于危险之中。
AI与大数据结合,无疑加速了攻防的对抗,攻防的猫鼠游戏开始升级,角逐之战加速,安全从业者依然任重而道远。
五、行业大会
2017年,随着安全事件频发,安全法律法规出台,安全领域的大会也越来越多。除了大家耳熟能详的RSA大会,Black&DEFCON,国内重要安全会议也不在少数。
4.29国家网络安全日前后,习近平总书记再次强调了“没有网络安全就没有国家安全”的理念,表达了国家政府对“网络安全”的重视。此后,在北京、上海先后召开过第三届CSS中国互联网安全领袖峰会、ISC2017中国互联网安全大会、2017网络安全法及关键信息基础设施保护培训会、2017第二届中国信息安全服务年会、国家网络安全周、世界互联网大会等多届会议。各大科技厂商及安全厂商也纷纷办会,以会议为平台,交流现状、发掘问题、展望未来。
六、其他大事件
卡巴斯基与NSA之争
2017年年初,卡巴斯基就被曝顶级安全研究员因叛国罪被捕,不过此事似乎对其业务影响不大。而到7月份,美国(尤其是NSA)针对卡巴斯基发起了一项犀利指控,称其与俄罗斯政府勾结,利用反病毒软件可以帮助俄罗斯政府入侵美国政府系统并实施间谍活动,甚至还窃取了NSA的机密信息。9月份,美国政府宣布将禁用卡巴斯基产品。随后,卡巴斯基宣布公开反病毒软件源代码以自证清白,同时还发布了关于NSA资料泄露的详细调查报告。这一系列争端前前后后持续了半年之久,但结果依然一片混乱。美国继续禁用卡巴斯基的产品,甚至连欧洲小国立陶宛在12月份也插了一脚,表示卡巴斯基产品可能对国家带来潜在威胁,也将禁用。
这起争端表面看来是大公司与大国之间的矛盾,折射出的却是整个安全领域(包括安全产品、安全企业)的严重“地缘政治斗争”。原则上来说,在网络安全领域,更多的合作共享与联动才能带来更好的响应与防御效果。但事实是,网络空间已成为各国新的战场,而良好的合作则“道阻且长”。
DarkWeb——执法机关瞄准黑市
2017年7月份,美国司法部以及荷兰的欧洲刑警组织正式对外宣布,暗网市场AlphaBay和Hansa已被执法部门查封。这是警方经过长期的潜伏调查之后,对黑市的重拳出击。FreeBuf报道过不少有关黑市和暗网的内容,暗网中充斥着暴力色情枪支毒品,更是滋生黑客工具、信息买卖、黑客技术、黑客服务等网络安全重大威胁的温床。
当年喧嚣一时的“丝绸之路”关闭之后,黑市用户就转战到AlphaBay,将其发展成为“新丝绸之路”。如今,AlphaBay关停,其替代者Hansa也随之倒下,据说连新的场地DreamMarket也被安插了后门。黑市几个大市场似乎受挫不小,但这可能并不会影响黑市的繁荣。因为这背后牵涉的技术、人员,乃至攻防之间的对抗,都无比复杂。打击黑市之路,以及攻防对抗之路,都漫长而修远。
德勤公司被黑引发打脸嘲讽
2017年9月下旬,全球四大会计师事务所之一的Deloitte(德勤)遭到网络攻击,导致其全球电子邮件服务器被入侵,一时之间网上炸开了锅,各种段子应运而生。大型公司被黑我们早已见怪不怪,但这次德勤被曝出“大量RDP端口对外”“一个帐号全线入侵”“员工将VPN密码上传Github”等低级风险,而其又有着被Gartner评为全球第一的安全咨询业务和销往全球的安全解决方案,因此才引起了很大的风波。
德勤在今年三月份发现遭遇入侵,但事实是2016年10月份黑客就可能已经攻击了其网络系统。德勤自身宣称的安全服务解决方案覆盖应用安全、身份和访问管理、信息和隐私保护、基础设施安全、脆弱性管理等多个方面,但在入侵事件中却曝出多个低级错误,这不得不令人唏嘘。在攻击事件中,员工安全意识淡薄是一个方面,另一方面,攻击者能利用一个管理员账号完成“全线入侵”,是因为德勤的网络系统中并没有部署任何的双因素身份验证机制,这暴露出的是德勤安全管理的疏忽。
由此我们也可以看到,除了员工安全意识有待提升,企业自身的安全管理体系,也有待升级。
Uber收买黑客,隐瞒数据泄露事件
此事让本已恶名累累的Uber雪上加霜,也为其他企业敲响了警钟。可以说,缺乏安全意识的开发者在代码中写入身份信息,却不加以限制,导致凭证泄露,引发更大规模的泄露或入侵,这种错误并不少见。这也是近年来越来越多人号召DevSecOps的原因。
世纪佳缘信息贩卖引发的惨案与诈骗
智能摄像头的安全问题与是非之争
在我们的报道中,不论国内摄像头还是国外摄像头,都爆出过漏洞。连维基解密泄露的CIA资料中也有好几款针对摄像头的监控工具。一方面,摄像头原本是为了方便用户生活,带来安全与便捷,另一方面因为监管、厂商乃至使用者自身安全意识不足,或者受利益驱使,而变成了监控工具和侵犯隐私的帮凶。智能摄像头作为较早一批的物联网设备,存在的漏洞与问题为数不少,这也反映了物联网安全问题迫在眉睫。随着技术的发展以及安全法律法规的普及,也许可以期待这类问题在未来能得到缓解。
比特币风波
比特币作为今年科技圈的热词可谓师出有名,其引发的安全问题也为数不少。2017年,发生了很多起比特币钱包或交易所被黑客攻击的事件(当然,在2016年,这些问题也不少)。在WannaCry等大型勒索攻击中,黑客将比特币等虚拟货币作为收款货币;下半年,各种比特币挖矿木马也层出不穷,导致多家网站被攻击。而这一切,都源自“利益”二字。
由于虚拟货币存在不少风险,且日益成为洗钱、走私、非法集资等犯罪活动的工具,因此,2017年9月初,国内监管层先后出手ICO和比特币。如今ICO在国内已经偃旗息鼓,国内比特币交易所的业务先后调整和关停。不过,比特币在国际上依然牢牢占据着大众的视线,大起大落,变化惊人。