2016年我们将面对的最大网络安全威胁
黑客之所以为黑客,除了本身的邪恶技术之外,还拥有一点点不值得称赞的毅力。当其他人遇到障碍时,一般人都会选择放弃,但黑客会通过暴力破解等方式来绕过这些障碍。除此之外,他们还会非常耐心地花上好几个星期或者几个月的时间来设计出新型的攻击方法。
在黑客的创新观念中,摩尔定律是没有任何意义的。但凡是关注网络安全领域的人都知道,这些年来,网络攻击活动变得越来越高调,而且相应的技术也变得越来越复杂。在去年,即2015年,我们发现了一些新的攻击趋势,毫无疑问,这些攻击事件在2016年将会发生得更加频繁。
敲诈勒索型攻击
在2014年,索尼公司曾遭受了一次网络攻击,在我们对此事件进行了研究和分析之后,我们当时预测此类勒索事件的发生次数在2015年将会激增。我在这里所指的勒索并不是普通的基于勒索型恶意软件的攻击,因为勒索型的恶意软件的功能是将目标用户计算机中存储的数据进行加密,或者通过加密技术直接锁定目标用户的系统,直到受害者向攻击者支付“赎金”。在我所指的敲诈勒索型攻击事件中,攻击者会以公布公司或者用户的敏感数据作为威胁,如果受害者拒绝支付“赎金”或者拒绝满足攻击者其他的要求,那么攻击者将会把这些敏感数据公布出来。这样一来,即使你已经备份了你的数据,即使你无所谓黑客是否对你的系统进行了锁定,但如果你的数据被公布了出来,这将会给你的公司以及客户带来严重的损失。
但现在还有一个问题需要考虑。如果受害者屈服了,并表示愿意支付“赎金”,那么公众也许并不会知道此次勒索事件。根据记录显示,在2015年曾发生过至少两起敲诈勒索性攻击:其一为针对Ashley Madison的攻击,此事件导致该公司的CEO直接引咎辞职,并且数百万用户的隐私数据被公之于众,给社会带来了巨大的影响。其二为针对阿拉伯联合酋长国投资银行的攻击事件,此次攻击事件导致大量银行客户的账户信息被曝光。
对企业以及公司高管而言,敲诈勒索型攻击绝对是他们的噩梦。如果不能妥善处理,公司的敏感数据将会被曝光,客户将会对公司提起诉讼,而且高管们也将会失去工作。我们预计在2016年,此类事件将会发生得更加频繁。
修改数据型攻击
James Clapper是美国国家情报局的负责人,他在2015年向美国国会报告称,修改或操作电子数据的网络活动将会给他们带来非常严重的影响,因为此类攻击将会破坏机构的数据完整性,而不会删除或公布他们的数据。Mike Rogers是美国国家安全局的局长,同时他也是美国网络司令部的负责人,他说到:“现在在大多数的攻击事件中,攻击者都会窃取目标系统中的数据。但如果成功进入系统的攻击者开始对你的数据进行操作和修改,那么你还会相信你在系统中所看到的数据吗?”
与震网病毒所带来的物理破坏相比,针对数据的破坏行为则更加难以进行检测。这是因为数据的改变很可能是非常轻微的,但这种操作所带来的后果和影响将会非常严重。还有人记得九十年代的Lotus 1-2-3漏洞吗?这个漏洞会导致程序在一定的条件下,对电子表单的数据计算会产生错误。这个错误也许是无心之举。但攻击者却可以侵入金融中心和股票交易系统来修改其中的数据,并且随意提高或降低股票价格,结果如何就得取决于他们的目的了。
某些类型的数据修改行为甚至会带来死亡。在1991年第一次海湾战争期间,由于武器控制系统中的软件发生故障,进而导致一枚爱国者导弹未能成功拦截一枚飞在天上的飞毛腿导弹,最终这枚飞毛腿导弹打向了一个军营,并杀死了28名士兵。当然了,这样的一个错误同样也是无心之举。但在过去的十年中,某国家的间谍曾无数次入侵了美国国防承包商的网络系统中,这一行为引起了美国军方官员的密切关注,因为这些间谍不仅只是窃取了武器的制作蓝图,而且很有可能还修改或插入了代码来破坏武器控制系统的完整性,并修改了系统的运行和操作方式。
芯片-密码卡的创新
每当安全社区成功“消灭”了一种攻击方法时,攻击者总能设计出其他的攻击方法。当零售商不再在数据库中存储客户的信用卡数据以及交易记录时,攻击者就会开始对零售商的网络通信数据进行拦截,当信用卡交易信息通过网络传输到银行端进行验证时,攻击者就可以从中截取未加密的数据。当零售商为了防止数据被窃取而对他们的交易通信数据进行了加密处理之后,攻击者又在POS机的读卡器中安装了恶意软件,并在系统对交易信息进行加密处理之前获取到信用卡数据。现在,为了防止黑客的攻击,银行和零售商已经开始向客户推出新的芯片-密码卡了。
这种卡片包含一块芯片,设备可以通过这块芯片来验证这张卡片是否为一张合法的银行卡,在每一次购买商品时,它都会生成一个一次性的交易码,以防止黑客将窃取来的信息写入一张克隆卡中。但这并不会阻止欺诈行为的发生,它只会将黑客的注意力转移到在线零售商。英国从2003年起就开始使用这种芯片-密码卡了,受到欺诈交易行为影响的人数已经显著下降了。但根据英国支付管理局的报告,通过电话或网络完成的信用卡欺诈交易事件从2004年的百分之三十上升到了2014年的百分之六十九。当用户在网上使用他们的信用卡时,既不需要密码,也不需要签名。所以,攻击者只需要窃取到信用卡号就够了。我们估计,这种欺诈性的网络事件将会蔓延到美国。
针对物联网的攻击
很多人都说,2015年是物联网蓬勃发展的一年。但这也是物联网不断受到网络攻击的一年。在2015年,类似汽车、医疗设备、滑板,甚至连芭比娃娃都遭到过黑客的攻击。
2015年,黑客给大家展示了很多针对物联网设备的攻击PoC,那么在2016年,随着物联技术的发展,我们将会见到更多此类攻击行为发生在现实生活之中。
(本文来源:360安全播报)