电脑报新:刚刚安全圈发生了一件大事情
2016年12月21日,电脑报在三亚海棠湾成功举办了第三届2016年全球网络安全高峰论坛,一群网络安全领域的大咖云集三亚,畅聊情报和、漏洞挖掘领域的热点话题,通过知识的碰撞和经验的,共同为全球网络安全做出一份贡献!
2013年以前的软件影响范围少则数人,多则几百人,不成气候,更多的是扮演吸引眼球的“”角色,软件的者和者也无法靠这个赚多少钱。2013年之后,软件逐渐采用了比特币为代表的虚拟货币的支付方式,拿到比特币之后再将比特币兑换实的货币(可以兑换成大多数国家的货币),其代表就是2013年臭名昭著的CryptoLocker,由于使用了比特币作为赎金,没有办法到幕后元凶。
这个先例一开,全球的黑客都将目光转移到软件上,有专门编写代码的,有专门的,最终形成了一条龙服务,导致2013~2016年全球进入软件的时代。在国内,软件成为主流是2015年2015年2月,国内出现了一款名为CTB-Locker的软件,企业高管等商务人士,造成极为恶劣的影响。
除了比特币,在此次大会上MicroStrategy公司认为服务平台、开源软件也是最要的。以Tox的服务平台为例,任何人通过注册服务都可创建一款软件,在平台提供的管理面板中会显示感染数量、支付赎金人数以及总体收益,Tox平台收取赎金的20%。
2016年,因为漏洞导致的网络安全事件频发,例如2016年3月,全球有三分之二的网站服务器用的开源加密工具OpenSSL爆出“水牢漏洞”,这个漏洞允许黑客网站并读取密码、信用卡账号、商业机密和金融数据等加密信息,国内有十万余家网站受到影响;5月,俄罗斯黑客利用漏洞黑客盗取了2.723亿个电子邮箱账号和密码,其中包括4000万个雅虎邮箱、3300万微软邮箱以及2400万个谷歌邮箱
可以说,0day漏洞(未公开只有黑客自己才知道的漏洞)是黑客攻城拔寨的“大炮”,没有它黑客根本无法窃取那么多数据。在此次大会上,Samsung America公司分享了自己的研究:黑客不断挖掘0day漏洞,利用漏洞入侵数据库窃取数据,导致数据泄密事件频发。特别是在云时代,黑客不断收集用户数据,形成一个庞大的云数据库,利用已知的账户和密码可以不断尝试登录其他网站,从而获取账号和密码对应的所有网站,从而榨干数据的价值。企业安全不但要注重漏洞检测和修补,还要具备抵御云的能力,即不允许大规模尝试账号登录的行为。
与会的威客安全展示了漏洞挖掘:应邀为拉手网进行渗透测试,在2个月时间现146个漏洞,其中高危漏洞69个;应邀为滴滴打车进行渗透测试,1个月时间挖掘85个漏洞,其中高危漏洞34个;为58同城进行渗透测试,1个月时间共挖掘110个漏洞,其中高危漏洞30个;应邀为有缘网进行渗透测试,5天现57个漏洞,高危漏洞24个;应邀为京东商城进行渗透测试,发现SQL注入、任意命令执行漏洞以及任意文件读取等高危漏洞,以上任何一个漏洞都可以控制京东所上业务
此外,威客安全应邀为证监会网站进行安全检测时,常规检测方法没有发现漏洞,怎么办呢?他们想到一个特殊的方法在特制闪存中植入一个特殊的程序,将闪存丢到证监会大楼外,有员工捡到闪存后将闪存插入电脑,闪存中的特殊程序立即就激活了,迅速控制电脑,如此一来就进入证监会的内网上述威客安全挖掘的0day漏洞都已经得到及时修补,避免了被黑客利用。
与威客安全不同,中国网安(拥有国内最的网络信息安全资质,形成了包括理论、算法、芯片、产品、系统、服务在内的完整的信息安全产业链)在工业控制系统领域的安全研究很有:中国网安具备自主发现工控漏洞,特别是高危漏洞的能力,中国网安的工控漏洞挖掘实验室自建的漏洞库覆盖了西门子、施耐德、GE、ABB、和利时和浙大中控等业内各主流工控厂商。
APT(Advanced Persistent Threat),是高级持续性的意思,APT是黑客以窃取核心资料为目的,针对客户所发动的网络行为,是一种已久的“恶意间谍”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性,有的APT甚至可能潜伏长达数年。
例如暗鼠就是一次经典的APT。该在长达数年的持续过程中,渗透并了全球多达70个公司和组织的网络,包括美国、联合国、红十字会、武器制造商、能源公司、金融公司等,其过程如下:首先黑客通过社会工程学的方法收集被目标的信息,接着黑客给目标公司的某个特定人发送一些极具性的、带有附件的邮件,比如邀请他参加某个他所在行业的会议,或者以他同事或者HR部门的名义告知他更新通讯录等,当人打开邮件查看附件时,附件中的恶意代码激活人的Excel程序远程代码执行漏洞,从而在电脑中植入木马(当然被电脑修补了漏洞恶意代码就无法被执行),
如何及时甄别APT并进行防御呢?在大会上,中国网安提供了一个新思:在刑事案件中DNA测序技术大发神威,许多陈年旧案都是利用DNA测序技术锁定真凶的,那能不能在网络安全领域也使用DNA技术呢?绝大多数APT都要用到病毒木马,而不同病毒木马的编写代码都不一样,从中可以提取到独有的信息,然后给予一个独有的编码,以后碰到含有同类的信息,都算作一类。直白地说,刑事案件中的DNA测序技术用到的是独有的人体生理信息,网络安全中的DNA技术用到的是病毒木马独有的恶意代码信息。目前,中国网安正在尝试建成恶意代码DNA数据库,通过这个数据库可以快速定位APT的轨迹和源头。
在2016年第三届全球网络安全高峰论坛上,各位嘉宾踊跃分享并进行了思想碰撞,取得了如下共识:
1. 2017年软件将是最具危害的安全,特别是软件发现大家离不开手机且更愿意为手机数据付赎金后,针对Android平台的越发频繁,而不少用户对这种新式网络准备不足,从思想上、习惯上都没有应对的准备,极容易被黑客得手。
2.基于物联网的会暴增,特别是利用物联网设备发动DDoS,从操作上更加容易、安全厂商追踪更加困难,2017年此类很可能大规模出现。
3.随着数据价值的增高,黑客更青睐获取高价值人群的个人隐私,企业数据库是获取个人隐私的重要途径,因此数据泄露的安全事件在2017年将持续出现,且没有刹车的趋势。
声明:本文仅为传递更多网络信息,不代表ITBear观点和意见,仅供参考了解,更不能作为投资使用依据。
7月12日,广东省召开“广东省机关安网行动上半年工作暨安网6号专案收网行动”新闻发布会。
随着经济全球化、社会信息化的深入发展,各类创新要素实现了充分流动和优化配置,科技创新合作更加...
近日苹果中国推出了ApplePay大促销活动,在指定的店铺使用苹果支付可以享受到5折的优惠,还能得到50...
2017年7月14日,由广州市广告行业协会联合全球领先的新经济行业数据挖掘和分析机构“艾媒咨询...
每到年末,中国互联网巨头腾讯公司通常都会召集14位高管,精选日本的某个舒适的度假村或者硅谷某家酒店举行公司总办(最高管理层)会议。
据QuestMobile最新公布的2017年6月份数据显示,从整个出行行业来看,嘀嗒拼车仅次滴滴,成为出行行业第二巨头。再将出行行业细分,嘀嗒拼车已成为顺拼车行业的领头羊。
在共享经济高度发达的今天,各种名目的共享形式层出不穷,但倘若让你举出一两个例子来,我敢肯定,大多数人首先想到的一定是“摩拜单车”。在城市交通中,现在真的是没你不“橙”。
对于企业来说,发明专利的优势就是其核心竞争力。这一点在移动通信领域更是如此。专利的积累靠企业...
7月14日消息,据国外报道,今年晚些时候,苹果将在多达10亿部移动设备上安装增强现实软件,这将...
收到的大朋VR头盔E3包装盒看上去不小,但是拿到手中时却发现分量比看上去小多了。包装比较简单,整体是黑色和白的搭配,正面印有VR头盔的侧面。
7月11日-13日,由中国互联网协会举办的2017中国互联网大会(CIC)在国家会议中心召开,本届大会深...
2015年共享单车以“解决居民最后一公里出行问题”的宣传语正式进入消费者的视野。一开始...
7月13日,以“创赢未来新无止境”为主题的“文投会杯”第二届市文化创意创新创业大赛总决赛暨颁仪式在亦创会展中心举行。
7月14日,国内存储行业的领跑者深圳市江波龙电子有限公司(Longsys)率先发布目前世界上最小尺寸的NVM...
人工智能的风险讨论已经不再是新话题。在过去几年中,很多研究者提及了人工智能(以及与之紧密相关的...
空调新冷年还未开盘,奥克斯就提前出手抢夺头筹拿下京东超级品牌日的资格。