每年年关之际,各个研究机构、各大媒体等都会给出对未来技术趋势走向的N大预测。这些预测,有的是凭借经验总结提炼的,有的则完全是依靠猜想。而在严谨的网络安全领域,猜想是完全行不通的,必须依靠技术分析,调查数据,热点应用等实际情况进行预测。天融信攻防实验室依据大量的网络安全威胁统计数据,结合最新安全动态研究,预测了2012年会更加成熟流行的6大网络安全威胁及趋势。
目前关注传统威胁的人越来越少,新的安全威胁不断上演,且出现愈演愈烈的状况。去年,云计算、移动互联网等新技术得到了广泛认可和大量应用,年底上演的“泄密门”事件,也将让2012年网络安全话题的热度继续飙升。对2012网络安全趋势的预测也必将以新技术发展为核心。到底2012将会上演怎样的安全大片,我们只能拭目以待。
1、移动设备成为攻击者的新目标
随着智能终端设备和3G网络的快速发展,人们依赖于这些设备的时间越来越多,交换的数据也越来越重要,如网络聊天、收发邮件、炒股、网银交易等等。黑客的攻击范围从单纯的互联网开始转向物联网。我们的智能手机、平板电脑等移动设备已经逐步成为了黑客的攻击目标。其中Android 和iOS木马成为黑客的最爱。在西欧的某地下黑客论坛里,一个Android木马程序卖到了天价1000欧元一份。而各种插件更是泛滥无比。在国内某几家大型手机软件下载站,在我们研究过程中曾随机下载了30多个Symbian、Android的软件来做测试,其中发现被捆绑后门的程序高达65%。所以,这些智能移动设备已经成为黑客们攻击的新目标。
随着移动设备的普及度提高,人们日常行为动作也会像移动设备转移。目前,主流的苹果与安卓两大阵营不光在硬件设备上下足了功夫,在其所支持的应用软件上也以惊人的速度增长着,安卓市场的应用下载量已经超过100亿次,安卓市场与苹果iTunes中的应用软件成了黑客们关注的目标,特别是一些及其简陋的应用软件,黑客们可以通过这些简陋的应用软件存在的漏洞获取移动设备上的敏感信息。
2、社会关系虚拟化时代的隐私泄漏
在云计算时代,用户在享受到前所末有的便利同时,个人信息和隐私也面临着巨大威胁。互联网行业中,无论是搜索引擎,广告还是数据库营销,都以把投放达到的范围精准和最终达成效果作为定价和付费的标准。而作为个人的那些不希望被人知晓的个人隐私信息,无论是居住地址,个人收入,爱好还是消费习惯,都将聚沙成塔,成为构成其个人综合信息的数据库。
2011年7月,韩国SK通讯公司承认,旗下的门户网站Nate和社交网站Cyworld被黑客攻击,泄露了韩国70%公民信息,被盗取的用户信息非常详尽,包括电话号码、身份证号、生日、电子邮箱地址,甚至是血型。而在社交网站Cyworld中,还有大量用户的照片、生活记录等,大量网民的信息泄露带来的损失我们是无法想象的。在国内,珍爱网、百合网、世纪佳缘等社交网站的数据库被窃取,并在地下市场以低廉的价格出售。
在2012年SNS网络中大量的有价值数据,包括隐私数据和社交关系,将会成为攻击者攻击的新目标。如何有效的制定隐私控制策略,实时的保护好用户的虚拟信息已刻不容缓。
3、Clickjacking蠕虫攻击爆发几率增大
SNS网络是蠕虫爆发的沃土,先前的新浪微博XSS蠕虫已经给了我们警示。Clickjacking攻击也是Web攻击的一种,但国内大多数SNS网络社区并没有对这种攻击进行防御。在SNS这种特有的网络环境下,Clickjacking也会爆发蠕虫攻击。2011年经我们研究发现,Google存在Clickjacking漏洞,并且可以通过蠕虫传播,蠕虫一旦被恶意利用,攻击危害将不亚于传统的XSS和CSRF蠕虫,将会对社区网站造成严重后果。
我们有理由相信,在2012年这种新的蠕虫攻击行为爆发的几率将增大。
4、无线网络攻击增加
随着无线的普及应用,各种各样的无线接入越来越多,再加上平板电脑和智能终端的大众化,无线安全应该是安全领域的新天地。随着联通和移动为用户提供了免费的Wi-Fi上网服务,将会推进更多的用户使用无线网络。但是,由于没有任何的安全隔离,使用户都属于一个VLAN ,恶意攻击者可以抓包获取到用户的cookie 、session 等信息,从而登录用户的账户,有可能是某人的社交网站账户、有可能是他在某个论坛的账户,亦或是他的电子邮件。如果用户登录了一些敏感地址(比如说OA),账户被截取后带来的损失是不可弥补的。
目前经过我们的研究发现,国内很多机场、酒店等免费提供的Wi-Fi热点都存在严重安全隐患,大都是采用了WEP和WPA等易破解的加密方式,在进入内部网络后,通过嗅探可以轻易获得敏感数据。在我们的安全测试中,国内8大机场都存在无线安全设计方面的缺陷及漏洞,80%是可以破解的。
在针对某大型运营商客户的一次安全项目中,我们做过一个授权测试,通过连接运营商提供的无线网络进行数据分析,可以成功获得大量用户的cookie和session,也有少许邮件信息,通过这些信息可以非常方便的伪造cookie,来进行未授权的操作。由于无线是一个相对开放的环境,将导致恶意攻击者可以在一定物理范围内攻击无线网络系统。
大量的弱加密无线源的出现以及无线攻击的不断傻瓜化、工具化,将导致无线网络更容易遭受恶意攻击。我们相信,2012年,这种攻击会进一步不断持续增长,攻击的技术要求难度也在不断下降,无线将是信息安全领域下一个关注的重点。
5、钩鱼及社会工程学攻击进一步泛滥
网络上,随着网络购物和交易的越来越频繁,以及网络实名制的不断扩大,将会在网络中出现更多的钓鱼网页,欺骗普通大众,直接造成个人信息泄漏,包括银行帐号、密码、身份证信息等。电子商务、团购网站的盛行,网络上超低的礼品价格,优惠的假日折扣,网上银行和信用卡有尝消费返券、送礼等信息都充满了诱惑。
近一段时间,团购网站成为黑客进行“网络钓鱼”的新宠,因为很多网民已经习惯了在团购网站购买价廉物美的商品,同时这些资金都是直接打入“团购网站”账户,缺乏第三方监管,很容易成为窥测的对象。据中国反钓鱼网站联盟的统计分析表明,当前钓鱼网站的发展呈现出“对象分散”、“手段多样”、“黑色利益链”三大特点。
从钓鱼网站的类型来看,2011年前11个月的数据佐证了钓鱼网站具有明显的“对象分散”特点。比如,与元旦、春节、端午等节假日相关的旅游、票务、酒店、景点等网站钓鱼现象陡增;而在高考结束、暑假来临的6月、7月,查分、网游、教育培训等网站成为钓鱼“新宠”;10月迎来国庆,电子商务网络钓鱼现象升温。我们认为,从早先单一的仿冒淘宝、腾讯等电子商务网站,到仿冒中国银行、工商银行等银行网站,再到针对证券、旅游、团购、票务等各类网站,甚至最近的网游、保险、教育、培训等各类网站的网络钓鱼,不法分子制作钓鱼网站的对象并不是完全集中在一类或几类网站上,随着用户关注热点的转移,钓鱼网站也呈现出较强的热点轮动趋势。
从钓鱼手段来看,今年上半年以来,假冒钓鱼网站出现了很多新招数,钓鱼手段多样化趋势明显。从传统的电话、传真到邮件、QQ、MSN等即时通讯软件弹窗,再到社交网站、微博,越来越多的网络交流平台载体成为了不法分子传播钓鱼网站网址,诱使网民上当受骗的重要工具。
我们预计2012年,还会出现一些更加匪夷所思的钓鱼新招。
6、APT攻击成熟化
典型的APT攻击实例就是2009年恶意攻击者针对Google 的Aurora Attack ,Google的一名雇员点击即时消息中的一条恶意链接从而引发了一系列事件,导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。在2年后的今天,APT攻击变得越来越复杂和成熟,攻击者可能只需要目标公司员工的一次点击就能获得目标公司的内网权限。比如说一个精心构造的网页、一个Word文件、一个PDF文档、一封电子邮件。APT攻击过程可以分为2类,一类是以获取数据为目的的攻击,比如:Aurora攻击、Sony数据泄露,以及最近国内CSDN数据库的泄漏等。另外一种就是破坏性攻击,比如说大名鼎鼎的Stuxnet,造成机器及设备瘫痪等后果。他们的共同点都是:攻击者长时间潜伏在你的机器或内网,关键时刻给予致命一击。
在2011年3月份EMC公司在网站上一封写给用户的公开信中,RSA执行董事Art Coviello发表了声明说RSA正遭遇APT攻击,而且某些特定信息已经被从RSA系统中提取出来。这些信息有些是与RSA的SecurID双因素认证产品非常相关的 。在2011年8月份,McAfee和Symantec公司发现并报告了Operation Shady RAT,该攻击从2006年启动,在长达数年的持续攻击过程中,渗透并攻击了全球多达72个公司和组织的网络,包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司等等。
已知遭受入侵的机构/企业比例:
–CSI 《2010/2011 Computer Crime and Security Survey》
–41.1%的机构/企业遭遇到了计算机安全事件,9.1%无法确定
有目的性的攻击事件比例:
–CSI 《2010/2011 Computer Crime and Security Survey》
–21.6%的安全事件是有目的性的攻击事件,24.0%无法确定
从大量的统计数据和分析来看,APT攻击在今年一直在持续的增长和发生,已引起了全球范围内政府及组织的关注。可以预见的是,在2012年,这种持续性的攻击将会越来越系统化及成熟化,该攻击造成的影响也将越来越大,发生的频率及范围也会更大更广。
