2016年12月21日,电脑报在三亚海棠湾成功举办了第三届2016年全球网络安全高峰论坛,一群网络安全领域的大咖云集三亚,畅聊威胁情报和、漏洞挖掘领域的热点话题,通过知识的碰撞和经验的升华,共同为全球网络安全做出一份贡献!
成果1:追寻勒索软件泛滥根源
2013年以前的勒索软件影响范围少则数人,多则几百人,不成气候,更多的是扮演吸引眼球的“小丑”角色,勒索软件的炮制者和传播者也无法靠这个赚多少钱。2013年之后,勒索软件逐渐采用了比特币为代表的虚拟货币的支付方式,不法分子拿到比特币之后再将比特币兑换为真实的货币(可以兑换成大多数国家的货币),其代表就是2013年臭名昭著的CryptoLocker,由于使用了比特币作为赎金,没有办法追查到幕后元凶。
这个先例一开,全球的不法黑客都将目光转移到勒索软件上,有专门编写代码的,有专门传播的,最终形成了一条龙服务,导致2013~2016年全球进入勒索软件横行的时代。在国内,勒索软件成为主流威胁是2015年——2015年2月,国内出现了一款名为CTB-Locker的勒索软件,攻击企业高管等商务人士,造成极为恶劣的影响。
除了比特币,在此次大会上MicroStrategy公司认为勒索服务平台、开源勒索软件也是最要的帮凶。以Tox的勒索服务平台为例,任何人通过注册服务都可创建一款勒索软件,在平台提供的管理面板中会显示感染数量、支付赎金人数以及总体收益,Tox平台收取赎金的20%。
成果2:专业检测才能挖出0day漏洞
2016年,因为漏洞导致的网络安全事件频发,例如2016年3月,全球有三分之二的网站服务器用的开源加密工具OpenSSL爆出“水牢漏洞”,这个漏洞允许黑客攻击网站并读取密码、信用卡账号、商业机密和金融数据等加密信息,国内有十万余家网站受到影响;5月,俄罗斯黑客利用漏洞俄国黑客盗取了2.723亿个电子邮箱账号和密码,其中包括4000万个雅虎邮箱、3300万微软邮箱以及2400万个谷歌邮箱……
可以说,0day漏洞(未公开只有黑客自己才知道的漏洞)是黑客攻城拔寨的“大炮”,没有它黑客根本无法窃取那么多敏感数据。在此次大会上,Samsung America公司分享了自己的研究成果:黑客不断挖掘0day漏洞,利用漏洞入侵数据库窃取数据,导致数据泄密事件频发。特别是在云时代,黑客不断收集用户数据,形成一个庞大的云数据库,利用已知的账户和密码可以不断尝试登录其他网站,从而获取账号和密码对应的所有网站,从而榨干数据的价值。企业安全不但要注重漏洞检测和修补,还要具备抵御云攻击的能力,即不允许大规模尝试账号登录的行为。
与会的威客安全展示了漏洞挖掘成果:应邀为拉手网进行渗透测试,在2个月时间共发现146个漏洞,其中高危漏洞69个;应邀为滴滴打车进行渗透测试,1个月时间挖掘85个漏洞,其中高危漏洞34个;为58同城进行渗透测试,1个月时间共挖掘110个漏洞,其中高危漏洞30个;应邀为有缘网进行渗透测试,5天共发现57个漏洞,高危漏洞24个;应邀为京东商城进行渗透测试,发现SQL注入、任意命令执行漏洞以及任意文件读取等高危漏洞,以上任何一个漏洞都可以控制京东所有线上业务……
此外,威客安全应邀为证监会网站进行安全检测时,常规检测方法没有发现漏洞,怎么办呢?他们想到一个特殊的方法——在特制闪存中植入一个特殊的程序,将闪存丢到证监会大楼外,有员工捡到闪存后将闪存插入电脑,闪存中的特殊程序立即就激活了,迅速控制电脑,如此一来就进入证监会的内网……上述威客安全挖掘的0day漏洞都已经得到及时修补,避免了被黑客利用。
与威客安全不同,中国网安(拥有国内最顶级的网络信息安全资质,形成了包括理论、算法、芯片、产品、系统、服务在内的完整的信息安全产业链)在工业控制系统领域的安全研究很有心得:中国网安具备自主发现工控漏洞,特别是高危漏洞的能力,中国网安的工控漏洞挖掘实验室自建的漏洞库覆盖了西门子、施耐德、GE、ABB、和利时和浙大中控等业内各主流工控厂商。
成果3:反APT攻击DNA数据库成形
APT(Advanced Persistent Threat),是高级持续性威胁的意思,APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击行为,是一种蓄谋已久的“恶意间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性,有的APT攻击甚至可能潜伏长达数年。
例如暗鼠攻击就是一次经典的APT攻击。该攻击在长达数年的持续攻击过程中,渗透并攻击了全球多达70个公司和组织的网络,包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司等,其攻击过程如下:首先黑客通过社会工程学的方法收集被攻击目标的信息,接着黑客给目标公司的某个特定人发送一些极具诱惑性的、带有附件的邮件,比如邀请他参加某个他所在行业的会议,或者以他同事或者HR部门的名义告知他更新通讯录等,当受害人打开邮件查看附件时,附件中的恶意代码激活受害人的Excel程序远程代码执行漏洞,从而在电脑中植入木马(当然被攻击电脑修补了漏洞恶意代码就无法被执行),
之后木马远程连接服务器,执行黑客的远程指令盗窃电脑的敏感数据。
如何及时甄别APT攻击并进行防御呢?在大会上,中国网安提供了一个新思路:在刑事案件中DNA测序技术大发神威,许多陈年旧案都是利用DNA测序技术锁定真凶的,那能不能在网络安全领域也使用DNA技术呢?绝大多数APT攻击都要用到病毒木马,而不同病毒木马的编写代码都不一样,从中可以提取到独有的信息,然后给予一个独有的编码,以后碰到含有同类的信息,都算作一类。直白地说,刑事案件中的DNA测序技术用到的是独有的人体生理信息,网络安全中的DNA技术用到的是病毒木马独有的恶意代码信息。目前,中国网安正在尝试建成恶意代码DNA数据库,通过这个数据库可以快速定位APT攻击的轨迹和源头。
电脑报观点:
在2016年第三届全球网络安全高峰论坛上,各位嘉宾踊跃分享并进行了思想碰撞,取得了如下共识:
1. 2017年勒索软件将是最具危害的安全威胁,特别是勒索软件发现大家离不开手机且更愿意为手机数据付赎金后,针对Android平台的攻击越发频繁,而不少用户对这种新式网络攻击准备不足,从思想上、习惯上都没有应对的准备,极容易被黑客得手。
2.基于物联网的攻击会暴增,特别是利用物联网设备发动DDoS攻击,从操作上更加容易、安全厂商追踪更加困难,2017年此类攻击很可能大规模出现。
3.随着数据价值的增高,黑客更青睐获取高价值人群的个人隐私,企业数据库是获取个人隐私的重要途径,因此数据泄露的安全事件在2017年将持续出现,且没有刹车的趋势。
