信息來源：FreeBuf 

2016年已經(jīng)過去了一半，全球的安全性問題一直備受關(guān)注，漏洞和泄露事件的披露始終占據(jù)媒體的頭條榜首。說起今年以來的重大安全事件，不知道你腦海里浮現(xiàn)的是哪幾起？

Dark Reading 年中數(shù)據(jù)泄露報(bào)告內(nèi)容如下：

NO.1 烏克蘭“電力門”

烏克蘭攻擊事件實(shí)際發(fā)生于2015年12月底，而針對(duì)烏克蘭“電力門”事件的主要報(bào)道及分析結(jié)果則出現(xiàn)于2016年第一季度。

2016年1月4日，ESET公司就發(fā)表文章稱，烏克蘭境內(nèi)的多家配電公司設(shè)備中監(jiān)測(cè)到的KillDisk，由此懷疑使用了BlackEnergy后門，攻擊者能夠利用它來遠(yuǎn)程訪問并控制電力控制系統(tǒng)。由于此事件是針對(duì)電力設(shè)備的攻擊，對(duì)于國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的安全性具有非比尋常的意義，故存在巨大的風(fēng)險(xiǎn)。

烏克蘭電網(wǎng)攻擊事件帶來的教訓(xùn)

據(jù)專家分析，本次事故中的網(wǎng)絡(luò)攻擊手段包括三種：其一，利用電力系統(tǒng)的漏洞植入惡意軟件；其二，發(fā)動(dòng)網(wǎng)絡(luò)攻擊干擾控制系統(tǒng)引起停電；其三，干擾事故后的維修工作；

針對(duì)此次烏克蘭電網(wǎng)攻擊事件，得出如下教訓(xùn)：

1.安全防護(hù)體系存在漏洞，網(wǎng)絡(luò)隔離不足。烏克蘭各類公司間為了發(fā)、輸、配電業(yè)務(wù)的通信和控制便利，通過互聯(lián)網(wǎng)連接，控制類與非控制類系統(tǒng)未進(jìn)行物理隔離。

2.網(wǎng)絡(luò)安全監(jiān)測(cè)不力。網(wǎng)絡(luò)安全監(jiān)測(cè)可以有效的發(fā)現(xiàn)攻擊行為，阻止攻擊進(jìn)行，避免損失。烏克蘭電網(wǎng)的攻擊者進(jìn)行了長(zhǎng)達(dá)6個(gè)月的“潛伏”，在幾個(gè)月時(shí)間當(dāng)中，他們進(jìn)行了廣泛的網(wǎng)絡(luò)偵察、探索與映射工作，并最終獲得了訪問Windows域控制器以管理網(wǎng)絡(luò)內(nèi)用戶賬戶的能力。以此為基礎(chǔ)，他們收集到相關(guān)員工登錄憑證以及部分工作用VPN以遠(yuǎn)程登錄至該SCADA網(wǎng)絡(luò)，并逐步實(shí)施后續(xù)攻擊計(jì)劃。此次黑客成功入侵電網(wǎng)，烏克蘭電力卻未發(fā)現(xiàn)攻擊行為，可謂監(jiān)測(cè)不到位。

3.網(wǎng)絡(luò)和信息安全意識(shí)淡薄。事件發(fā)生前，國(guó)際安全機(jī)構(gòu)曾對(duì)烏克蘭電力機(jī)構(gòu)發(fā)布預(yù)警信息，但未引起重視。黑客通過郵件偽裝而成功誘騙烏克蘭電力工作人員運(yùn)行惡意程序，說明其電力工作人員網(wǎng)絡(luò)安全意識(shí)淡薄。

4.不間斷電源（UPS）同樣需要安全防護(hù)。烏克蘭電網(wǎng)攻擊中，攻擊者對(duì)提供后備電力的不間斷電源（簡(jiǎn)稱UPS）進(jìn)行了重新配置，隨后通過被劫持的VPN接入到SCADA網(wǎng)絡(luò)，并發(fā)送命令以禁用已經(jīng)被重新配置的UPS系統(tǒng)。此行為，加重了烏克蘭攻擊事件的受災(zāi)度，所以UPS的安全防護(hù)同樣不容忽視。

5.警惕不斷涌現(xiàn)的攻擊新技術(shù)。參加相關(guān)調(diào)查工作的烏克蘭與美國(guó)計(jì)算機(jī)安全專家們指出，攻擊者們覆寫了16座變電站的關(guān)鍵性設(shè)備固件，這些惡意固件在十幾座變電站中成功通過串行到以太網(wǎng)轉(zhuǎn)換機(jī)制取代了合法固件（該轉(zhuǎn)換機(jī)制負(fù)責(zé)處理來自SCADA網(wǎng)絡(luò)并用于控制變電站系統(tǒng)的命令）。

安全專家表示：

“這種針對(duì)特定目的的惡意固件更新（指向工業(yè)控制系統(tǒng)）此前從未出現(xiàn)過，從攻擊的角度來看，這絕對(duì)是種天才之舉。我的意思是，他們雖然目的邪惡，但手段確實(shí)非常高明?！?/span>

No.2勒索軟件風(fēng)頭日盛

勒索軟件近年來持續(xù)活躍，有關(guān)勒索軟件的新聞已經(jīng)超過APT攻擊，成為2016年的主要話題。根據(jù)卡巴斯基實(shí)驗(yàn)室的惡意軟件報(bào)告表明，Q1季度檢測(cè)到2,900種最新的勒索軟件變種，較上一季度增加了14%。現(xiàn)在，卡巴斯基實(shí)驗(yàn)室的數(shù)據(jù)庫包含約15000種勒索軟件變種，而且這一數(shù)量還在不斷增加。

2016年第一季度，卡巴斯基實(shí)驗(yàn)室安全解決方案共攔截了372,602次針對(duì)用戶的勒索軟件攻擊，其中17%針對(duì)企業(yè)用戶。遭遇攻擊的用戶數(shù)量同2015年第四季度相比，增加了30%。

2016年第一季度排名前三位的勒索軟件分別為：Teslacrypt(58.4%)、CTB-Locker (23.5%) 和 Cryptowall (3.4%)。這三種惡意軟件主要通過包含惡意附件的垃圾郵件或指向受感染網(wǎng)頁的鏈接進(jìn)行傳播。

1.TeslaCrypt

TeslaCrypt勒索軟件瞄準(zhǔn)的主要是游戲平臺(tái)的玩家們，被盯上的游戲平臺(tái)包括使命召喚、暗黑破壞神、異塵余生、Minecraft、魔獸爭(zhēng)霸、F.E.A.R、刺客信條、生化危機(jī)、魔獸世界、英雄聯(lián)盟以及坦克世界等。TeslaCrypt利用Flash Player漏洞（CVE-2015-0311）或者一個(gè)古老的IE瀏覽器漏洞將TeslaCrypt勒索軟件植入目標(biāo)系統(tǒng)上。然后對(duì)受害者文件進(jìn)行加密，勒索贖金。

2.CTB-Locker

2015年5月1日，名為“CTB-Locker”的比特幣敲詐病毒在國(guó)內(nèi)爆發(fā)式傳播，該病毒通過遠(yuǎn)程加密用戶電腦文件，從而向用戶勒索贖金，用戶文件只能在支付贖金后才能打開。反病毒專家稱，目前國(guó)內(nèi)外尚無法破解該病毒。

3.Cryptowall

Cryptowall 擁有一系列的惡意勒索軟件，一旦受害者感染了這些病毒，它們會(huì)立即對(duì)機(jī)器上的所有文件加密。病毒感染受害者機(jī)器的方式有：通過看似合法的附件和通過硬盤本身存在的惡意程序。Cryptowall自2013年出現(xiàn)以來，不斷的更新變化，到目前為止已經(jīng)更新到Cryptowall 4.0版本。該版本的Cryptowall結(jié)合地下市場(chǎng)上最強(qiáng)大的入侵開發(fā)工具——核開發(fā)組件（Nuclear exploit kit）。

No.3 醫(yī)院勒索

說起勒索軟件，今年來，醫(yī)院應(yīng)該是最大的受害者。畢竟與商業(yè)機(jī)構(gòu)相比，醫(yī)院對(duì)于系統(tǒng)安全性的要求更高，更需要保持救護(hù)系統(tǒng)的正常運(yùn)行，以確保其病人的健康，也正是如此，醫(yī)院成功吸引了攻擊者的目光。其中最聳人聽聞的攻擊應(yīng)該是發(fā)生在2016年3月的，針對(duì)美國(guó)好萊塢長(zhǎng)老會(huì)醫(yī)院的攻擊，最終該醫(yī)院支付了高達(dá)1.7萬美元 的贖金，重新恢復(fù)被勒索軟件鎖定的文件。

更多醫(yī)院受災(zāi)

Methodist醫(yī)院在3月18日遭受勒索軟件攻擊，在接下來五天都處于“緊急狀態(tài)”，隨后他們報(bào)告稱解決了這個(gè)問題，沒有支付任何贖金。

3月，美國(guó)加州兩家醫(yī)院被勒索：Chino Valley醫(yī)療中心和Desert Valley醫(yī)院—這兩家醫(yī)院都屬于醫(yī)院管理公司Prime Healthcare Services；該公司發(fā)言人稱，這兩家醫(yī)院都沒有支付贖金，并且沒有病人數(shù)據(jù)被泄露。

3月，加拿大渥太華的一家醫(yī)院被勒索軟件攻擊。該醫(yī)院沒有支付贖金，而是隔離系統(tǒng)、清理驅(qū)動(dòng)器并從備份恢復(fù)來解決問題。

另外， Ruby Memorial醫(yī)院也受到“惡意軟件或病毒”攻擊，但醫(yī)院發(fā)言人稱該攻擊并不是瞄準(zhǔn)病人和員工數(shù)據(jù)，也沒有企圖竊取數(shù)據(jù)。

網(wǎng)絡(luò)安全公司CrowdStrike公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Dmitri Alperovitch表示：

“醫(yī)院不是唯一的受害者，我們看到很多行業(yè)（包括醫(yī)療保健、州政府和地方政府、中小企業(yè)和大型企業(yè)等）遭受勒索軟件攻擊。根據(jù)網(wǎng)絡(luò)威脅聯(lián)盟的報(bào)告顯示，勒索軟件估計(jì)造成總共約3.25億美元的損失，但在現(xiàn)實(shí)中，這個(gè)數(shù)據(jù)可能遠(yuǎn)遠(yuǎn)不止于此。”

No.4 蘋果“加密門”

2016年可不只有持續(xù)不斷的攻擊和漏洞事件，還有震動(dòng)全球的FBI與蘋果的”加密之爭(zhēng)“，該事件對(duì)全球的司法及社會(huì)都產(chǎn)生了深遠(yuǎn)的影響。

FBI與蘋果：隱私之戰(zhàn)

2015年的12月，美國(guó)加州圣貝納迪諾（San Bernardino）發(fā)生了一起嚴(yán)重的恐怖襲擊事件，被警察射殺的兇手Farook留下了一支被密碼鎖屏的iPhone 5c。這就是引起這場(chǎng)“加密之爭(zhēng)”的導(dǎo)火索。回顧本次事件，我們可以概括為：FBI想要讓蘋果解鎖一部恐怖分子的iPhone，但是遭到了拒絕。然后FBI想通過法院來讓蘋果妥協(xié)，但是最終 在開庭的前一天，F(xiàn)BI通過第三方的幫助成功解鎖了iPhone，并放棄了起訴。

資深政策顧問Ross Schulman表示：

“這不僅僅是一部iPhone的問題······這關(guān)系到我們所有的軟件和數(shù)字化設(shè)備，如果聯(lián)邦調(diào)查局尋求的先例得以實(shí)現(xiàn)，那將對(duì)我們?nèi)粘Ｊ褂玫氖謾C(jī)和電腦的可靠性，造成真正的災(zāi)難，我們一直相信那些公司是出于保護(hù)我們的安全考慮而升級(jí)各類軟件，但倘若它們只是為了給我們的安全埋下隱患，那我們更情愿不要升級(jí)。”

美國(guó)東北大學(xué)的計(jì)算機(jī)科學(xué)與法律教授Andrea M. Matwyshyn在舒爾曼的看法上做了延伸，她說道:

“現(xiàn)眾多科技公司研發(fā)更強(qiáng)的安全性保護(hù)，并將其作為產(chǎn)品新特征，是因?yàn)槿缃裆矸荼I竊愈發(fā)猖狂，用戶擔(dān)心身份信息被竊。通過加強(qiáng)安全性，我們就能夠與更嚴(yán)重的犯罪抗?fàn)?，防止它們的發(fā)生。因此，這是一場(chǎng)關(guān)于應(yīng)該以防止新型犯罪還是傳統(tǒng)犯罪的激烈討論?！?/span>

未來，隱私加密之路將何去何從，我們只能拭目以待了……

No.5 IRS（國(guó)稅局）稅務(wù)欺詐事件

2015年5月，美國(guó)稅局(IRS)遭遇黑客攻擊，10萬名左右美國(guó)公民賬號(hào)的登錄權(quán)限被盜，不過伴隨著調(diào)查的不斷深入，這個(gè)數(shù)字在不斷增長(zhǎng)。去年8月，受影響納稅人數(shù)量已經(jīng)增至22萬，而未被登錄但也涉及其中的納稅人數(shù)量也增至17萬?，F(xiàn)在，這個(gè)數(shù)字已經(jīng)增長(zhǎng)到了可怕的70萬。

國(guó)稅局可能是收集美國(guó)公民信息最多的聯(lián)邦政府部門，黑客這一舉動(dòng)嚴(yán)重威脅到公民隱私和財(cái)物安全。參議院財(cái)政委員會(huì)主席Orrin Hatch對(duì)這份報(bào)告表達(dá)了極度的擔(dān)憂，他害怕IRS大量的數(shù)據(jù)泄露將讓辛勤工作的納稅人遭遇新的欺詐。

而事實(shí)證明，大量數(shù)據(jù)泄露確實(shí)帶來了更為嚴(yán)重的稅務(wù)欺詐事件。其實(shí)早在2014年3月就曝出退稅資金被盜取事件，攻擊者獲取這些美國(guó)公民信息后，可以修改退稅信息，將退稅資金直接存到自己的銀行賬戶。

國(guó)稅局估計(jì)，在2013年就有納稅人和犯罪分子利用虛假材料騙取58億美元的退稅款。2014年被騙取的退稅款高達(dá)5000萬美元。更為嚴(yán)重的是，遭竊取的信息是納稅人的永久信息，在未來仍能繼續(xù)用來騙取退稅。

此外，泄露的信息還被用于釣魚攻擊，針對(duì)納稅人實(shí)施釣魚欺騙，冒充IRS人員騙取納稅人資產(chǎn)，造成大量資金損失。

美國(guó)國(guó)稅局提醒民眾，警惕電話釣魚詐騙

No.6 SWIFT系統(tǒng)風(fēng)波

從去年開始，世界范圍內(nèi)使用SWIFT系統(tǒng)的銀行相繼被曝出盜竊案件，從2015年1月的厄瓜多爾銀行損失1200萬美元，10月的菲律賓銀行，到今年2月孟加拉國(guó)央行曝出被盜竊8100萬美元，隨后第二家及第三家銀行（也是最初受害者）被黑的消息被公開。5月菲律賓一家銀行又被盜，這次他們又造成烏克蘭銀行上千萬美元的損失。

黑客利用SWIFT系統(tǒng)攻擊全球銀行系統(tǒng)線路圖

一系列的案件逐漸引起了人們對(duì)SWIFT系統(tǒng)的關(guān)注，并對(duì)SWIFT系統(tǒng)的安全性打上了問號(hào)。而針對(duì)這些攻擊事件，SWIFT與2015年5月27日宣布了新的客戶方案，以加強(qiáng)針對(duì)網(wǎng)絡(luò)威脅的安全防護(hù)：

全球范圍內(nèi)信息共享，實(shí)現(xiàn)客戶事件的快速反饋，提升網(wǎng)絡(luò)防護(hù)能力；

提升SWIFT相關(guān)工具的安全性；

提供審計(jì)框架，制定相關(guān)的審計(jì)標(biāo)準(zhǔn)和認(rèn)證程序，在客戶現(xiàn)場(chǎng)進(jìn)行安全管理；

 增加針對(duì)支付模式的安全監(jiān)控；

加強(qiáng)第三方供應(yīng)商的安全支持。

No.7 SSL DROWN

 

2016年3月，國(guó)外研究人員發(fā)現(xiàn)OpenSSL出現(xiàn)新的安全漏洞“DROWN”，全稱是 Decrypting RSA with Obsolete and Weakened eNcryption，即“利用過時(shí)的脆弱加密算法來對(duì)RSA算法進(jìn)破解”。據(jù)OpenSSL安全公告，DROWN是一種跨協(xié)議攻擊，如果服務(wù)器使用了SSLv2協(xié)議和EXPORT加密套件，那么攻擊者就可利用這項(xiàng)技術(shù)來對(duì)服務(wù)器的TLS會(huì)話信息進(jìn)行破解。

攻擊者可利用這個(gè)漏洞破壞網(wǎng)站加密體系，發(fā)起“中間人劫持攻擊”，從而竊取HTTPS敏感通信，包括網(wǎng)站密碼、信用卡帳號(hào)、商業(yè)機(jī)密、金融數(shù)據(jù)等。據(jù)統(tǒng)計(jì)，該漏洞影響了全世界多達(dá)1100萬個(gè)HTTPS網(wǎng)站，其中包括雅虎、阿里巴巴、新浪微博、新浪網(wǎng)、360、BuzzFeed、Flickr、StumbleUpon 4Shared 和三星等知名網(wǎng)站。 

漏洞檢測(cè)：

安全無小事，雖然 DROWN 漏洞直接利用成本較高，降低了被攻擊的風(fēng)險(xiǎn)，但是如果有其他漏洞配合 DROWN 漏洞進(jìn)行組合攻擊，危害將不可預(yù)期。

DROWN研究團(tuán)隊(duì)提供了在線檢測(cè)，方便了用戶自行檢查，檢測(cè)地址為：

https://test.drownattack.com/

如果你是一名技術(shù)人員，還可以利用一些漏洞檢測(cè)腳本，比如：

OpenSSL提供的檢測(cè)腳本：

https://mta.openssl.org/pipermail/openssl-dev/2016-March/005602.html

DROWN Scanner：

https://github.com/nimia/public_drown_scanner#drown-scanner

不過，這些檢測(cè)方法并不是百分之百準(zhǔn)確的，都存在誤報(bào)或漏報(bào)的可能。

DROWN漏洞也許不如Heartbleed漏洞的影響范圍廣，也比Heartbleed更難理解。但從攻擊模式看DROWN可以被動(dòng)收集加密信息、并在之后再展開在線攻擊，DROWN攻擊并不要求在信息傳輸時(shí)展開在線攻擊，也即DROWN可以攻擊離線的加密信息，因此DROWN可以解密之前被認(rèn)為堅(jiān)不可破的TLS流量，DROWN的影響和潛在威脅其實(shí)遠(yuǎn)超出預(yù)想。

以上為Dark Reading總結(jié)的2016上半年最重大的安全事件，您想到的是這些嗎？當(dāng)然，2016上半年發(fā)生的安全大事件肯定不僅于此，您眼中的最大威脅的安全事件是哪些？歡迎與小編一起交流哦~

* 原文鏈接：darkreading，F(xiàn)B小編米雪兒編譯，轉(zhuǎn)載請(qǐng)注明來自FreeBuf黑客與極客（FreeBf.COM）