信息來源:企業(yè)網(wǎng)
現(xiàn)如今,整個世界被越來越多的連接起來,我們的日常生活對網(wǎng)絡(luò)的依賴也變得更高,網(wǎng)絡(luò)安全也變得更為重要。無論金融理財(cái)、網(wǎng)上購物、遠(yuǎn)程醫(yī)療、移動通信、云計(jì)算或者物聯(lián)網(wǎng),社會的發(fā)展讓越來越多的私人信息進(jìn)入網(wǎng)絡(luò)的世界。
變化過快的網(wǎng)絡(luò)攻擊,你能跟上節(jié)奏嗎?
而與此同時,網(wǎng)絡(luò)攻擊風(fēng)險正在加劇,黑客的威脅不斷變化。當(dāng)傳統(tǒng)的方式無法適應(yīng)現(xiàn)如今的網(wǎng)絡(luò)安全形勢時,公共部門和企業(yè)私營部門都在尋求采取積極的方式來應(yīng)對網(wǎng)絡(luò)安全。
相同的情況在歐洲也一樣,為了解決不斷變化的網(wǎng)絡(luò)安全威脅,歐盟相繼推出了SHARCS和PQCRYPTO兩個項(xiàng)目,利用開發(fā)新的安全模式、架構(gòu)和軟件來確保其ICT系統(tǒng)的安全性和可靠程度。
新的加密方法
現(xiàn)如今,大多數(shù)的網(wǎng)絡(luò)信息保護(hù)采用了有限域、橢圓離散對數(shù)曲線或者更為普遍的公鑰加密算法,也就是RSA算法。而這種算法自1977年發(fā)明至今一直在全球范圍內(nèi)使用,其確實(shí)為我們的網(wǎng)絡(luò)通信安全提供了更多的變化和保護(hù)。
RSA算法一般應(yīng)用過程
但是隨著社會的發(fā)展,我們對網(wǎng)絡(luò)的使用已經(jīng)不僅限于過去的手段,更為大量的使用,甚至量子計(jì)算機(jī)的出現(xiàn),這些都使得公鑰算法變得難以跟上時代的節(jié)奏。諸如健康記錄、國家安全機(jī)構(gòu)的機(jī)密信息等,其安全級別要求會更高。
當(dāng)存儲置于量子計(jì)算機(jī)時,那么過去所有的加密手段都將變得脆弱不堪。而目前,歐盟與部分國家聯(lián)手大力發(fā)展量子計(jì)算機(jī),韋德不僅僅是先一步得到領(lǐng)先技術(shù),也是為了更快找到應(yīng)對未來攻擊的手段,準(zhǔn)備應(yīng)對量子計(jì)算時代的網(wǎng)絡(luò)安全。
翻轉(zhuǎn)風(fēng)水攻擊翻出新花樣
網(wǎng)絡(luò)安全的威脅從來都是很難解決的。DDoS攻擊的威脅在奧運(yùn)期間還沒退熱,新的攻擊風(fēng)險就出現(xiàn)了。在8月USENIX 安全會議上,荷蘭的研究人員報(bào)告了一種基于Bug的非軟件攻擊技術(shù)來改變云虛擬機(jī)的內(nèi)存的攻擊手段,這種手段被稱為翻轉(zhuǎn)風(fēng)水攻擊( Flip Feng Shui,簡寫FFS)。
在演示過程中,攻擊者在受害者所使用的主機(jī)上租賃一個虛擬機(jī),利用合并相同內(nèi)存頁機(jī)制中所存在的比特翻轉(zhuǎn)bug來獲取被攻擊者打開虛擬機(jī)的公鑰,或者直接在不被發(fā)現(xiàn)的情況下安裝惡意軟件。
是1還是0?翻轉(zhuǎn)到傻傻分不清楚
而這種攻擊一旦發(fā)生,黑客不僅可以查看用戶數(shù)據(jù),還可以修改這些數(shù)據(jù)使得用戶產(chǎn)生硬件故障。而最終,黑客可以操縱服務(wù)器在未經(jīng)用戶授權(quán)登錄的情況下安裝惡意軟件或者不必要的軟件。
這次FFS攻擊中,研究人員成功獲取了被攻擊者虛擬機(jī)的公鑰;而另一個攻擊中,研究人員通過調(diào)整設(shè)置軟件管理應(yīng)用,并且對一個下載軟件的URL進(jìn)行了輕微的修改。然后,當(dāng)該軟件提示更新時,服務(wù)器就會對用戶的設(shè)備安裝惡意軟件了。
明天還要新威脅
顯然,現(xiàn)如今的網(wǎng)絡(luò)安全工作還有著很長的路需要走。在這個測試中,研究人員證明了從軟件到硬件的攻擊能力有多強(qiáng)悍。而對于FFS攻擊,黑客甚至可以在完全沒有漏洞的情況下實(shí)現(xiàn)端對端的網(wǎng)絡(luò)攻擊。
未來路還很長
而相應(yīng)的,為了減輕FFS攻擊的威脅,需要通過長時間測試和研究,創(chuàng)造一個可以達(dá)到硬件認(rèn)證和軟件需求適應(yīng)性的新方法。而且,我們的加密系統(tǒng)也難以滿足今天的需求,量子計(jì)算機(jī)研究加速的情況下,相應(yīng)的安全研究也應(yīng)該跟上時代的步伐。
隨著移動設(shè)備的發(fā)展,網(wǎng)絡(luò)安全的需求不僅僅是傳統(tǒng)行業(yè)。一個嚴(yán)密的網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該涵蓋包括云計(jì)算、大數(shù)據(jù)和物聯(lián)網(wǎng)等新生代行業(yè)。未雨綢繆,只為不再道高一尺,魔高一丈。