2017年,“永恒之蓝”搅得全球互联网鸡犬不宁,许多国家遭受损失。而国内,《网络安全法》的出台,也让网络安全变得有法可依。
黑客们一直都在寻找新的攻击目标,也一直都在改良用于攻破网络防御的工具。以下是今年需要特别关注的重大网络安全威胁。
更多的海量数据泄漏事件
2017年,信用报告机构Equifax遭到黑客攻击,导致美国近一半公民的社会保险号、出生日期和其他数据被盗,这一事件分明是在提醒大家,黑客的野心越来越大。2018年,保存大量敏感信息的公司可能会成为黑客的下一个攻击目标。《未来的犯罪》(Future Crimes)一书的作者兼网络安全专家马克•古德曼(Marc Goodman)认为,那些掌握着大众个人网页浏览习惯信息的数据中介公司将会首当其冲。马克•古德曼称,“这些公司处于无人监管的状态,一旦一家公司泄露了信息,很快就会全军覆没。”
勒索云端
过去的一年里,勒索软件泛滥成灾,攻击目标包括英国国家医疗保健服务、旧金山的轻轨网络以及联邦快递等大型商业公司。勒索软件是一种相对较简单的恶意软件,攻破网络防御后,利用强加密手段锁定计算机文件。然后黑客会索要赎金,以换取数字密钥解锁数据。受害者通常都会支付赎金,尤其是在被加密的数据没有备份的情况下。
这种软件在犯罪黑客中大受欢迎,他们通常都喜欢要求受害者支付难以追踪的加密数字货币。诸如WannaCry的这类恶意软件还可能会破坏成千上万台计算机。2018年黑客攻击的一个重大目标将是云计算业务,这里存储着海量的企业数据。有些黑客还会攻击消费类服务,如电子邮件和相册。像谷歌、亚马逊、IBM这样的大型云服务运营商早已聘请了数字安全领域的杰出人才,以防黑客攻入。但小型企业抵御攻击的能力比较弱,哪怕是规模不大的攻击也可能让发出攻击的黑客赚个盆满钵满。
人工智能武器化
今年将会出现人工智能技术驱动的军备竞赛。网络安全公司和研究人员已经在利用机器学习模型、神经网络以及其他人工智能技术,以实现更好地预测新攻击并发现正在进行的攻击行为。黑客也很有可能利用同样的技术进行反击。迈克菲公司的首席技术官史蒂夫•格罗伯曼(Steve Grobman)解释道,“不幸的是,人工智能成为了黑客攻击的工具,他们会借以获得更高的投资回报率。”
其中一个典型案例就是鱼叉式网络钓鱼,这种攻击会定向选择攻击目标,利用电子信息诱导受害者安装恶意软件或者共享敏感数据。现在的机器学习模型在撰写可信的假信息方面几乎可以与人工媲美,因此可以不费吹灰之力就炮制出海量信息。黑客会利用这一技术发动更多的钓鱼攻击行动。而且黑客还可能会利用人工智能设计出更擅长欺骗“沙盒”的恶意软件。所谓沙盒是一种安全程序,可以在恶意软件部署到企业系统里之前就发现其中的恶意代码。
网络物理攻击
2018年,越来越多的黑客攻击将会瞄准电网、交通系统以及各国的关键基础设施。一些黑客攻击可能会立即引起瘫痪,而一些黑客攻击可能会使用勒索软件劫持关键系统,威胁受害者如果不尽快支付赎金就会造成严重破坏。今年,研究专家以及黑客们很可能会在旧飞机、火车、船舶以及其他容易被攻击的交通工具中发现更多网络防御系统漏洞。
挖掘加密数字货币
一直以来,黑客们,包括据称来自朝鲜的黑客在内,都在以比特币以及其他数字货币的持有者为攻击目标。但在2018年,最大的威胁并不是加密数字货币被窃取,而是计算机处理能力被窃取。
挖掘加密数字货币需要强大的计算能力解决复杂的数学问题。正如我的同事迈克•奥克特(Mike Orcutt)所指出的,这种方式简直就是在鼓励黑客侵入上百万台电脑,让它们为自己挖掘加密货币。最近的此类攻击事件也并不鲜见,从攻击阿根廷星巴克公共Wi-Fi到攻击俄罗斯石油管道公司计算机,无一不是如此。随着数字货币挖掘机器的增加,在此诱惑下黑客们也会对计算机网络发动更多攻击。如果黑客的攻击目标是医院、机场以及其他敏感场所,那由此带来的间接损失将引人深忧。
攻击大选(又来!)
各国大选面临的威胁并非只有假新闻,还包括黑客对投票系统的攻击。我们现在已经知道在2016年美国总统大选之前,俄罗斯黑客的确曾对美国多个州的投票系统进行攻击。随着美国11月中期选举的时间越来越近,政府官员一直在努力修补系统漏洞。但认准了目标的黑客们依然有许多其他的攻击方向,比如电子选民名单、投票机以及用于核对和审计结果的软件等。
2018年,各种网络安全威胁愈加增多,与之相应的,对于未能有效应对网络攻击的企业,惩罚也会越来越重。5月25日,欧盟《一般数据保护条例》将会在欧洲生效。这是20多年来该地区首次对数据保护规则进行重大的全面改革。《一般数据保护条例》规定企业要向监管机构上报数据泄漏事件,通知消费者他们的信息被窃取,而且必须是在发现泄漏的72小时之内。未能遵守规定的企业将会面临高达2000万欧元或者占公司全球收入4%的罚款,取两者中金额较高的一个。
在最近的报道中,Uber去年就掩盖了一起重大的网络攻击事件,引发外界呼吁,要在美国加强数据泄露披露法规。所有这一切意味着,2018年,律师和黑客们都有的忙了。
通过手机进行支付
一款Nest智能恒温器
亚马逊的Alexa智能音箱。
黑客攻击方法和技术不断精进。
维护网络安全就像一场猫捉老鼠的游戏——随着网络安全专家一次次地进行安全升级,黑客也在不断精进攻击方法和技术。如果想要了解黑客网络犯罪的策略演变和发展趋势,那就绝不能错过每年的黑帽大会和DefCon黑客大会。这两场一年一度的行业盛会堪称信息安全领域的风向标,看客能从中一窥网络安全犯罪的新趋势。
今年,智能手机后端攻击、物联网攻击和声音伪装攻击成为三大热点安全话题。知己知彼,才能更好地防范网络攻击,下面让我们来看看黑客的最新招数。
美国当地时间8月4日-9日,一年一度的2018黑帽大会于拉斯维加斯拉开帷幕。在这场公认顶级的全球信息安全行业盛会上,来自世界各地的信息安全专家、黑客、政府人员、安全厂商齐聚一堂,共同分享最新的网络安全技术资讯、攻防手法以及网络安全产品与方案。
DefCon黑客大会紧随其后于10日召开,大会云集全球知名网络安全机构专家、黑客及政府官员,集中展示最前沿的网络攻击方式和漏洞防护技术。
在这两个盛会上,参会者不仅可以一睹最新出现的攻击手法,还能及时了解到防范这些攻击的最新技术。
今年,智能手机后端攻击、物联网攻击和声音伪装攻击成为三大热点安全话题。
维护智能手机安全防范后端攻击
如今,移动设备安全变得尤为重要。随着手机智能化程度的提高,我们的生活仿佛与智能手机绑定在一起——智能手机可以变身银行卡、公交卡、门禁卡;通过智能手机,我们可以监测步数、心跳、进行移动支付、远程遥控车辆等等。
随着智能手机在用户的生活中占据越来越重的分量,它们也逐渐引起了黑客的关注。近年来,最常见的一种攻击方法相当简单——在第三方应用程序商店中植入假应用程序,使用户在不经意间安装恶意软件。
然而,攻击智能手机的技术也正日渐升级。今年,黑帽大会有超过12场关于新的智能移动设备威胁的演讲,正如演讲所述,黑客们正在开发一系列新技术来攻击智能手机,特别是通过攻击后端网络和服务器,比如攻击4G网络、基带、移动设备管理、移动操作系统、移动销售点系统等,来实现对智能手机的攻击。
想要防范这些后端攻击,难度要大得多,这意味着企业和个人很容易在不知情的情况下受到损害。
万物互联时代 警惕恶意软件
黑帽大会创办于1997年,被公认为世界信息安全行业的最高盛会,也是最具技术性的信息安全会议。会议引领安全思想和技术走向,参会人员包括企业和政府的研究人员,甚至还有一些民间团队。
随着电子化、智能化发展,人们进入万物互联时代。如图中的Nest智能恒温器,这款恒温器整合了ipod、手机以及互联网中先进且炫酷的科技元素,它可以自动控制暖气、通风及空气调节设备(如空调、电暖器等),通过记录用户的室内温度数据,智能识别用户习惯,并将室温调整到最舒适的状态。
但是,随着物联网连接设备数量激增,黑客也越来越多地将注意力转移到这一领域。首先,物联网设备内置的安全性薄弱,安全更新时有时无,一些规模较小的制造商生产的设备更是如此。其次,用户往往不会主动更新设备。此外,物联网设备存在于网络外围,导致用户和企业经常忽视它们。
上述几点原因为黑客植入恶意软件提供了可乘之机,通过安装僵尸恶意软件,降低设备处理能力,网络罪犯就可以借此牟利。
目前,还有很多人没有认识到这一问题的严重性。他们认为恶意软件只能制造小麻烦,不是真正的威胁。毕竟,恶意软件没有试图窃取信息,只是减慢它们的速度,降低它们的性能。但事实上,这一观点是错误的,因为这些恶意软件很可能成为启动其他攻击的后门,威胁更多设备安全。
语音服务兴起小心声音伪装
DefCon黑客大会诞生于1992年,又称电脑黑客秘密大派对,参会者除来自世界各地黑客,还有全球许多大公司的代表以及美国国防部、联邦调查局、国家安全局等政府机构的官员。
与易丢失、易遗忘且不具备唯一性的传统密码不同,随着语音生物识别技术的愈发成熟,如今,语音已经开始逐步替代传统密码,成为身份验证的重要手段。
比如,用户可以使用语音指令为自己的银行账号进行双重加密;智能音箱的出现,使用户可以通过语音指令点播歌曲、上网购物,或是了解天气预报;同时,它也可以控制智能家居设备,比如打开窗帘、设置冰箱温度、提前让热水器升温等。
然而,对于网络犯罪者而言,语音服务的兴起也为他们提供了一块便利的滩头阵地。如果黑客可以克隆或伪装用户的声音,他就可以轻易窃取其银行账户;如果黑客可以向智能音箱发出隐藏的语音命令,他就可以享受其提供的技术服务,完全控制该设备,并可能控制连接同一网络的其他设备。
在黑帽大会上,网络安全专家也就此主题分享了最新研究,包括微软语音助手“微软小娜”(Cortana,微软发布的全球第一款个人智能语音助理)的漏洞利用和语音伪装等。
文/广报全媒体记者温俊华 实习生田甜 编译
图片来源:网络
