正文/H3C攻防队
2012年过去了。回顾过去一年的信息安全研究工作,以基础设施脆弱性安全、云安全、社交网络信息泄露、移动智能终端安全为代表的安全研究得到了很好的验证,体现出以下特点:
1)
以微软为代表的操作系统、浏览器等基础设施的安全漏洞仍然占据首要位置
由于操作系统和浏览器在IT系统中的支撑地位,其安全漏洞的利用一直是黑客关注的焦点。相关机构统计显示,2012年第一季度,各基础设施厂商发布了大量安全漏洞,这些安全漏洞是相对知名的
安全漏洞有78个,谷歌73个,微软43个,苹果91个,IBM 42个,已经发布了30个安全漏洞。作为知名的Web服务器引擎,第一季度也发布了24个安全漏洞。由此可以想象2012年基础设施领域安全漏洞的严峻形势。其中,微软因其广泛的市场份额和认知度一直是黑客的兴趣所在。2011年发布数百个安全漏洞后,2012年微软操作系统、IE浏览器等主要软件的安全漏洞数量保持在100个以上,2012年5-7月的漏洞数量单月超过20个,涉及、LYNC、NET framework、开发工具软件、服务器软件等多个产品。预计这类操作系统和浏览器漏洞仍将是2013年安全研究的重点。
2)
特洛伊木马攻击意味着苹果生态系统的安全性受到挑战
与2012年微软安全漏洞平安无事的发布相比,苹果的操作系统、浏览器等软件成为2012年的主要发布漏洞,挑战了苹果认为其生态系统相对安全的观点。统计显示,苹果第一季度发布了93个安全漏洞,其中三分之一被认为是重要的安全漏洞,全年安全漏洞数量达到300多个。尤其是木马攻击,已经严重影响了互联网用户的安全。
2012年4月,Flashbox木马攻击爆发,短时间内60多万台MacOS电脑中毒感染。木马入侵电脑的方式有两种:一是用户使用电脑时,会收到AdobeFlash弹出的窗口,询问是否安装升级补丁并输入密码。这也是Fakeflash/Flashbox病毒名称的由来。第二,这也是最常见的方式。攻击者利用Java程序(CVE-2012-0507)中的漏洞,将木马悄悄下载到受害者的电脑上,运行后台程序,使黑客可以远程控制用户的电脑。虽然苹果公司后来提供了相关补丁来修复该漏洞,但特洛伊木马的变种不断出现,如特洛伊木马和闪回。a,出现在2012年9月。通过伪装成标准的MacOSX安装程序,利用AdobeFlash的Logo作为安装程序后台,吸引用户进行安装。同时,每个月都会提醒用户新的安全补丁(其实是恶意程序),引诱用户下载。如果对Mac用户的入侵成功,他们会尝试持续访问Safari和Firefox,伺机利用浏览器的下载功能连接远程黑客下载更多病毒、木马和恶意软件,将Mac用户注册网站的登录信息发送到黑客远程服务器窃取用户隐私。随着苹果电脑和平板设备的普及,预计2013年针对苹果生态系统的安全攻击会更多,这也为2013年的安全研究指明了方向。
3)
以甲骨文为代表的应用软件大规模安全漏洞的发布成为2012年的热点事件
以Oracle和Adobe为代表的应用软件,由于应用广泛,一直是安全漏洞挖掘的重点领域,尤其是像Oracle这样的数据库程序,涉及到用户关键信息的存储。一旦被入侵,很容易造成信息泄露。2012年,这类软件发布了大量安全漏洞。
根据CVE组织的数据安全漏洞统计,2012年甲骨文发布的安全漏洞数量惊人,全年发布395个漏洞,其中43个是“高风险”漏洞补丁,324个漏洞可能被黑客远程利用。通过对漏洞来源的分析,默认安装漏洞、人工使用漏洞、数据库设计缺陷和数据库产品缺陷是造成安全风险的主要原因。利用这些漏洞,远程或本地攻击者可以攻击拒绝服务、SQL注入、跨站点脚本等。然后他们可以获取敏感信息、操作数据库、执行任意代码或提升权限,从而导致用户信息泄露。比如MySQL认证漏洞(CVE-2012-2122),只要知道用户名,大约256次密码输入尝试后,就可能被程序误认为密码匹配,可以直接登录SQL数据库。另一家世界知名的图形图像软件公司Adobe,2011年发布了60多个安全漏洞,2012年发布补丁修复40多个安全漏洞,包括堆栈溢出、内存践踏等高风险漏洞,涉及多个操作系统和自行发布的软件产品。在这些漏洞中,也有很多软件平台使用的JAVA插件的安全漏洞,比如
CVE-2012-4681
0天安全漏洞,针对Java浏览器插件
CVE-2012-1682
、
CVE-2012-3136
和
CVE-2012-0547
等等。预计这类安全漏洞在2013年仍将成为一个重要的安全研究领域。
4)
2012年,移动智能终端面临的安全漏洞风险急剧增加,尤其是Android系统平台
2012年,手机恶意软件数量呈现爆炸式增长。对于苹果的IOS操作系统,已经有了”
热插拔SIM卡绕过密码锁定
“,”
无需解锁即可获取相机胶卷
”、“Safari手机浏览器异常代码导致黑客通过特殊渠道访问IOS设备内存运行恶意代码,窃取用户内容”、“应用开发者通过索要用户当前地理位置对话框读取用户设备照片库信息”等安全漏洞;特别是随着移动互联网的普及,移动浏览器的安全漏洞更加突出。数据显示,苹果在2012年3月发布了几个Safari浏览器补丁,修复了93个安全漏洞。黑客可以登录智能终端,随意窃取用户的照片、视频等个人隐私。
Android智能终端遭受比苹果更严重的安全漏洞:一方面,Android作为一个开放平台,发展非常迅速,应用广泛;另一方面,开源平台本身的安全程序管理相对松散,开发人员数量多,水平参差不齐,更容易出现软件漏洞。2012年,国内移动智能终端发现近2万个带有后门漏洞的恶意软件,其中Android占70%以上;12月17日的新闻显示,三星四核处理器作为Android平台的领头羊,暴露出内核代码级安全漏洞,基于此用户可以入侵手机等智能终端,随意访问内存信息。
预计2013年,随着移动智能终端处理器性能的快速提升、用户上网行为的增多以及多媒体存储回放平台的功能定位,移动智能终端的安全漏洞风险将继续存在。
5)
LiKedin、eharmony和Yahoo等社交网络代表了800多万用户的密码泄露
虽然索尼的信息密码泄露和CSDN社区600万用户明文密码泄露在2011年为IT行业敲响了警钟,但由于种种原因,很多社交网络在安全方面仍然难以彻底改革,导致此类事件层出不穷。2012年,linkedin和eHarmony等社交网站仍有数百万用户信息泄露。
2012年6月6日,拥有超过1.5亿用户的社交网站Linkedin遭遇用户信息泄露。黑客通过网站安全漏洞窃取了646万LinkedIn用户的密码,并发布在俄罗斯的InsidePro网站上。尽管这些用户的数据被存储在SHA-1加密系统中,但仍有30多万用户因为密码太弱而被破解。LinkedIn正式确认此事,并发布紧急通知,建议用户在网站登录界面更改密码,并提醒用户不要点击注册邮箱中的未知连接,定期更改密码。与此同时,美国交友网站eHarmony也发生了此类事件,150多万会员的密码信息被截获并公开发布。大约一个月后,雅虎子公司YahooVoice的45万多个用户名和未加密密码被公开泄露。黑客可以通过常规的SQL注入技术入侵网站的关键服务器。更糟糕的是,雅虎拥有的这些用户名和密码仍然以明文形式保存。似乎频繁的用户信息泄露事件并没有给他们敲响足够的警钟。
6)
云计算领域的安全漏洞始于2012年
云计算的安全漏洞主要来自三个方面:虚拟化软件本身的漏洞、虚拟机应用的漏洞和云计算用户认证的安全漏洞。在虚拟化软件发布的早期,确实存在许多基于虚拟机管理程序的安全漏洞。然而,随着云计算近年来的快速发展,2012年虚拟化软件产品的安全漏洞相对较少。然而,中间件和应用虚拟化版本等云计算虚拟机应用中的安全漏洞的频率有所增加。例如,甲骨文在2012年发布了针对甲骨文融合中间件和甲骨文虚拟化生产套件的大约60个安全漏洞。特别是随着以salesforce为代表的SaaS云计算模式和以微软为代表的PaaS云计算平台的建设,这些中间件软件产品的安全性和应用的安全漏洞等级将会逐渐提高,这种趋势在2013年将会更加明显。同时,在Saa和PaaS这种公共云构建模式中,云计算用户的认证和关键数据的访问权限尤为重要,认证管理程序或系统本身存在的软件漏洞会严重影响云计算的安全性,尤其是BYOD概念的引入,增加了系统识别的复杂性。黑客可能利用云计算的高带宽,在以假身份入侵云计算主机以获取管理权限后,发起大规模DDoS安全攻击。预计这些子领域将成为2013年云计算安全研究的重点。
相关阅读
版权声明:内容来源于互联网和用户投稿 如有侵权请联系删除
标签: #近期热门信息安全事件
评论列表