瑞星2011年上半年安全報告
2011-07-20 16:28:39四、“云攻擊”成為現實
1、云攻擊(Threats to Cloud)概述
隨著更多有價值的用戶資料轉移到云端,針對儲存了這些資料的“云”的攻擊,也正成為黑客攻擊的新對象。例如,原本儲存在電腦本機上的Word文檔,現在越來越多的被儲存在Google Docs上;原來存在硬盤上的音樂、照片,現在也許放在了蘋果iCloud里;原來的QQ聊天記錄,也被儲存在了騰訊的服務器中,這些儲存了用戶資料的“云”,一旦出現漏洞,就會被黑客咬住不放,遭到“云攻擊”(Threats to Cloud)。
2、典型的“云攻擊”案例
在2011年上半年,發生了多起針對“云”的攻擊,比較知名的有針對索尼PSN的系列黑客攻擊、針對WordPress的黑客攻擊、新浪微博蠕蟲病毒攻擊,以及多家國內網站遭到“拖庫(*注)”事件等。
“拖庫”是安全行業術語,指黑客入侵企業網絡、把服務器上的用戶數據庫、財務數據庫等復制下來。
第一、索尼PSN遭系列攻擊事件。4月21日下午,索尼PSN網絡遭黑客攻擊,波及包括美國、日本、歐洲等地幾乎全球各地的所有PSN用戶,PSN幾乎陷入了徹底的癱瘓。黑客入侵者竊取了大約7700萬份PSN個人信息以及2700萬個Qriocity(云音樂服務)賬戶。
被竊的7700萬份PSN個人信息當中,包括1000多萬個信用卡賬戶,涉及57個國家和地區。而2700萬個Qriocity賬戶中,也同時包含了用戶的姓名、地址和密碼。索尼數據遭竊案受影響的用戶可能超過1億人,堪稱史上規模最大的用戶數據失竊案。
第二、Wordpress遭攻擊事件。4月,Wordpress.com遭到攻擊,其服務器被黑客入侵,并盜走了部分源代碼和資料,導致VIP客戶的隱私信息外泄。在此次事件中可能泄露的眾多網站源代碼中,可能包括API密鑰和Twitter、Facebook密碼等敏感信息。WordPress.com服務于1800萬博客和網站,其中包括TED、CBS和TechCrunch博客等,其服務網站占全球網站數量的10%。
第三、新浪微博蠕蟲攻擊。6月28日晚,新浪微博遭遇首次跨站攻擊蠕蟲(CSRF)侵襲,微博用戶中招后會自動向自己的粉絲發送含毒私信和微博,有人點擊后會再次中毒,形成惡性循環。據瑞星安全專家分析,這主要是因為新浪的廣場頁面有幾個鏈接對輸入參數過濾不嚴導致的反射性XSS。
此次蠕蟲攻擊的危害,僅限于濫發含毒私信和鏈接,未能實現竊取微博帳號、竊取用戶信息等功能。7月1日,北京警方將犯罪嫌疑人羅某抓獲。經審查,羅某交代其利用新浪微博平臺存在的漏洞注冊賬戶,為提高所持微博的關注度,故意發送帶有惡意網址鏈接的信息,致使點擊查看該網址的微博用戶成為其粉絲,同時自動轉發該信息以此實施破壞活動。
第四、國內多家網站遭遇“拖庫”。2011年上半年,針對企業網絡的黑客攻擊有增無減,多家大型網站的數據庫被黑客復制竊取,并用來出售獲益。婚戀網站、電商網站、團購網站、連鎖酒店等等均成為黑客攻擊的重點對象。由于這些網站儲存了大量的用戶資料、購買行為信息、銀行和信用卡資料等,黑客可以借此獲取利益。
由于“拖庫”攻擊本身的特點,只有被攻擊者才知道受到了攻擊。而這些攻擊一旦公開,就會給公司形象帶來嚴重損害。基于市場考慮,國內公司遭遇黑客攻擊后,很少主動向用戶公布詳情,多數情況下選擇否認和掩蓋。因此,黑客很少因為此類攻擊而受到法律懲罰。
3、“云攻擊”詳細解析
目前來看,對用戶有價值的“云”越來越多,例如:音樂分享、文檔分享、通訊錄同步、在線購物等等,其服務商的服務器,通常都具有或多或少的“云”的特性。而這些廠商,通常沒有自己專業的安全人員,只是依靠一些兼職網管來進行安全方面的工作。
即使在一些大型公司中,“產品的可用性”要遠高于“安全性”,商業公司通常在用戶界面、功能、交互上投入很多精力,而在安全上則要放松的多。以團購網站為例,一個月注冊用戶數十萬,月交易額上千萬的公司,通常僅有5-10名程序員負責技術開發,而安全方面的事務則由其中的一人來兼職完成。在這種人員配置下,很難對黑客攻擊做出及時反映。
(1)“云攻擊”的三種攻擊方式
針對“云”發動的攻擊,通常有三種攻擊方式:竊取資料;阻斷用戶對“云”的訪問;權限提升攻擊。
“竊取資料”是最常見的攻擊方式,例如黑客對索尼PSN網絡的攻擊,目的是為了竊取PSN帳號密碼,以及與這些帳號綁定的信用卡賬號。利用這些資料,黑客可以進行信用卡詐騙、網絡釣魚等犯罪。
“阻斷用戶訪問”也是很常見的攻擊方式。利用DDoS(分布式阻斷攻擊)、域名劫持、機房ARP攻擊等,都可以達到該目的。
“權限提升”攻擊雖然比例不大,但造成的損害不容小覷。例如,在一些特定用戶的內部網絡中,通常會對用戶的權限進行分級,利用系統漏洞、應用漏洞、數據庫漏洞等,黑客可以把普通用戶的權限提升到高級權限,進而獲取不正當利益。或者,有的“云”服務商內部員工,本來不具有查看機密資料的權限,但是通過技術手段獲取高權限之后,即可竊取、刪改存儲的用戶資料。
(2)“云端”的安全問題解析
由于“云端”儲存了用戶的大量機密信息,一旦出問題,則可能整個或者部分數據庫泄漏.“云”的安全問題主要有以下幾種:
*產品安全設計失誤。比如網盤類產品、通訊錄類產品,理論上應該于用戶電腦本地完成加密,不能對服務商及員工明文開放。有些網盤產品在設計之初,就缺乏加密這一環節,使得員工或者其它人可以很容易的偷看服務器上存儲的資料。
*內部流程存在問題。在涉及用戶資料的領域,即使有極小的概率出問題,也不應該掉以輕心。例如某汽車廠商員工,為了很少的錢,向別人出售買車者的個人信息;醫院的護士,把產婦的資料出售給奶粉廠商等,均屬于內部流程不暢。
*操作系統漏洞、應用漏洞、數據庫漏洞。利用這些漏洞,黑客可以入侵服務器,取得高級權限,獲取服務器的控制權,進行多種危險操作。
*機房問題,包括不限于機房ARP攻擊、生成樹攻擊、MAC地址攻擊等。
(3)“客戶端”的安全問題解析
首先要明確,此處所說的客戶端,僅指用戶訪問“云服務”期間用到的軟件和應用。“客戶端”的安全問題主要有以下幾種:
*瀏覽器劫持,比如你明明想訪問A網站,瀏覽器插件會強制跳轉到B網站;這就是典型的瀏覽器劫持攻擊。除了病毒之外,一些出于商業目的的瀏覽器插件也會進行這些操作。
*host劫持。其表現類似,也是你輸入A網址卻到了B網址。跟瀏覽器劫持不同的是,此種攻擊是通過修改本機的host表實現的。
*釣魚網站攻擊。黑客惡意構造一個仿冒的網站,誘騙用戶去訪問。
(4)多平臺帶來的安全問題
對于“云”來講,通常都會支持多種平臺應用,例如,你既可以在PC上訪問Gmail,也可以在平板電腦上訪問;既可以用安卓手機在Dropbox同步文件,也可以在iPhone上同步。
這樣,如果用戶只在PC端做防護,而在其它平臺沒有做相應防護的話,就很容易出問題。2011年上半年,瑞星公司已經截獲了專門針對手機和移動設備開發的釣魚網站,如果手機上沒有安裝相應的安全軟件,則用戶在訪問之后很容易中招。
同時,多平臺嚴重依賴的adobe flash軟件,近年來頻繁爆出0day漏洞,尤其在PC端,隨著網頁游戲的盛行,flash插件漏洞帶來的安全隱患也越來越嚴重,應該引起大家的注意。
?
五、總結
安全問題的產生和發展,是與網絡環境、網絡應用、人們使用網絡的習慣息息相通的。隨著微博的日益火爆,針對微博的跨站攻擊蠕蟲病毒就被開發出來;iPad成為數碼達人的寵兒,黑客釣魚和網絡攻擊就盯上了它。
誠然,人們不能因噎廢食,因為一種熱門應用容易遭黑客攻擊就放棄使用。但在繼續使用這些應用的同時,普通用戶也應該養成良好的上網習慣,了解一些基本的安全知識來提高自己的防護水平,再加上業內廠商的共同努力,我們一定能使網絡生活變得更加安全而美好。
3/3 首頁 上一頁 1 2 3
