2018 年已过去一半, 多宗热点新闻迭代更替. 在此, 大东和小白一起来为大家盘点 2018 年上半年网络安全领域的十大事件.
十, No.10 "史上最严" 用户数据保护条例 GDPR 正式生效
1. 事件穿越
小白: 东哥, 有时候我觉得, 我的手机 APP 之间好像可以交流一样, 我在购物 APP 上搜索了想买的东西, 第二天, 其他应用就出现了相同类型产品的广告, 细思极恐啊.
大东: 其实, 这就是我们的个人数据被利用了. 但 GDPR 的出现, 可能会改变这一现象呢.
小白: GDPR? 和 GDP 有关系吗?
大东: GDPR 是英文 "General Data Protection Regulation" 的缩写, 通常翻译为 "通用数据保护条例", 其规定了企业如何收集, 使用和处理欧盟公民的个人数据. 它于 2018 年 5 月 25 日生效, 并在欧盟实施的同时, 不仅适用于欧盟的组织, 也适用于在欧盟拥有客户和联系人的组织.
GDPR
小白: 哇哦, 具体都有哪些条例呢?
大东: 刚刚你说到的现象在条例里是有规定的哦, 在条例里被称为 "限制处理权". 如果你认为企业收集的个人数据不准确, 或者使用了非法的处理手段, 但又不想删除数据的话, 可以要求限制它对个人数据的使用. 还有, 用户可以向企业查询自己的个人数据是否在被处理和使用, 以及使用的目的, 收集的数据的类型等. 这个被称作 "查阅权". 具体的条例还有很多很多.
2. 事件影响
小白: 感觉 GDPR 的正式生效, 让用户们拥有了强有力的个人数据保障呢.
大东: 是的, 用户有了更多的隐私, 用户的个人数据更安全, 同时为消费者们带来更好的购物体验.
小白: 那对企业的影响也很大吧?
大东: 除了明确用户在个人信息上的安全, GDPR 对企业在处理个人数据方面也做出了非常细致的规定. GDPR 可以说是迄今为止覆盖面最广的全球性数据隐私保护法规, 任何处理欧洲公民个人数据的组织都必须遵守该条例. 不合规的企业可能面临高达 2000 万欧元或 4% 年营业额的罚款, 并以较高者为准.
3. 小白内心戏
小白:"茫茫" 人潮中渺小的我, 受到强大保护的感觉真好~
4. 大东话
大东: 落红不是无情物, 化作春泥更护花~
九, No. 9 安德玛 1.5 亿用户数据泄露
1. 事件穿越
小白: 东哥, 最近我都不敢 "运动" 了.
大东: 不要为你的懒找借口. 我知道你说的是美国功能性运动品牌 Under Armour (安德玛)在 3 月 25 日发生的 1.5 亿用户数据泄露事件.
小白: 被你发现了, 这次安德玛的用户泄露数量真的是非常巨大了.
大东: 这很有可能是本年度最大规模的数据泄露事件. 用户的信息来自于品牌为健身爱好者提供的手机应用 MyFitnessPal. 泄露的数据包括用户名, 电子邮箱和哈希密码(bcrypt). 在 3 月 29 日, Under Armour 通过电邮和 App 消息提醒用户立刻更改密码.
安德玛数据泄露事件
2. 事件影响
小白: 东哥, 我查到 MyFitnessPal 是一款减肥和膳食管理应用程序, 可以根据用户的身体指标帮助用户追踪饮食和锻炼计划.
大东: 所以, 针对主打 "减肥" 的商家, 获取到这些相关数据, 能够轻易锁定潜在客户, 进行精准广告投放. 从潜在受害者规模来看, 此次事件已算得上网络历史上最为严重的黑客攻击事件之一.
小白:(看了看自己身上的肥肉).
大东: 虽然, 品牌采取了行动, 努力降低用户更多的信息损失, 但在 3 月 29 日, 公司股票市值就下跌了 4.6%. 事件发生后, 相关的用户可能会收到大量垃圾邮件, 黑客极大可能会利用这起数据泄漏事件诱骗用户访问钓鱼网站, 不能掉以轻心啊.
3. 小白内心戏
小白: 原来我的 "肉肉" 也这么有价值, 是不是我的 "减肥" 计划可以延后进行了?!
4. 大东话
大东: 玉瘦檀轻无限恨, 南楼羌管休吹.
八, Top 8 应用克隆攻击
1. 事件穿越
大东: 记得你说要请我吃外卖来着? 吃的呢?
小白: 尴尬了, 我觉得你一定是想回顾下 2 月份发布的 "应用克隆攻击丨大东话安全" 这篇文章吧.
大东: 既然你转移了话题, 那你来回顾下吧.
小白: 与传统软件相比, 现代移动操作系统通过应用级权限隔离将攻击者获得代码执行权的收益降到了最低, 而移动应用无权改写自身代码这一限制也大大增加了实现长期控制的难度. "应用克隆攻击" 网络攻击就是针对这很难实现的移动应用攻击.
大东: 不错哦.
小白:"应用克隆"-- 一旦通过漏洞获得了移动应用的代码执行权, 总是可以获得这些认证凭据. 将这些认证凭据写入到另一台设备上同样的移动应用中, 就能以被攻击用户的身份使用移动应用, 如同克隆出了一个双胞胎.
应用克隆
2. 事件影响
大东: 今年的 1 月 9 日, 腾讯玄武实验室负责人现场演示了 "在手机上点击一个网站链接, 你可以看到一个看上去正常的支付宝抢红包页面, 但噩梦从你点击链接就开始 -- 此时你的支付宝的信息全部可以在攻击者的机器上呈现, 攻击者借此完全可以用你的支付宝消费, 而你却一无所知."
小白: 我说我的余额怎么少得那么快.
大东: 你确定你的余额是因为这个吗? 这次事件影响了很多款 App . 作为普通用户来说, 对于别人发给你的链接, 不太确定的二维码, 尽量不要轻易点开或者扫一扫. 同时, 要关注官方的升级, 包括操作系统和 App 的官方升级.
小白: 晓得嘞~
3. 小白内心戏
小白: 升级! 更新!
4. 大东话
大东: 料峭春风吹酒醒, 微冷~~
七, No.7 平昌冬奥会遭遇黑客攻击
1. 事件穿越
小白: 东哥, 武大靖好帅啊!
大东: 成为一位奥运冠军背后要付出很多努力的, 要有内涵. 就在今年 2 月这次韩国平昌冬奥会上开幕式的当天, 遭遇了严重的黑客攻击, 了解一下?
小白:(一脸茫然)快来快来.
大东: 当天的攻击造成了网络中断, 广播系统 (观众不能正常观看直播) 和奥运会官网均无法正常运作, 许多观众无法打印开幕式门票, 最终未能正常入场.
平昌冬奥会
2. 事件影响
大东: 平昌冬奥会组织者透露, 在运动员游行期间, 包括冬奥会网站, 电视等在内的服务均遭到黑客攻击.
小白: 主办方在筹备期间应该很担心会发生这样的事情吧?
大东: 对于举办方来说, 他们是要时时刻刻保持高度紧张的状态, 以免出现什么不测. 会后, 主办方发言人表示 "所有的事情现在都摆平了", 他还补充了一下,"我们知道为什么会受到攻击, 但是在和国际奥委会交流以后, 我们决定不向外界公布我们的消息来源."
3. 小白内心戏
小白: 在万众瞩目的场合下发动攻击, 是为了展示自己技能? 在我看来, 还是本着公平原则的体育赛事更让人激动.
4. 大东话
大东: 欲练英雄志, 须明胜负多
六, No.6 英特尔处理器中曝出 "Meltdown"(熔断)和 "Spectre" (幽灵)两大新型漏洞
1. 事件穿越
小白: 东哥, 处理器 "内核" 内存是不允许用户访问的, 是不是不可能被攻击的呢?
大东: 你这个想法在这件事情之前, 被普遍上认为是正确的. 但现在不是这样了.
小白: 那, 是什么事情呢?
大东: 31 岁的信息安全研究人员丹尼尔. 格鲁斯 (Daniel Gruss) 最近黑掉了自己的计算机, 攻破了 CPU(中央处理器)的 "内室", 并从中 "窃取" 了机密信息, 由此发现过去 20 年英特尔生产的大多数芯片中的这处缺陷. 这件事就发生在今年的一月初左右.
小白: 天呐!
大东: 事情还没完, 英特尔处理器被曝出的这两大新型漏洞被称为 "Meltdown"(熔断)和 "Spectre" (幽灵). 同时, 包括 AMD,ARM, 英特尔系统和处理器在内几乎近 20 年发售的所有设备都可能受到影响, 例如手机, 电脑, 服务器以及云计算产品.
Meltdown"(熔断)和"Spectre" (幽灵)
2. 事件影响
小白: 20 年?! 各大系统?!
大东: 亚马逊 AWS 回应这一事件时表示:"这是一个已经在英特尔, AMD,ARM 等现代处理器构架中存在 20 多年的漏洞, 横跨服务器, 台式机, 移动设备."
小白: 具体会有怎么样的影响呢?
大东: 漏洞要在个人电脑上激活需要依附于具体的进程等, 比如通过钓鱼软件等方式植入.
这些漏洞允许恶意程序从其它程序的内存空间中窃取信息, 这意味着包括密码, 帐户信息, 加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄.
小白: 应该有补救措施吧?
大东: 各供应商已经纷纷发布指导信息, 帮助客户保护自身免受 Spectre 或 Meltdown 漏洞的影响.
3. 小白内心戏
小白: 看似安全的事物, 其实内部也蕴藏漏洞. 既然, 漏洞不可避免, 那, 那, 那, 那我穿个破洞裤来提示大家注意漏洞防护吧!
4. 大东话
大东: 欲将心事付瑶琴, 知音少, 弦断有谁听
五, No.5 中兴. 供应链安全
1. 事件穿越
大东: 记得我给你讲过一次, 还记得什么是供应链安全吗?
小白: 记得记得! 供应链是指由供应商, 制造商, 分销商, 零售商直到最终用户所连成的网链结构. 供应链安全包括场所 & 进入安全, 人员安全, 信息安全和运输 & 货物安全和商业合作伙伴安全.
大东: 美国商务部在今年 4 月 16 日宣布, 禁止美国企业向中国电信设备制造商中兴通讯出售任何电子技术或通讯元件, 这一禁令为期长达 7 年, 直到 2025 年 3 月 13 日.
小白: 轰动一时的事件我怎么会忘记, 中兴这次事件就是商业合作伙伴安全被破坏导致的供应链安全问题.
中兴
2. 事件影响
小白: 东哥曾说中兴供应链被掐断, AI 之路可能断送. 高通, 英特尔, 微软和杜比都是中兴设备的主要提供商, 如果没有高通构建的移动处理器平台, 中兴将很难在美国生产手机.
小白: 东哥还说过, 据估计, 中兴通讯设备中 25% 至 30% 的组件来自美国, 为这些组件寻找新的供应商需要时间, 并且在此之前中兴几乎无法出售任何东西.
小白: 东哥还还还说过中兴一直心存侥幸, 觉得供应链不会断才造成此后果. 这件事也是让我们醒悟, 很多关键技术节点上我们受制于人. 自主才能可控, 要从源头上自主研发实现.
大东: 额, 这 part 好像没我的戏份.(强行加戏中)在 6 月 7 日, 美国商务部虽然宣布结束对中兴的商业制裁, 但取而代之的, 是对中兴征收高达 10 亿美元的罚款等等. 代价还是非常惨重的.
3. 小白内心戏
小白: 谁让美国握住了中兴立命的关键呢? 芯片我还是得要的啊! 淡淡的忧桑.
4. 大东话
大东: 车如流水马如龙.
四, No.4 EOS 漏洞
1. 事件穿越
小白: 东哥, 我看到 EOS 漏洞被称为史诗级漏洞, 到底是个怎么样的事件呢?
大东: 5 月, 360 公司的一个团队发现了区块链平台 EOS(商用操作系统)的一系列高危安全漏洞. 经验证, 其中部分漏洞可以在 EOS 节点上远程执行任意代码, 即可以通过远程攻击, 直接控制和接管 EOS 上运行的所有节点.
小白: 如果是真的, 是真的很可怕啊.
大东: 在漏洞发现三个月前, EOS 还是区块链界的当红新秀. 而 EOS 漏洞可能造成大范围损失的原理其实十分简单, 黑客只需发布一个具有恶意代码的智能合约到该服务器节点上, 在解析智能合约, 打包区块的过程中, 这个节点会将其他节点一并感染, 整个区块链网络里的节点就都可以被恶意攻击者控制, 进而对区块链网络进行接管, 里面的交易, 存储密钥都可以被控制.
EOS
2. 事件影响
大东: 尽管在传统软件领域, 漏洞的出现屡见不鲜, 由此带来的数据和隐私泄露时常影响我们的生活. 但在区块链的世界里, 数字货币自身携带的金融属性, 使得这个领域的漏洞往往给人造成更为直接且严重的损失.
小白: 应该赶快恶补一下区块链的一些知识啊, 感觉听起来有点懵懵的.
大东: 修复这个漏洞或许只需要修改一行代码, 但却反映出区块链领域当前的现状, 安全性是区块链投入实际应用应当首要考虑的问题.
3. 小白内心戏
小白: 区块链? 比特币? 数字货币? 金融? 安全?
4. 大东话
大东: 敕赐金钱二百万, 洛阳迎得如花人~~
三, No. 3 币安所 "被盗"
1. 事件穿越
大东: 如果有一天你发现, 你存起来的一种东西突然变成了另一种东西, 你会怎么办?
小白: 我好像没啥东西可以存诶, 兜里比脸都干净. 东哥说的是 3 月 8 号的币安所 "被盗" 事件吗?
大东: 是的, 3 月 7 日晚, 有不少用户发现自己币安账户遭到黑客攻击, 账户中所持有的各种各样的数字货币均以币币交易形式折换成了比特币, 导致绝大部分币种开始下跌. 更为严重的是, 所有持币散户均以最快速度进行恐慌性的抛售. 一时间虚拟货币币价均跌入万丈深渊.
大白: 额, 这个, 这个.
大东: 据媒体的报道和分析, 这是一场有组织, 有预谋的黑客行动. 故障源于部分 API 机器人被黑客攻击. 黑客利用盗用的账号高价买入 VIA(维尔币), 导致 VIA 被拉爆至, 涨幅 110 倍. 币安立即宣布暂停所有币种的提现.
2. 事件影响
小白: 不能提现了, 是不是可以避免损失了呢?
大东: 黑客并没有选择提现, 而是在币安上拉高 VIA 的币值, 引发其它交易所币价的连锁反应, 黑客再从其它交易所挂好的空单中渔利.
小白: 看来事情并不是想象的那么简单.
大东: 事件发生后, 币安迅速发出公告, 将此次事件的原因归结为用户 API Key 钓鱼导致用户账号被黑客盗取. 钓鱼软件通常是以精心设计的虚假网页引诱用户上当, 达到盗取用户账号的目的. 但可能事件并没有这么简单哦.
3. 小白内心戏
小白: 城市套路深, 我想回农村啊!
4. 大东话
大东: 钱钱何难得, 令我独憔悴.
二, No.2 A 站受黑客攻击致用户数据泄露
1. 事件穿越
小白: 6 月 13 日凌晨, AcFun 弹幕视频网 (俗称: A 站) 在其官网发布关于 AcFun 受黑客攻击致用户数据外泄的公告称, AcFun 受黑客攻击, 近千万条用户数据外泄, 包含用户 ID, 用户昵称, 加密存储的密码等信息.
AcFun
大东: 哎呦, 都会抢答啦!
小白: 东哥, 你讲过的呀! 看到题目我就能 get 到. A 站的公告也称, 如果用户在 2017 年 7 月 7 日之后一直未登录过 AcFun, 密码加密强度不是最高级别, 账号存在一定的安全风险, 恳请尽快修改密码, 如果用户在其他网站使用同一密码, 也需要及时修改.
2. 事件影响
小白: 我知道! 虽然我的账号里没有什么资产, 却有我的 "小秘密" !
大东: 是的, 密码泄露的风险众所周知. 特别是现在互联网要求实名注册. 除了你在这个网站的所有信息一览无余, 收藏账号还会暴露你的各种小爱好.
小白: 攻击者还会把你的信息纳入社工库, 通过撞库来获取你在其他网站的密码或信息, 进而实施钓鱼等一系列攻击, 最终让你遭遇财产或者其他损失...... 我都背下来了.
大东: 哈哈! 更多内容请见 "大东话安全丨拖库, 撞库, 洗库, 从某站被黑了解黑产运行" 哦, 你值得拥有.
3. 小白内心戏
小白: 我有一个小秘密, 小秘密! 就不告诉你, 就不告诉你~
4. 大东话
大东: 溪云初起日沉阁, 山雨欲来风满楼.
一, No.1 剑桥分析
1. 事件穿越
小白: 据美国媒体报道, 一家公司在美国大选期间拿到脸书 5000 万名美国用户的资料, 并利用资料建立了分析模型, 精确推送信息甚至是假信息, 从而影响用户的选择, 助力特朗普赢得选举. 东哥, 快告诉我这是不是真的.
大东: 是的, 这家公司叫做 "剑桥分析".
小白: 原来这就是传说中的 "剑桥分析" 事件啊. 5000 万的人数真的是不少啊.
大东: 据这家公司自己的介绍, 其专门向 "希望改变听众行为" 的企业和政治团体提供服务, 利用自己手里掌握的海量信息, 能够有针对性地向听众投放宣传材料. 同时这个 "分析", 不仅仅只在美国, 还是面向全球的. 在事件的揭发者 Christopher Wylie 眼中,"剑桥分析" 就是文化战中的武器库.
卫报绘制的 "剑桥分析" 故事主线
2. 事件影响
小白: Facebook 平台日活数超过 20 亿, 掌握着非常非常多的数据.
大东:"剑桥分析" 用 Facebook 北美 5000 万用户的数据, 搭建起一个可以剖析美国选民的数据模型, 并且能够针对性地推送千人千面的个性化政治广告.
小白: 但这些数据是 Facebook 泄露的吗?
大东: 并不是, Facebook 没有发生任何信息泄露, 也就是没有我们经常强调的遭受 "攻击, 侵入, 干扰和破坏" 这样的安全事故. 换句话说, 平台本身或许没有安全风险, 但是利用平台对外界造成安全危害, 这个方面我们关注非常不够. 再由于关键信息基础设施如此重要, 就算设施本身没有被破坏, 但是一旦被恶意利用后, 很可能造成非常严重的后果.
3. 小白内心戏
小白: 一定是有人 "引导" 我, 我才会爱上 "大东话安全" 的.
4. 大东话
大东: 从善如登, 从恶如崩.
来源: http://netsecurity.51cto.com/art/201807/579949.htm