安全：魔高一丈？

對(duì)于越來越功利化的網(wǎng)絡(luò)犯罪，我們?cè)撛趺崔k？

雖然安全問題從互聯(lián)網(wǎng)誕生之日就在年年講、月月講，常講常新，但直到2012年春節(jié)前夕，CSDN、天涯等網(wǎng)站用戶信息泄露事件讓數(shù)千萬的中國用戶切身體驗(yàn)到了“信息裸奔”的滋味：登錄密碼、郵箱密碼、支付密碼、驗(yàn)證碼；社交網(wǎng)站、電商網(wǎng)站、游戲網(wǎng)站、門戶網(wǎng)站……用戶絞盡腦汁回憶自己曾經(jīng)在哪個(gè)網(wǎng)站注冊(cè)并留下個(gè)人的真實(shí)信息，并逐個(gè)兒修改。而今年央視315晚會(huì)曝光的多家銀行內(nèi)部員工出售用戶個(gè)人資料，導(dǎo)致數(shù)十位用戶網(wǎng)銀余額被竊超過300多萬元的案件，讓互聯(lián)網(wǎng)個(gè)人信息與上網(wǎng)安全成為輿論焦點(diǎn)。

自從2008年中國互聯(lián)網(wǎng)網(wǎng)民數(shù)量躍居世界第一位以來，中國互聯(lián)網(wǎng)以驚人的速度快速發(fā)展，同時(shí)快速增長的還有黑客和攻擊事件。NCC Group公布的今年一、二季度黑客事件發(fā)源地排行榜（Origins of Global Hacks）中，美國、中國和俄羅斯占據(jù)著全球10大黑客事件發(fā)源地排行榜的前三位，并且呈快速上升的趨勢(shì)。NCC全球CEO Rob Cotton對(duì)此并不表示驚訝——“美中俄三國人口眾多，并且關(guān)聯(lián)緊密”，反而是惡意網(wǎng)絡(luò)活動(dòng)在全球范圍內(nèi)顯示出的野火般的生命力令他難以置信，“如此大規(guī)模的活動(dòng)目前卻沒有有效防治的辦法，信息安全產(chǎn)業(yè)僅僅集中在少數(shù)國家，彼此缺乏透明度和相互協(xié)作”。

不為炫技為獲利

網(wǎng)絡(luò)罪犯早就不是單純?yōu)榱恕办偶肌倍髯詾閼?zhàn)的業(yè)余不法之徒，他們已經(jīng)逐漸進(jìn)化為與恐怖活動(dòng)組織一樣的作案手法——金錢、動(dòng)機(jī)及目標(biāo)，他們能夠出盡奇謀、利用大量時(shí)間及資源策動(dòng)僵尸網(wǎng)絡(luò)發(fā)起攻擊，令企業(yè)蒙受數(shù)以百萬美元的損失。

他們盜竊的也并非單純是財(cái)務(wù)信息，目前網(wǎng)絡(luò)罪犯更希望獲得客戶的一般個(gè)人數(shù)據(jù)而非賬單或信用卡數(shù)據(jù)，因?yàn)槔每蛻魝€(gè)人數(shù)據(jù)，黑客可以發(fā)動(dòng)更精準(zhǔn)的攻擊，增加成功率，獲得更大的利益。對(duì)某些用戶來說，社交身份比信用卡對(duì)黑客更有價(jià)值，目前新浪微博擁有3億用戶，其中近3千萬活躍用戶每天都會(huì)登錄，社交網(wǎng)絡(luò)為網(wǎng)絡(luò)罪犯帶來更大的作案空間。

與美國、俄羅斯黑客放眼全球不同，中國的網(wǎng)絡(luò)罪犯大多將目標(biāo)鎖定自己的同胞。在互聯(lián)網(wǎng)安全威脅的背后，大多有著信息安全地下黑色產(chǎn)業(yè)鏈的身影。與現(xiàn)實(shí)社會(huì)中販賣毒品等物理世界犯罪產(chǎn)業(yè)鏈不同的是，信息安全地下產(chǎn)業(yè)鏈以攻擊和利用互聯(lián)網(wǎng)用戶盈利，其非法商品服務(wù)以及最終攫取的金錢都可以依賴互聯(lián)網(wǎng)進(jìn)行傳輸與實(shí)現(xiàn)，因此這一獨(dú)特的產(chǎn)業(yè)鏈分為真實(shí)資產(chǎn)盜竊、網(wǎng)絡(luò)虛擬資產(chǎn)盜竊、互聯(lián)網(wǎng)資源與服務(wù)濫用與黑帽技術(shù)工具培訓(xùn)4大塊，并完全依托于互聯(lián)網(wǎng)。

由于涉及銀行賬戶的真實(shí)資產(chǎn)盜竊案件危害重大，因此也一直是中國執(zhí)法部門重點(diǎn)打擊的對(duì)象。2011年，中國公安機(jī)關(guān)開展了代號(hào)為“天網(wǎng)-2011”的打擊銀行卡犯罪專項(xiàng)行動(dòng)，重點(diǎn)打擊偽卡類、套現(xiàn)類和涉網(wǎng)類等主觀惡意程度高、涉案金額大的銀行卡犯罪案件，共破獲案件2.4萬余起，挽回經(jīng)濟(jì)損失4億元。

在公安部公布的10大案例中，除了5項(xiàng)信用卡非法套現(xiàn)案件之外，其他5個(gè)案件均與互聯(lián)網(wǎng)真實(shí)資產(chǎn)盜竊地下經(jīng)濟(jì)鏈密切相關(guān)。例如在浙江湖州“3·28”特大網(wǎng)絡(luò)信用卡詐騙案中，犯罪團(tuán)伙從互聯(lián)網(wǎng)地下黑市購買“網(wǎng)絡(luò)釣魚”程序，并以網(wǎng)站出售暢銷商品為誘餌實(shí)施網(wǎng)絡(luò)釣魚，竊取網(wǎng)購顧客的銀行卡賬號(hào)密碼資料，然后再實(shí)施信用卡盜刷，獲取巨額非法所得。此案中犯罪團(tuán)伙使用QQ作為聯(lián)系手段，作案人員分布于10余省市，受害人數(shù)眾多，是一起典型的通過互聯(lián)網(wǎng)地下產(chǎn)業(yè)鏈組織實(shí)施的真實(shí)資產(chǎn)盜竊案件。

湖南衡陽妨害信用卡管理案中，犯罪嫌疑人利用地下產(chǎn)業(yè)鏈上線提供的他人身份證辦理假冒銀行卡，公安機(jī)關(guān)攻擊收繳涉案信用卡8000余張，身份證5萬余張，而每張假冒銀行卡以每張60～80元價(jià)格賣給上線，用于其他犯罪，這是近年來公安機(jī)關(guān)破獲的冒用他人身份信息辦理銀行卡數(shù)量最多的案件，體現(xiàn)了冒用他人身份辦理的銀行卡在真實(shí)資產(chǎn)盜竊地下產(chǎn)業(yè)鏈中的作用。

對(duì)于避免真實(shí)資產(chǎn)被盜，除了用戶自身提高警惕外，還需要企業(yè)、銀行與政府機(jī)構(gòu)的聯(lián)手合作。清華大學(xué)的網(wǎng)絡(luò)信息網(wǎng)絡(luò)安全實(shí)驗(yàn)室負(fù)責(zé)人諸葛建偉認(rèn)為，今后消費(fèi)者的個(gè)人信息可以通過公安部或者更權(quán)威的機(jī)構(gòu)進(jìn)行在線的身份認(rèn)證，而不需要消費(fèi)者自己把這些個(gè)人信息分別在各個(gè)電商以及第三方支付的企業(yè)進(jìn)行注冊(cè)，這樣可以大大降低企業(yè)行為造成的用戶信息泄露。

黑客更看好移動(dòng)

移動(dòng)計(jì)算已經(jīng)成為商業(yè)通信的常用手段，盡管企業(yè)CIO們已逐漸接受這種趨勢(shì)，但對(duì)種類繁多、而且使用不同操作系統(tǒng)的移動(dòng)設(shè)備連接到企業(yè)網(wǎng)絡(luò)，仍然希望建立合適的移動(dòng)及網(wǎng)絡(luò)訪問安全政策。Check Point的調(diào)查表明，78%的受訪企業(yè)表示連接到它們公司網(wǎng)絡(luò)的個(gè)人移動(dòng)設(shè)備數(shù)量是兩年前的兩倍，63%更認(rèn)為這個(gè)趨勢(shì)與安全事故增加有關(guān)。

移動(dòng)設(shè)備也成為黑客盜取信息及敏感數(shù)據(jù)的溫床。如果沒有穩(wěn)妥的安全防范措施，黑客能在幾秒鐘內(nèi)把特洛伊木馬病毒上載到一臺(tái)移動(dòng)設(shè)備，然后以每20秒一幀的速度拍攝設(shè)備的屏幕情況，從而掠奪其中的敏感數(shù)據(jù)，包括短信、郵件、上網(wǎng)記錄或用戶所處地點(diǎn)，為移動(dòng)安全帶來更大的挑戰(zhàn)。

趨勢(shì)科技主管移動(dòng)全球副總裁Ron Clarkson表示，各大應(yīng)用商店中都已經(jīng)出現(xiàn)過可能會(huì)故意盜竊用戶信息、劫持賬戶以及發(fā)送高價(jià)短信的惡意移動(dòng)工具。盡管從目前的已知情況來看，移動(dòng)領(lǐng)域中所面臨的實(shí)際威脅依然算不上“重大犯罪”的程度，但在不久的將來，安全局勢(shì)就很可能會(huì)出現(xiàn)急轉(zhuǎn)直下的改變——由于支持近場(chǎng)通信技術(shù)（NFC）的下一代手機(jī)呈現(xiàn)迅速普及的態(tài)勢(shì)，意味著更多種類的電子商務(wù)與金融類應(yīng)用的涌現(xiàn)，可能吸引更多“職業(yè)”網(wǎng)絡(luò)犯罪分子對(duì)于該領(lǐng)域的關(guān)注。“按照我們的預(yù)測(cè)，一旦網(wǎng)絡(luò)犯罪分子認(rèn)識(shí)到這些技術(shù)可以被用來在資金盜竊方面獲取更多的好處，由‘職業(yè)’網(wǎng)絡(luò)犯罪分子造就涉及范圍更廣危害更嚴(yán)重的危急局面就將會(huì)出現(xiàn)。”

Ron Clarkson敦促系統(tǒng)管理員對(duì)于購買現(xiàn)成解決方案的決策進(jìn)行重新審視，“現(xiàn)在已經(jīng)沒有時(shí)間讓消費(fèi)者與技術(shù)部門繼續(xù)使用頭痛醫(yī)頭腳痛醫(yī)腳零敲碎打的傳統(tǒng)方式來保障移動(dòng)設(shè)備的安全，而需要馬上建立起一個(gè)覆蓋范圍全面的統(tǒng)一安全體系，涉及的部分包括了企業(yè)網(wǎng)絡(luò)與設(shè)備以及下載到設(shè)備上需要獲得有效管理的各種各樣應(yīng)用程序。”

在IT消費(fèi)化加上自帶設(shè)備（BYOD）已經(jīng)如此明顯的趨勢(shì)之下，移動(dòng)安全的工作重點(diǎn)不僅僅在設(shè)備管理之上，對(duì)于應(yīng)用軟件管理領(lǐng)域也需要給予足夠的關(guān)注。

虛擬化技術(shù)在誕生之初是用作整合服務(wù)器及IT資源以節(jié)省成本、空間及耗電，時(shí)至今日，其用途已經(jīng)變得更加廣泛，其中一種是企業(yè)在部署B(yǎng)YOD時(shí)利用虛擬化技術(shù)作為一層額外的安全保護(hù)屏障來保護(hù)其網(wǎng)絡(luò)及端點(diǎn)設(shè)備，把企業(yè)數(shù)據(jù)與互聯(lián)網(wǎng)分開，讓用戶可以自由上網(wǎng)沖浪，又不受路過式下載、網(wǎng)絡(luò)釣魚及惡意軟件的威脅。

Ron Clarkson進(jìn)一步解釋說，這意味著用戶在決定將應(yīng)用下載到設(shè)備上之前需要先進(jìn)行掃描；此外，應(yīng)用程序商店的現(xiàn)有環(huán)境也應(yīng)當(dāng)進(jìn)行規(guī)范，確保已知惡意免費(fèi)應(yīng)用都被標(biāo)注出來。

看好賬戶，看好錢包

“谷歌錢包”有幸或者說不幸成為了NFC早期應(yīng)用的小白鼠。今年2月，在“谷歌錢包”漏洞可能導(dǎo)致用戶資金被竊的消息曝光后，谷歌暫停了這項(xiàng)服務(wù)與預(yù)付費(fèi)卡的關(guān)聯(lián)。

值得注意的是，漏洞都源于“谷歌錢包”，而非NFC技術(shù)——谷歌錢包的PIN碼并未存儲(chǔ)在硬件“安全單元”中，而是存放于一個(gè)被Android系統(tǒng)保護(hù)的數(shù)據(jù)庫中；通過對(duì)該數(shù)據(jù)庫的強(qiáng)力攻擊，黑客就可以獲取PIN碼。如果谷歌將谷歌錢包的PIN碼存放在硬件的安全單元中，幾乎就不會(huì)被破解。安全專家表示，“即使出現(xiàn)這兩個(gè)漏洞，谷歌錢包仍比目前使用的信用卡更安全”。目前谷歌已經(jīng)悄悄地更新了旗下移動(dòng)支付服務(wù)谷歌錢包（Google Wallet）的網(wǎng)站，宣布“即將發(fā)布的更加智能的新版谷歌錢包（smarter wallet）”。

僵尸網(wǎng)絡(luò)是企業(yè)2012年最感頭疼的網(wǎng)絡(luò)安全威脅之一。網(wǎng)絡(luò)罪犯在成千上萬、甚至數(shù)以百萬計(jì)的系統(tǒng)尋找漏洞，“綁架”計(jì)算機(jī)然后進(jìn)行破壞活動(dòng)，包括盜竊數(shù)據(jù)、潛入未經(jīng)授權(quán)訪問的網(wǎng)絡(luò)資源、啟動(dòng)拒絕服務(wù)（DoS）攻擊或散布垃圾郵件。過去一般認(rèn)為大部分常見的僵尸網(wǎng)絡(luò)是在Windows系統(tǒng)計(jì)算機(jī)上操作的，如今Linux及Mac計(jì)算機(jī)也不能幸免。

無論如何，操作系統(tǒng)的安全保護(hù)演進(jìn)日趨成熟，只要企業(yè)實(shí)施合理的安全政策及保護(hù)，可以抵御頗多的安全威脅，未來將會(huì)有更多黑客通過利用人的弱點(diǎn)策動(dòng)對(duì)機(jī)構(gòu)的攻擊。

基于社交網(wǎng)站工程的攻擊一般是瞄準(zhǔn)那些掌握敏感信息的人士。如今只需數(shù)分鐘，黑客就可以通過各種社交網(wǎng)站通信渠道，便取得某個(gè)人的許多信息——在Facebook搜索并知道姓名、出生日期及人際網(wǎng)絡(luò)；在Twitter上獲悉興趣及追隨者；從LinkedIn獲悉工作履歷及教育背景；在FourSquare 或Yelp得悉目前用戶身處何地……基于社交網(wǎng)站設(shè)計(jì)的攻擊是根據(jù)某人的資料量身訂制，所以它們乍看起來是無害的。另外，由于電子郵件、即時(shí)通信、SNS、博客等應(yīng)用的交叉相關(guān)性，一個(gè)賬戶被破解往往帶來連鎖反應(yīng)，相當(dāng)于把“串好”的雞蛋放在了一個(gè)籃子里，更容易被一掃而光。

2010年，Twitter公司某管理人員的個(gè)人電子郵件被黑客入侵，黑客利用郵件中的信息訪問了該員工的Google Apps賬戶，最終竊取了Twitter公司的大量文件，從各種創(chuàng)意文案到詳細(xì)的財(cái)務(wù)資料一應(yīng)俱全。很快，一份包含310份Twitter機(jī)密文件的壓縮包開始在互聯(lián)網(wǎng)上公開叫賣。

調(diào)研顯示，基于社交網(wǎng)站的攻擊的主要?jiǎng)訖C(jī)是謀取金錢利益（51%），其次是獲得專有信息（46%），然后是獲得競(jìng)爭優(yōu)勢(shì)（40%），最后是報(bào)復(fù)性攻擊（14%），這種攻擊能令企業(yè)造成2.5萬～10萬美元的經(jīng)濟(jì)損失。