安全：魔高一丈？

對于越來越功利化的網絡犯罪，我們該怎么辦？

雖然安全問題從互聯網誕生之日就在年年講、月月講，常講常新，但直到2012年春節前夕，CSDN、天涯等網站用戶信息泄露事件讓數千萬的中國用戶切身體驗到了“信息裸奔”的滋味：登錄密碼、郵箱密碼、支付密碼、驗證碼；社交網站、電商網站、游戲網站、門戶網站……用戶絞盡腦汁回憶自己曾經在哪個網站注冊并留下個人的真實信息，并逐個兒修改。而今年央視315晚會曝光的多家銀行內部員工出售用戶個人資料，導致數十位用戶網銀余額被竊超過300多萬元的案件，讓互聯網個人信息與上網安全成為輿論焦點。

自從2008年中國互聯網網民數量躍居世界第一位以來，中國互聯網以驚人的速度快速發展，同時快速增長的還有黑客和攻擊事件。NCC Group公布的今年一、二季度黑客事件發源地排行榜（Origins of Global Hacks）中，美國、中國和俄羅斯占據著全球10大黑客事件發源地排行榜的前三位，并且呈快速上升的趨勢。NCC全球CEO Rob Cotton對此并不表示驚訝——“美中俄三國人口眾多，并且關聯緊密”，反而是惡意網絡活動在全球范圍內顯示出的野火般的生命力令他難以置信，“如此大規模的活動目前卻沒有有效防治的辦法，信息安全產業僅僅集中在少數國家，彼此缺乏透明度和相互協作”。

不為炫技為獲利

網絡罪犯早就不是單純為了“炫技”而各自為戰的業余不法之徒，他們已經逐漸進化為與恐怖活動組織一樣的作案手法——金錢、動機及目標，他們能夠出盡奇謀、利用大量時間及資源策動僵尸網絡發起攻擊，令企業蒙受數以百萬美元的損失。

他們盜竊的也并非單純是財務信息，目前網絡罪犯更希望獲得客戶的一般個人數據而非賬單或信用卡數據，因為利用客戶個人數據，黑客可以發動更精準的攻擊，增加成功率，獲得更大的利益。對某些用戶來說，社交身份比信用卡對黑客更有價值，目前新浪微博擁有3億用戶，其中近3千萬活躍用戶每天都會登錄，社交網絡為網絡罪犯帶來更大的作案空間。

與美國、俄羅斯黑客放眼全球不同，中國的網絡罪犯大多將目標鎖定自己的同胞。在互聯網安全威脅的背后，大多有著信息安全地下黑色產業鏈的身影。與現實社會中販賣毒品等物理世界犯罪產業鏈不同的是，信息安全地下產業鏈以攻擊和利用互聯網用戶盈利，其非法商品服務以及最終攫取的金錢都可以依賴互聯網進行傳輸與實現，因此這一獨特的產業鏈分為真實資產盜竊、網絡虛擬資產盜竊、互聯網資源與服務濫用與黑帽技術工具培訓4大塊，并完全依托于互聯網。

由于涉及銀行賬戶的真實資產盜竊案件危害重大，因此也一直是中國執法部門重點打擊的對象。2011年，中國公安機關開展了代號為“天網-2011”的打擊銀行卡犯罪專項行動，重點打擊偽卡類、套現類和涉網類等主觀惡意程度高、涉案金額大的銀行卡犯罪案件，共破獲案件2.4萬余起，挽回經濟損失4億元。

在公安部公布的10大案例中，除了5項信用卡非法套現案件之外，其他5個案件均與互聯網真實資產盜竊地下經濟鏈密切相關。例如在浙江湖州“3·28”特大網絡信用卡詐騙案中，犯罪團伙從互聯網地下黑市購買“網絡釣魚”程序，并以網站出售暢銷商品為誘餌實施網絡釣魚，竊取網購顧客的銀行卡賬號密碼資料，然后再實施信用卡盜刷，獲取巨額非法所得。此案中犯罪團伙使用QQ作為聯系手段，作案人員分布于10余省市，受害人數眾多，是一起典型的通過互聯網地下產業鏈組織實施的真實資產盜竊案件。

湖南衡陽妨害信用卡管理案中，犯罪嫌疑人利用地下產業鏈上線提供的他人身份證辦理假冒銀行卡，公安機關攻擊收繳涉案信用卡8000余張，身份證5萬余張，而每張假冒銀行卡以每張60～80元價格賣給上線，用于其他犯罪，這是近年來公安機關破獲的冒用他人身份信息辦理銀行卡數量最多的案件，體現了冒用他人身份辦理的銀行卡在真實資產盜竊地下產業鏈中的作用。

對于避免真實資產被盜，除了用戶自身提高警惕外，還需要企業、銀行與政府機構的聯手合作。清華大學的網絡信息網絡安全實驗室負責人諸葛建偉認為，今后消費者的個人信息可以通過公安部或者更權威的機構進行在線的身份認證，而不需要消費者自己把這些個人信息分別在各個電商以及第三方支付的企業進行注冊，這樣可以大大降低企業行為造成的用戶信息泄露。

黑客更看好移動

移動計算已經成為商業通信的常用手段，盡管企業CIO們已逐漸接受這種趨勢，但對種類繁多、而且使用不同操作系統的移動設備連接到企業網絡，仍然希望建立合適的移動及網絡訪問安全政策。Check Point的調查表明，78%的受訪企業表示連接到它們公司網絡的個人移動設備數量是兩年前的兩倍，63%更認為這個趨勢與安全事故增加有關。

移動設備也成為黑客盜取信息及敏感數據的溫床。如果沒有穩妥的安全防范措施，黑客能在幾秒鐘內把特洛伊木馬病毒上載到一臺移動設備，然后以每20秒一幀的速度拍攝設備的屏幕情況，從而掠奪其中的敏感數據，包括短信、郵件、上網記錄或用戶所處地點，為移動安全帶來更大的挑戰。

趨勢科技主管移動全球副總裁Ron Clarkson表示，各大應用商店中都已經出現過可能會故意盜竊用戶信息、劫持賬戶以及發送高價短信的惡意移動工具。盡管從目前的已知情況來看，移動領域中所面臨的實際威脅依然算不上“重大犯罪”的程度，但在不久的將來，安全局勢就很可能會出現急轉直下的改變——由于支持近場通信技術（NFC）的下一代手機呈現迅速普及的態勢，意味著更多種類的電子商務與金融類應用的涌現，可能吸引更多“職業”網絡犯罪分子對于該領域的關注。“按照我們的預測，一旦網絡犯罪分子認識到這些技術可以被用來在資金盜竊方面獲取更多的好處，由‘職業’網絡犯罪分子造就涉及范圍更廣危害更嚴重的危急局面就將會出現?！?/p>

Ron Clarkson敦促系統管理員對于購買現成解決方案的決策進行重新審視，“現在已經沒有時間讓消費者與技術部門繼續使用頭痛醫頭腳痛醫腳零敲碎打的傳統方式來保障移動設備的安全，而需要馬上建立起一個覆蓋范圍全面的統一安全體系，涉及的部分包括了企業網絡與設備以及下載到設備上需要獲得有效管理的各種各樣應用程序?！?/p>

在IT消費化加上自帶設備（BYOD）已經如此明顯的趨勢之下，移動安全的工作重點不僅僅在設備管理之上，對于應用軟件管理領域也需要給予足夠的關注。

虛擬化技術在誕生之初是用作整合服務器及IT資源以節省成本、空間及耗電，時至今日，其用途已經變得更加廣泛，其中一種是企業在部署BYOD時利用虛擬化技術作為一層額外的安全保護屏障來保護其網絡及端點設備，把企業數據與互聯網分開，讓用戶可以自由上網沖浪，又不受路過式下載、網絡釣魚及惡意軟件的威脅。

Ron Clarkson進一步解釋說，這意味著用戶在決定將應用下載到設備上之前需要先進行掃描；此外，應用程序商店的現有環境也應當進行規范，確保已知惡意免費應用都被標注出來。

看好賬戶，看好錢包

“谷歌錢包”有幸或者說不幸成為了NFC早期應用的小白鼠。今年2月，在“谷歌錢包”漏洞可能導致用戶資金被竊的消息曝光后，谷歌暫停了這項服務與預付費卡的關聯。

值得注意的是，漏洞都源于“谷歌錢包”，而非NFC技術——谷歌錢包的PIN碼并未存儲在硬件“安全單元”中，而是存放于一個被Android系統保護的數據庫中；通過對該數據庫的強力攻擊，黑客就可以獲取PIN碼。如果谷歌將谷歌錢包的PIN碼存放在硬件的安全單元中，幾乎就不會被破解。安全專家表示，“即使出現這兩個漏洞，谷歌錢包仍比目前使用的信用卡更安全”。目前谷歌已經悄悄地更新了旗下移動支付服務谷歌錢包（Google Wallet）的網站，宣布“即將發布的更加智能的新版谷歌錢包（smarter wallet）”。

僵尸網絡是企業2012年最感頭疼的網絡安全威脅之一。網絡罪犯在成千上萬、甚至數以百萬計的系統尋找漏洞，“綁架”計算機然后進行破壞活動，包括盜竊數據、潛入未經授權訪問的網絡資源、啟動拒絕服務（DoS）攻擊或散布垃圾郵件。過去一般認為大部分常見的僵尸網絡是在Windows系統計算機上操作的，如今Linux及Mac計算機也不能幸免。

無論如何，操作系統的安全保護演進日趨成熟，只要企業實施合理的安全政策及保護，可以抵御頗多的安全威脅，未來將會有更多黑客通過利用人的弱點策動對機構的攻擊。

基于社交網站工程的攻擊一般是瞄準那些掌握敏感信息的人士。如今只需數分鐘，黑客就可以通過各種社交網站通信渠道，便取得某個人的許多信息——在Facebook搜索并知道姓名、出生日期及人際網絡；在Twitter上獲悉興趣及追隨者；從LinkedIn獲悉工作履歷及教育背景；在FourSquare 或Yelp得悉目前用戶身處何地……基于社交網站設計的攻擊是根據某人的資料量身訂制，所以它們乍看起來是無害的。另外，由于電子郵件、即時通信、SNS、博客等應用的交叉相關性，一個賬戶被破解往往帶來連鎖反應，相當于把“串好”的雞蛋放在了一個籃子里，更容易被一掃而光。

2010年，Twitter公司某管理人員的個人電子郵件被黑客入侵，黑客利用郵件中的信息訪問了該員工的Google Apps賬戶，最終竊取了Twitter公司的大量文件，從各種創意文案到詳細的財務資料一應俱全。很快，一份包含310份Twitter機密文件的壓縮包開始在互聯網上公開叫賣。

調研顯示，基于社交網站的攻擊的主要動機是謀取金錢利益（51%），其次是獲得專有信息（46%），然后是獲得競爭優勢（40%），最后是報復性攻擊（14%），這種攻擊能令企業造成2.5萬～10萬美元的經濟損失。