1. 客服熱線:400-615-8698
      多特蒙德中文

      回顧信息安全大事件:2014年是轉折年

      2014年12月31日 TAG: 本站

      回顧信息安全大事件:2014年是轉折年


      來源:TechTarget中國


      在本文中,主編Robert Richardsom回顧了2014年發生的安全事故和突破以及一些經驗教訓。

      又一年快要結束了,我們希望從2014年的安全事故和突破中找出值得學習的東西。在這一年中,我們看到了持續的政府監視和改變遊戲規則的數據泄露事故,這是事情的轉折點嗎?

      2014年信用卡信息泄露的完美風暴中,零售商們接二連三地讓其銷售終端(PoS)被粗糙的防禦和猖獗的惡意軟件任意宰割。對此,第一家受此攻擊的Target公司已經使用芯片密碼(chip-and-PIN)設備取代了其所有的刷卡機器,而同時,在8月初的黑帽大會上,Ross Anderson(再次)提醒我們,芯片密碼已經可能會遭受攻擊,並且他還展示了概念驗證視頻來說明這個問題。

      供應商在談論“高級威脅”時,彷彿這個詞語在安全產品選擇時會有一定作用。而保持互聯網運作的舊的C語言程序代碼被以令人震驚的低技術含量的方式所攻破,並且沒有人注意到。借用狄更斯的一句話:總體而言,2014年代表着安全專業人員經歷過的最糟糕的一年。

      受監視的國家

      在斯諾登首次泄露信息的一年後,2014年的上半年源源不斷出現關於NSA項目和方法的新消息。前美國網絡負責人Richard ClarkeCSA峯會(2月份與RSA大會共同舉行)的主題演講中稱,NSA情報能力非常強,遠遠超過你能想象的水平。但隨着技術的發展,他們爲警察國家創造了潛能。

      NSA具有這麼強的情報能力的一個原因在於,他們可以成功地搭建後門式的快捷方式,在協議內實現對加密通信的暴力破解,而這些協議原本可以足以阻止這樣的做法。

      加密功能的開放協議存在明顯問題並不是安全社區可以接受的事實,並且,對於供應商是否已經對此串通一氣也爆發出爭論:

      現在我們無法快速回顧這些詳細信息,但我們可以看看1月份的報道:

      12月份路透社報道指稱EMC旗下的安全供應商在2006年與NSA簽署了1000萬美元的合同,以使用有缺陷的Dual-EC-DRBG僞隨機數生成算數作爲其BSAFE加密庫產品的默認選項,對此,RSA受到行業嚴酷的批評。如果這是事實,RSA可能一直在積極協助NSA祕密地訪問使用該算法加密的數據。

      RSA首席執行官Art Coviello否認了這一指控。在2月份的RSA會議後,這種熱議開始平息。這可能是因爲我們瞭解了NSA的網絡間諜操作的更多詳細信息,從其Tailored Access Operations(TAO)計劃暴露的類似購物者的購物清單式的按需攻擊方案和工具,再到Glenn Greenwald的新聞網站the Intercept3月中旬進一步泄露的消息。特別引人關注的是:我們顯然不再可能依靠全新設備的安全性。正如SearchSecurity作者同時也是聖路易斯大學董事兼信息安全官Nick Lewis指出:“NSA已經幹擾了攻擊的供應鏈,在設備連接到目標網絡之前,其監控工具就已經存在於系統中。

      信用卡數據泄露

      儘管業界對政府監視做法一片譁然,但在2014年還有更大的事件值得關注:美國的大型零售商似乎對其信用卡數據已經完全失去控制。

      1月份有消息稱,安全行業的很多人感覺非常肯定接下來會發生的事情:Target泄露事故比最初報道的更加嚴重。Neiman Marcus在今年第一天也宣稱他們也受到攻擊。路透社文章稱,其他零售商也會受到攻擊。實體經濟領域的企業已經受到威脅,而PoS終端是共同點。

      截至目前,在今年即將結束的幾週中,我們看到Home DepotMichaelsKmartGoodwill IndustriesDairy Queen遭受泄露事故。目前還沒有任何明確的跡象表明,零售商已經可用完全應對這些事故中出現的RAM-scraping惡意軟件的威脅。

      在今年夏天,通過摩根大通的網絡泄露的7600萬家庭的數據,讓我們意識到當涉及第三方供應商的安全控制的責任和監管時,監管影響的嚴重問題。我們預計在今年結束之前還會看到對大型零售商、金融機構和醫療機構更多的數據泄露事故的報道。

      雲故障

      2014年企業加大對雲服務的投資力度的同時,我們也看到雲安全失敗的消息,也許其中最引人注目的是,源代碼託管供應商Code Spaces在攻擊者獲取對其亞馬遜雲計算服務控制面板並刪除客戶庫(及其備份)後,其業務徹底崩潰。

      我們的新聞報道引用了英國軟件設計和諮詢公司Springwater Software主管Martin Howes的話,他表示其公司對所有信息都有本地副本,因此沒有收到很大影響。這只是正常的謹慎做法,”Howes表示,大家都知道把數據放在雲中的風險,並不能完全依賴雲計算。Code Spaces並沒有這麼謹慎。

      8月份,諮詢公司Bonsai Information Security創始人Andres RianchoAWS用戶分享了潛在的問題清單。蘋果公司認爲,儘管明星豔照在互聯網瘋傳,但這些並不是因爲蘋果系統(包括iCloudFind my iPhone)受到攻擊。到夏季結束時,2014年已經開始看起來像一個好年頭,終於開始全面使用雙因素身份驗證。

      易受攻擊的物聯網

      同樣出現在黑帽大會的議題是:可被嵌入到任何硬件設備中的漏洞,包括用於篩選航空旅客的TSA使用的嗅探工具、各種電動汽車、通信衛星以機構你的U盤。通過BadUSB攻擊,根本沒有辦法來確定USB設備是否受到感染,在黑帽大會上,“BadUSB -- On Accessories That Turn Evil”的演講者Karsten Nohl指出,該攻擊出現在TAO目錄中,早在他和他的夥伴獨立創造出它之前。

      在黑帽大會上進行開幕式主題演講的Dan Geer提供了在技術過渡到物聯網(IoT)環境的過程中針對互聯網連接的十誡,這些系統很複雜而難以管理,他主張採用務實的做法,強權政治做法,其中具有嵌入式系統的設備要麼有強制性的生命終結或者自動修補程序。

      殘破的協議

      如果IoT在很大程度上是具有前瞻性的討論,那麼今年的另一個問題則要回溯到早期互聯網時期,當時開源組件還是使用難以辨認的C編程語言的樣本在編寫。4月份出現的Heartbleed是一個長期存在的漏洞,它存在於TLS協議廣泛的OpenSSL部署中而未被發現。這不是一個玩笑,”CSRgroup Computer Security諮詢公司首席顧問Jake Williams表示,我已經在信息安全領域很多年,這是我見過的最可怕的漏洞之一。

      9月份我們迎來了另一個幾十歲的漏洞,這次是在Bash shell中,與此同時,McAfee數據估計30萬網站仍然受到Heartbleed的威脅。儘管我們還並不清楚Heartbleed是否正應用在在現實環境中(除非由NSA,彭博社報道),但攻擊者已經開始轉移到被稱爲“Shellshock”的漏洞。

      10月份帶給我們的是Poodle(填充甲骨文在降級的傳統加密)。正如我們的報道所稱,Poodle的嚴重性在於,主流Web瀏覽器無法連接到使用更現代協議的HTTPS服務器時,它們會對那些邊緣情況降級對SSL3.0的支持。在這篇報道發佈時,我們還不完全清楚Poodle在現實世界帶來的嚴重影響程度,但有人會希望這是最後一根救命稻草,來引發對充滿問題的TLS加密機制的重整。

      其他方面的消息,安全攻擊上升4.6%;賽門鐵克在3月份辭去其首席執行官,然後在10月份分離其業務安全和備份;比特幣墮落到只有400美元股價,同時,雖然爆發各種非加密安全問題,比特幣仍然安然活在新聞之外;美國政府發佈NIST網絡安全框架1.0,其影響仍然不清楚,無疑是因爲合規性不是強制性。

      展望未來

      2014年最大的經驗教訓可以歸結爲,你將需要終端到終端加密和雙因素身份驗證來確保數據隱私性,儘管這樣你可能還是無法逃脫NSA的監視。零售業泄漏事故的接連發生讓EuropayMasterCardVisa(EMV)等標準在明年將會啓動,儘管還不清楚這種標準是否能夠阻止數據泄露事故(被盜信用卡憑證仍將可用於互聯網交易中)

      10月份,Apple Pay推出,讓Touch IDNFS無線鏈路陷於PoS問題。在我們報道中身份驗證供應商Nok Nok Labs首席執行官Phil Dunkelberger指出,Apple Pay絕對是對現有信用卡安全的提升。

      勢頭可能已經轉向,但真正的變化很難發現。雖然很少見諸報端,但美國政府的機構繼續其監視活動,而NSA無疑正在忙於制定TAO的聖誕目錄。目前似乎還沒有真正的計劃來取代從瀏覽器到服務器的TLS連接,而TLS定期會出現重大漏洞。Apple Pay等系統已經開始使用EMV,並用單次使用令牌來替代靜態字符,Google Pay也做了同樣的事情,但沒有吸引同樣的關注,這些都意味着物理站點會迎來更安全的電子交易。但話又說回來,正如律師事務所BakerHostetler隱私和數據保護做法合夥人Craig Hoffman指出,“EMV本身並不是安全解決方案,這是一個真正的防僞欺詐解決方案,換句話說,EMV芯片並不會阻止攻擊者入侵商家的支付卡網絡。

      本文鏈接:http://www.sicklycat.com/product/html/26.html轉載請註明!
      掃描加入
      Copyright © 2015 - 2024 上海多特蒙德中文實業股份有限公司    滬ICP備11027956號