春节即将来临,各行各业都在做年终总结,网络安全也是一样。RSA、索尼等网络安全事件都被各大网站写进了自己的2011年网络安全事件回顾中。而近期的CSDN用户信息泄漏引发的“泄露门”更是给年终网络安全事件总结加了一剂猛料。确实,2011年对于互联网而言不是一个太平的年份,各种攻击方式、泄漏事件应接不暇。很多攻击更是被加上了政治色彩,传的神乎其神。但是总结2011的网络安全并不是无从谈起的。下面就从著名的国内外网络安全事件、政策变更、黑客以及年终泄漏门几个方面对2011年的网络安全进行一个总结回顾。
国外网络安全事件
RSA遭遇APT攻击 SecurID被偷
RSA是EMC公司的安全部门,今年3月18日,RSA遭遇APT攻击,其SecurID被偷,随后RSA证实国防工业巨头洛克希德•马丁(Lockheed Martin,位于美国马里兰州贝塞斯达)遭遇攻击,且利用了SecurID的因素。
但RSA这次反应并没有那么快,三个月后,也就是六月份才表示将更换SecurID令牌,因为其最大的客户们在针对政府承办商的攻击中受害,他们认为这与双因素认证机制有关。RSA这次遭袭后,一下将安全界的目光都引向了安全认证技术,各大认证厂商也纷纷宣传自己的产品。
索尼、三菱重工接连被黑 大量用户数据泄漏
2011 年对索尼来说是灾难性的一年。自今年4月份索尼PlayStation network用户数据泄漏后,它的噩梦就开始了。被黑客入侵、用户资料泄露的PSN网络还没有完全恢复,索尼旗下的世界各地其他网站和服务又频频遭到类似的攻击,一时间让索尼焦头烂额,不得不关闭了加拿大、泰国和印度尼西亚的一些互联网服务,原因是这些网站也遭到黑客入侵。
这一系列事件让索尼损失巨大,在大量数据泄漏事件中,索尼是其中备受瞩目的一个,它标志着2011年数据泄漏的开始。
除索尼外,下半年三菱重工等日本军工企业接连遭受黑客攻击,大量机密数据外泄。日本包括政府在内都将数据安全建设提上日程。
DigiNotar等证书机构证书泄漏 SSL被曝存在漏洞
今年三月,在黑客入侵了一个Comodo公司登记管理机关合作伙伴系统后,偷走谷歌、雅虎等公司的证书。七月证书机构DigiNotar更是由于证书泄露进入破产保护,SSL也被曝存在漏洞。
黑客:Anonymous、LulzSec和美国黑客大会
Anonymous和LulzSec应该是11年最有名的两个黑客组织了,特别是Anonymous(下半年LulzSec被Anonymous收编)。这些行事非常高调这些黑客组织攻陷大公司和政府机构的网站,特别是在索尼数千万用户信息泄漏之后,Anonymous更是名噪一时,其窃取数据的对象除了索尼之外还有美国公共广播公司(PBS)、亚利桑那州警察部门等等。
下半年拉斯维加斯举行的美国黑客大会也是今年网络的看点之一,大会上世界各地的黑客展示了各种各样的新型技术。例如有研究人员称发现侵入苹果MacBook, MacBook Pro与MacBook Air芯片且控制电池的方法,这样就可以摧毁它们或者在它们上面安装持续的恶意软件。这次大会上研究人员展示了50多种产品,其中最密集的是展示设备漏洞:包括USB设备,打印机,扫描仪,iPhone与安卓设备,Chrome,笔记本电脑,行业监控与数据采集系统(SCADA)。
国内的网络安全事件
国内有名的安全事件可能没有国外黑客攻击事件那么高的技术含量可言,但常常充满着社会色彩。除泄漏门外11年最有名的国内的安全事件应属哈药六厂和 蒙牛两家企业遭受的黑客攻击事件,黑客的攻击手段均是将企业网站首页篡改,并在篡改后的页面上留下数行文字,且文字内容都是谴责企业的不道德行为。两次攻 击之后社会公众并没有对黑客表示谴责,甚至有些人在看到相关新闻之后对黑客行为表示赞同。这或许是中国特色的网络攻击吧。
国内黑客大会与黑客自律公约
11年由万涛、龚蔚等国内元老级黑客发起召开了第一届黑客大会,并拟写了黑客自律公约。这次黑客大会以安全的互联网生活,追求技术自由、免费、共 享、平等、互助为主题,总结了过去十年中中国的黑客文化及网络发展趋势,倡导国内黑客应保留尊严。黑客大会上还强调通常意义下的网络犯罪不是黑客行为。
泄漏门事件
12月21日网友爆料有黑客在网上公布国内知名IT技术论坛网站CSDN的600万用户信息,这条新闻拉开了年终泄漏门事件的序幕。紧接着多玩游戏 网800万用户账号也遭到泄漏。截至目前包括CSDN、多玩、天涯、人人、当当、卓越等十余家大型网站、论坛数以亿计的用户数据泄漏。这便是著名的泄漏门 事件。
部分网站泄漏数据统计
除了用户信息泄漏量巨大之外,很多人将泄漏门和不久前的微博实名制政策进行关联分析,很多人认为,这次的泄漏门为微博实名制的实施带来巨大的挑战。 著名安全人士万涛表示,CSDN这些库很早就被拖库了,现在只是有人借助于网络将其公开,“这种明文密码的库,和现在的数据库不同,不可能有谁拿了这些明 文密码的库再来赚钱,公开这个更像是一个娱乐的心态。加上不久前微博实名制政策的发布,CSDN的信息泄漏事件更像是对微博实名制的挑战。”
2011或许应该以泄漏门收尾了,很多人面对不断出现的信息泄漏事件感到非常的不安,不知道应该怎样保护自己的密码安全。但是安全密码不是一天练成 的,用户需要多注意自己的上网环境安全,通过定期更新自己的重要账号密码、避免多个账户使用相同的密码等等策略加强防范意识。没有绝对的网络安全,但是只 要能有较强的网络安全意识并采取适当的保护数据安全,信息泄漏的可能性就可以降到最低。
