企業(yè)網絡安全威脅大(dà)揭秘 2024-04-18
摘要(yào) :
對(duì)于企業(yè)來(lái)說(shuō),∞÷" 木(mù)馬、黑(hēi)客、病毒等網絡安全威脅已經成π✔β為(wèi)信息安全的(de)重大(dà)隐患。為(♣©wèi)了(le)保護企業(yè)數(shù)據的(↓∑de)安全,就(jiù)要(yào)清楚目前來(lái)自(zì)網絡的(d☆♣∑e)主要(yào)威脅都(dōu)有(yǒu)哪些λ♣<(xiē)。
一(yī)、安全隐患:IPv6存在的(de)攻擊漏洞
在從(cóng)IPV4向IPV6過渡的(de)過程中,企業(yλ<¥✔è)面臨著(zhe)很(hěn)多(duō)信息安全調整,安全♥≈≤♦專家(jiā)表示。讓情況更糟糕的(de)是(€✘φ≠shì),一(yī)些(xiē)攻擊者已經開(kāi)始使用(↔÷↕yòng)IPV6地(dì)址空(kōng)間(jiān)來(lái≈≠♠)偷偷向IPV4網絡發起攻擊。
Sophos公司的(de)技(jì)術(shù)策略主管James Lyφ&☆εne表示,衆所周知(zhī),企業(yè)間(jiān)從("♣cóng)IPV4向IPV6過渡過程非常緩慢(màn)ε♥,而很(hěn)多(duō)網絡罪犯就(jiù♠λδ☆)鑽了(le)這(zhè)個(gè)空(kōng)子(zǐ),很(h≠×£δěn)多(duō)攻擊者在IPV6基礎設施散'₩步垃圾郵件(jiàn)并且利用(yòng)了(le)錯(cuò)誤配置的(→'§de)防火(huǒ)牆的(de)缺點。
很(hěn)多(duō)現(xiàn)代防火(huǒ)牆在默認配置>λβ下(xià)都(dōu)是(shì)讓IPV6流量自(zì)行(xín ★g)通(tōng)過的(de),Lyne表示。那(nà)些(☆↕βxiē)對(duì)IPV6流量不(bù)感興趣的(de)企業(yè&✔)就(jiù)會(huì)設立明(míng)确的(de↑¶↑)規則來(lái)嚴格阻止IPV6數(shù)據包,IT管↓©理(lǐ)人(rén)員(yuán)需要(yào)“知(zhī)道(dào)如↕σ≥(rú)何與IPV6對(duì)話(huà)≤α§&”,這(zhè)樣他(tā)們就(jiù)可( ™Ω↑kě)以編寫相(xiàng)應的(de)規則來(lái)處理(β§lǐ)該協議(yì)。
“從(cóng)行(xíng)業(yè)的(de)角度來(lá$i)看(kàn),現(xiàn)在銷售IPV6的(©₽de)方式是(shì)錯(cuò)誤的(de),”L®± yne表示,他(tā)指出關于該協議(yì)的(de)內(nèi)置功↕♥能(néng)如(rú)何幫助提高(gāo)隐私性方面的(de)問(wè <✔&n)題很(hěn)少(shǎo)有(yǒu)人(rén)探討(tǎ§≤$o)。相(xiàng)反的(de),對(♠♠♣€duì)IPV6難以部署的(de)普遍觀念讓企業(yè)很(hěn)容易受≥ π到(dào)潛在攻擊。
從(cóng)一(yī)般規則來(lái)看(kàn),σ₹IPV4和(hé)IPV6網絡是(shì)&¥↓并行(xíng)運行(xíng)的(de)。具有(yǒu)傳統IPV4地(d€♦♣ì)址的(de)計(jì)算(suàn)機(jī)不(bù)能("∏★¶néng)訪問(wèn)在IPV6地(dì)址空(kōng)間(jiān₩₽↕•)運行(xíng)的(de)服務器(qì)和(hé)網站(★∑§δzhàn)。随著(zhe)IPV4地(dδγì)址“逐漸衰敗”,業(yè)內(nèi)↑✔™都(dōu)鼓勵企業(yè)轉換到(dào)I"$←PV6或者無法獲取新IP地(dì)址。負責向亞太地(dì)區(qū)分(fēα§∏♣n)配IP地(dì)址的(de)亞太網絡信息中心近(σ↑✘jìn)日(rì)宣布所有(yǒu)新的(de)地(dì✘>©±)址申請(qǐng)将被分(fēn)配IPφ$★ V6地(dì)址。
一(yī)位安全研究人(rén)員(yuán)近(jìn)日(rì♠<<)發現(xiàn)攻擊者可(kě)能(néng)通(tōng)過¥®IPV6網站(zhàn)發動中間(jiān≠ )人(rén)攻擊。InfoSec研究所安全研究人(rén)員(yuá ±₹ n)Alec Waters表示,攻擊者可(k↓☆δφě)以覆蓋到(dào)目标IPV4網絡上∏≠(shàng)的(de)“寄生(shēnσ≠§&g)”IPV6網絡來(lái)攔截互聯網流量,他( ≤∞tā)的(de)概念證明(míng)攻擊隻考慮了(↓∞✘le)windows 7系統,但(dàn)是(shì)同樣也(yě←₩)可(kě)能(néng)發生(shēng)在Vista、Windows 2'"&008 Server和(hé)其他(tā)默認情況下(xià ♦)開(kāi)啓了(le)IPV6的(de)操作(zuò)系統上(shàn'↑εg)。
為(wèi)成功發動攻擊,攻擊者需要(yào)獲取對(duì)目标Ω 網絡的(de)物(wù)理(lǐ)訪問(wèn"←£),并且時(shí)間(jiān)足以連接到(dà§o)IPV6路(lù)由器(qì)。在企業↔'¥(yè)網絡的(de)環境中,攻擊者将需要(yào)連ε≠→σ接IPV6路(lù)由器(qì)到(dào$♣÷)現(xiàn)有(yǒu)的(de)IP4樞紐,但(dàn)是(÷✔≤₩shì)對(duì)于公衆無線熱(rè)點,就( ←jiù)非常簡單了(le),隻需要(yào)用(yòng)↑ '★IPV6路(lù)由器(qì)就(jiù)能(néng)發動攻擊。
攻擊者的(de)IPV6路(lù)由器(qì)将會(huì)使用(yòn₽∞g)假的(de)路(lù)由器(qì)廣告來(lái)為♠→λ (wèi)網絡中啓用(yòng)了(le)IPV6的(®δde)機(jī)器(qì)自(zì)動創建新的(de)IPV6地α±↑₽(dì)址。
路(lù)由器(qì)廣告的(de)作(zuò)用(yòng)就(φjiù)像是(shì)IPV6地(dì)址的(♦φ₹de)DHCP(動态主機(jī)配置協議(yì)),它提供了(le)λ≠一(yī)個(gè)地(dì)址池供主機(jī)來(lái)選擇,根據SAN®±S研究所首席研究官Johannes Ullrich表示。在用(yò★←&<ng)戶或者IT管理(lǐ)人(rén)員(yΩφuán)不(bù)知(zhī)情的(de)情況下(xià),他(tā)們的(dπ×≈ e)機(jī)器(qì)已經變成IPV6獵物¶α>(wù)。
雖然系統已經有(yǒu)一(yī)個(gè)企業(yè)分(fēφ↑✔€n)配的(de)IPV4地(dì)址,但(dàn)ε∏♦♥是(shì)因為(wèi)操作(zuò)系統處理(lǐ)I" ↓PV6的(de)方式,系統會(huì)被打₽>★∏亂到(dào)IPV6網絡。現(xiàn)代操作(∑¥®✘zuò)系統将IPV6默認為(wèi)首選連接(如(rú← )果系統同時(shí)被分(fēn)配了(le)I¶₩$PV6和(hé)IPV4地(dì)址的(de)話(huà))。
由于IPV6系統無法與企業(yè)真正的(de)IPV4路(l ¥ù)由器(qì)進行(xíng)連接,系統必須通(tōng)過惡意路(l&≈'ù)由器(qì)進行(xíng)路(lù)由,Waters表> §示,攻擊者然後可(kě)以使用(yòng)一(yī)個(gè)¥通(tōng)道(dào)來(lái)将IPV☆→✔•6地(dì)址轉換到(dào)IPV4地(dì)址,例如(rú)NAT- ±₩PT,這(zhè)是(shì)一(yī)個¥€$$(gè)實驗性IPV4到(dào)IPV6轉換機(jī)制(zhì),但(εσ↕dàn)是(shì)因為(wèi)存在很(∏♥hěn)多(duō)問(wèn)題,該機(jī)制(z÷♥β↑hì)并沒有(yǒu)獲得(de)廣泛支持。
“但(dàn)并不(bù)意味著(zhe)&↕它沒有(yǒu)作(zuò)用(yòng),”Waters•♣表示。
通(tōng)過NAT-PT,具有(yǒu)IPV6地(dì)址的(d↕±e)機(jī)器(qì)就(jiù)可(kΩφ♣βě)以通(tōng)過惡意路(lù)由器(qì)訪問(wè≤≠↔n)IPV4網絡,使攻擊者對(duì)他(tā)們的(de)互聯網★σ活動有(yǒu)了(le)全面了(le)解。,
這(zhè)種攻擊的(de)嚴重程度還(hái)存在争議(yì),InfoSαεec研究所安全計(jì)劃經理(lǐ)Jack €→σ Koziol表示。根據常見(jiàn)漏洞清單,“IPV6πγ☆符合RFC 3484(IPV6協議(yì§✘↓)),以及試圖确定RA的(de)合法性目标仍<&§位于主機(jī)操作(zuò)系統推薦行(xíng)為(↔€<wèi)的(de)範圍外(wài)仍然存在争議(yì)。”¥'•
不(bù)需要(yào)使用(yòng)IPV6或者沒有(☆ yǒu)完成過渡的(de)企業(yè)應該關閉所有(yǒu) ™•系統上(shàng)的(de)IPV6,或λ∑↔©者,企業(yè)應該“像IPV4一(yī)樣對(duì)攻擊進行(xíng¶ε)監控和(hé)抵禦”。
二、來(lái)自(zì)客戶和(hé)合作(zu→ε≥ò)夥伴的(de)安全威脅
雖然企業(yè)盡其全力确保了(le)自(zì)身(shēn)網™<β絡安全,但(dàn)在電(diàn)子(zǐ)商務和(hé)網↑↓★上(shàng)銀(yín)行(xíng)的(de)時(shí∑±)代,這(zhè)些(xiē)還(hái)遠(yuǎn)遠(yuǎn)不(b"γγ®ù)夠。IT管理(lǐ)人(rén)員(yuán)應該要(yào)∑₩ 問(wèn):與我們業(yè)務往來(lái)的(de)合作(zuò)夥伴↓的(de)安全保護工(gōng)作(zuò)是(shì)否♥∞到(dào)位?
答(dá)案可(kě)能(néng)是(shì)否定的(de),因為"♣(wèi)客戶和(hé)業(yè)務合作(zuò<±)夥伴并沒有(yǒu)實現(xiàn)安全數(shù)據共享,例如(rú)使用& Ω(yòng)加密來(lái)保護敏感信息。當他(tā∞>≤₽)們的(de)計(jì)算(suàn)機(jī)被攻πβφ₽擊者攻擊或者他(tā)們的(de)員(yuán)工(gōng)以不♥¥(bù)合法規的(de)方式發送敏感數(shù)據時(sh¶<σí),這(zhè)自(zì)然也(yě)會(h&ε≤♣uì)成為(wèi)你(nǐ)們公司的(de)問(wèn)題。
在醫(yī)療保健行(xíng)業(yè),與個(gè)人(♥ ©rén)醫(yī)療信息和(hé)個(gλδ₽≥è)人(rén)身(shēn)份信息有(yǒu)關的(de)數♠♠(shù)據必須通(tōng)過加密後才能(néng≥∑)發送給業(yè)務合作(zuò)夥伴,Lutheran Life Commu'≤nities(醫(yī)療保健供應商,1600名員(yuán)工(gōng•> ©),為(wèi)老(lǎo)年(nián)人(rén)提供醫(&÷yī)療保健、家(jiā)庭護理(lǐ)等服務)的(de)信息技(j δì)術(shù)主管Richard DeRoche表示。
該醫(yī)療保健供應商安裝了(le)數(shù)據 ←丢失防護設備來(lái)确保個(gè)人←π(rén)醫(yī)療信息和(hé)個(gè)人(rén)身(shēn)份÷ε信息數(shù)據傳輸安全進行(xíng),但(♦∏₽©dàn)是(shì)令人(rén)驚訝的(★♦αde)是(shì),最終是(shì)業(yè)務合作(zuò)夥伴™≤的(de)問(wèn)題導緻數(shù)據εδ∏洩漏。
“85%到(dào)90%的(de)數(shù)αΩ≠≠據洩漏是(shì)入站(zhàn)的(de),”DeRoche指出,雖然L₹§utheran Life的(de)員(yuán)工(gōng)遵守加密敏感數(λ>"shù)據的(de)規則,但(dàn)是(shì)該供應商δ®的(de)合作(zuò)夥伴确實犯下(xià)最大(dà)錯(cu₽↑ò)誤的(de)一(yī)方,真是(shì)防不(bù)勝防。₽★≈
這(zhè)引起了(le)Lutheran Life法律部的®×(de)辯論,關于公司是(shì)否應該接受看(kàn)似違反了(le)H<&IPAA以及HITECH法案的(de)電(diàn♠→ ™)子(zǐ)郵件(jiàn),這(zhè)些(xiē)法案都β"₽©(dōu)會(huì)對(duì)違規者進行(xíng)罰₹<↓款。
DeRoche表示,公司已經決定開(kāi)始向違反™¥"其安全和(hé)隐私政策的(de)電(diàn)子(zǐ)郵件β'<(jiàn)發送者發送警告信息,信息中稱本公司無法接受這(z←<> hè)種形式的(de)信息。他(tā)指出,有(yǒu≈₽¶✘)必要(yào)建立更多(duō)的(de)業(yè)務夥伴協議(yì×♦σ>),以防止類似問(wèn)題再次發生(shēng)。
像許多(duō)公司一(yī)樣,Lutheran Life Communiπ♣ties發現(xiàn)很(hěn)難讓業(yè)務夥伴使用(yòng)加β¶密技(jì)術(shù),建立的(de)微(wēi)軟>Ω₽÷SharePoint作(zuò)為(wèi)業(yè)務夥伴共享機(jīσ)密信息的(de)外(wài)部端口,這(₽♦ zhè)個(gè)系統是(shì)使用(yòn§★≤g)密碼和(hé)加密的(de)系統,但(dàn)'δ$σ是(shì)對(duì)最終用(yòng)戶卻βλβπ不(bù)實用(yòng)。
銀(yín)行(xíng)業(yè)也(☆×yě)是(shì)同樣的(de)情況,其他(tā)人(rén)±♣↓¶犯的(de)錯(cuò)誤可(kě)能(nén↑≠☆✔g)帶來(lái)不(bù)必要(yào)的(de)麻煩。
網絡罪犯很(hěn)擅長(cháng)欺騙零售業(yè)和€ ✔≈(hé)企業(yè)網上(shàng)銀(yín)行(xíng)客戶,有≥∏(yǒu)時(shí)候他(tā)們會(huì)精心÷≤© 設計(jì)騙局來(lái)引誘受害者電(♦αdiàn)機(jī)假冒釣魚網站(zhàn)來(lái)竊取賬戶信息或者使用÷∞↑(yòng)木(mù)馬軟件(jiàn)劫持個(gè)人(rén)電♥↕€ (diàn)腦(nǎo)來(lái)通(t€♦ōng)過自(zì)動清算(suàn)系統服務進行(xín¶≈g)欺詐交易。
罪犯可(kě)以遠(yuǎn)程通(tōng)¶™過受害者的(de)電(diàn)腦(nǎo↓')發起大(dà)金(jīn)額支付,而這(zhè)些(xiē®♠∏)未經授權的(de)付款最終由錢(qián)螺幫助他(tā)們兌現(xiàn€Ω↑)(錢(qián)騾指通(tōng)過因特網将用★$Ω(yòng)詐騙等不(bù)正當手段從(c₹•®εóng)一(yī)國(guó)得(de)來(lái)的(de)錢(qián)≠¶款和(hé)高(gāo)價值貨物(wù)轉移到(dào)另一( ¥≠×yī)國(guó)的(de)人(rén),÷® 款物(wù)接收國(guó)通(tōng)常是(shì)詐σ↓騙份子(zǐ)的(de)居住地(dì))。當企業(yè)銀(yí☆β n)行(xíng)客戶發現(xiàn)這(zhè)種情況發生(shēng★>)時(shí),他(tā)們不(bù)得(de)不≠♥γ→(bù)請(qǐng)銀(yín)行(xíng)幫忙,而根據法律,企業(y±₹∏è)客戶對(duì)于網上(shàng)銀(¶παyín)行(xíng)操作(zuò)并沒有γ<ε¥(yǒu)相(xiàng)同的(de)欺詐保護。׶×
一(yī)些(xiē)銀(yín)行(xíng)正♠αε€在嘗試更有(yǒu)效的(de)辦法來(lái)制↑←(zhì)止這(zhè)種類型的(de)攻擊對(duì)他(tā)們的(≈¥φ>de)客戶和(hé)銀(yín)行(xíng)體(tǐ)系的(de)損∞®害。
例如(rú),美(měi)國(guó)費(f®♦èi)爾菲爾德縣銀(yín)行(xíng)決定,為(wè★∞™i)了(le)阻止攻擊行(xíng)為(wèi),他(tā)¶←α們要(yào)求其企業(yè)自(zì)動清算(suàn)σε ♣系統銀(yín)行(xíng)客戶(約80家(™jiā)公司,幾百名終端用(yòng)戶)使用(♠≈®yòng)特定的(de)安全保護來(lái)保護ACH支付。
該銀(yín)行(xíng)的(de)所有•γ(yǒu)客戶都(dōu)會(huì)獲得(de)一(yī)個(gè)I¥×<ronKey Trusted Access$§€作(zuò)為(wèi)網上(shàng)銀(yín)行(xíng)∑'令牌,這(zhè)是(shì)一(yī)個(gè)安全的✘£♣♠(de)USB令牌,可(kě)以通(tōng)過IronKey雲服務來(l¶ €→ái)管理(lǐ)。這(zhè)種令牌保護↑≥能(néng)夠通(tōng)過創建一(♣↓♥yī)個(gè)獨立于用(yòng)戶操作(zuò)系統的 ↓(de)受控制(zhì)的(de)在線工(♠♥★gōng)作(zuò)環境防止鍵盤記錄和(hé)基于浏覽器(qì)的(de)γ₽α®攻擊以及惡意軟件(jiàn)。
“這(zhè)将是(shì)必需的(de),” 該銀(yín)行(xíλ♥ng)助理(lǐ)副總裁、現(xiàn)金(jīn)管理(lǐ)辦公室和 ↕(hé)電(diàn)子(zǐ)銀(yín)行(xíng)業(yè×↕)務Christina Bodine表示。
她(tā)表示,這(zhè)種強制(zhì)性安全設•★備将有(yǒu)助于保護客戶和(hé)區(×αβ✔qū)分(fēn)銀(yín)行(xíng)的(de✘≥)服務。像其他(tā)銀(yín)行(xíng)一(yī)樣,該銀(yín$≤£)行(xíng)建議(yì)客戶使用(yòng)•↕專門(mén)的(de)電(diàn)腦(n'≈ǎo)進行(xíng)資金(jīn)轉賬。
三、有(yǒu)補丁不(bù)打,四分(f£ēn)之一(yī)SSL網站(zhàn)有(yǒu)風(fēn→σ€g)險
在互聯網工(gōng)程任務組(Internet Engineer"€÷ing Task Force ,IETF)☆♦¶σ發布修複SSL協議(yì)中存在的(de)漏洞(主要(•yào)影(yǐng)響服務器(qì)、浏& 覽器(qì)、智能(néng)卡和(hé)VPN産品,以及很(hěn)多(du₹ δō)低(dī)端設備,如(rú)攝像頭等)的(de)安全補丁的(de)一↓≥(yī)年(nián)多(duō)後,仍然有(yǒu)四分(fēn☆"$)之一(yī)的(de)SSL網站(zhàn)沒有(yǒu)安✘ ✘α裝這(zhè)個(gè)補丁,這(zhè)讓這(zhè)些(xi¥'ē)網站(zhàn)很(hěn)容易收到(dào)中↔<間(jiān)人(rén)攻擊。
Qualys公司的(de)工(gōng)程主≤→∏管Ivan Ristic近(jìn)日(rì)對(duì)120萬個(gè)啓用(yòng)SSL網站(z$₽₽hàn)服務器(qì)進行(xíng)了(le)調 δ'查,其中發現(xiàn)超過25%的(de)網站(zhàn)沒£✔有(yǒu)運行(xíng)所謂的(de)安全的→δ(de)renegotiation。Ristic還(✔→hái)發現(xiàn),在Alexa排名前1∞₽00萬的(de)網站(zhàn)中的(de)÷30萬個(gè)網站(zhàn)中,有(yǒu)35%容易受到(dào)這(∏↑✘zhè)種類型的(de)攻擊,這(zhè)種攻擊主要( λ'yào)是(shì)利用(yòng)了(le)SSL認證過程中存在的₹←(de)問(wèn)題,可(kě)以讓攻擊者發動中間(jiδ↓$ān)人(rén)攻擊,并将攻擊者自(zì)己的(de)文(wén)本注入到(π♥₹dào)已加密的(de)SSL會(huì)話(huà)中。這(zh•Ω♦è)個(gè)問(wèn)題主要(yào)存♠在于renegotiation過程中,有(yββǒu)些(xiē)應用(yòng)程序要(yào)求對(duì)加密過程進行(★₩♥ xíng)更新。
為(wèi)了(le)解決這(zhè)個(gè)問(wèn)題,互聯網∞↕工(gōng)程任務組聯手促進互聯網安全企業(yè)論壇以及一(yī)≠π♦些(xiē)供應商,例如(rú)谷歌(gē)、微(wēi)↑← 軟和(hé)PhoneFactor,發布SSL ¥的(de)修複補丁,也(yě)就(jiù)是(shì)互聯網工(gōn≠¶®≠g)程任務組标準中的(de)傳輸層安全(TLS)。這<↓(zhè)個(gè)修複補丁(傳輸層安全TLS Reneg∑→∏otiation Indication Extensio÷π≈n)于2010年(nián)一(yī)月(↓±♠yuè)發布。
“令人(rén)感到(dào)意外(wài)的(de)是(shì),頂™÷π級網站(zhàn)的(de)安全狀況比一(yī)般網站(zhàn)的(d" ©e)還(hái)要(yào)差,”Ristic對(duì)調查結'£果表示。
Ristic表示,這(zhè)些(xiē)容易受到(dào)攻擊¥∑☆β的(de)網站(zhàn)基本上(shà↑βng)沒有(yǒu)修複這(zhè)個(gè)漏×$>洞。“在修複補丁後,才能(néng)夠确保安全進απ行(xíng)renegotiation,”他(tā)表示,“這(zhè)些φ→γ(xiē)漏洞系統也(yě)可(kě)以部署其他(tā)解決€€&方法,通(tōng)過禁用(yòng)客戶端發起的(d§¥απe)renegotiation,但(dànΩ"×)是(shì)他(tā)們也(yě)沒有(yǒu)這(zhè)樣做(zuò)©→♣λ。”
發現(xiàn)這(zhè)個(gè)漏洞的(de)PhoneFactor公司₹λ的(de)Marsh Ray表示,這(zhè)些(xiπ'♦ē)數(shù)據說(shuō)明(míng)了(le)修複漏洞方面₽β✔的(de)場(chǎng)景安全狀況,“有(yǒu)一(yī)定≠∏★數(shù)量的(de)網站(zhàn)會(huì)立即修複漏洞,然♥φ÷後修複後就(jiù)沒有(yǒu)采取任何行(xíng)動了(l♦γδe)。”
Ray表示,“我們已經盡了(le)全力,我們讓供應商及時(shí)地(↔£→dì)提供修複補丁。你(nǐ)可(kě)以把馬帶到(dào)湖∏∞↑(hú)邊,但(dàn)是(shì)你(nǐ)不(bù)能(néng)命≥±δ令它喝(hē)水(shuǐ)。”
SSL安全問(wèn)題一(yī)直受到(γ™dào)廣泛關注,首先是(shì)研究人(rén)員(&÷"∞yuán)Moxie Marlinspike制(zh π¥ ì)造的(de)中間(jiān)人(rén)攻擊,誘騙用(yòng)α↑戶認為(wèi)他(tā)正處于一(yī)個(gè)H&λ®TTPS會(huì)話(huà)中,而實際上(shàng)他(tā)已經被攻擊®↕→者重定向到(dào)其他(tā)位置。随之而來(lá✘→i)的(de)是(shì)研究人(rén)員(yuán)Dan Kamins<✔₩ky的(de)研究,他(tā)發現(xiàn)了(le)SSL中使用(y★ 'òng)的(de)X.509數(shù)字證書(₹δshū)技(jì)術(shù)存在的(de)關鍵漏洞。
“我認為(wèi)沒有(yǒu)辦法讓個(gè)人(rén)用(γ™₹yòng)戶大(dà)幅度改善SSL部署情況。存在太多(d♠&uō)問(wèn)題,而且根本沒有(yǒu)人(rén✘ε×)在乎。我覺得(de)我們應該将側重于庫開(kāφ∏i)發人(rén)員(yuán)(舉例來(lái)說(shuō))Open φ↔ΩSSL,讓他(tā)們移除過時(shí)的(de)功能(néng),并且讓軟件£☆∞(jiàn)供應商确保默認情況下(xià)開(kāi)啓了←σ™(le)必要(yào)的(de)安全功能(néng),”Ristic表示。
他(tā)表示,從(cóng)長(cháng)遠(yuǎn)來(lái)δ 看(kàn),将需要(yào)其他(tā)方法來(lái)'✔幫助确保SSL部署的(de)安全。“從(δ§cóng)長(cháng)遠(yuǎn)來(lái)看(kàn),谷歌♣ππ✘(gē)使用(yòng)的(de)方法肯定會(huì)變得ππ✔(de)非常流行(xíng),他(tā)們正在®₹≥通(tōng)過改善性能(néng)來(lái)實現(xiàn)安全的"↑÷₽(de)改進。例如(rú),他(tā)們¥₩的(de)SPDY協議(yì)在默認情況下(xià)是(s♥↔hì)100%加密的(de)。所以,所有(yǒu)轉移到(dà$∏o)SPDY獲取更好(hǎo)性能(nén↔παg)的(de)用(yòng)戶還(hái)将獲得(de•&₽←)更好(hǎo)的(de)安全,”Ristic指出>α€,“總體(tǐ)來(lái)說(shuō),我們α≈的(de)共同努力,SPDY、DNSSEC、HSTS以及α÷≈♥類似的(de)較小(xiǎo)的(de)協議(§€♠↑yì)改進都(dōu)将幫助我們實現(xiàn)更好(hǎoλΩ)的(de)安全。”
四、釣魚攻擊成為(wèi)主要(yào)安全威脅Ω₩∏
成功利用(yòng)釣魚郵件(jiàn)對(duì)安全企>×業(yè)(例如(rú)Oak Ridge和(hé)RSו≤A等)造成的(de)數(shù)據洩漏攻擊為(wèi)我們敲響了(le)↕↓警鐘(zhōng),一(yī)些(xiē)專家(jiā)嗤之以鼻的(de)低( ₹dī)技(jì)術(shù)含量攻擊方法也(yě)可(kě)能✔©↔(néng)造成嚴重威脅。
美(měi)國(guó)能(néng)源部研究實驗室Oak Ridge近★÷ §(jìn)日(rì)宣布在發現(xiàn)在其網絡中存在數(shù)據竊取惡意♦&¥軟件(jiàn)程序後,已經關閉了(le)所有(÷≤δyǒu)互聯網訪問(wèn)和(hé)電(di§₽σ àn)子(zǐ)郵件(jiàn)服務。
根據該實驗室表示,這(zhè)次數(shù)↓>$據洩漏事(shì)故源于一(yī)封被發送給570名員(yuán)工(gōng≈σ£)的(de)釣魚攻擊郵件(jiàn)。這(zhè≥• )封電(diàn)子(zǐ)郵件(jià¶↔n)僞裝成該實驗室的(de)人(rén)力資源部門★γ✔φ(mén)的(de)通(tōng)知(zhī♠ ),當一(yī)些(xiē)員(yuán)工(gōng)點擊嵌入在電(di£ε∑àn)子(zǐ)郵件(jiàn)中的(de)鏈接後,惡意程序就↔₹(jiù)被下(xià)載到(dào)他Ω₩"(tā)們的(de)電(diàn)腦(nǎo)中 &≈©。
這(zhè)個(gè)惡意程序利用(yòng)了(le)微(wēiφφ¶δ)軟IE軟件(jiàn)中未修複的(de)漏洞,并且±σ¥目的(de)是(shì)搜尋和(hé)竊取該實驗室的(de)技≤↑ (jì)術(shù)信息,該實驗室的(de)工(gōng)程師(shī→♠Ω)們正在努力研制(zhì)世界上(shàng)最快(kuài)的(de•×)超級計(jì)算(suàn)機(jī)。
Oak Ridge實驗室的(de)官方發言人(rén)形容這(zhè)次攻♣→™擊與安全供應商RSA遭受的(de)攻擊非常類似。
RSA數(shù)據洩漏事(shì)故導緻了(le)RSA公司的(de)S ↓≥ecurID雙因素認證技(jì)術(shù)信息的(de)被竊。而在本月(yφλ uè)初Epsilon發生(shēng)的(de)數(shù)據洩漏事(shì™)故也(yě)被懷疑是(shì)有(yǒu)針對(duì)性的(de)釣←↕×魚攻擊行(xíng)為(wèi),這(zhè)次事(s§>✘↔hì)故是(shì)有(yǒu)史以來(lái)設計(jì)最多σ✘π(duō)電(diàn)子(zǐ)郵件(jiàn)地(dìα↔α )址的(de)事(shì)故。
分(fēn)析家(jiā)表示,攻擊者能(néng)夠利用(yòng)低(dīφ ε¶)技(jì)術(shù)含量、假冒電(diàn)子(zǐ)郵件('"§≈jiàn)的(de)方法來(lái)滲透入這(zhè¶βπ)些(xiē)受到(dào)良好(hǎo)保護的(de)企業(yè)♦表明(míng)了(le)有(yǒu)針對(duì)性的(de)釣魚攻擊日←♠♥(rì)益成熟,并且存在這(zhè)樣的(de)趨勢,企業(yè)認≈÷為(wèi)單靠教育員(yuán)工(gōng)就(jiù)能 ↑♥(néng)夠緩解這(zhè)個(gè)問(wèn)題。
“這(zhè)并不(bù)讓我感到(dào)驚♦₽訝,” 安全公司Invincea公司創始人← $(rén)Anup Ghosh表示,“幾乎每個(gè)公開(k ↓♥✔āi)的(de)和(hé)發表聲明(mí<♥φ$ng)的(de)高(gāo)級持續性攻擊都(dōu)是(shì)•★↓∏通(tōng)過釣魚郵件(jiàn)開(kāi)始的(de)。✔™ ”
事(shì)實上(shàng),現(xiàn)在這(zhè)↕α★類郵件(jiàn)似乎成為(wèi)攻擊者非法進入企業(yè)網絡的(de)首選方法,他(tā)表示。≈≤
“你(nǐ)需要(yào)做(zuò)的(de)就(jiù)∏γ¶是(shì)設立一(yī)個(gè)電(diàn)子(zǐ)郵件($∏jiàn)目标,你(nǐ)隻需要(yào)通(tō≤±&&ng)過幾次電(diàn)機(jī)就(jiù)能(néng)夠在×↔☆企業(yè)內(nèi)部建立幾個(gè)•♥存在點,”Ghosh表示,“如(rú)果你(nǐ)企業(yè)有(yǒu∞<€)1000名員(yuán)工(gōng),并且你(nǐ)教₩§育他(tā)們不(bù)能(néng)打開♥§♣←(kāi)不(bù)可(kě)信任的(de)附♣₩件(jiàn),還(hái)是(shì)會(huì)有(yǒu)那(nà)λ₹麽幾個(gè)人(rén)會(huì)打開(kāi)。這(zh☆₩∏₽è)并不(bù)是(shì)訓練可(kě)δ¥以解決的(de)問(wèn)題。”
讓問(wèn)題更嚴重的(de)就(jiù)是(shì)釣魚攻φ擊越來(lái)越複雜(zá),分(fēn)析師(shī)指出。
越來(lái)越多(duō)的(de)有(y♠<ǒu)組織的(de)攻擊團隊開(kāi)始使用(yòng)精心設計(≠"jì)的(de)電(diàn)子(zǐ)郵件(jiàn)來(lái)針≈ε₽∑對(duì)高(gāo)層管理(lǐ)人±(rén)員(yuán)以及企業(yè)內(nèi)部他(βσβtā)們想要(yào)攻擊的(de)員(yuán)工(gōng)。在很(hěn↕₹→)多(duō)情況下(xià),釣魚郵件(jiàn)都(dō♥↕∑u)是(shì)個(gè)性化(huà)的(d≈±e)、本地(dì)化(huà)的(de),并且設∞×€σ計(jì)得(de)好(hǎo)像是(shì)來(lái)自(↓✔ zì)可(kě)信任來(lái)源一(yī)樣。
Ghosh表示,他(tā)上(shàng)周就(jiù)收到(dào)過類φλ似的(de)郵件(jiàn)。郵件(jiàn)發送到∞♣÷(dào)他(tā)的(de)個(gè)✔≥ ✘人(rén)郵箱,看(kàn)起來(lái)是(shì)一(yī)個(g è)好(hǎo)朋(péng)友(yǒu)發過來(lái)的>∑☆'(de)郵件(jiàn),包含一(yī)個(gè)能(¶₩néng)夠打開(kāi)朋(péng)友(yǒu)的(de)女(nǚ)兒( ↔ér)生(shēng)日(rì)派對(duì ♦♠)照(zhào)片的(de)鏈接。郵件(jiàn)甚至還(Ω↑∏λhái)包含朋(péng)友(yǒu)女(nǚ)兒(ér)的(dε×↓★e)名字。
郵件(jiàn)被标記為(wèi)紅(hón✔g)色,但(dàn)是(shì)Ghosh在點擊₩∞鏈接後才發現(xiàn)紅(hóng)色标記。“随便看(kànγ∏)一(yī)眼就(jiù)已經能(néng)夠說(shuō)服我去(qù)δ★♠<點擊鏈接,”他(tā)表示。
Spire Security公司的(de)分(fēn)析師(sβhī)Pete Lindstrom表示,“最近(j←₹≈ìn)很(hěn)多(duō)攻擊都(dōu)是(shì)使用(¶×yòng)某種形式的(de)釣魚攻擊,這(zhè)個(gè)十Ω>分(fēn)令人(rén)擔憂,我們總是α∞☆(shì)很(hěn)容易在一(yī)些(xiē★&☆)安全基礎環節掉鏈子(zǐ)。”
公司必須定期記錄和(hé)監測網絡是(shì)否存在這(zhè)種釣魚攻擊造≤→→成的(de)數(shù)據洩漏,他(tā)表示。
在釣魚攻擊中,企業(yè)必須更注重響應∑δ♥和(hé)遏制(zhì),而不(bù)僅僅是(shì)預防,Securosi☆'"±s公司分(fēn)析師(shī)Rich M☆✘ogull表示。
在這(zhè)種攻擊中,企業(yè)常常面對(duì)的(de)是(shì)∏&£擁有(yǒu)豐富資源、耐心和(hé)資₩≠金(jīn)的(de)對(duì)手。通(tōng)常情況下(xi∏δ♣à),這(zhè)樣的(de)對(duì)手都(dōu)願意 γ♦不(bù)斷嘗試直到(dào)他(tā)們攻入系統網絡。“↑λ幾乎不(bù)可(kě)能(néng)阻止這(zhè)樣的(de)§∑÷✔人(rén)。”
