2014年互联网安全年报

2014年互联网安全状况总结

2014年2月27日,中央成立了网络安全和信息化领导小组,习总书记任组长,并发表重要讲话,强调“没有网络安全,就没有国家安全;没有信息化,就没有现代化。”显示出最高层保障网络安全、维护国家利益、推送信息化发展的决心。网络安全和信息化建设已经上升为国家重大战略。同时,习主席第一次系统、完整地提出了中国的互联网治理观。通过一系列举措加快国内网络空间法治化进程,并且通过巴西会议、首届世界互联网大会、中美互联网对话等面向全球发出声音。

2014年,也是中国互联网历史上有特别意义的一年。既是中国互联网20周年的日子,也是全球网民数量突破30亿的一年。中国移动互联网用户第一次超过PC用户,中国互联网第一次诞生出3000亿美元的互联网巨头。展现网络大国迈向网络强国的良好态势。

然而,2014年互联网上大大小小的个人信息泄露事件频发,信息安全问题比以往任何一个年份都更为突出。从2014年春运第一天12306爆用户信息泄露漏洞,中间最严重的是泄露了130万考研信息,到年底12月25日12306用户数据遭泄露,账号密码身份证信息被售卖。不论是通过不安全的第三方平台还是继续遭受2012年年底的“泄密门”事件持续影响,过去的2014年都是数据泄密的高发持续增长期,使用失窃账户密码依然是非法获取信息的最主要途径,而这里面三分之二的数据泄露都与漏洞或失窃密码有关。网民的邮箱、微博、游戏、网上支付、购物等账号信息成为网络犯罪分子眼中的“摇钱树”,个人信息倒卖产业链已形成规模。

同时,2014年也是多个互联网严重漏洞集中爆发的一年,如OpenSSL的心脏出血(Heartbleed)漏洞、OpenSSL 3.0的贵宾犬漏洞、Bash Shellshock破壳、IE的0Day漏洞、Struts漏洞、Flash漏洞、Linux内核漏洞、Synaptics触摸板驱动漏洞、USBbad等重大漏洞先后曝光,受影响的网站、操作系统、硬件设备范围之广、之深,闻所未闻。

2014年我们所知的所有网络攻击,实际上还只是冰山一角,未来的网络空间将出现更多错综复杂、有组织性甚至是由敌对国家发起的网络袭击。APT攻击事件目前趋于爆发式增长,有些黑客秘密潜入重要系统窃取重要情报,而且这些网络间谍行动往往针对国家重要的基础设施和单位进行,包括能源、电力、金融、国防等;有些则属于商业黑客犯罪团伙入侵企业网络,搜集一切有商业价值的信息。

安恒信息盘点了2014年发生在全球的热点互联网信息安全事件,以及全年互联网网络漏洞与网站安全分析整理,希望能给我们的国家、机构、组织、企业,还有人民带来安全意识的启发,敲响网络信息安全的警钟。

1.国内互联网安全十大热点事件

  • 维护网络安全首次列入政府工作报告

2014年2月27日,中央网络安全和信息化领导小组宣告成立,在北京召开了第一次会议。中共中央总书记、国家主席、中央军委主席习近平亲自担任组长,李克强、刘云山任副组长,再次体现了中国最高层全面深化改革、加强顶层设计的意志,显示出保障网络安全、维护国家利益、推动信息化发展的决心。而3月6日播出的央视晚间新闻《据说两会》栏目,向全国观众介绍了当前我国所处的网络安全形势,首次将维护网络安全列为国家安全和发展的重大战略问题之一。

  • 2014世界互联网大会

以“互联互通 共享共治”为主题的首届世界互联网大会于2014年11月19日至11月21日在浙江乌镇举办。国家互联网信息办公室主任鲁炜在30日国务院新闻办举行的发布会上表示,举办世界互联网大会,旨在搭建中国与世界互联互通的国际平台和国际互联网共享共治的中国平台。世界互联网大会也将永久会址确定在乌镇,打造网络空间的“乌镇峰会”。

此次大会是我国举办的规模最大、层次最高的互联网大会,据了解,有来自100个国家和地区的1000多位政要、企业巨头、专家学者等参加。

中方呼吁国际社会齐心协力,携手建立多边、民主、透明的国际互联网治理体系,共同构建和平、安全、开放、合作的网络空间,并提出九点倡议,具体包括:促进网络空间互联互通、尊重各国网络主权、共同维护网络安全、联合开展网络反恐、推动网络技术发展、大力发展互联网经济、广泛传播正能量、关爱青少年健康成长以及推动网络空间共享共治。

与此同时,安恒信息协助本次大会安全保障部门全面参与了世界互联网大会网络安全技术支撑工作,在安恒信息的风暴中心,技术人员7*24小时对世界互联网大会的网站进行实时监测,大会主会场的网络安全保障工作也闪现着安恒专家团队的身影。同时,作为大会新闻官网唯一网络安全支持保障单位,安恒信息也派出了最强阵容的专家团队驻场支持。据安恒信息世界互联网大会网络安全技术保障团队统计,截止到2014年11月21日13:00世界互联网大会结束,部署在世界互联网大会新闻官网中的WAF防护系统共防护了277531次严重攻击,大部分为SQL注入攻击、跨站脚本、WEB组件漏洞攻击和少量CC攻击。

  • 2014首届国家网络安全周

2014年11月24日,以“共建网络安全,共享网络文明”为主题的首届国家网络安全宣传周启动仪式在北京中华世纪坛举行。此后,国家网络安全宣传周将于每年11月最后一周举行。

首届国家网络安全宣传周是我国第一次举办全国范围的网络安全主题宣传活动,不仅国家有关职能部门共同参与主办,各省、自治区、直辖市也将同期举办相关主题活动,在全国掀起网络安全宣传的高潮。

活动围绕金融、电信、电子政务、电子商务等重点领域和行业网络中社会公众关注的安全热点问题展开,举办网络安全体验展等系列主题宣传活动,营造网络安全人人有责、人人参与的良好氛。

  • 2014年春运第一天12306爆用户信息泄露漏洞

2014年铁路春运售票第一天,在经历了1小时宕机之后,12306铁路客户服务中心网站再次爆发用户账号串号问题,大量用户身份证等信息遭泄露。下午15时左右,有网友爆料称12306出现“串号”情况,登录网站购票却出现其他客户信息,疑似信息遭泄露。网友们反映,登录自己账号后,“我的12306”下拉菜单中的“常用联系人”中,显示的是其他用户的订票信息,包括姓名、身份证号码、手机号等信息。下午17时34分,新版12306网站出现泄露大量用户资料的漏洞,危害等级为高。

  • 支付宝前员工被曝贩卖20G用户资料

此则消息引发了用户对于信息安全问题的关注,也令网络信息贩卖产业链浮现。一条价值较高的用户信息甚至可以被卖至数十元。此次支付宝信息泄露中,超过20G的海量用户信息,被支付宝员工在后台下载并有偿出售给电商公司、数据公司。

一二线电商企业本身有完善的用户数据库,需要进行严格的数据监控,防止数据泄露至黑色交易链。此类信息贩卖产业,有的甚至采取公司的运作方式,从互联网上购买个人或单位信息,转卖他人获利;通过网上购买公民户籍、住房、车辆等个人信息为他人提供婚恋、追债、手机定位等服务项目并从中获利;通过网上购买信息推销产品;利用自身特殊身份盗窃、骗取公民、企业信息转卖获利。

  • DNS瘫痪致全国三分之二网站故障

2014年1月21日下午3时20分左右,全国DNS域名解析系统出现了大范围的访问故障,包括DNSPod在内的多家域名解析服务提供商予以确认,此次事故波及全国,有近三分之二的网站不同程度的出现了不同地区、不同网络环境下的访问故障,其中百度、新浪等知名网站也受到了影响。据了解,在此次故障中,多数网站被解析到了65.49.2.178这一IP地址,由于错误的解析,多数网站出现了访问故障,对普通网民而言,最直接的表现就是很多网站打不开了。下午4时许,匿名者黑客团体宣布对在3时31分发生的DNS瘫痪负责。

这次DNS瘫痪除了给网民带来负面体验外,也普及了根服务器的概念:根服务器是是互联网域名解析系统(DNS)中最高级别的域名服务器,目前全世界只有13台,其中10台在美国,另外3台位于英国、瑞典和日本。这给我们敲响了警钟,泱泱网民大国只有根服务器的租用权是相当危险的。

  • “2000万开房信息泄露案”开审

2014年2月14日上午,“2000万开房信息泄露事件”首例诉讼在浦东法院第一次开庭审理。原告王金龙起诉汉庭星空(上海)酒店管理有限公司和浙江慧达驿站网络有限公司,并要求赔偿20万元。

王金龙通过分析,完成了《上海市民信息泄露情况分析报告》,上海有86万受害人,居全国首位。

王金龙举例说,根据被泄露的详尽个人信息,不法分子可能筛选出18—35岁女性,进行化妆品、母婴产品等定向电话骚扰。更可怕的是,一旦破译邮箱密码,还可能获取受害人的微博、微信账号,向好友行骗。甚至能入侵支付宝等其他关联账户,直接威胁资金安全。

实名认证的新浪微博账户@股社区发布了一个名为“查开房”的网址。只需输入姓名或身份证号,即可查询到包括身份证号、生日、地址、手机号、邮箱、公司、登记日期等真实信息。

  • 携程支付出现漏洞导致大量用户信用卡信息泄露

漏洞报告平台乌云网2014年3月22日披露了携程网安全漏洞信息,漏洞发现者称由于携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可被任意骇客读取。

在乌云披露该信息后,携程官方表示,两个小时内修复该问题。

该漏洞发现者称,由于该漏洞存在,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。所谓遍历(Traversal),是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。访问结点所做的操作依赖于具体的应用问题。

携程表示,可能受影响用户为3月21日与3月22日的部分交易客户,目前并没有因该漏洞的影响而造成相应财产损失的情况发现。

  • 全国硕士考试报名信息遭泄露1万5买130万用户数据

某漏洞平台报道《国内考研130W报名信息泄漏事件》并表示该漏洞导致泄露的信息正在被黑产利用。出售的用户信息截止到2014年11月份的130万考研用户,而且数据已经被多次转卖,经过与卖家了解,数据泄漏了考研用户的姓名、手机、座机、身份证、住址、邮编、学校、专业等敏感数据。

  • 年底12306超十万条数据泄露

 2014年12月25日,当人们还沉浸在圣诞的喜悦中,乌云漏洞平台率先爆出大量12306用户数据泄露,有公安部门介入调查,根据乌云漏洞平台披露的信息,目前已知公开传播的数据涉及用户数为131653条,尚不清楚是否有更多用户数据被泄露。随后12306通过微信等多个渠道表示,“泄露信息全部含有用户明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。”

铁路公安机关于当日晚,将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人抓获。经查,嫌疑人蒋某某、施某某通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息,尝试登陆网站进行“撞库”,非法获取用户的其他信息,并谋取非法利益。

安恒信息安全研究院对此次泄露事件进行了不同角度的解析,撞库是利用其他泄漏的数据库用户密码信息,对另外一个网站进行密码的碰撞。如果要将6000万条的数据跑完,每秒尝试10次需要两个多月时间才能完成(除非12306完全没有请求数据限制,或者攻击者利用了分布式的方式),也有可能只跑了一部分数据,真正能撞到的数据还有更多。

另外一个问题就是验证码,12306的PC端的验证码比较难识别,但登陆接口并非只有一个,手机APP也存在登陆接口,经过测试也没有验证码。密码只是md5进行了一次hash,这个接口登陆也不需要进行短信验证。所以很容易利用这个接口进行撞库攻击。如果是撞库,这是否也暴露出了12306对此类新型攻击手段的防范意识与手段有待加强呢?

还有一个可能是数据库信息之前已经泄漏了一部分,这次只是对密文密码的碰撞所得,这样12306日志中就监测不到相关的攻击,目前公布的情况似乎不是这类,但是否真存在其他的地下数据库就不得而知了。查看一下Web服务器的访问日志应该就可以很容易确定,但在目前12306多子站安全问题频发以及该站对撞库攻击应对不力的现状来看,到底会不会存在更严重的数据泄露事件,还有待进一步观察。

2.国际互联网安全十大热点事件

  • WindowsXP停服

服役13年的微软Windows XP系统于2014年4月8日正式“退休”。尽管这之后XP系统仍可以继续使用,但微软不再提供官方服务支持。对于中国数以亿计的XP用户来说,一方面是对已经使用了13年的操作系统依依不舍,一方面也对即将面临的安全风险顾虑重重。微软官方对此的解释是由于系统运行周期较长,加上技术条件的落后,已经无法抵御网络黑客和病毒的攻击,运行环境方面存在很大的漏洞。

  • 土耳其石油管道事件

就网络黑客而言,入侵某一跨国企业的电脑系统是一回事,而通过入侵某一国家的民用基础设施并引起爆炸则就完全是另一回事了,而最早发生于2008年的土耳其石油管道爆炸事件就是其中之一,这是一次具有分水岭意义的事件。

美国《星条旗报》网站在2014年12月12日发表题为《俄罗斯和格鲁吉亚战争仅仅几天前,神秘的石油管道爆炸开启了新的网络战时代》的文章:土耳其境内的巴库-第比利斯-埃尔祖鲁姆(Baku-Tbilisi-Erzurum)石油管道从打造之初就将安全性放在了首要位置,但这一管道的建设却依旧没能抵挡住来自黑客的数字战争。据悉,当时黑客首先入侵了该石油管理部门的网络系统,然后安装了一个恶意软件,并关闭了警报、切断了通信联系、给管道内的原油大幅增压。由于管道内压力的不断增大,该石油管道最终发生了爆炸,爆炸的火焰高度甚至高达150英尺。

对此,专门研究美国安全政策的雷维隆(DerekReveron)博士就认为,土耳其这一事件的披露让美国政府深感忧心,因为全美境内有着长达数千英里的原油、天然气管道线。

  • 伊朗黑客瞄准航空公司系统

国外知名安全机构指出,虽然来自俄罗斯的黑客动态一直都占据着科技媒体的头条位置,但近年来来自伊朗的黑客们大有后来居上的势头。

这家安全机构透露称,持续两年的调查发现来自伊朗的黑客曾成功入侵了包括韩国、阿联酋、巴基斯坦在内多个商业航空公司的安全系统。根据公布的这份长达86页的报告显示,在过去2年时间里,伊朗黑客已经直接攻击、渗透全球多个国家的政府机关、企业和重要基础设施的网络,受害国家包括美国、中国、英国、德国、加拿大以及土耳其、沙特阿拉伯等16个国家。

同时,这些黑客的攻击目标还包括了旅客的护照照片以及机场员工卡等机密内容,而这些内容的泄露将有可能帮助不法之徒轻松通过机场的安检程序。

  • 英国央行雇佣黑客

在IT界,大型组织常常雇佣电脑黑客已经是一个众所周知的“秘密”了。这些特殊黑客的工作,就是对系统进行调校,以尽可能地确保公司的安全。然而,尽管这或许已经是一个常识性的东西,但却并没有多少公司公开谈论雇佣黑客的事情。毕竟讨论安全协定可以看作是有风险的。

所以2014年4月,当英国央行(Bank of England)宣布雇佣黑客来帮助其对二十多个主要银行进行防御测试时,立刻引起了轩然大波。然而,此举还是得到了网络安全专业人士的认可。有人认为,英国走在了网络保护的前沿,能够对消费者、企业和经济起到正面的影响作用。

  • 爱德华·斯诺登警示社交媒体监听

2014年,通过一名叫做爱德华·斯诺登的人持续不断地向世人首次揭露美国国家安全局、英国国家通信总局(GCHQ)以及其他政府的监听计划,表明需要关注监听的不仅仅是那些大企业。

在政府持续成为曝光主要焦点的同时,斯诺登又爆出了使用云服务、搜索引擎和社交媒体的有关风险,暗示谷歌和脸谱都与政府勾结进行监听和提供“危险”服务。2014年7月,斯诺登又指责Dropbox公司“对隐私怀有敌意”,并是美国政府棱镜窥探计划的走狗。

由人民出版社出版的《美国是如何监视中国的-美国全球监听行动纪录》中披露,中国国内网络安全权威技术部门检测发现,美国思科公司的路由器存在严重的预置式“后门”。受到美国国安局信息监视项目-"棱镜"监控的主要有10类信息:电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料的细节。通过棱镜项目,国安局甚至可以实时监控一个人正在进行的网络搜索内容。

  • 美国通过互联网监听从事工业间谍活动

美国国家安全局监听计划的揭露给2014年的整个IT界和各国政府都蒙上了一层阴影。可以说,2014年1月爱德华·斯诺登声称的以民主堡垒自居的美国通过互联网监听从事工业间谍活动是最令人不寒而栗的事件之一。

斯诺登称,美国的工业间谍活动所针对的不仅仅只是限于“国家安全问题”,而且还包括任何可能对美国有价值的工程和技术资料。他以德国工业巨头西门子为例说:“如果西门子的信息符合美国的国家利益,即使这些信息与美国的国家安全没有半毛钱关系,他们照样还是会拿取这些信息。”

和今年的其他安全事件一样,斯诺登的言论毫无疑问地引起了很多关于将敏感信息存储在云端是否符合其背后逻辑的质疑。

  • 摩根大通受攻击波及多数美国人

网络对摩根大通的攻击最早发生在2014年8月,导致联邦调查局开始调查俄罗斯政府与摩根大通被攻击之间的关联。然而,不管是谁发起的攻击,事件造成了7600万个人账户和700万小企业账户的户名、地址、电话和电子邮件被泄露的严重后果。

人们一般认为,被攻破的都是些安全措施薄弱的公司,然而众所周知的是,摩根大通在安全保护领域有着非常完善的安全规划并不惜投入巨资。摩根大通事件以惨痛的教训向世界做出警示,没有人是绝对安全的。

  • “攻击世界杯行动”

四年一度的世界杯可谓让巴西的黄绿色染遍了全球,但并非所有人都高兴。2014年6月,一个名为“Anonymous巴西”的黑客组织,制定了一个名为“攻击世界杯行动”的计划,进行了大量拒绝服务攻击,导致世界杯相关网站无法正常使用。该组织也是全球松散的黑客组织“Anonymous”的一部分。

在推特发布的一条信息中,上述黑客组织宣布,自从巴西世界杯开幕以来,他们已经实施了一百多次网络攻击,被攻击的网站对象隶属于巴西情报机构、世界杯赞助商现代公司巴西分公司,巴西足球协会,巴西司法部,圣保罗军事警察机构,巴西银行,以及Africa.com.br网站。本次攻击行动的主要目的是对巴西的贫困现象、腐败和警方暴力表示抗议。

  • 苹果iCloud安全漏洞泄漏名人裸照

苹果公司一向以其自身设备和服务的安全而自豪,但2014年8月,随着其iCloud服务被攻破,许多的名人信息被泄露,这个iPhone和iPad制造商也被狠狠地打了脸。事件造成数百张家喻户晓的名人私密照片被盗,其中包括主演影片《饥饿游戏》(The Hunger Games)的明星詹妮弗·劳伦斯(JenniferLawrence)的裸照,苹果公司只好加紧解决其iCloud服务的安全问题。

在这么多的企业和个人越来越愿意相信云服务的背景下,该事件向我们敲响了警钟,那就是在云服务上存储敏感文件可能并不像我们想象的那样安全。将敏感资料放在云端,就要对这样的潜在后果有所警醒。很多人可能还不知道,智能手机通常都会自动备份文件到云服务器。今天的设备都非常热衷于将数据推送至各自的云服务器上,人们应该小心敏感资料不会自动上传到网上或者其他配对的设备上。

  • 索尼影业被黑

2014年11月份,索尼影视娱乐受到黑客攻击,导致公司系统被迫关闭。这是安全声誉欠佳的索尼继一连串针对其PlayStation(PS)网络的攻击后,受到的又一次打击。攻击造成从包括个人信息和名人电子邮件在内的员工详细信息到未发布的影片都被公之于众。

美国联邦调查局声称背后黑手是朝鲜,总统奥巴马也二次发声要打击网络攻击行为。朝鲜当局呼吁成立朝美联合调查组,并威胁如果未遂其愿的话可能导致“严重后果”。此事已经上升到国家政治层面。

3.2014互联网网络漏洞简析

根据中国国家信息安全漏洞库统计,2014年全年互联网新增各类网络漏洞9118个,其中第一季度新增安全漏洞2018个;第二季度安全漏洞1910个;第三季度安全漏洞2537个;第四季度安全漏洞2653个。

从漏洞严重程度来看,高危漏洞占全年漏洞总数的比例为26.03%(2373);中危漏洞占全年漏洞总数的比例为65.92%(6011);低危漏洞占全年漏洞总数的比例为8.05%(734)。

  • 漏洞频发:关注最常被反复利用的漏洞

2014年,不论是安全研究人员、白帽子还是攻击者大都集中在证明通过他们的努力“研究”,让常见的可以被反复利用的漏洞或“薄弱环节”,成为击溃我们“脆弱的互联网”有力武器。每当互联网发布一份新的漏洞报告时,受影响的厂商、安全从业人员和媒体往往更关注零天漏洞,此类重大新闻似乎更迫切地需要他们作出反应。然而,我们更应优先考虑的,是投入时间和资金,修补网络攻击者最常利用的那一小部分漏洞。其他漏洞可以通过更常规的流程进行管理。

如在心脏流血漏洞首次被公诸于众的时候,信息安全专家曾表示,全球约有61.5268万台服务器存在心脏流血漏洞。一个月后,发现只有31.8239万台服务器存在这种漏洞,这就是说已有一半的服务器修复了这个漏洞。但是,信息安全专家在2014年6月份公布的研究结果仍然令人感到担忧,它显示至今仍有30.9197万台服务器存在这个漏洞。自从心脏流血漏洞公布以来,OpenSSL 项目已报告了在 OpenSSL 软件中发现的其他几个缺陷,其中一些缺陷“可能允许攻击者创建拒绝服务条件或(在某些情况下)远程代码执行。”其中一些缺陷长期被人们忽视:例如,一位日本安全研究人员发现的 CCS 注入漏洞在OpenSSL 软件中存在时间长达16 年,该安全漏洞允许攻击者截获并解密在互联网中传输的加密数据。

根据统计,2014年全年互联网新增各类网络漏洞中,由常见且被反复利用的漏洞所引发的威胁中,未授权的信息泄露占比例52.64%,管理员访问权限获取占比20.23%。

  • OpenSSL爆“心脏出血”漏洞

2014年4月8日,来自Codenomicon和谷歌安全部门的研究人员,发现OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。该漏洞在国内被译为“OpenSSL心脏出血漏洞”,因其破坏性之大和影响的范围之广,堪称网络安全里程碑事件。

密歇根大学的一个安全研究团队利用开源网络扫描工具ZMap搜索存在Heartbleed漏洞的网站。研究人员完整扫描了地址空间,截至2014年4月10日2:00 PM,Alexa排名前百万的网站中有32%支持SSL,在支持HTTPS的网站中,9%存在漏洞,31.9%安全的支持OpenSSL TLS Heartbeat Extension, 59%不支持HeartbeatExtension(不存在心脏出血漏洞),也就是在漏洞爆发的时候全球前一百万的网站中,有40.9%的网站中招。全球第一个被攻击通告的案例加拿大税务局确认Heartbleed导致了900个纳税人的社会保障号被盗,这900个纳税人的社保号被攻击者在系统中完全删除了。

  • Linux“Bash”破壳漏洞大爆发

2014年9月25日,国外安全专家发现Linux系统中一个频繁使用的片段“Bash”存在漏洞,影响目前主流的Linux系统。利用该漏洞,黑客可以远程窃取服务器上的信息,并进一步控制服务器。

“Bash”漏洞(Shellshock)是继今年四月的“心脏流血”漏洞之后,业界发现的首个重大互联网威胁。由于后者所影响的OpenSSL加密软件被用在全球大约三分之二的网络服务器中,因此影响范围十分广泛。

最新的这项漏洞的威胁程度之所以堪比“心脏流血”,一定程度上是因为Shellshock所影响的Bash软件,同样被广泛应用与各类网络服务器以及其他电脑设备。

但安全专家表示,由于并非所有运行Bash的电脑都存在漏洞,所以受影响的系统数量或许不及“心脏流血”。不过,Shellshock本身的破坏力却更大,因为黑客可以借此完全控制被感染的机器,不仅能破坏数据,甚至会关闭网络,或对网站发起攻击。

与之相比,“心脏流血”漏洞只会导致数据泄漏。

  • Struts2漏洞频出祸根是Apache底层代码不严谨

Apache Struts2的远程代码执行漏洞风暴影响刚刚散去,2014年4月23日晚,国外安全人员研究发现Apache公司提供的升级版本并未完全修复漏洞,Apache Struts2在处理CVE-2014-0094的漏洞补丁中存在缺陷,会被轻易绕过,可导致任意命令执行。Struts2上次远程代码执行漏洞,是由于黑客通过ParametersInterceptor接口可以操控服务器运行环境中的一些对象,因此补丁中禁用了此接口,但是由于防护规则不完善,导致安全机制仍可被攻击者绕过。建设银行、工商银行、中国银行、淘宝、京东、中国移动官网等都采用Struts2框架,此漏洞对上述网站服务器构成了拒绝服务和远程控制的威胁。

攻击者利用此漏洞,可以远程对目标服务器执行任意系统命令,轻则可窃取网站数据信息,重则可取得网站服务器控制权,从而造成信息泄露并给网站运行带来严重的安全威胁。特别是政府、公安、交通、金融和运营商等尤其需要重视该漏洞,这些单位和机构的敏感信息泄漏有可能对国家造成沉重的打击,甚至会违反相关的法律规定。在最近几年APT攻击横行的时期,黑客早已不再以挂黑页炫耀为目的,攻击者可能通过该漏洞作为突破口渗透进入其内部网络并长期蛰伏,不断收集各种信息,直到收集到重要情报。

4.2014互联网网站安全简析

2011年12月21日,国内最大的开发者社区CSDN数据库被黑客攻击,以致600万用户资料外泄,由此拉开了我国互联网史上最大规模信息泄露事件序幕。2014年网站泄密事件依然不断升级、不断发生,每天都有新的大型知名网站的用户信息外泄,据不完全统计已有超过上亿互联网用户资料泄露,绝大部分信息均为有效数据。网站泄密事故发生主要原因在于网站存在漏洞,从而遭到黑客入侵“拖库”。这些网站设计时是允许任何人、从任何地方登陆进入访问,因而也成为了通往隐藏在深处的重要数据的桥梁。通过安恒信息风暴中心网站安全监测平台的统计,目前国内存在高危漏洞的网站约占35 %,中危漏洞的网站约占 45%,低危漏洞的网站约占 62%,而相对比较安全的网站只有 23%。

目前国内网站存在最多的高危风险的漏洞包括了sql注入、跨站脚本攻击、网站弱口令等漏洞;中危风险的漏洞是备份文件、目录遍历漏洞;低危风险的漏洞是trace等漏洞。

攻击者在实际操作中往往会先开始寻找目标网站的薄弱环节,如开源的代码、废弃的旧网站、开发人员的错误、盲目信任的用户。攻击者都在竭力寻找这些薄弱环节,并最大限度地加以利用。通常攻击者不用花费多少时间和精力就能找到这些薄弱环节,并利用多个不同类型的漏洞对网站进行攻击,包括运用社会工程学手段、目录遍历、网站弱口令破解等方式,达到其入侵和渗透目的。

  • 电子政务:网站安全任重道远

根据安恒信息在2014年电子政务网站安全随机检查中,对国家部委、中央企业以及10个省市的重点政府网站进行安全检查工作,检查网站总数为5023个,发现675个网站存在安全漏洞,占被抽查网站总数的11.10%,存在高危漏洞的网站有366个,占3.12%;中危漏洞的网站有2572个,占21.95%;低危漏洞数量有8778个,占74.92%。如下图所示:

全国政府网站安全抽查网站安全状况

全国政府网站安全抽查漏洞等级分布情况

  • 网站篡改:仍以网络暗链为主要攻击手段

在众多的网络攻击方式中,网页篡改是比较浅层的攻击手段,而我国相对滞后的网站建设却使之成为攻击网站的主要技术手段之一。

依照攻击方式,网页篡改可以分成显式篡改和隐式篡改。通过显式网页篡改,黑客可炫耀自己的技术和技巧,或达到声明自己主张的目的;隐式篡改则一般是在被攻击网站的网页中植入暗链,这些暗链往往被链接到色情、诈骗等非法信息,可帮助黑客谋取非法经济利益。为了篡改网页,黑客一般需提前知晓网站的漏洞,提前在网页中植入后门,并最终获取网站的控制权。

2014年,网络暗链在安恒信息风暴中心互联网大数据监控平台的网页篡改中居于领先位置。所谓暗链攻击,是指黑客通过隐形篡改技术在被攻击网站的网页植入暗链,这些暗链往往被非法链接到色情、诈骗、甚至反动信息。

2014年,安恒信息风暴中心网站安全监测平台发现国内被篡改的网页数量为134346个。国内被篡改网页的月度统计情况如下图所示,统计包含网站被植入暗链的情况:

2014年我国境内被植入暗链网站按地域类型前十位分布情况如下图示,篡改页面总量达到99017个,其中北京、广州、江苏三省市被篡改页面居全国前三。

\

  • 网站漏洞:SQL注入仍是网站安全头号威胁

为了篡改网页植入暗链盗取数据,黑客一般需提前知晓网站的漏洞,提前在网页中植入后门,并最终获取网站的控制权。作为现在互联网Web应用系统最经常被利用且影响最严重的漏洞,SQL注入漏洞和XSS跨站脚本漏洞仍然是年互联网安全威胁的重要攻击方式,WebDev和Strurs2漏洞威胁依然存在于较多的政府网站与商业网站。

2014年我国境内被SQL注入漏洞攻击网站按地域类型分布排名前十位的省份如下图所示。

2014年我国境内被XSS跨站脚本漏洞攻击网站按地域类型分布排名前十位的省份如下图所示。

2014年我国境内被WebDev漏洞攻击网站按地域类型分布排名前十位的省份如下图所示。

2014年我国境内被WebDev漏洞攻击网站按地域类型分布排名前十位的省份如下图所示。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2015-01-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏域名资讯

域名Deskbike.com刚注册没多久就以五位数结拍

大家进行域名投资,主要是看中域名未来可能会带来巨大收益。最近,米市接连传出域名高价交易的消息,也是振奋着不是投资人的心。无论域名以何种价格成交,其自身...

2039
来自专栏域名资讯

工信部资质审批了Donuts注册局旗下的21顶级域域名注册

工信部官网公布:.center/.video/.social/.team/.show/.cool/.zone/.world/.today/.cit...

3815
来自专栏程序员互动联盟

淘宝上的黑客技术书籍能学到真正的黑客技术吗?

黑客技术的高低和什么书籍,更不会合在哪里买的书籍有直接的关系,决定黑客能力主要是表现在两个方面

1132
来自专栏FreeBuf

解读美国国会关于OPM数据泄露事件的调查报告

2015年7月,美国联邦人事管理局(OPM)公开承认曾遭到两次黑客入侵攻击,攻击造成现任和退休联邦雇员超过2210万相关个人信息和560万指纹数据遭到泄露。 泄...

2348
来自专栏区块链

窃取银行数百万美元?黑客组织浮出水面

背景 疑似俄国的黑客组织 MoneyTaker 偷偷针对位于美国、英国和俄罗斯的银行、金融机构、律所发动攻击。发现该组织的安全公司 Group-IB 指出它至少...

2238
来自专栏企鹅号快讯

“商贸信”病毒重新活跃 四天狂发20万钓鱼邮件

12月上旬在全球范围大范围爆发的“商贸信”病毒近日再度复苏。根据腾讯安全御见情报中心检测发现,自12月11日起,“商贸信”病毒开始重新活跃,并在国内地区呈现爆发...

41410
来自专栏CSDN技术头条

斯诺登最新爆料:主流安全厂商数据也被NSA监控

斯诺登网(Edwardsnowden.com)再次爆出猛料,最新披露一份美国NSA内部文件《An Easy Win:Using SIGINT to Learn ...

2439
来自专栏FreeBuf

盘点21世纪以来最臭名昭著的15起数据安全事件

随着互联网的普及,人们的生活也越来越数字化。例如智能家居,联网的医疗设备,网络购物,网银转账等。但技术是把双刃剑,为我们带来方便的同时,也给我们带来了潜藏的安全...

3015
来自专栏人称T客

未来最具投资商关注的企业级产品推荐:巨杉数据库

提起数据库一直是中国企业级市场无法抹去的伤痛,无论是去IOE还是去SOA,大家都认为数据库是中国企业最无法去除的。而国内管理软件厂商为了实现这一战略,不断寻求并...

36913
来自专栏FreeBuf

2018年上半年中国网络安全报告

2018年上半年瑞星“云安全”系统共截获病毒样本总量2,587万个,病毒感染次数7.82亿次。新增木马病毒占总体数量的62.83%,依然是第一大种类病毒。灰色软...

2011

扫码关注云+社区

领取腾讯云代金券