|
过去半年发生了很多让人震惊的消息。有人说2013年是数据丢失的一年,那么2014年的前半年就可以成为数据恐慌的一年。 2014年上半年发生了很多重大的数据安全事件。包括eBay在内的大牌零售商以及Neiman Marcus等多家酒店的用户信息遭到入侵泄漏,这些信息包含了大量用户的信用卡数据,这将带来无法估量的经济损失。
黑客泛指擅长IT技术的人群、计算机科学家。Hacker们精通各种编程语言和各类操作系统,伴随着计算机和网络的发展而产生成长。黑客一词在圈外或媒体上通常被定义为:专门入侵他人系统进行不法行为的计算机高手。不过这类人士在hacker眼中是属于层次较低的cracker(骇客)。如果黑客是炸弹制造专家,那么骇客就是恐怖分子。 除了黑客的主动攻击,2014年的数据恐慌中也存在着主动丢失问题。这里为大家总结了2014年最让人震惊的网络安全事件。 2 OpenSSL出现“Heartbleed”
OpenSSL出现“Heartbleed”
OpenSSL出现“Heartbleed” 来自OpenSSL的紧急安全警告:OpenSSL出现“Heartbleed”安全漏洞。这一漏洞让任何人都能读取系统的运行内存。已经有了一个紧急补丁,在安装它之前,成千上万的服务器都处于危险之中。 该漏洞在互联网又称为“heartbleed bug”,中文名称叫做“心脏出血”、““击穿心脏””等。 Heartbleed漏洞,这项严重缺陷(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。 Heartbleed漏洞是由安全公司Codenomicon和谷歌安全工程师发现的,并提交给相关管理机构,随后官方很快发布了漏洞的修复方案。2014年4月7号,程序员Sean Cassidy则在自己的博客上详细描述了这个漏洞的机制。 2014年4月9日,Heartbleed(意为“心脏出血”)的重大安全漏洞被曝光,一位安全行业人士在知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。 3 TrueCrypt商店的红色警报
TrueCrypt商店的红色警报 TrueCrypt,是一款免费开源的加密软件,同时支持Windows Vista,7/XP, Mac OS X, Linux 等操作系统。TrueCrypt不需要生成任何文件即可在硬盘上建立虚拟磁盘,用户可以按照盘符进行访问,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。
TrueCrypt商店的红色警报 TrueCrypt 提供多种加密算法,包括:AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES, and Twofish,其他特性还有支持FAT32和NTFS分区、隐藏卷标、热键启动等。 FBI在经过一年的尝试后,还是未能破译被巴西执法机构指控金融犯罪的巴西银行家的加密文件。巴西一家葡萄牙语报纸报道(葡萄牙语),巴西联邦警察在2008年7月展开的Satyagraha行动中,在银行家Daniel Dantas位于里约热内卢的公寓内收缴了5个硬盘。文章提到硬盘使用了两种加密程序,一种是TrueCrypt,另一种是不知名的256位AES加密软件。在专家未能破解密码后,巴西政府在2009年初请求美国提供帮助,然而美国联邦警察在一年不成功的尝试后,退还了硬盘。巴西现有的法律中不存在强制要求Dantas交出密码的规定。 流行的开源加密软件TrueCrypt突然在其官网上建议Windows用户改用微软的BitLocker加密磁盘,并用大红字警告使用TrueCrypt并不安全。在官网彻底大变脸前,TrueCrypt更新了二进制程序。目前完全不清楚TrueCrypt项目究竟发生了什么事,有许多人怀疑可能与第二阶段的TrueCrypt安全审计报告即将发布有关。 根据官网上的声明,在微软结束支持Windows XP后TrueCrypt的开发于2014年5月终止,Windows 8/7/Vista等操作系统集成了磁盘加密支持,它建议用户将任何TrueCrypt加密的数据迁移到平台支持的加密磁盘或虚拟磁盘镜像。 4 eBay数据的大泄漏
eBay数据的大泄漏
eBay数据的大泄漏 5月22日,eBay正要求近1.28亿活跃用户全部重新设置密码,此前这家零售网站透露黑客能从该网站获取密码、电话号码、地址及其他个人数据。 该公司表示,对这次网络攻击的调查显示,“没有证据”表明黑客攻破了该集团旗下的PayPal在线支付服务——PayPal的客户数据与eBay的客户数据是分开存储和加密的。 该公司表示,黑客得手的eBay数据库不包含客户任何财务信息——比如信用卡号码之类的信息。 eBay表示该公司会就重设密码一事联系用户。这次泄密事件发生在今年2月底和3月初,eBay是在大约两周前发现这一泄密事件的。该公司并未说明有多少用户受到此次事件的影响。 eBay还表示,黑客获取了“少数”员工登录授权,令他们能够访问该公司的企业网络。 5 LaCie发出的安全警告
LaCie发出的安全警告
LaCie发出的安全警告 计算机硬件企业LaCie(莱斯)对在2013年3月27日-2014年3月10日间在LaCie进行过网上交易的用户做出警告,称他们的私人数据可能存在安全风险。LaCie在今天发布的声明中称,这部分用户的名字、住址、邮箱地址、支付卡卡号、卡片有效期与密码都可能存在安全风险。 Krebs on Security大约在一个月前就公布了有关攻击的证据,LaCie今天对此次已存在内部长达1年时间的安全漏洞做了揭露。来自Krebs on Security的Brian Krebs报告称,“一个遭到攻击的电子商务站点的僵尸网络”已经形成,利用的是Adobe ColdFusion的安全漏洞。而LaCie的电子商店前端据称就陷入到了受此恶意程序感染的网络中。 同时LaCie母公司希捷(Seagate)企业通讯主管Clive Over说,目前希捷已经“执行了初步调查”,“并没有意识到公司或第三方信息遭到任何非法的访问”。当前LaCie已经与一家法院调查企业共同合作,对本次遭遇到的安全风险进行深入调查,并且还执行了额外的安全措施。另外LaCie还准备过渡到更安全的支付服务。 6 古老的勒索把戏
古老的勒索把戏
古老的勒索把戏 如果人们说2013年是个人数据泄漏的一年,那么2014年绝对是数据安全的勒索年。2014年年初,部分用户起床后发现自己的iCloud用户无法登陆,并且有黑客发来信件说需要部分报酬才会恢复你的iCloud服务。 在黑客领域,这是一种非常古老的把戏。黑客通过控制你的电脑,声称对你的电脑和数据进行破坏,然后想被控制肉鸡所有钱财。到了6月份,安全公司ESET发现的第一个例子,在Android平台上的文件加密勒索案件。黑客表示除非现在有人可以出更高的赎金,不然他们不会停止高爆发的分布式拒绝攻击(DDoS)。 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。 7 GnuTLS的协议漏洞
GnuTLS的协议漏洞 GnuTLS 是一个加密协议库,实现了 SSL、TLS 和 DTLS 协议和相关技术,提供了简单的 C 语言编程接口用来访问这些安全通讯协议,提供解析和读写 X.509、PKCS #12、OpenPGP 和其他相关结构。特点是可移植性和高效。虽然不像之前传出重大漏洞的OpenSSL函数库那么流行,不过GnuTLS的使用范围也相当广泛,包含在Red Hat、Ubuntu及Debian等Linux操作系统及350种相关软件。
GnuTLS的协议漏洞 安全研究人员近日再次发现安全通讯库GnuTLS的重大漏洞,该漏洞可能使黑客能够远端执行恶意代码。这已经是GnuTLS今年第二起安全漏洞事件。2014年3月,Mavrogiannopoulos曾通报GnuTLS一项goto cleanup重大漏洞,可使网站服务器误信黑客伪造的SSL凭证而放行允许控制网站。 有史以来最大的比特别失窃案 全球最大Bitcoin交易平台Mt.Gox申请破产。报道称,其他Bitcoin网络交易平台包括Coinbase、Circle及BTC China发共同声明证实Mt.Gox申请破产。
有史以来最大的比特别失窃案 Mt.Gox曾在发表的声明中称:「比特币软件中存在一个漏洞,黑客可以利用该漏洞修改交易信息,比如让一个本来已经发生的比特币交易看起来像没发生……这会导致系统重新发送比特币……。」 到本月早些时候,问题变得更加严重,Mt.Gox停止了所有客户取现,称比特币软件的一个漏洞使部份用户能够更改交易。受到暂停交易的影响,Mt. Gox平台比特币交易价格上周一度跌至100美元以下。 据《华尔街日报》稍早前的报导,比特币交易所Mt.Gox的CEO Mark Karpeles已经在博客中宣布退出比特币基金会。至於Karpeles离开的原因,其本人并没有透露。不过外媒猜测这和Mt.Gox接连不断出现的安全漏洞有一定的关系。据了解,Mt.Gox目前面临一系列长期的技术问题。这些问题去年夏季就已开始出现,当时Mt.Gox暂停了客户提取美元。 转载http://safe.zol.com.cn/470/4701980_all.html
| 
发表于 2015-1-4 13:52:46