首页 > 安全 > 关键词 > 网络安全最新资讯 > 正文

物联网已成黑客盛宴?巴斯光年实验室点评2017年网络安全事件

2017-11-30 10:50 · 稿源:互联网

每到年底,我们都会收到来自派出所民警的贴心关怀:“防火防电防偷盗”,如今这三防得再加上一防了,那就是对网络风险的防御。在万物互联的时代,我们享受着网购、网游、移动支付等诸多便利,而这也给犯罪分子提供了新“灵感”。据统计, 2016 年中国因数据泄露引发的经济损失高达 915 亿元。许多信息网络漏洞和攻击工具被不法分子商品化,使信息安全威胁的范围进一步扩大。

在今年的各种PWN会议(破解大会)上,极客团队们现场演示了许多骇人的破解,扩大NFC刷卡距离以盗刷别人的信用卡,无需指纹密码就能堂而皇之地打开你家的智能门锁,超声波攻击Apple Siri即可将木马植入手机,远程操控心脏起搏器输出高压电流杀人......这些恐怖的故事随时有可能变成现实。

那么黑客现在又有了哪些“黑魔法”,我们又该如何防范网络风险呢?记者采访了蚂蚁金服巴斯光年安全实验室,请他们从专业技术层面为我们解读 2017 年发生过的代表性网络安全事件,为业界和用户揭示智能设备的安全风险和保护手段。

1、CIA和NSA黑客工具包泄露

今年三四月份,美国中央情报局(CIA)和美国国家安全局(NSA)的黑客工具包分别遭公布。这些工具的攻击对象包括微软、安卓、苹果iOS、Apple OS X和Linux等操作系统以及某些智能电视、路由器等网络节点单元和智能设备。其中,Windows漏洞EternalBlue(永恒之蓝)的泄露,更是为勒索病毒“WannaCry”的爆发埋下伏笔。

巴斯光年点评:

各国政府都会研究一些用于安全对抗与制衡的具有极强攻击性的漏洞利用攻击套件,它们既是网络空间安全实力的体现,同时也是一种安全隐患。因为这种武器化的漏洞一旦泄露,对企业个人乃至政府部门会构成极大的安全威胁。WannaCry就是一个典型的案例。在网络空间安全重要性日益显露的今天,如何防止网络空间的武器化攻击套件被窃取滥用,这是需要慎重考虑的问题。

2、WannaCry勒索病毒席卷全球

5 月 12 日,一个名为“WannaCry”的勒索蠕虫病毒在全球大范围爆发并蔓延, 100 多个国家的数十万名用户中招,其中包括医疗、教育等公用事业单位和有名声的大公司。这款病毒对计算机内的文档、图片、程序等实施高强度加密锁定,并向用户索取以比特币支付的赎金。

巴斯光年点评:

WannaCry是全球首款通过武器化的系统漏洞实现传播的勒索蠕虫病毒。依托于被泄露的Windows漏洞“永恒之蓝”,只要开机联网且漏洞存在,它就能入侵电脑。比起传统蠕虫病毒依附下载安装等被动式传播,WannaCry通过漏洞,主动扫描网段式的传播速度可以说是建立了蠕虫传播速度的新纪录,相当于原来是靠徒步,现在飞车前行。在WannaCry蠕虫爆发之后,还陆续出现了更多的以美国国家安全局(NSA)泄露的武器化漏洞为基础、进行远程攻击并传播的蠕虫病毒,这也标志这制作蠕虫病毒的技术的进一步提升。另外,要求以比特币形式支付赎金的操作也很心机,区块链系统中,支持匿名的收付方式让警方难以根据金钱流向查人。

公共系统频繁成为勒索病毒的受害者,医院、电力、机场、交通等因遭受攻击瘫痪,严重影响整个社会运转和民众生活。面对已公布的漏洞以及勒索病毒爆发和后期变种时,相关政府部门应迅速制定措施,引导并更新基础设施的各种漏洞补丁。

3、勒索病毒冒充“王者荣耀辅助工具”

今年 6 月,一款冒充“王者荣耀辅助工具”的勒索病毒,通过PC端和手机端的社交平台、游戏群等渠道大肆扩散,威胁几乎所有Android平台,设备一旦感染后,病毒将会把手机里面的照片、下载、云盘等目录下的个人文件进行加密,如不支付勒索费用,文件将会被破坏,还会使系统运行异常。

巴斯光年点评:

作为移动互联网的头号终端,手机面临的攻击日益增加,开放的Android系统更是如此。 2017 年上半年中国网络安全报告显示,排名前 5 位的手机病毒均是针对Android系统。在最近几次的PWN活动中,巴斯光年安全实验室演示利用某安卓手机系统漏洞,远程在手机中静默地安装恶意应用及植入恶意图片,成功窃取了现场演示观众的照片。

目前Android ROM存在的安全问题非常严重,很多病毒通过ROM进行传播,植入系统底层,无法查杀,还能获取到系统所有权限,导致用户手机死机、关机、个人资料被删、向外发送垃圾邮件、泄露个人信息等,甚至会损毁SIM卡、芯片等硬件,造成使用者无法正常使用手机。用户需尽量避免刷一些第三方提供的ROM,因为开发者代码质量良莠不齐,很容易存在安全漏洞。整个行业急需加大对ROM安全的关注,作为移动设备基础设施,保障用户根本安全。另外值得注意的是,借势热门APP和仿照计算机病毒的手机病毒越来越多,用户下载APP插件时需注意辨别。

4、央视调查发现大量家庭摄像头被入侵

今年 6 月,央视《每周质量报告》调查发现网上有众多家庭摄像隐私在售,黑客利用弱口令密码大范围扫描家用摄像头进行破解,可获得IP地址和登录密码,远程操作别人家的摄像头。随后在质检总局的抽检中,采样品牌涵盖市场关注度前 5 位产品的情况下, 40 批次产品中有 32 批次存在安全漏洞,占比高达80%。

巴斯光年点评:

物联时代,智能产品越来越多,功能大幅升级。然而由于IOT(物联网)设备开发水平尚未成熟,其在“云端+终端+手机APP”的业务环节上,安全漏洞频出,设备安全机制甚至已知漏洞的修复程度都明显落后业界平均水平。对攻击者而言是一个是低攻击成本,高隐形收益的的不二对象。 2016 年,Mirai蠕虫病毒批量控制全球大量摄像头发起DDOS攻击,导致许多网站宕机;在XDEF 2017 安全峰会上,巴斯光年安全实验室的安全研究人员也演示了,通过Wi-Fi可以远程在微单上安装具有勒索和窃取照片功能的恶意软件,从而获取操作系统的最高权限,通过相机远程获取各种图片信息。

值得重视的是,大量在桌面操作系统已经修复的安全漏洞在IOT设备上可能被重新利用,而这些与物理世界连密更密切的设备一旦被操控会带来更可怕的后果,甚至威胁到人身财产安全。IOT设备的安全性需要全行业的重视,各方应从网络数据传输的安全、协议层数据的合规、系统层漏洞的修补、固件的加固与加密校验以及硬件设计的安全封闭等多个环节保障用户的信息安全和使用安全。同时,也要关注公共系统在物联网设备使用上的安全性。

采访中,巴斯光年安全实验室的安全攻防技术负责人曲和强调,如今的安全问题已经不是一家公司、一个领域能够抵抗的。即使是系统开发相对封闭的苹果,也会需要其他公司在漏洞修复上的支持。大量的黑客试图通过各种手段获取对用户设备的远程控制权,在XPwn2017 未来安全探索盛会上,巴斯光年安全实验室对市场上 7 大主流智能手机进行了破解演示。通过让用户扫描一个恶意的二维码,导向到一个包含漏洞利用的攻击性网页链接,之后黑客便可远程获取用户设备的控制权,读取修改删除用户隐私文件。

作为普及率最高的移动网络终端,智能手机的使用安全关乎大量用户,降低使用风险要关注以下几点:尽量不给手机越狱、关闭手机的开发者模式(如Android中的调试模式)、从安全可信任的应用市场中下载软件; 不使用缺少信任的免费WIFI上网;在邮件短信中不点击不明链接、二维码、图片,不安装不明的应用程序,谨防手机木马;手机丢失或中木马以后,应及时联系手机服务运营商和支付服务商进行挂失。


  • 相关推荐
  • 大家在看
  • 华为成立数通自动驾驶网络联合实验室

    今日,华为宣布,在 2020 华为自动驾驶网络技术峰会期间,成立数通自动驾驶网络联合实验室,以“像改变汽车一样改变网络”为愿景,致力于打造“产-学-研”技术合作平台,促进网络自动驾驶技术科研成果转化。

  • 华为正式成立数通自动驾驶网络联合实验室:像改变汽车一样改变网络

    从华为官方获悉,近日,华为在苏州成功举办华为自动驾驶网络技术峰会,与来自复旦大学、浙江大学、西安交通大学、东北大学、苏州大学等多所高校的教授共同探讨自动驾驶网络产业的

  • 火币宣布成立DeFi实验室,联合全球社区构建DeFi生态

    8 月 3 日,全球知名的数字经济领军企业,火币集团宣布成立火币DeFi实验室。 火币DeFi实验室专注于DeFi(去中心化金融)的研究、投资、孵化、以及生态的建设。计划在未来通过与全球加密领域和DeFi社区合作,构建更好的金融系统。 火币集团创始人兼CEO李林表示:“作为全球知名的数字经济领军企业,我们的使命是让财富更自由,让全球至少一亿家庭拥有数字资产,无论是DeFi还是CeFi。加入全球DeFi生态是一件激动人心的事,同时,也很?

  • 字节跳动AI实验室李磊:如何用算法帮助内容在不同语言里互通

    在 2020 世界人工智能大会WAIC“《新一代中国人工智能》全景论文背后的故事及AI产业在中国的发展和世界的领导力”圆桌论坛中,参与撰写论文的七位作者讨论了论文的意义和背后的故事。

  • 肯德基宣布与3D生物打印公司合作 尝试制作实验室生产更环保鸡块

    对于肯德基来说,他们正试图打造世界上第一款实验室生产的鸡块,这是其 "未来餐厅"概念的一部分。这家主打鸡肉的连锁餐厅将与俄罗斯公司3D Bioprinting Solutions合作开发生物打印技术

  • chem17独家对话上海德卡实验室中国地区销售经理王云峰

    随着中国经济的迅速发展,实验室行业已经从市场情况、行业服务、市场规模等进入到了中国市场的方方面面。据相关数据显示:预计2020年全球实验室分析仪器市场规模约为637.5亿美元,2016-2020年复合增长率超过4%,亚洲在未来会成为在此市场中增速最快的地区,而我国预计增速将高于其他国家/地区至少1.2个百分点。在当今市场发展下,实验室用户要求更加多样,上海德卡实验室正是这样一家拥有专业的态度和技术的值得信赖的供应商。慕尼

  • 中国科学院深圳先进院联合速眠成立数字睡眠与脑科学实验室

    2020 年 7 月 24 日,首届中国国际智慧睡眠发展高峰论坛暨数字睡眠与脑科学联合实验室成立仪式在中国科学院深圳先进技术研究院举办,以线下峰会,线上直播两者联动的方式进行。本次高峰论坛由中国科学院深圳先进技术研究院与柏斯速眠科技(深圳)有限公司共同发起,以“乘·新数之慧,启·智睡纪元”为主题,从宏观局势和顶层规划的视角,瞻望中国睡眠产业的发展趋势与创新路径。 中国科学院深圳先进技术研究院副院长许建国,中国科

  • ​当IPFS遇见云管理服务|云MSP新钛云服与冰河分布式实验室达成战略协议

    7月18日,冰河分布式存储实验室发布会在“天府之国”四川成都国际金融中心(IFS)隆重召开,本次发布会以“正本清源,探寻更佳”为主题。在此次大会上,新钛云服CEO冯祯旺受邀出席,并与冰河分布式实验室成功达成战略协议。冰河分布式存储实验室致力于向行业输出IPFS分布式存储专业知识科普、最新技术公开测评、最优算法开源最佳矿机矿池配置方案、生态应用实测等成果,正本清源地向行业传递务实、透明、开源的信息,探寻最佳的解决方案。新

  • i云保入围分子实验室“2020中国保险科技100强”榜单

    7月10日,分子实验室《2020中国保险科技全景发展报告》(下称简称“报告”)和《2020中国保险科技100强》榜单发布,专注于赋能保险代理人的保险科技服务平台——i云保,与蚂蚁金服保险、众安保险、美团金服等知名互联网保险科技公司同时入围百强榜单。据悉,分子实验室从“行业价值、发展韧性、用户体验、运营管理、未来成长、社会价值”六个方面考量,甄选出100家优秀公司,并将其融于《报告》。作为传统行业模式创新的探索者,i?

  • 2020 网民网络安全感满意度调查活动卷

    欢迎您参与本年度网民网络安全感满意度调查活动。调查活动的目的是了解网民上网的安全感和满意度评价,以及对网络安全有关问题的认知和态度。您的回答将作为改善网络安全相关各方面工作的重要参考,您填写的信息将得到充分保护。“安全”才心安,满意才幸福,感射您的支持和参与!

  • 潘玮柏工作室律师声明 要求网络用户停止和删除侵权内容

    【潘玮柏工作室律师声明】据媒体报道,日前,潘玮柏在微博平台官宣结婚,并且晒出了与妻子和父母的合影照,一家四口非常幸福。同时,潘玮柏还圈出了老婆的微博,正是此前遇潘玮柏传恋情绯闻的空姐luna宣云。

  • 罗志祥工作室律师声明谴责网络不实消息 附声明全文一览

    【罗志祥工作室律师声明】今天中午,微博@罗志祥工作室发表律师声明,称近期不断有人恶意捏造并大肆散步有关罗志祥先生及其他人士的虚假信息,已造成严重负面影响,要求造谣者立即删除不实信息,停止一切侵权行为,并将保留法律追究的权利。

  • 奇安信公告:子公司设合资公司,拓宽健康医疗领域网络安全市场

    奇安信发布公告称,公司全资子公司奇安信网络科技拟与海南信合长盈企业管理有限合伙企业以及关联方中电数据服务有限公司,共同出资设立中电奇安科技有限公司,注册资本 5000 万元,其中奇安信网络科技出资 1750 万元。合资公司以承接卫生与医疗健康领域咨询规划、信息系统安全评估,建设卫生行业网络安全运营中心、医疗健康大数据平台安全为核心业务。

  • 准备好了吗?2020中国电信“天翼杯”网络安全攻防大赛,等你来战!

    伴随5G新兴技术发展而催生的网络安全新威胁,网络安全已经成为数字化发展的生命线,网络安全和信息化是事关国家经济社会可持续发展、事关国家长治久安、事关人民群众福祉的重大战略问题。主题为“安全无界·攻防有道”的2020中国电信“天翼杯”网络安全攻防大赛,旨在服务国家网络安全战略和网络强国建设,贯彻落实《网络安全法》,展现网络安全人才水平,提供竞技比拼和交流互动的舞台。本次大赛的报名时间为7月21日至28日。初赛?

  • 微博与肖战工作室谈话

    今日,微博管理员文称, 7 月 9 日微博与肖战工作室,就粉丝引导管理相关问题进行了谈话。微博建议明星工作团队应加强对粉丝群体的正面引导和约束能力。对非官方粉丝组织打着明星旗号做出的不当行为,要主动上报平台并配合平台管理。

  • 迪普科技荣获“2019年中国网络安全产业联盟优秀会员单位”荣誉称号

    2020 年 7 月 2 日, 2019 年度中国网络安全产业联盟会员大会暨换届大会(以下简称“大会”)以线上会议的形式成功召开。本次会议审议并通过了第二届联盟工作总结、联盟章程、 2020 年联盟工作要点等内容。在本次大会的联盟章程上,迪普科技被授予“ 2019 年中国网络安全产业联盟优秀会员单位”的荣誉称号,该荣誉也是对迪普科技作为会员单位在联盟中做出突出贡献的充分肯定。■ 中国网络安全产业联盟中国网络安全产业联盟成立于 201

  • 微博就粉丝引导管理问题与肖战工作室谈话

    今日,微博管理员文称,7月9日微博与肖战工作室,就粉丝引导管理相关问题进行了谈话。微博认为,有影响力的公众人物和明星应对粉丝行为承担引导和约束的义务,主要通过官方粉丝组织实现。但是近几个月以来,因为未能有效引导和应对各类粉丝群体,出现了一系列扰乱网络传播秩序的现象,造成了不良的社会影响。

  • 企查查回应仝卓工作室:感谢帮忙“骂”上热搜

    今日,企查查官微发布消息称,仝卓工作室#于近日发布多条博文,质疑郑云龙毕业资格等问题,随后又发布声明,表示仝卓工作室言论代表工作室,不代表仝卓本人看法,并要求部分媒体和个人删除有关仝

  • TikTok或将总部从北京迁至伦敦 将于近期宣布成立伦敦办公室意向

    据外媒报道,根据一项协议显示,字节跳动将把TikTok总部从北京迁至伦敦。太阳报称,字节跳动创始人将于近期宣布成立伦敦办公室的意向。目前,尚未联系到TikTok对此事置评。

  • 震旦集团案例分享——会议室的智能升级,只需1个小改动

    会议室是办公空间中尤为重要的组成部分,甚至可以说是企业的命脉所在,其承载的不仅仅是面对面开会的职责,更承担了远程视讯、接待、面试、洽谈等,如此重要的空间,硬件装备不能轻视。震旦集团 55 年一直深耕办公行业,随着办公需求的升级推出了智能办公解决方案,最近在其官网上分享了其对某人力资源服务公司会议室的智能升级:在该案例中,震旦集团利用其强大的硬件整合能力及方案能力在客户预算范围内解决了客户的需求:客户情况

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签