安全：魔高一丈？

對于越來越功利化的網(wǎng)絡(luò)犯罪，我們該怎么辦？

雖然安全問題從互聯(lián)網(wǎng)誕生之日就在年年講、月月講，常講常新，但直到2012年春節(jié)前夕，CSDN、天涯等網(wǎng)站用戶信息泄露事件讓數(shù)千萬的中國用戶切身體驗到了“信息裸奔”的滋味：登錄密碼、郵箱密碼、支付密碼、驗證碼；社交網(wǎng)站、電商網(wǎng)站、游戲網(wǎng)站、門戶網(wǎng)站……用戶絞盡腦汁回憶自己曾經(jīng)在哪個網(wǎng)站注冊并留下個人的真實信息，并逐個兒修改。而今年央視315晚會曝光的多家銀行內(nèi)部員工出售用戶個人資料，導(dǎo)致數(shù)十位用戶網(wǎng)銀余額被竊超過300多萬元的案件，讓互聯(lián)網(wǎng)個人信息與上網(wǎng)安全成為輿論焦點。

自從2008年中國互聯(lián)網(wǎng)網(wǎng)民數(shù)量躍居世界第一位以來，中國互聯(lián)網(wǎng)以驚人的速度快速發(fā)展，同時快速增長的還有黑客和攻擊事件。NCC Group公布的今年一、二季度黑客事件發(fā)源地排行榜（Origins of Global Hacks）中，美國、中國和俄羅斯占據(jù)著全球10大黑客事件發(fā)源地排行榜的前三位，并且呈快速上升的趨勢。NCC全球CEO Rob Cotton對此并不表示驚訝——“美中俄三國人口眾多，并且關(guān)聯(lián)緊密”，反而是惡意網(wǎng)絡(luò)活動在全球范圍內(nèi)顯示出的野火般的生命力令他難以置信，“如此大規(guī)模的活動目前卻沒有有效防治的辦法，信息安全產(chǎn)業(yè)僅僅集中在少數(shù)國家，彼此缺乏透明度和相互協(xié)作”。

不為炫技為獲利

網(wǎng)絡(luò)罪犯早就不是單純?yōu)榱恕办偶肌倍髯詾閼?zhàn)的業(yè)余不法之徒，他們已經(jīng)逐漸進化為與恐怖活動組織一樣的作案手法——金錢、動機及目標(biāo)，他們能夠出盡奇謀、利用大量時間及資源策動僵尸網(wǎng)絡(luò)發(fā)起攻擊，令企業(yè)蒙受數(shù)以百萬美元的損失。

他們盜竊的也并非單純是財務(wù)信息，目前網(wǎng)絡(luò)罪犯更希望獲得客戶的一般個人數(shù)據(jù)而非賬單或信用卡數(shù)據(jù)，因為利用客戶個人數(shù)據(jù)，黑客可以發(fā)動更精準(zhǔn)的攻擊，增加成功率，獲得更大的利益。對某些用戶來說，社交身份比信用卡對黑客更有價值，目前新浪微博擁有3億用戶，其中近3千萬活躍用戶每天都會登錄，社交網(wǎng)絡(luò)為網(wǎng)絡(luò)罪犯帶來更大的作案空間。

與美國、俄羅斯黑客放眼全球不同，中國的網(wǎng)絡(luò)罪犯大多將目標(biāo)鎖定自己的同胞。在互聯(lián)網(wǎng)安全威脅的背后，大多有著信息安全地下黑色產(chǎn)業(yè)鏈的身影。與現(xiàn)實社會中販賣毒品等物理世界犯罪產(chǎn)業(yè)鏈不同的是，信息安全地下產(chǎn)業(yè)鏈以攻擊和利用互聯(lián)網(wǎng)用戶盈利，其非法商品服務(wù)以及最終攫取的金錢都可以依賴互聯(lián)網(wǎng)進行傳輸與實現(xiàn)，因此這一獨特的產(chǎn)業(yè)鏈分為真實資產(chǎn)盜竊、網(wǎng)絡(luò)虛擬資產(chǎn)盜竊、互聯(lián)網(wǎng)資源與服務(wù)濫用與黑帽技術(shù)工具培訓(xùn)4大塊，并完全依托于互聯(lián)網(wǎng)。

由于涉及銀行賬戶的真實資產(chǎn)盜竊案件危害重大，因此也一直是中國執(zhí)法部門重點打擊的對象。2011年，中國公安機關(guān)開展了代號為“天網(wǎng)-2011”的打擊銀行卡犯罪專項行動，重點打擊偽卡類、套現(xiàn)類和涉網(wǎng)類等主觀惡意程度高、涉案金額大的銀行卡犯罪案件，共破獲案件2.4萬余起，挽回經(jīng)濟損失4億元。

在公安部公布的10大案例中，除了5項信用卡非法套現(xiàn)案件之外，其他5個案件均與互聯(lián)網(wǎng)真實資產(chǎn)盜竊地下經(jīng)濟鏈密切相關(guān)。例如在浙江湖州“3·28”特大網(wǎng)絡(luò)信用卡詐騙案中，犯罪團伙從互聯(lián)網(wǎng)地下黑市購買“網(wǎng)絡(luò)釣魚”程序，并以網(wǎng)站出售暢銷商品為誘餌實施網(wǎng)絡(luò)釣魚，竊取網(wǎng)購顧客的銀行卡賬號密碼資料，然后再實施信用卡盜刷，獲取巨額非法所得。此案中犯罪團伙使用QQ作為聯(lián)系手段，作案人員分布于10余省市，受害人數(shù)眾多，是一起典型的通過互聯(lián)網(wǎng)地下產(chǎn)業(yè)鏈組織實施的真實資產(chǎn)盜竊案件。

湖南衡陽妨害信用卡管理案中，犯罪嫌疑人利用地下產(chǎn)業(yè)鏈上線提供的他人身份證辦理假冒銀行卡，公安機關(guān)攻擊收繳涉案信用卡8000余張，身份證5萬余張，而每張假冒銀行卡以每張60～80元價格賣給上線，用于其他犯罪，這是近年來公安機關(guān)破獲的冒用他人身份信息辦理銀行卡數(shù)量最多的案件，體現(xiàn)了冒用他人身份辦理的銀行卡在真實資產(chǎn)盜竊地下產(chǎn)業(yè)鏈中的作用。

對于避免真實資產(chǎn)被盜，除了用戶自身提高警惕外，還需要企業(yè)、銀行與政府機構(gòu)的聯(lián)手合作。清華大學(xué)的網(wǎng)絡(luò)信息網(wǎng)絡(luò)安全實驗室負責(zé)人諸葛建偉認(rèn)為，今后消費者的個人信息可以通過公安部或者更權(quán)威的機構(gòu)進行在線的身份認(rèn)證，而不需要消費者自己把這些個人信息分別在各個電商以及第三方支付的企業(yè)進行注冊，這樣可以大大降低企業(yè)行為造成的用戶信息泄露。

黑客更看好移動

移動計算已經(jīng)成為商業(yè)通信的常用手段，盡管企業(yè)CIO們已逐漸接受這種趨勢，但對種類繁多、而且使用不同操作系統(tǒng)的移動設(shè)備連接到企業(yè)網(wǎng)絡(luò)，仍然希望建立合適的移動及網(wǎng)絡(luò)訪問安全政策。Check Point的調(diào)查表明，78%的受訪企業(yè)表示連接到它們公司網(wǎng)絡(luò)的個人移動設(shè)備數(shù)量是兩年前的兩倍，63%更認(rèn)為這個趨勢與安全事故增加有關(guān)。

移動設(shè)備也成為黑客盜取信息及敏感數(shù)據(jù)的溫床。如果沒有穩(wěn)妥的安全防范措施，黑客能在幾秒鐘內(nèi)把特洛伊木馬病毒上載到一臺移動設(shè)備，然后以每20秒一幀的速度拍攝設(shè)備的屏幕情況，從而掠奪其中的敏感數(shù)據(jù)，包括短信、郵件、上網(wǎng)記錄或用戶所處地點，為移動安全帶來更大的挑戰(zhàn)。

趨勢科技主管移動全球副總裁Ron Clarkson表示，各大應(yīng)用商店中都已經(jīng)出現(xiàn)過可能會故意盜竊用戶信息、劫持賬戶以及發(fā)送高價短信的惡意移動工具。盡管從目前的已知情況來看，移動領(lǐng)域中所面臨的實際威脅依然算不上“重大犯罪”的程度，但在不久的將來，安全局勢就很可能會出現(xiàn)急轉(zhuǎn)直下的改變——由于支持近場通信技術(shù)（NFC）的下一代手機呈現(xiàn)迅速普及的態(tài)勢，意味著更多種類的電子商務(wù)與金融類應(yīng)用的涌現(xiàn)，可能吸引更多“職業(yè)”網(wǎng)絡(luò)犯罪分子對于該領(lǐng)域的關(guān)注?！鞍凑瘴覀兊念A(yù)測，一旦網(wǎng)絡(luò)犯罪分子認(rèn)識到這些技術(shù)可以被用來在資金盜竊方面獲取更多的好處，由‘職業(yè)’網(wǎng)絡(luò)犯罪分子造就涉及范圍更廣危害更嚴(yán)重的危急局面就將會出現(xiàn)?！?/p>

Ron Clarkson敦促系統(tǒng)管理員對于購買現(xiàn)成解決方案的決策進行重新審視，“現(xiàn)在已經(jīng)沒有時間讓消費者與技術(shù)部門繼續(xù)使用頭痛醫(yī)頭腳痛醫(yī)腳零敲碎打的傳統(tǒng)方式來保障移動設(shè)備的安全，而需要馬上建立起一個覆蓋范圍全面的統(tǒng)一安全體系，涉及的部分包括了企業(yè)網(wǎng)絡(luò)與設(shè)備以及下載到設(shè)備上需要獲得有效管理的各種各樣應(yīng)用程序?！?/p>

在IT消費化加上自帶設(shè)備（BYOD）已經(jīng)如此明顯的趨勢之下，移動安全的工作重點不僅僅在設(shè)備管理之上，對于應(yīng)用軟件管理領(lǐng)域也需要給予足夠的關(guān)注。

虛擬化技術(shù)在誕生之初是用作整合服務(wù)器及IT資源以節(jié)省成本、空間及耗電，時至今日，其用途已經(jīng)變得更加廣泛，其中一種是企業(yè)在部署B(yǎng)YOD時利用虛擬化技術(shù)作為一層額外的安全保護屏障來保護其網(wǎng)絡(luò)及端點設(shè)備，把企業(yè)數(shù)據(jù)與互聯(lián)網(wǎng)分開，讓用戶可以自由上網(wǎng)沖浪，又不受路過式下載、網(wǎng)絡(luò)釣魚及惡意軟件的威脅。

Ron Clarkson進一步解釋說，這意味著用戶在決定將應(yīng)用下載到設(shè)備上之前需要先進行掃描；此外，應(yīng)用程序商店的現(xiàn)有環(huán)境也應(yīng)當(dāng)進行規(guī)范，確保已知惡意免費應(yīng)用都被標(biāo)注出來。

看好賬戶，看好錢包

“谷歌錢包”有幸或者說不幸成為了NFC早期應(yīng)用的小白鼠。今年2月，在“谷歌錢包”漏洞可能導(dǎo)致用戶資金被竊的消息曝光后，谷歌暫停了這項服務(wù)與預(yù)付費卡的關(guān)聯(lián)。

值得注意的是，漏洞都源于“谷歌錢包”，而非NFC技術(shù)——谷歌錢包的PIN碼并未存儲在硬件“安全單元”中，而是存放于一個被Android系統(tǒng)保護的數(shù)據(jù)庫中；通過對該數(shù)據(jù)庫的強力攻擊，黑客就可以獲取PIN碼。如果谷歌將谷歌錢包的PIN碼存放在硬件的安全單元中，幾乎就不會被破解。安全專家表示，“即使出現(xiàn)這兩個漏洞，谷歌錢包仍比目前使用的信用卡更安全”。目前谷歌已經(jīng)悄悄地更新了旗下移動支付服務(wù)谷歌錢包（Google Wallet）的網(wǎng)站，宣布“即將發(fā)布的更加智能的新版谷歌錢包（smarter wallet）”。

僵尸網(wǎng)絡(luò)是企業(yè)2012年最感頭疼的網(wǎng)絡(luò)安全威脅之一。網(wǎng)絡(luò)罪犯在成千上萬、甚至數(shù)以百萬計的系統(tǒng)尋找漏洞，“綁架”計算機然后進行破壞活動，包括盜竊數(shù)據(jù)、潛入未經(jīng)授權(quán)訪問的網(wǎng)絡(luò)資源、啟動拒絕服務(wù)（DoS）攻擊或散布垃圾郵件。過去一般認(rèn)為大部分常見的僵尸網(wǎng)絡(luò)是在Windows系統(tǒng)計算機上操作的，如今Linux及Mac計算機也不能幸免。

無論如何，操作系統(tǒng)的安全保護演進日趨成熟，只要企業(yè)實施合理的安全政策及保護，可以抵御頗多的安全威脅，未來將會有更多黑客通過利用人的弱點策動對機構(gòu)的攻擊。

基于社交網(wǎng)站工程的攻擊一般是瞄準(zhǔn)那些掌握敏感信息的人士。如今只需數(shù)分鐘，黑客就可以通過各種社交網(wǎng)站通信渠道，便取得某個人的許多信息——在Facebook搜索并知道姓名、出生日期及人際網(wǎng)絡(luò)；在Twitter上獲悉興趣及追隨者；從LinkedIn獲悉工作履歷及教育背景；在FourSquare 或Yelp得悉目前用戶身處何地……基于社交網(wǎng)站設(shè)計的攻擊是根據(jù)某人的資料量身訂制，所以它們乍看起來是無害的。另外，由于電子郵件、即時通信、SNS、博客等應(yīng)用的交叉相關(guān)性，一個賬戶被破解往往帶來連鎖反應(yīng)，相當(dāng)于把“串好”的雞蛋放在了一個籃子里，更容易被一掃而光。

2010年，Twitter公司某管理人員的個人電子郵件被黑客入侵，黑客利用郵件中的信息訪問了該員工的Google Apps賬戶，最終竊取了Twitter公司的大量文件，從各種創(chuàng)意文案到詳細的財務(wù)資料一應(yīng)俱全。很快，一份包含310份Twitter機密文件的壓縮包開始在互聯(lián)網(wǎng)上公開叫賣。

調(diào)研顯示，基于社交網(wǎng)站的攻擊的主要動機是謀取金錢利益（51%），其次是獲得專有信息（46%），然后是獲得競爭優(yōu)勢（40%），最后是報復(fù)性攻擊（14%），這種攻擊能令企業(yè)造成2.5萬～10萬美元的經(jīng)濟損失。