2014年互聯網安全問題盤點

　　北京時間12月30日消息，據國外媒體報道，首先，讀者們需要明確一個比較熱門的觀點：2014年是互聯網安全多災多難的一年。

　　諷刺的是，雖然去年愛德華-斯諾登（edwardsnowden）的泄密事件已經足夠糟糕了，但是這件事至少讓企業和公眾們看待自己資料隱私的方式產生了重大改變。同時，它也促使科技巨頭如蘋果、谷歌等加強了自己產品的保密措施，這也是在2014年混亂的互聯網安全中唯一能看到的積極點了。

　　本文將從蘋果開始說起。

　　osx與ios用戶今年受到過“中間人攻擊”，並且還發生過兩次。回到本年初，蘋果被指出：過於輕信自己的鏈接是安全的，但蘋果使用的ssl對“中間人攻擊”防御能力低下，導致蘋果用戶處於數據被盜用的風險之中。雖然該缺陷已被打補丁，但在11月，有關doubledirect的消息傳出，該威脅主要是使用icmp在用戶設備上重新定位路徑，導致ios與osx用戶再次陷入危險中。

　　然而，在這一次事件中，安卓用戶也被波及。安卓系統通常被認為比ios更不安全，因此安卓卷入此次互聯網安全災難中也不足為奇。

　　然而，最令人擔心的恐怕要數9月浮出水面的事件，該事件牽扯到了基於webkit的安卓瀏覽器上的開放源碼。據稱，有一個缺陷導致瀏覽器對惡意的代碼注入攻擊處於毫無防備的狀態。還有人指出，在安卓4.4以前的版本，為防止腳本從其他網站獲取數據而設計的同源政策已經崩潰。

　　如果說手機是今年入侵載體的首選，那麼毫無疑問，ssl不僅聲名狼藉，並且本身也運作得很糟糕。首先，在年初由於openssl的“heartbleed漏洞”的新聞已經使之名聲大震，年底時又爆出有關它的漏洞新聞。

　　其次，谷歌的安全中心稱ssl3.0中使用過時的rc4暗碼，形成所謂的poodle漏洞。這一報道如給ssl一記重錘。為什麼呢？據微軟稱，全球超過40%網站都在使用該暗碼。好不奇怪，緊接著，一大批惡意軟件隨即利用此漏洞入侵市場。該漏洞已經是幾十年的老問題了，但它在系統漏洞中依舊十分頑強，成為互聯網安全的最大威脅之一，這足以使所有it人在2014年蒙羞。

　　毫無疑問，無論是犯罪企業還是某些國家贊助的黑客團隊，這些黑客們越來越精明。從使用惡意軟件的角度來說，他們憑借那些古老的技巧及方法，也依然是成功的。

　　無論稱之為社交工程、網絡釣魚還是高級持續性威脅，對於網絡罪犯來說，欺詐網絡用戶的侵入途徑其實是相似的，而這些詞語在語義上的變化其實毫不相干。從個人、小企業一直到大企業，都有人成為這些欺詐技巧的犧牲品。不幸的是，對於許多企業來說，它們同時發現它們信息的侵入途徑往往是來自於它們的商業伙伴。所以，可以直接攻擊一個並不安全的企業時，為什麼要選擇攻擊那些看起來相對安全的企業呢？這個方法在去年一整年披露的不安全事件中一直起效。

　　不能忽略今年最重大的一個不安全事件。該事件無論從其規模、受影響的潛在數據量，還是它在目前尚未被發現、但在將來可能產生的影響，都值得一提。

　　是的，筆者要提及的就是索尼電影娛樂公司（sonypicturesentertainment）的不安全事件。該事件導致以郵件、文件及尚未上映影片等形式高達上千兆字節的數據丟失，同時在最終公司採取向黑客妥協。

　　入侵索尼的黑客被認為是恐怖分子。當索尼被入侵后，按照黑客的要求，索尼一度撤回了原本打算公映的電影。

　　還有另外一起事件：在韓國的某個核設施基地，入侵黑客們強行試圖關閉反應器，否則有關系統規范的文檔將被公之於眾。該事件發生於寫這篇文章時，因此有關被盜文件的細節以及韓國方面的反應筆者尚不明了。但政治勒索已參與進入侵事件中這一事實意味著所有的企業在2015年都應加倍努力，保証安全。

　　筆者在本文開頭即提到，今年的互聯網安全事件中幾乎沒有什麼積極點可說。今年，網絡安全大量地登上主流媒體。

　　這是一件好事，因為當這些事件找到技術領域之外的出路，並融入公眾的生活之中，便意味著人們意識到了這些威脅。另外，畢竟，對威脅的意識幾乎是我們所剩的用於抵御這些互聯網安全問題的唯一武器了。