回顧信息安全大事件：2014年是轉(zhuǎn)折年

　　又一年快要結(jié)束了，我們希望從2014年的安全事故和突破中找出值得學(xué)習(xí)的東西。在這一年中，我們看到了持續(xù)的政府監(jiān)視和改變游戲規(guī)則的數(shù)據(jù)泄露事故，這是事情的轉(zhuǎn)折點(diǎn)嗎?

 

　　在2014年信用卡信息泄露的完美風(fēng)暴中，零售商們接二連三地讓其銷售終端(PoS)被粗糙的防御和猖獗的惡意軟件“任意宰割”。對(duì)此，第一家受此攻擊的Target公司已經(jīng)使用芯片密碼(chip-and-PIN)設(shè)備取代了其所有的刷卡機(jī)器，而同時(shí)，在8月初的黑帽大會(huì)上，Ross Anderson(再次)提醒我們，芯片密碼已經(jīng)可能會(huì)遭受攻擊，并且他還展示了概念驗(yàn)證視頻來說明這個(gè)問題。

 

　　供應(yīng)商在談?wù)?ldquo;高級(jí)威脅”時(shí)，仿佛這個(gè)詞語在安全產(chǎn)品選擇時(shí)會(huì)有一定作用。而保持互聯(lián)網(wǎng)運(yùn)作的舊的C語言程序代碼被以令人震驚的低技術(shù)含量的方式所攻破，并且沒有人注意到。借用狄更斯的一句話：總體而言，2014年代表著安全專業(yè)人員經(jīng)歷過的最糟糕的一年。

 

　　受監(jiān)視的國家

 

　　在斯諾登首次泄露信息的一年后，2014年的上半年源源不斷出現(xiàn)關(guān)于NSA項(xiàng)目和方法的新消息。前美國網(wǎng)絡(luò)負(fù)責(zé)人Richard Clarke在CSA峰會(huì)(在2月份與RSA大會(huì)共同舉行)的主題演講中稱，NSA情報(bào)能力非常強(qiáng)，遠(yuǎn)遠(yuǎn)超過你能想象的水平。但隨著技術(shù)的發(fā)展，他們?yōu)榫靽覄?chuàng)造了潛能。

 

　　NSA具有這么強(qiáng)的情報(bào)能力的一個(gè)原因在于，他們可以成功地搭建后門式的快捷方式，在協(xié)議內(nèi)實(shí)現(xiàn)對(duì)加密通信的暴力破解，而這些協(xié)議原本可以足以阻止這樣的做法。

 

　　加密功能的開放協(xié)議存在明顯問題并不是安全社區(qū)可以接受的事實(shí)，并且，對(duì)于供應(yīng)商是否已經(jīng)對(duì)此串通一氣也爆發(fā)出爭(zhēng)論：

 

　　現(xiàn)在我們無法快速回顧這些詳細(xì)信息，但我們可以看看1月份的報(bào)道：

 

　　在12月份路透社報(bào)道指稱EMC旗下的安全供應(yīng)商在2006年與NSA簽署了1000萬美元的合同，以使用有缺陷的Dual-EC-DRBG偽隨機(jī)數(shù)生成算數(shù)作為其BSAFE加密庫產(chǎn)品的默認(rèn)選項(xiàng)，對(duì)此，RSA受到行業(yè)嚴(yán)酷的批評(píng)。如果這是事實(shí)，RSA可能一直在積極協(xié)助NSA秘密地訪問使用該算法加密的數(shù)據(jù)。

 

　　RSA首席執(zhí)行官Art Coviello否認(rèn)了這一指控。在2月份的RSA會(huì)議后，這種熱議開始平息。這可能是因?yàn)槲覀兞私饬薔SA的網(wǎng)絡(luò)間諜操作的更多詳細(xì)信息，從其Tailored Access Operations(TAO)計(jì)劃暴露的類似購物者的購物清單式的按需攻擊方案和工具，再到Glenn Greenwald的新聞網(wǎng)站the Intercept在3月中旬進(jìn)一步泄露的消息。特別引人關(guān)注的是：我們顯然不再可能依靠全新設(shè)備的安全性。正如SearchSecurity作者同時(shí)也是圣路易斯大學(xué)董事兼信息安全官Nick Lewis指出：“NSA已經(jīng)干擾了攻擊的供應(yīng)鏈，在設(shè)備連接到目標(biāo)網(wǎng)絡(luò)之前，其監(jiān)控工具就已經(jīng)存在于系統(tǒng)中。”

 

　　信用卡數(shù)據(jù)泄露

 

　　盡管業(yè)界對(duì)政府監(jiān)視做法一片嘩然，但在2014年還有更大的事件值得關(guān)注：美國的大型零售商似乎對(duì)其信用卡數(shù)據(jù)已經(jīng)完全失去控制。

 

　　1月份有消息稱，安全行業(yè)的很多人感覺非常肯定接下來會(huì)發(fā)生的事情：Target泄露事故比最初報(bào)道的更加嚴(yán)重。Neiman Marcus在今年第一天也宣稱他們也受到攻擊。路透社文章稱，其他零售商也會(huì)受到攻擊。實(shí)體經(jīng)濟(jì)領(lǐng)域的企業(yè)已經(jīng)受到威脅，而PoS終端是共同點(diǎn)。

 

　　截至目前，在今年即將結(jié)束的幾周中，我們看到Home Depot、Michaels、Kmart、Goodwill Industries和Dairy Queen遭受泄露事故。目前還沒有任何明確的跡象表明，零售商已經(jīng)可用完全應(yīng)對(duì)這些事故中出現(xiàn)的RAM-scraping惡意軟件的威脅。

 

　　在今年夏天，通過摩根大通的網(wǎng)絡(luò)泄露的7600萬家庭的數(shù)據(jù)，讓我們意識(shí)到當(dāng)涉及第三方供應(yīng)商的安全控制的責(zé)任和監(jiān)管時(shí)，監(jiān)管影響的嚴(yán)重問題。我們預(yù)計(jì)在今年結(jié)束之前還會(huì)看到對(duì)大型零售商、金融機(jī)構(gòu)和醫(yī)療機(jī)構(gòu)更多的數(shù)據(jù)泄露事故的報(bào)道。

 

　　云故障

 

　　在2014年企業(yè)加大對(duì)云服務(wù)的投資力度的同時(shí)，我們也看到云安全失敗的消息，也許其中最引人注目的是，源代碼托管供應(yīng)商Code Spaces在攻擊者獲取對(duì)其亞馬遜云計(jì)算服務(wù)控制面板并刪除客戶庫(及其備份)后，其業(yè)務(wù)徹底崩潰。

 

　　我們的新聞報(bào)道引用了英國軟件設(shè)計(jì)和咨詢公司Springwater Software主管Martin Howes的話，他表示其公司對(duì)所有信息都有本地副本，因此沒有收到很大影響。“這只是正常的謹(jǐn)慎做法，”Howes表示，“大家都知道把數(shù)據(jù)放在云中的風(fēng)險(xiǎn)，并不能完全依賴云計(jì)算。”但Code Spaces并沒有這么謹(jǐn)慎。

 

　　在8月份，咨詢公司Bonsai Information Security創(chuàng)始人Andres Riancho向AWS用戶分享了潛在的問題清單。蘋果公司認(rèn)為，盡管明星艷照在互聯(lián)網(wǎng)瘋傳，但這些并不是因?yàn)樘O果系統(tǒng)(包括iCloud或Find my iPhone)受到攻擊。到夏季結(jié)束時(shí)，2014年已經(jīng)開始看起來像一個(gè)好年頭，終于開始全面使用雙因素身份驗(yàn)證。

 

　　易受攻擊的物聯(lián)網(wǎng)

 

　　同樣出現(xiàn)在黑帽大會(huì)的議題是：可被嵌入到任何硬件設(shè)備中的漏洞，包括用于篩選航空旅客的TSA使用的嗅探工具、各種電動(dòng)汽車、通信衛(wèi)星以機(jī)構(gòu)你的U盤。通過BadUSB攻擊，根本沒有辦法來確定USB設(shè)備是否受到感染，在黑帽大會(huì)上，“BadUSB -- On Accessories That Turn Evil”的演講者Karsten Nohl指出，該攻擊出現(xiàn)在TAO目錄中，早在他和他的伙伴獨(dú)立創(chuàng)造出它之前。

 

　　在黑帽大會(huì)上進(jìn)行開幕式主題演講的Dan Geer提供了在技術(shù)過渡到物聯(lián)網(wǎng)(IoT)環(huán)境的過程中針對(duì)互聯(lián)網(wǎng)連接的十誡，這些系統(tǒng)很復(fù)雜而難以管理，他主張采用務(wù)實(shí)的做法，強(qiáng)權(quán)政治做法，其中具有嵌入式系統(tǒng)的設(shè)備要么有強(qiáng)制性的生命終結(jié)或者自動(dòng)修補(bǔ)程序。

 

　　殘破的協(xié)議

 

　　如果IoT在很大程度上是具有前瞻性的討論，那么今年的另一個(gè)問題則要回溯到早期互聯(lián)網(wǎng)時(shí)期，當(dāng)時(shí)開源組件還是使用難以辨認(rèn)的C編程語言的樣本在編寫。4月份出現(xiàn)的Heartbleed是一個(gè)長(zhǎng)期存在的漏洞，它存在于TLS協(xié)議廣泛的OpenSSL部署中而未被發(fā)現(xiàn)。“這不是一個(gè)玩笑，”CSRgroup Computer Security咨詢公司首席顧問Jake Williams表示，“我已經(jīng)在信息安全領(lǐng)域很多年，這是我見過的最可怕的漏洞之一。”

 

　　9月份我們迎來了另一個(gè)“幾十歲”的漏洞，這次是在Bash shell中，與此同時(shí)，McAfee數(shù)據(jù)估計(jì)30萬網(wǎng)站仍然受到Heartbleed的威脅。盡管我們還并不清楚Heartbleed是否正應(yīng)用在在現(xiàn)實(shí)環(huán)境中(除非由NSA，彭博社報(bào)道)，但攻擊者已經(jīng)開始轉(zhuǎn)移到被稱為“Shellshock”的漏洞。

 

　　而10月份帶給我們的是Poodle(填充甲骨文在降級(jí)的傳統(tǒng)加密)。正如我們的報(bào)道所稱，Poodle的嚴(yán)重性在于，主流Web瀏覽器無法連接到使用更現(xiàn)代協(xié)議的HTTPS服務(wù)器時(shí)，它們會(huì)對(duì)那些邊緣情況降級(jí)對(duì)SSL3.0的支持。在這篇報(bào)道發(fā)布時(shí)，我們還不完全清楚Poodle在現(xiàn)實(shí)世界帶來的嚴(yán)重影響程度，但有人會(huì)希望這是最后一根救命稻草，來引發(fā)對(duì)充滿問題的TLS加密機(jī)制的重整。

 

　　其他方面的消息，安全攻擊上升4.6%;賽門鐵克在3月份辭去其首席執(zhí)行官，然后在10月份分離其業(yè)務(wù)—安全和備份;比特幣“墮落到”只有400美元股價(jià)，同時(shí)，雖然爆發(fā)各種非加密安全問題，比特幣仍然安然活在新聞之外;美國政府發(fā)布NIST網(wǎng)絡(luò)安全框架1.0，其影響仍然不清楚，無疑是因?yàn)楹弦?guī)性不是強(qiáng)制性。

 

　　展望未來

 

　　2014年最大的經(jīng)驗(yàn)教訓(xùn)可以歸結(jié)為，你將需要終端到終端加密和雙因素身份驗(yàn)證來確保數(shù)據(jù)隱私性，盡管這樣你可能還是無法逃脫NSA的監(jiān)視。零售業(yè)泄漏事故的接連發(fā)生讓Europay、MasterCard和Visa(EMV)等標(biāo)準(zhǔn)在明年將會(huì)啟動(dòng)，盡管還不清楚這種標(biāo)準(zhǔn)是否能夠阻止數(shù)據(jù)泄露事故(被盜信用卡憑證仍將可用于互聯(lián)網(wǎng)交易中)。

 

　　在10月份，Apple Pay推出，讓Touch ID和NFS無線鏈路陷于PoS問題。在我們報(bào)道中身份驗(yàn)證供應(yīng)商N(yùn)ok Nok Labs首席執(zhí)行官Phil Dunkelberger指出，Apple Pay絕對(duì)是對(duì)現(xiàn)有信用卡安全的提升。

 

　　勢(shì)頭可能已經(jīng)轉(zhuǎn)向，但真正的變化很難發(fā)現(xiàn)。雖然很少見諸報(bào)端，但美國政府的機(jī)構(gòu)繼續(xù)其監(jiān)視活動(dòng)，而NSA無疑正在忙于制定TAO的圣誕目錄。目前似乎還沒有真正的計(jì)劃來取代從瀏覽器到服務(wù)器的TLS連接，而TLS定期會(huì)出現(xiàn)重大漏洞。Apple Pay等系統(tǒng)已經(jīng)開始使用EMV，并用單次使用令牌來替代靜態(tài)字符，Google Pay也做了同樣的事情，但沒有吸引同樣的關(guān)注，這些都意味著物理站點(diǎn)會(huì)迎來更安全的電子交易。但話又說回來，正如律師事務(wù)所BakerHostetler隱私和數(shù)據(jù)保護(hù)做法合伙人Craig Hoffman指出，“EMV本身并不是安全解決方案，這是一個(gè)真正的防偽欺詐解決方案，換句話說，EMV芯片并不會(huì)阻止攻擊者入侵商家的支付卡網(wǎng)絡(luò)。”

 

　　今年是否已經(jīng)發(fā)展到信息安全的轉(zhuǎn)折點(diǎn)要在2015年才知道，你可以從2014年的慘痛教訓(xùn)中吸取很多經(jīng)驗(yàn)，從而提高你作為安全專業(yè)人士的技能。