三、漏洞影响转入地下

在去年底安全牛发布的另一篇文章《2015年网络安全七大趋势》中，对2015年的漏洞进行了预测：“那些建立在通信协议和传统操作系统之上的，成熟期较早并在目前得到广泛应用的软件和系统可能性较大，比如Java，安卓。至于智能家居或可穿戴设备，虽然生产商缺乏安全考虑，但由于未得到大规模应用，尽管可以预见很多漏洞的发现，但巨大影响力的漏洞无法形成。”

 

现在我们来看看今年有哪些重大漏洞，这里的漏洞不包括尚未大范围曝光和尚未产生实际重大影响的漏洞。

Stagefright/java反序列化/Wormhole(虫洞)/Redis未授权访问/SS7/Ping Socket use-after-free/DexClassLoader(寄生兽)/VENOM/SMB重定向/FREAK(疯怪)/Ghost

在这一连串的漏洞中，有系统级的如Stagefright，也有协议级的，如FREAK和SS7。有应用性质的如Wormhole，还有“长老级”的漏洞，如SMB重定向。但无论哪种，均未造成如去年心脏出血漏洞那种级别的影响或损失。原因不外乎，整个业内在各个环节对安全工作的加强，以及应急能力的提升和漏洞提交机制的完善。但不可忽视的是，地下黑市对流行软件漏洞和零日漏洞的交易极大的危害着全球上网人的利益，甚至是国家和社会安全。

　　四、信息泄露汹涌依旧

2015年数量最大的四起信息泄露事件分别为，美国人事管理局(OPM)2700万政府雇员及申请人信息泄露；美国第二大医疗保险公司Anthem8000万客户及员工信息泄露；面向全球的婚外恋网站 Ashley Madison 3700万用户信息泄露；意大利间谍软件公司 Hacking Team 被黑，包含多个零日漏洞、入侵工具和大量工作邮件及客户名单的400G数据被传到网上任意下载。

 

这四起信息泄露事件的影响面各有不同，OPM上升到国与国之间网络战争的政治影响，Anthem主要事关客户个人保险号和病历，Ashley Madison 则主要为隐私和道德问题，已有两人因此事而自杀。Hacking Team 的影响主要在于工程化的漏洞和后门代码公开，等于把网络武器交到不法人员的手中，轻易地提高了整个地下黑产的平均技术水平。

下面是2015年全球影响比较大的信息泄露事件，时间为事件披露的月份，非事件发生时间：

2014年年底，铁道部官方网站(12306.cn)13万用户信息泄露，包括身份证、登录口令等，据调查分析应是撞库所至；

2015年1月，俄罗斯约会网站Topface，2000万用户名和电子邮件地址被盗；

2月，优步(Uber)披露，5万名优步司机的个人信息被不知名的第三方人士获取，包括社保码、司机相片、车辆登记号等信息；

3月，医保提供商Premera蓝十字披露，1100万客户的医疗和财务数据泄露；

3月，牙齿医疗机构 Advantage Dental 约15万病人信息泄露，包括姓名、住址、出生日期、电话和社保码；

4月，360补天平台披露，遍布19个省份的社保系统相关信息泄露达5279.4万条，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息；

4月，美国Metropolitan State大学16万学生个人信息泄露，包括出生日期、家庭住址、电话、个人成绩；

5月，全球知名成人约会网站 Adult FriendFinder 390万用户信息泄露，包括电子邮件、IP、甚至是性偏好信息；

5月，手机监听软件制造商mSpy约40万用户信息泄露，包括电子邮件、短信、照片、付款记录和跟踪数据；

5月，美国国税局超过10万名纳税人的财务信息泄露；

7月，内衣制造商Hanesbrands客户订单数据库被黑，约90万网络和电话用户信息泄露，包括地址、电话和信用卡后四位数字；

7月，FireKeepers Casino 酒店披露8.5万信息卡和借记卡信息在2014年泄露，包括银行卡号、姓名、验证码和卡终止日期等信息。；

8月，在线票务销售平台大麦网600余万用户账户密码泄露并在黑产论坛公开售卖；

8月，英国电信运营商Carphone Warehouse约240万在线用户个人信息泄露，其中包括姓名、地址、出生日期和加密的信用卡数据；

10月，音乐众筹网站Patreon超过16GB的文档资料泄露，包括230万个用户的电子邮件地址；

10月，为美国移动电话服务公司T-Mobile提供数据服务的Experian遭到黑客入侵，导致T-Mobile的1500万用户个人信息泄露，包括用户姓名、出生日期、地址、社会安全号、ID号码等；

10月，美股券商Scottrade，460万客户的姓名及地址信息泄露；

10月，英国电信运营商Talktalk120万用户信息泄露，包括电子邮件、名字和电话号码，以及数万银行账户信息；

10月，美国网络券商史考特超过460万客户的联系人信息被攻击者获取，泄露的信息为客户姓名与地址；

10月，乌云平台曝光网易用户数据库“疑似泄露”，数量近5亿条。虽然至今没有证据证明这个数字，但许多普通网民纷纷表示自己的邮箱被登录篡改，甚至由于用网易邮箱注册苹果账户，而导致手机网络犯罪分子锁住，也是一个不争的事实；

11月，喜达屋集团旗下54家酒店发现窃取信用卡信息的恶意软件，包括客户名称、信用卡号码、信用卡安全码和到期日期等信息泄露，泄露数量尚未公布；

11月，香港早教电子设备公司伟易达(VTech)500万用户和600万儿童的个人信息泄露，包括登录密码、IP地址、照片、聊天记录姓名、性别等；

12月，英国快餐连锁店waterspoons 65万顾客信息泄露，包括姓名、出生日期、电子邮件和电话号码。

值得注意的是，与2014年相比，国内信息泄露事件的曝光度有上升的趋势。

　　五、APT攻击层出不穷

 

APT28

自2007年就开始活动的APT28黑客组织，不断利用零日漏洞攻击北约和美国国防机构，这是一个技术高超的以收集国防和地理政治情报的网络间谍活动小组，技术人员分析该小组由俄罗斯政府支持。

APT17

APT17攻击过美国国防承包商、法律事务所、政府机构，以及科技公司和矿产企业。这个黑客小组主要通过鱼叉式钓鱼的手段实施初始攻击，并通过微软产品的技术文档网站TechNet作为攻击平台。

Duqu

反病毒厂商卡巴斯基今年也遭遇APT攻击，其使用的攻击程序被称为Duqu 2.0，它利用了三个微软的零日漏洞，Duqu是继震网蠕虫后最受关注的恶意程序之一，大多数Duqu出现在工控系统中。

Naikon

Naikon黑客活动组织在过去五年内大量地、高调地进行地缘政治活动。他们在多个国家部署了高级的数据挖掘工具和监视工具，主要目标是菲律宾、马来西亚、柬埔寨、印度尼西亚、越难、新加坡、缅甸、尼泊尔等国的政府高层机构、民间和军事组织。

沙虫

一个名为沙虫小队的黑客组织利用Windows操作系统中的零日漏洞“沙虫”，制作PPT文件实施攻击。沙虫实施攻击的目标主要有五大类：政府、学院、北约、能源机构和电信运营商，受攻击对象遍及欧洲甚至还有美国。

图拉

图拉是一个高度复杂的网络间谍组织，有可能背后为俄罗斯政府支持。十几年来，进行着目标为政府机构、大使馆和军队的网络间谍活动。全世界四十多个国家，都是其活动目标，包括哈萨克斯坦、中国、越南和美国，尤其是东、中欧国家。极为高端的是，图拉劫持合法用户的通信卫星IP地址，然后用来盗取数据，以隐藏他们的命令控制服务器。

方程小组

卡巴斯基实验室公布的研究报告称，希捷、东芝、西部数据等知名硬盘厂商制造的十几个品牌的硬盘的固件中都被一个名为“方程小组”的黑客组织(疑为美国国家安全局支持)植入了间谍软件。该小组的活动可追溯到2001年，甚至可能始于1996年，它用多种间谍软件感染了30多个国家和地区成千上万的电脑系统。主要目标国包括伊朗、俄罗斯、阿富汗、中国等，涉及政府、军事、金融、能源、媒体等机构。

海莲花

360“天眼实验室”发布的报告，首次披露一起针对中国的国家级黑客攻击细节。该境外黑客组织被命名为“海莲花(OceanLotus)”，自2012年4月起，“海莲花”针对中国的海事机构、海域建设部门、科研院所和航运企业，使用木马病毒攻陷和控制政府人员、外包商、行业专家等目标人群的电脑，甚至操纵电脑自动发送相关情报，很明显是一个有国外政府支持的APT行动。

APT攻击趋势近年来愈演愈烈，反映出国家之间在网络空间层面上的搏弈。

(责任编辑：安博涛)