2013為安全做個年終總結 2014引以為戒

　　公歷的2013年已經結束，但對於中國人來說，才正要進入辭舊迎新的階段。每當這個時候，世界上最大的“動物”遷徙也要開始了。其實對於勞累了一年的中國人來說，臨近年底，我們最常聽到的就是注意安全這四個字。每逢這個時節，總是有些心懷不軌的人趕在這個時候大撈一筆。其實對於安全問題，小到個人安全，大到國家安全，在2013年都發生了一些不小的事件。年底，我們也對走過的2013進行一次年終總結，總結一下那些影響我們生活的安全問題，好為2014年引以為戒。

　　1、棱鏡門

　　2013年我想各類安全事件在棱鏡門的映襯下都顯得有些微不足道，斯諾登的爆料使得信息安全問題像一枚核彈，炸響了整個IT市場對於安全問題的重視，其實對於美國政府的這種竊取或者監控的行為，我們不會傻到認為它不存在，但也沒有想到會進行到了如此驚人的地步。這種國家級的網絡竊聽計劃，讓全世界的民眾對於自身的信息安全有了重新的認識。企業也意識到，安全問題一刻都不能鬆懈。但從另一個角度來看，這次事件也讓各國從國家安全的角度從上至下的開始審視本國信息技術自主化的重要性。

　　2、NSA斥千萬美元在RSA算法中安插后門

　　美國國安局(NSA)曾與業內影響力巨大的電腦安全公司RSA達成了一個價格高達1000萬美元的秘密協議，NSA要求后者在被廣泛使用的電腦加密算法中安置后門。

　　在這一消息一經披露后，許多計算機安全領域專家都感到十分震驚。因為RSA在保密用戶隱私和安全方面一直表現出眾，並且是上世紀90年代反對當時的NSA 要求在電腦和通訊產品中安置一塊特殊芯片以進行監控的主要公司之一。目前，RSA是電腦存儲巨頭廠商EMC的子公司，並曾經在斯諾登事件爆發后敦促消費者不要繼續使用由NSA提供的數字加密安全算法。

　　3、Struts 2高危漏洞致黑客攻擊

　　在今年的7月17日消息，某互聯網攻防實驗室向廣大互聯網企業及政府機構發出緊急安全警報，世界知名開源軟件Struts 2 存在2個高危漏洞，這些漏洞可使黑客取得網站服務器的“最高權限”，從而使企業服務器變成黑客手中的“肉雞”。

　　Strut是Apache基金會Jakarta項目組的一個開源項目，其採用MVC 模式，幫助java開發者利用J2EE開發 Web 應用。Struts通過採用Java Servlet/JSP技術，實現了基於Java EE Web應用的Model-View-Controller(MVC)設計模式的應用框架，目前，Struts廣泛應用於大型互聯網企業、政府、金融機構等網站建設，並作為網站開發的底層模板使用。

　　本次爆發的Struts漏洞影響巨大，受影響站點以電商、銀行、門戶、政府居多。國內數十個知名網站已經被發現受該漏洞影響，包括電信、移動、百度、騰訊、京東商城等網站的分站。而蘋果官方也在今天向開發者發出郵件稱，其開發者網站(developer.apple.com)遭到入侵，部分開發者信息可能已被泄露。有關安全專家認為，此次入侵或與此次爆發的Apache Struts2漏洞有關。雖然目前尚不清楚蘋果被入侵的真正原因以及影響，但如果其真的與Struts2漏洞有關，一場全球性的互聯網安全危機或將到來。

　　4、全球范圍信息泄露

　　如果說棱鏡計劃、APT攻擊更多的是針對重要的信息系統或個人而展開的，那麼全球范圍內頻繁爆出的各類因網絡攻擊導致的重要信息泄露事件，則影響到了每一個網民，且這種影響可能會持續數年。發生的事件包括Adobe論壇3800萬用戶信息的泄露;如家、錦江之星等酒店的用戶信息泄露;雅虎22萬用戶信息;諾基亞台灣站點被黑，超過10萬賬戶泄露。

　　5、.CN域名遭據絕服務攻擊大面積癱瘓

　　2013年8月25日凌晨，.CN域名凌晨出現大范圍解析故障，經分析.CN的根域授權DNS全線故障，導致大面積.CN域名無法解析。事故造成大量以.cn和.com.cn結尾的域名無法訪問。直到當日凌晨4點左右，CN根域名服務器的解析才有部分恢復。此后，經CNNIC確認，國家域名解析節點遭受到有史以來規模最大的拒絕服務攻擊，導致訪問延遲或中斷，部分網站的域名解析受到影響。而距本次事故發生一個月之后，本月24號，CNNIC和工信部終於揪出了本次攻擊事件的始作俑者--一名來自山東青島的黑客。

　　據調查發現，該黑客本意是要攻擊一個游戲私服網站，使其癱瘓，后來他為了更快達到這個目的，直接對.CN的根域名服務器進行了DDoS攻擊，發出的攻擊流量堵塞了.CN根服務器的出口帶寬(據工信部數據：攻擊時峰值流量較平常激增近1000倍，近15G)，致使.CN根域名服務器的解析故障，使得大規模的.CN域名無法正常訪問。

　　6、全球范圍政府網站遭攻擊

　　NASA Space your Face站點遭黑客入侵;3684個中國政府站點遭黑客入侵;網絡技術歷來就是一把雙刃劍，於亞當斯沃茨一樣信奉自由的人而言，它將造福世界，於心懷各種鬼魅般動機，嘗試進行各種顛覆和破壞的人而言，他們打破了一個又一個的平靜，並最終引火燒身。2013年全球范圍內針對政府網站的攻擊進入到了近乎癲狂的狀態，在這種無序的技術濫用的背后，各國政府終於展開了針對網絡犯罪的嚴厲打壓。

　　7、比特幣引來的攻擊

　　比特幣，絕對是2013年網絡中最為火熱的一個詞匯，由於部分國家開始支持比特幣交易，導致了比特幣價格的持續攀升，在比特幣火熱的背后，黑客們也開始將比特幣及比特幣交易平台作為了攻擊目標。黑客們甚至開發了利用Skype網絡進行比特幣挖掘的木馬。各種網絡黑市中，比特幣也成為黑產從業者最佳的交易平台，在中國央行發出禁止比特幣在國內交易的通知后，比特幣的支持者們立即對中國央行網站展開了DDoS攻擊，並一度造成央行網站服務中斷。

　　8、利用波士頓馬拉鬆爆炸事件的新型APT攻擊

　　2013年4月16日，波士頓馬拉鬆賽場驚現爆炸事件，僅僅過了一天時間，一個利用該事件的APT定向攻擊郵件就出現了。這封以“please pray for Boston”為名的郵件號召大家為此次慘案祈禱，並附帶一個doc文檔，用戶打開文檔后即觸發CVE-2012-0158漏洞，漏洞觸發成功后將會鏈接到gnorthpoint.eicp.net並下載一個木馬，竊取用戶文件。

　　該文檔使用了多種躲避技術，可以躲避絕大部分殺毒軟件的查殺。啟明星辰技術專家介紹說：利用當前熱點新聞進行攻擊的事件近年來呈現增長之勢。不管是什麼樣的郵件，如果你並不了解發件人的情況，請不要隨意打開郵件附件。不要讓你的善意被攻擊者利用，提高警惕會讓你遠離APT攻擊。

　　9、著名黑客、積極行動主義者Aaron Swartz自殺身亡

　　信息是自由的，應當被獲取，而不應該被雪藏，信息是大眾的，而不是封鎖在圖書館成為傳播的藩籬。這也許就是亞倫斯沃茨從圖書館中下載資料時的想法，但是這位開發了包括RSS和Markdown的技術天才，卻沒有能在信息的封鎖中堅持到最后，在美國政府的調查下，這位技術天才最終還是放棄了抗爭，用死亡表達了最后的抗爭。亞倫斯沃茨——互聯網知識與信息自由傳播最悲情的踐行者。

　　10、匿名黑客組織公開4000多位美國銀行家登錄賬戶和証書等信息

　　匿名黑客組織開展了一項名為Operation Last Resort的黑客行動，並公開了4000多位美國銀行家的登錄賬戶和個人信息，要求政府改革美國計算機犯罪法。