導語:2017年即將過去,2018新年還有3天,回顧2017,看似很平淡地過去了,但總有一些印記讓我們印象深刻。作爲互聯網安全領域的一份子,阿里聚安全時刻關注着互聯網行業的安全事件,讓我們一起來盤點2017年安全圈的一些大事吧,看看是否與你關注的差不多~
一、勒索軟件與安全
勒索軟件的風險一直存在,2017上半年5月份,wannacry的爆發,小到個人,大到企業、醫療衛生,民生政務,教育機構皆受到不同程度威脅,風頭一時無二。
WannaCry利用竊取自美國國家安全局的黑客工具EternalBlue(永恆之”)實現了全球範圍內的快速傳播。隨後,WannaCry 2.0,手機“農藥”輔助軟件勒索病毒,國產一鍵生成Android勒索軟件製作工具接二連三出現。
下半年Bad Rabbit(壞兔子)在歐洲的肆虐,讓西方的企業政府等部門,在勒索軟件的陰影下,瑟瑟發抖。
Bad Rabbit通過僞裝成Adobe Flash Player軟件升級更新彈窗,誘騙用戶主動下載並安裝運行惡意程序。可以加密文檔類型、數據庫文件、虛擬機文件等類型文件,同時還會使用賬號弱口令密碼掃描內網和SMB共享服務獲取登錄憑證嘗試登錄和感染內網主機,對業務存在高安全風險。
二、應用商店安全
面對越來越多的網絡惡意應用,去官方應用商店下載是個不錯的選擇。但事實證明,官方應用商店也不是那麼的讓人放心。
年初,“SMSVova”惡意程序隱藏在一款虛假的“軟件更新”應用程序中,並通過短信從攻擊方接收指令,以執行諸如爲“SMSVova”間諜軟件設置和更改密碼以及檢索位置數據等功能。
11月4日報道,安全研究人員Dexter Genius近期發現黑客利用官方 Google Play商店作爲惡意軟件存儲倉庫、部署冒牌WhatsApp應用。
而國外科技作者Johnny Lin發表一篇名爲《如何利用App Store月入8萬美金》,揭蘋果應用商店存在一類詐騙APP,利用廣告刷榜加指紋支付騙取用戶訂閱,“詐騙訂閱”的存在凸顯了蘋果應用商店審覈機制的不完善以及用戶操作過於粗心大意。
三、漏洞與賞金
被稱爲黑客世界盃的移動Pwn2Own黑客大會今年宣佈,攻破iOS獎勵10萬美元。根據安全漏洞的不同,獎金也有變化。
8月28日大疆宣佈推出“大疆威脅識別獎勵計劃”,最低獎勵爲100美元(約合人民幣658元),最高3萬美元(約合人民幣197457元),金額根據威脅潛在的影響而定。
10月20日消息,爲了清除Google Play商店中的漏洞,谷歌本週四啓動新項目,開始向發現Android應用漏洞的安全專家提供獎勵。承諾每發現一個漏洞,安全專家獲得的獎勵至少爲1000美元。
賞金計劃的推陳出新和賞金額度的不斷提高表現了業內對安全的日益重視,但全球安全人才缺口巨大,整體形勢依然嚴峻。
四、網絡內容安全
信息爆炸的時代,網絡內容的複雜性成幾何上升。諸如網絡鑑黃師,網站內容審覈,貼吧論壇管理員等等會對網絡內容安全進行審覈。但網絡上動輒以萬億計數的信息條目讓人工審覈捉襟見肘。過去,只有增加審覈人員一條路,但是高強度的工作,接收過多的負面信息讓內容審覈崗位成爲冷門。
2017年9月16日,“2017網絡安全博覽會暨網絡安全成就展”(網絡安全周)上,在數據安全、隱私保護備受關注,網絡黑灰產日漸猖獗,作案手段不斷翻新的背景下,阿里巴巴分享了阿里系最新的“十大安全黑科技”。其中內容安全技術迎合主流的人工+智能的審覈方式,成爲了衆多企業開發者考察的對象。
五、實人認證與安全
《網絡安全法》第二十四條 網絡運營者爲用戶辦理網絡接入、域名註冊服務,辦理固定電話、移動電話等入網手續,或者爲用戶提供信息發佈、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得爲其提供相關服務。
雲棲大會阿里巴巴分享核身實踐:利用生物識別技術進行身份認證、人機交互已經成爲很多移動端產品的重要趨勢。阿里實人認證技術可以利用活體檢測、人臉對比等並結合權威數據源與阿里實人可信模型,判定用戶身份真實性、有效性的在線身份校驗服務。
12月初,英國廣播公司(BBC)當地時間12月10日報道,BBC記者約翰·蘇德沃斯在我國貴陽體驗 “天網工程 ”,在被手機拍下一張面部照片後,僅僅 “潛逃”七分鐘,就被中國警方抓獲。
六、《網絡安全法》
2016 年11月7日,全國人大常委會表決通過的《中華人民共和國網絡安全法》,於2017年6月1日起施行。這部法律填補了我國關於網絡安全犯罪行政處罰方面的空白,它有6個亮點:
明確了網絡空間主權的原則;
明確了網絡產品和服務提供者的安全義務;
明確了網絡運營者的安全義務;
進一步完善了個人信息保護規則;
建立了關鍵信息基礎設施安全保護制度;
確立了關鍵信息基礎設施重要數據跨境傳輸的規則。
對個人而言,個人信息保護是關鍵,如法律中明確規定網絡實名制,若不提供真實身份信息,網絡運營者將不能爲其提供相關服務。
對企業而言,比較側重於企業安全,比如企業應該怎麼去保護信息、怎麼去保護網絡安全等。此後企業有了更具體的義務和責任去維護網絡安全,並對用戶和客戶負責。
七、雲棲大會(杭州)-移動安全專場
2017年10月11日-14日在杭州召開了雲棲大會,迎來世界各地4萬多位開發者、創業者、科學家、行業先鋒們。
瞭解業務安全端安全方面應該注意的風險,區分業務風險優先級,關注縱深防禦節點,做出平衡業務的取捨,才能使業務安全部門更敏捷,更具有彈性。在雲棲大會的移動安全專場,阿里巴巴集團的安全專家們就業務安全端方面做了一些分享。
阿里巴巴安全專家孫澤奪-《APP加固新方向》,重點介紹android加固對於端上的業務風險控制是如何做到自動化部署和分析,能更快捷的感知安全風險,以便快速做出響應,減少不必要的業務損失。
阿里巴巴移動安全專家馬徵-《APP渠道推廣作弊攻防那些事兒》,爲如何能減少APP推廣經費被羊毛黨消耗問題做了詳盡的分析。
阿里巴巴高級算法專家王炎分享《生物識別:阿里巴巴在移動端的核身技術實踐》,講述了阿里實人認證技術和聲紋識別技術爲移動端設備提供額外的安全性。
……
八、KRACK-WiFi漏洞
10月中下旬,安全研究人員Mathy Vanhoef在WPA2協議的四次握手過程中發現了嚴重的安全漏洞KRA(Key Reinstallation Attacks),可能影響所有WiFi設備,利用這個漏洞發起的攻擊就叫KRACK攻擊。
幾乎所有支持Wi-Fi的設備(Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys等)都面臨安全威脅,危害較大。
因此一時間各安全廠商與個人用戶人心惶惶,好在暫未發現在野利用實例,而微軟、蘋果等廠商都及時發佈補丁。
阿里安全技術平臺團隊第一時間對該漏洞做出詳盡的漏洞分析報告,並提出漏洞安全加固建議。
九、IPv6部署
今年11月底,由下一代互聯網國家工程中心牽頭髮起的“雪人計劃”已在全球完成25臺IPv6根服務器架設,中國部署了其中的4臺,打破了中國過去沒有根服務器的困境。
12月初,中共中央辦公廳、國務院辦公廳印發了《推進互聯網協議第六版(IPv6)規模部署行動計劃》,加快推進IPv6規模部署,IPv6城域網、政府網站IPv6雙棧化改造、IPv6城市公共無線網絡等均已開始試點和部署,互聯網BAT部分內容已支持IPv6訪問,流量增長迅速,新的網絡環境以及新興領域均將面臨着新的安全挑戰。
針對IPv6安全,計劃中重點要求升級安全系統,強化IPv6地址管理,增強IPv6安全防護,加強IPv6環境工業互聯網、物聯網、車聯網、雲計算、大數據、人工智能等領域的網絡安全技術、管理及機制研究,構築新興領域安全保障能力。
阿里安全技術平臺團隊針對IPv6安全防護問題從IPv6安全威脅結合互聯網網絡安全運營視角進行了重點分析,同時探討了互聯網IPv6網絡安全保障體系面臨安全風險及加固建議。
十、iOS11.2 完美越獄
“非完美越獄”後的手機一旦重啓,需重新手動操作一遍越獄流程。而完美越獄可在重啓手機後,能自動執行越獄代碼,在重啓前完成越獄。
阿里安全潘多拉實驗於2017年成立,此前僅在阿里先知創新大會上露過一次面,其安全研究員用視頻演示了安卓8.0的Root提權和iOS 11.1的完美越獄。
12 月13日,阿里安全潘多拉實驗室稱,已經完美越獄蘋果iOS 11.2。一天後,在蘋果發佈了iOS 11.2.1之後的數小時內,他們又演示了針對該版本的完美越獄。
研究人員龍磊表示,理解iOS系統,研究它的安全機制,驗證蘋果系統是否有“缺口”纔是實驗的目的。這也是後來潘多拉實驗室一直沒發佈越獄工具的原因之一.。
總結:當然,2017年安全領域的關鍵詞還有很多,小編整理的也只是一小部分,阿里聚安全在2017年有很多收穫也有一些不足,在此與大家共勉,希望在2018年能繼續爲用戶提供滿意的安全服務,共同進步!感恩!
相關閱讀:
https://jaq.alibaba.com/community/art/show?articleid=1295
