盤點(diǎn)：2016年三大網(wǎng)絡(luò)安全威脅

盤點(diǎn)：2016年三大網(wǎng)絡(luò)安全威脅

殺毒軟件商avast首席運(yùn)營(yíng)官OndrejVlcek表示，2016年互聯(lián)網(wǎng)將會(huì)產(chǎn)生或增長(zhǎng)的安全威脅，公眾尤其需要注意以下幾個(gè)方面：針對(duì)智能手機(jī)的攻擊、劫持?jǐn)?shù)據(jù)或設(shè)備的勒索軟件，以及電視機(jī)等聯(lián)網(wǎng)智能家電系統(tǒng)的數(shù)據(jù)泄露。手機(jī)或?qū)⑷〈鶳C成為頭號(hào)攻擊目標(biāo)Vl?ek說道：“其實(shí)看著壞人們?nèi)绾螐膫鹘y(tǒng)病毒、Windows或Mac惡意軟件的桌面環(huán)境轉(zhuǎn)移至移動(dòng)環(huán)境也是一件有趣的事?！币苿?dòng)平臺(tái)的惡意軟件正從破碎的和理論層面的狀態(tài)進(jìn)化成綿延之勢(shì)，尤其是在蘋果的iOS操作系統(tǒng)。舉例來說，蘋果已經(jīng)打開了一個(gè)項(xiàng)目，允許企業(yè)為員工直接創(chuàng)建應(yīng)用程序，而無需經(jīng)過AppStore。而那些盜取或偽造數(shù)字文件的的程序稱為證書，用于向系統(tǒng)表明該應(yīng)用來自可信用來源，因此更容易給設(shè)備植入惡意軟件。硅谷安全公司掃描PaloAltoNetworks情報(bào)總監(jiān)RyanOlson表示，這個(gè)危機(jī)已經(jīng)存在數(shù)年，2015年大規(guī)模惡意軟件WireLurker的爆發(fā)只是該漏洞被首次利用。此外，黑客也在各種平臺(tái)上欺詐智能手機(jī)用戶。比如，Vl?ek指出，黑客通常會(huì)在網(wǎng)站上散播能夠解鎖游戲通關(guān)的鏈接，然后當(dāng)用戶點(diǎn)擊時(shí)，實(shí)際上是開始下載程序。勒索軟件將鎖定更多寶貴數(shù)據(jù)瀏覽2014年到2015年之間的安全頭條新聞發(fā)現(xiàn)，因勒索軟件而起的案例明顯增多，它們包括CryptoWall和CryptoLocker。勒索軟件是惡意軟件入侵PC和Mac等設(shè)備的一種形式，通過綁定虛假的附件或鏈接來影響網(wǎng)頁，威脅設(shè)備用戶向其匯款或給予其他利益才會(huì)停止攻擊。Olson稱，與其他惡意軟件一樣，此類軟件額從桌面端轉(zhuǎn)向了移動(dòng)端。最早轉(zhuǎn)移的是SimpleLocker，該軟件2014年就開始蔓延至Android設(shè)備。與其他惡意軟件不同的是，勒索軟件并非摧毀或盜取數(shù)據(jù)，而是強(qiáng)行給數(shù)據(jù)加密，然后向受害用戶開出支付要求。Olson稱，這種手段比盜取信用卡數(shù)據(jù)等更高明，因?yàn)楹诳蜔o需擔(dān)心像信用卡被阻止使用一類反欺詐手段阻撓，也不需要經(jīng)歷先消費(fèi)、轉(zhuǎn)運(yùn)后出售到黑市這樣麻煩的信用卡變現(xiàn)路徑，而這些都是有可能被抓獲的把柄。相反，他們直接向被攻擊用戶所要難以被追蹤的加密貨幣(比特幣)。不過，黑客同時(shí)也需要提供“客戶服務(wù)”，教導(dǎo)受害者如何設(shè)置和使用比特幣。Olson預(yù)測(cè)，到了2016年，勒索軟件或會(huì)為了更高額的回報(bào)而瞄準(zhǔn)更有數(shù)據(jù)價(jià)值的企業(yè)或個(gè)人。聯(lián)網(wǎng)設(shè)備仍會(huì)泄露信息物聯(lián)網(wǎng)將越來越多的設(shè)備和機(jī)器連接到數(shù)字世界——追蹤硬件、智能電視機(jī)、嬰兒監(jiān)控器、智能恒溫器、聯(lián)網(wǎng)汽車等等?！斑@意味著我們的生活中受到攻擊的面就更廣了，”網(wǎng)絡(luò)安全公司MicroFocus副總裁Webb表示，“許多公司和工程師真的不會(huì)考慮用戶的安全。”Vl?ek，這些設(shè)備之間的數(shù)據(jù)傳輸通常不會(huì)加密，因此極其容易被盜。此外，路由器的字符串漏洞和硬件的移動(dòng)流量網(wǎng)絡(luò)同樣增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)?！奔彝ヂ酚善鞯陌踩蝿?shì)是相當(dāng)糟糕的，“Vl?ek指出，2015年大多數(shù)網(wǎng)絡(luò)攻擊都是針對(duì)路由器進(jìn)行的。這些設(shè)備的出廠設(shè)置通常包含默認(rèn)賬號(hào)和密碼，任何人都可以從網(wǎng)上得知。和所有的在線設(shè)備類似，路由器也存在需要修復(fù)的漏洞，需要為其操作程序打上補(bǔ)丁，即固件升級(jí)。”大多數(shù)公司在修復(fù)漏洞的事情上倒是做得很好的，問題只是幾乎沒有人會(huì)去對(duì)路由器進(jìn)行升級(jí)——用戶不會(huì)，網(wǎng)絡(luò)提供商也不會(huì)?！肮粽邔?huì)如何利用這個(gè)漏洞還不清楚。Vl?ek指出：”目前攻擊者對(duì)物聯(lián)網(wǎng)也還只是玩玩，還沒有構(gòu)成真正的威脅?！安贿^，曾經(jīng)出現(xiàn)過的千兆也足以讓人膽戰(zhàn)心驚。2015年的夏天，硬件黑客CharlieMiller和ChrisValasek發(fā)現(xiàn)并公布了一個(gè)菲亞特Uconnect系統(tǒng)的一個(gè)漏洞，該漏洞允許他們通過互聯(lián)網(wǎng)進(jìn)入一輛吉普車的車載娛樂系統(tǒng)，然后控制油門、剎車和通信等關(guān)鍵部件。Olson表示，如果這種漏洞和無人駕駛汽車聯(lián)系在一起，那么后果不堪設(shè)想。對(duì)于物聯(lián)網(wǎng)，Webb則更多地?fù)?dān)心用戶隱私的損失。他說，物聯(lián)網(wǎng)的使用就像是描繪一幅畫的同時(shí)，點(diǎn)出許多信息點(diǎn)。想想看，燈泡上如何打開和關(guān)掉的，汽車停在了哪里、手機(jī)在哪里、電視是否開著，甚至是門后面在發(fā)生些什么、你的電冰箱透露了什么……雖然這些信息開始是匿名的，但如果都結(jié)合起來的話，就完全有可能利用他們來”構(gòu)建出一個(gè)人“——類似于NSA收集的身體元數(shù)據(jù)，而且它更廣泛。他承認(rèn)目前還沒有一個(gè)對(duì)這些數(shù)據(jù)的明確預(yù)測(cè)，但也不敢保證政府和市場(chǎng)運(yùn)作者會(huì)做些什么。由于數(shù)據(jù)交換的便利，物