导语:2017年即将过去,2018新年还有3天,回顾2017,看似很平淡地过去了,但总有一些印记让我们印象深刻。作为互联网安全领域的一份子,阿里聚安全时刻关注着互联网行业的安全事件,让我们一起来盘点2017年安全圈的一些大事吧,看看是否与你关注的差不多~
一、勒索软件与安全
勒索软件的风险一直存在,2017上半年5月份,wannacry的爆发,小到个人,大到企业、医疗卫生,民生政务,教育机构皆受到不同程度威胁,风头一时无二。
WannaCry利用窃取自美国国家安全局的黑客工具EternalBlue(永恒之”)实现了全球范围内的快速传播。随后,WannaCry 2.0,手机“农药”辅助软件勒索病毒,国产一键生成Android勒索软件制作工具接二连三出现。
下半年Bad Rabbit(坏兔子)在欧洲的肆虐,让西方的企业政府等部门,在勒索软件的阴影下,瑟瑟发抖。
Bad Rabbit通过伪装成Adobe Flash Player软件升级更新弹窗,诱骗用户主动下载并安装运行恶意程序。可以加密文档类型、数据库文件、虚拟机文件等类型文件,同时还会使用账号弱口令密码扫描内网和SMB共享服务获取登录凭证尝试登录和感染内网主机,对业务存在高安全风险。
二、应用商店安全
面对越来越多的网络恶意应用,去官方应用商店下载是个不错的选择。但事实证明,官方应用商店也不是那么的让人放心。
年初,“SMSVova”恶意程序隐藏在一款虚假的“软件更新”应用程序中,并通过短信从攻击方接收指令,以执行诸如为“SMSVova”间谍软件设置和更改密码以及检索位置数据等功能。
11月4日报道,安全研究人员Dexter Genius近期发现黑客利用官方 Google Play商店作为恶意软件存储仓库、部署冒牌WhatsApp应用。
而国外科技作者Johnny Lin发表一篇名为《如何利用App Store月入8万美金》,揭苹果应用商店存在一类诈骗APP,利用广告刷榜加指纹支付骗取用户订阅,“诈骗订阅”的存在凸显了苹果应用商店审核机制的不完善以及用户操作过于粗心大意。
三、漏洞与赏金
被称为黑客世界杯的移动Pwn2Own黑客大会今年宣布,攻破iOS奖励10万美元。根据安全漏洞的不同,奖金也有变化。
8月28日大疆宣布推出“大疆威胁识别奖励计划”,最低奖励为100美元(约合人民币658元),最高3万美元(约合人民币197457元),金额根据威胁潜在的影响而定。
10月20日消息,为了清除Google Play商店中的漏洞,谷歌本周四启动新项目,开始向发现Android应用漏洞的安全专家提供奖励。承诺每发现一个漏洞,安全专家获得的奖励至少为1000美元。
赏金计划的推陈出新和赏金额度的不断提高表现了业内对安全的日益重视,但全球安全人才缺口巨大,整体形势依然严峻。
四、网络内容安全
信息爆炸的时代,网络内容的复杂性成几何上升。诸如网络鉴黄师,网站内容审核,贴吧论坛管理员等等会对网络内容安全进行审核。但网络上动辄以万亿计数的信息条目让人工审核捉襟见肘。过去,只有增加审核人员一条路,但是高强度的工作,接收过多的负面信息让内容审核岗位成为冷门。
2017年9月16日,“2017网络安全博览会暨网络安全成就展”(网络安全周)上,在数据安全、隐私保护备受关注,网络黑灰产日渐猖獗,作案手段不断翻新的背景下,阿里巴巴分享了阿里系最新的“十大安全黑科技”。其中内容安全技术迎合主流的人工+智能的审核方式,成为了众多企业开发者考察的对象。
五、实人认证与安全
《网络安全法》第二十四条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
云栖大会阿里巴巴分享核身实践:利用生物识别技术进行身份认证、人机交互已经成为很多移动端产品的重要趋势。阿里实人认证技术可以利用活体检测、人脸对比等并结合权威数据源与阿里实人可信模型,判定用户身份真实性、有效性的在线身份校验服务。
12月初,英国广播公司(BBC)当地时间12月10日报道,BBC记者约翰·苏德沃斯在我国贵阳体验 “天网工程 ”,在被手机拍下一张面部照片后,仅仅 “潜逃”七分钟,就被中国警方抓获。
六、《网络安全法》
2016 年11月7日,全国人大常委会表决通过的《中华人民共和国网络安全法》,于2017年6月1日起施行。这部法律填补了我国关于网络安全犯罪行政处罚方面的空白,它有6个亮点:
明确了网络空间主权的原则;
明确了网络产品和服务提供者的安全义务;
明确了网络运营者的安全义务;
进一步完善了个人信息保护规则;
建立了关键信息基础设施安全保护制度;
确立了关键信息基础设施重要数据跨境传输的规则。
对个人而言,个人信息保护是关键,如法律中明确规定网络实名制,若不提供真实身份信息,网络运营者将不能为其提供相关服务。
对企业而言,比较侧重于企业安全,比如企业应该怎么去保护信息、怎么去保护网络安全等。此后企业有了更具体的义务和责任去维护网络安全,并对用户和客户负责。
七、云栖大会(杭州)-移动安全专场
2017年10月11日-14日在杭州召开了云栖大会,迎来世界各地4万多位开发者、创业者、科学家、行业先锋们。
了解业务安全端安全方面应该注意的风险,区分业务风险优先级,关注纵深防御节点,做出平衡业务的取舍,才能使业务安全部门更敏捷,更具有弹性。在云栖大会的移动安全专场,阿里巴巴集团的安全专家们就业务安全端方面做了一些分享。
阿里巴巴安全专家孙泽夺-《APP加固新方向》,重点介绍android加固对于端上的业务风险控制是如何做到自动化部署和分析,能更快捷的感知安全风险,以便快速做出响应,减少不必要的业务损失。
阿里巴巴移动安全专家马征-《APP渠道推广作弊攻防那些事儿》,为如何能减少APP推广经费被羊毛党消耗问题做了详尽的分析。
阿里巴巴高级算法专家王炎分享《生物识别:阿里巴巴在移动端的核身技术实践》,讲述了阿里实人认证技术和声纹识别技术为移动端设备提供额外的安全性。
……
八、KRACK-WiFi漏洞
10月中下旬,安全研究人员Mathy Vanhoef在WPA2协议的四次握手过程中发现了严重的安全漏洞KRA(Key Reinstallation Attacks),可能影响所有WiFi设备,利用这个漏洞发起的攻击就叫KRACK攻击。
几乎所有支持Wi-Fi的设备(Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys等)都面临安全威胁,危害较大。
因此一时间各安全厂商与个人用户人心惶惶,好在暂未发现在野利用实例,而微软、苹果等厂商都及时发布补丁。
阿里安全技术平台团队第一时间对该漏洞做出详尽的漏洞分析报告,并提出漏洞安全加固建议。
九、IPv6部署
今年11月底,由下一代互联网国家工程中心牵头发起的“雪人计划”已在全球完成25台IPv6根服务器架设,中国部署了其中的4台,打破了中国过去没有根服务器的困境。
12月初,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,加快推进IPv6规模部署,IPv6城域网、政府网站IPv6双栈化改造、IPv6城市公共无线网络等均已开始试点和部署,互联网BAT部分内容已支持IPv6访问,流量增长迅速,新的网络环境以及新兴领域均将面临着新的安全挑战。
针对IPv6安全,计划中重点要求升级安全系统,强化IPv6地址管理,增强IPv6安全防护,加强IPv6环境工业互联网、物联网、车联网、云计算、大数据、人工智能等领域的网络安全技术、管理及机制研究,构筑新兴领域安全保障能力。
阿里安全技术平台团队针对IPv6安全防护问题从IPv6安全威胁结合互联网网络安全运营视角进行了重点分析,同时探讨了互联网IPv6网络安全保障体系面临安全风险及加固建议。
十、iOS11.2 完美越狱
“非完美越狱”后的手机一旦重启,需重新手动操作一遍越狱流程。而完美越狱可在重启手机后,能自动执行越狱代码,在重启前完成越狱。
阿里安全潘多拉实验于2017年成立,此前仅在阿里先知创新大会上露过一次面,其安全研究员用视频演示了安卓8.0的Root提权和iOS 11.1的完美越狱。
12 月13日,阿里安全潘多拉实验室称,已经完美越狱苹果iOS 11.2。一天后,在苹果发布了iOS 11.2.1之后的数小时内,他们又演示了针对该版本的完美越狱。
研究人员龙磊表示,理解iOS系统,研究它的安全机制,验证苹果系统是否有“缺口”才是实验的目的。这也是后来潘多拉实验室一直没发布越狱工具的原因之一.。