最近有一句话在安全界广为流传:“网络空间只有两种人,一种人知道自己被黑了,另一种人不知道。”
我们生活在一个高度连接的世界,企业巨头连接着中小企业,跨国公司连接着当地公司。而新近涌起的物联网大潮,则把每一个人、每一个组织都相互连接起来。
带有智能或可穿戴功能的设备,诸如手机、手表、电视、冰箱、路由器、恒温器、婴儿监控、老人定位、车载电脑、健康检测、医疗设备……
也许就在此时此该,你正在被入侵。黑客攻击已经无关于大型企业或金融机构,它已经发展到把每个人都作为攻击目标,不管你是企业还是消费者。
詹妮弗·劳伦斯把裸照流出一事称为“性犯罪”
前一段时间惠普公司的物联网报告指出,70%的物联网设备含有“严重漏洞”。普华永道的全球信息安全状况调查则显示,47%的医疗服务机构已经把物联网技术整合到他们的系统中,但只有34%的机构与相关生产商有着安全层面的联系,仅有44%的机构设置了安全防范。
黑客使用复杂而高级的攻击技术,以躲避安全软件的检测。他们隐藏的时间可长达数月,甚至是数年。大多数从不知道他们曾被入侵过,即使对那些知道的人来说,也为时已晚。原因在于技术的进步。技术在我们的生活中占的比例越来越大,导致个人信息被盗取的风险越来越大。
随着物联网的扩张,漏洞的数量也在突飞猛进
普华永道的报告指出,2013年全球网络安全事件为4280万起,平均每天达到11.7万次。攻击次数的增加,不可避免的导致安全成本的上升。另一份国际战略研究中心的报告显示,每年的恶意网络活动给全球企业和组织机构带来的安全成本在3470亿到1.17万亿美元之间。
一些黑色产业链的网络罪犯肆无忌惮,如同《疯狂的石头》中爱使用锤子的抢劫犯,他们“砸碎玻璃,拿了就跑”,根本不在乎是否留下痕迹。他们热爱现金以及一切可以拿来获利的物品,包括个人隐私。令人吃惊的是,个人信息的价格在网络黑市上已经急剧下跌,因为这些信息太容易搞到。
国家支持的黑客则是另一种行事方式,他们十分小心谨慎,很难被预测或发现。根据美国安全企业Mandiant报告,“国家黑客”所进行的入侵活动,平均229天之后才能发现。这些黑客长期地隐藏在系统中,以尽可能的搜集信息。用户名、密码、邮件、文档,联系人……
对付“国家黑客”的难度在于内部人员。他们可以是承包商、分包商、生产商、雇员,或前雇员(你懂得)。有时,不是这些内部人员恶意违反安全政策,而是他们无心而铸成的大错。
网络钓鱼和社会工程技术进化的愈加复杂,难以识别。高级可持续性威胁攻击(APT)通常都是钓鱼邮件为入口,如果一个企业或某人被具备高端社会工程技术的黑客盯上,几乎是在劫难逃。黑客伪造的身份从普通的IT工作职员,到肿瘤研究治疗中心的博士,或是开发国防系统新型激光武器的工程师。
一些网络安全技术较为领先的机构,已经建立并运行着一种社交媒体的“蜜罐”(编者注:诱使黑客攻击,以观察其攻击行为的虚假系统),以分析并了解攻击者可能会采用的社会工程手段。
有的黑客会伪装成某个社区的新人,然后与掌握某种信息的高级工程师或业务管理人员攀谈,培养关系,逐渐成为朋友或熟人,并最终拿到他需要的关键信息,成为整个系统入侵过程的突破口。
传统的安全如同门上的锁,无法真正的把罪犯拒之门外。因为门可以被打破,或是从里面被人打开。
电影上的黑客无所不能,火车、飞机、电厂一一搞定,但现实中的黑客也丝毫不差。
凯文·米特尼克,进入北美空中防务指挥系统,翻遍美国核弹头资料。
加里·麦金农,侵入五角大楼、航空航天局、国家军事基地。
巴纳比·杰克,令取款机吐钞、自动注射器杀人、远程停止心脏起博器(停止起博器未能当众演示,演示前蹊跷死亡)。
今年在国内黑客界广为传播的一篇文章《中国黑客传说:游走在黑暗中的精灵》,该文的真实性已被许多安全界的资深技术人员所认可,文中的主人公被称为V。
V控制过很多电力、自来水、煤气等基础设施服务公司,其中数据库里查询一下记录,就能查出很多“房叔”、“房姐”之类的人; V能够做到查询指定手机的短信内容、通讯记录,在范围定向推送短信;
V黑掉过“网页游戏行业90%的公司,一些大型电商、大型论坛,80%的连锁酒店行业,80%以上的在线预订行业,手机App排行比较高的公司,几家最大的航空公司……”
V控制了许多粉丝数量在百万和千万级的微博大号,借助社交网络和新闻资讯网站,以及运营商级别的手机广播,V可以让自己的思想在10分钟内传遍整个互联网;
V的最大的成就,是积累了一个去重后有13亿条数据的数据库。每条记录,都包含了用户名、密码、身份证号、手机号、邮箱、登录IP等信息。想知道谁的密码,只需要在库中简单的查询一下。
而V只是一个人,一个自称不属于任何组织的人。更可怕的是,这个世界上有多少V这样的人?又有多少个国家支持的V?
有人说,我不上网,我不用电脑。好吧,但你有身份证吗?你存款吗?你打电话吗?你住房吗?你用电吗?