回顧信息安全大事件:2014年是轉折年
在本文中,主編Robert Richardsom回顧了2014年發生的安全事故和突破以及一些經驗教訓。
又一年快要結束了,我們希望從2014年的安全事故和突破中找出值得學習的東西。在這一年中,我們看到了持續的政府監視和改變游戲規則的數據泄露事故,這是事情的轉折點嗎?
在2014年信用卡信息泄露的完美風暴中,零售商們接二連三地讓其銷售終端(PoS)被粗糙的防御和猖獗的惡意軟件“任意宰割”。對此,第一家受此攻擊的Target公司已經使用芯片密碼(chip-and-PIN)設備取代了其所有的刷卡機器,而同時,在8月初的黑帽大會上,Ross Anderson(再次)提醒我們,芯片密碼已經可能會遭受攻擊,并且他還展示了概念驗證視頻來說明這個問題。
供應商在談論“高級威脅”時,仿佛這個詞語在安全產品選擇時會有一定作用。而保持互聯網運作的舊的C語言程序代碼被以令人震驚的低技術含量的方式所攻破,并且沒有人注意到。借用狄更斯的一句話:總體而言,2014年代表著安全專業人員經歷過的最糟糕的一年。
受監視的國家
在斯諾登首次泄露信息的一年后,2014年的上半年源源不斷出現關于NSA項目和方法的新消息。前美國網絡負責人Richard Clarke在CSA峰會(在2月份與RSA大會共同舉行)的主題演講中稱,NSA情報能力非常強,遠遠超過你能想象的水平。但隨著技術的發展,他們為警察國家創造了潛能。
NSA具有這么強的情報能力的一個原因在于,他們可以成功地搭建后門式的快捷方式,在協議內實現對加密通信的暴力破解,而這些協議原本可以足以阻止這樣的做法。
加密功能的開放協議存在明顯問題并不是安全社區可以接受的事實,并且,對于供應商是否已經對此串通一氣也爆發出爭論:
現在我們無法快速回顧這些詳細信息,但我們可以看看1月份的報道:
在12月份路透社報道指稱EMC旗下的安全供應商在2006年與NSA簽署了1000萬美元的合同,以使用有缺陷的Dual-EC-DRBG偽隨機數生成算數作為其BSAFE加密庫產品的默認選項,對此,RSA受到行業嚴酷的批評。如果這是事實,RSA可能一直在積極協助NSA秘密地訪問使用該算法加密的數據。
RSA首席執行官Art Coviello否認了這一指控。在2月份的RSA會議后,這種熱議開始平息。這可能是因為我們了解了NSA的網絡間諜操作的更多詳細信息,從其Tailored Access Operations(TAO)計劃暴露的類似購物者的購物清單式的按需攻擊方案和工具,再到Glenn Greenwald的新聞網站the Intercept在3月中旬進一步泄露的消息。特別引人關注的是:我們顯然不再可能依靠全新設備的安全性。正如SearchSecurity作者同時也是圣路易斯大學董事兼信息安全官Nick Lewis指出:“NSA已經干擾了攻擊的供應鏈,在設備連接到目標網絡之前,其監控工具就已經存在于系統中。”
信用卡數據泄露
盡管業界對政府監視做法一片嘩然,但在2014年還有更大的事件值得關注:美國的大型零售商似乎對其信用卡數據已經完全失去控制。
1月份有消息稱,安全行業的很多人感覺非常肯定接下來會發生的事情:Target泄露事故比最初報道的更加嚴重。Neiman Marcus在今年第一天也宣稱他們也受到攻擊。路透社文章稱,其他零售商也會受到攻擊。實體經濟領域的企業已經受到威脅,而PoS終端是共同點。
截至目前,在今年即將結束的幾周中,我們看到Home Depot、Michaels、Kmart、Goodwill Industries和Dairy Queen遭受泄露事故。目前還沒有任何明確的跡象表明,零售商已經可用完全應對這些事故中出現的RAM-scraping惡意軟件的威脅。
在今年夏天,通過摩根大通的網絡泄露的7600萬家庭的數據,讓我們意識到當涉及第三方供應商的安全控制的責任和監管時,監管影響的嚴重問題。我們預計在今年結束之前還會看到對大型零售商、金融機構和醫療機構更多的數據泄露事故的報道。
云故障
在2014年企業加大對云服務的投資力度的同時,我們也看到云安全失敗的消息,也許其中最引人注目的是,源代碼托管供應商Code Spaces在攻擊者獲取對其亞馬遜云計算服務控制面板并刪除客戶庫(及其備份)后,其業務徹底崩潰。
我們的新聞報道引用了英國軟件設計和咨詢公司Springwater Software主管Martin Howes的話,他表示其公司對所有信息都有本地副本,因此沒有收到很大影響。“這只是正常的謹慎做法,”Howes表示,“大家都知道把數據放在云中的風險,并不能完全依賴云計算。”但Code Spaces并沒有這么謹慎。
在8月份,咨詢公司Bonsai Information Security創始人Andres Riancho向AWS用戶分享了潛在的問題清單。蘋果公司認為,盡管明星艷照在互聯網瘋傳,但這些并不是因為蘋果系統(包括iCloud或Find my iPhone)受到攻擊。到夏季結束時,2014年已經開始看起來像一個好年頭,終于開始全面使用雙因素身份驗證。
易受攻擊的物聯網
同樣出現在黑帽大會的議題是:可被嵌入到任何硬件設備中的漏洞,包括用于篩選航空旅客的TSA使用的嗅探工具、各種電動汽車、通信衛星以機構你的U盤。通過BadUSB攻擊,根本沒有辦法來確定USB設備是否受到感染,在黑帽大會上,“BadUSB -- On Accessories That Turn Evil”的演講者Karsten Nohl指出,該攻擊出現在TAO目錄中,早在他和他的伙伴獨立創造出它之前。
在黑帽大會上進行開幕式主題演講的Dan Geer提供了在技術過渡到物聯網(IoT)環境的過程中針對互聯網連接的十誡,這些系統很復雜而難以管理,他主張采用務實的做法,強權政治做法,其中具有嵌入式系統的設備要么有強制性的生命終結或者自動修補程序。
殘破的協議
如果IoT在很大程度上是具有前瞻性的討論,那么今年的另一個問題則要回溯到早期互聯網時期,當時開源組件還是使用難以辨認的C編程語言的樣本在編寫。4月份出現的Heartbleed是一個長期存在的漏洞,它存在于TLS協議廣泛的OpenSSL部署中而未被發現。“這不是一個玩笑,”CSRgroup Computer Security咨詢公司首席顧問Jake Williams表示,“我已經在信息安全領域很多年,這是我見過的最可怕的漏洞之一。”
9月份我們迎來了另一個“幾十歲”的漏洞,這次是在Bash shell中,與此同時,McAfee數據估計30萬網站仍然受到Heartbleed的威脅。盡管我們還并不清楚Heartbleed是否正應用在在現實環境中(除非由NSA,彭博社報道),但攻擊者已經開始轉移到被稱為“Shellshock”的漏洞。
而10月份帶給我們的是Poodle(填充甲骨文在降級的傳統加密)。正如我們的報道所稱,Poodle的嚴重性在于,主流Web瀏覽器無法連接到使用更現代協議的HTTPS服務器時,它們會對那些邊緣情況降級對SSL3.0的支持。在這篇報道發布時,我們還不完全清楚Poodle在現實世界帶來的嚴重影響程度,但有人會希望這是最后一根救命稻草,來引發對充滿問題的TLS加密機制的重整。
其他方面的消息,安全攻擊上升4.6%;賽門鐵克在3月份辭去其首席執行官,然后在10月份分離其業務—安全和備份;比特幣“墮落到”只有400美元股價,同時,雖然爆發各種非加密安全問題,比特幣仍然安然活在新聞之外;美國政府發布NIST網絡安全框架1.0,其影響仍然不清楚,無疑是因為合規性不是強制性。
展望未來
2014年最大的經驗教訓可以歸結為,你將需要終端到終端加密和雙因素身份驗證來確保數據隱私性,盡管這樣你可能還是無法逃脫NSA的監視。零售業泄漏事故的接連發生讓Europay、MasterCard和Visa(EMV)等標準在明年將會啟動,盡管還不清楚這種標準是否能夠阻止數據泄露事故(被盜信用卡憑證仍將可用于互聯網交易中)。
在10月份,Apple Pay推出,讓Touch ID和NFS無線鏈路陷于PoS問題。在我們報道中身份驗證供應商Nok Nok Labs首席執行官Phil Dunkelberger指出,Apple Pay絕對是對現有信用卡安全的提升。
勢頭可能已經轉向,但真正的變化很難發現。雖然很少見諸報端,但美國政府的機構繼續其監視活動,而NSA無疑正在忙于制定TAO的圣誕目錄。目前似乎還沒有真正的計劃來取代從瀏覽器到服務器的TLS連接,而TLS定期會出現重大漏洞。Apple Pay等系統已經開始使用EMV,并用單次使用令牌來替代靜態字符,Google Pay也做了同樣的事情,但沒有吸引同樣的關注,這些都意味著物理站點會迎來更安全的電子交易。但話又說回來,正如律師事務所BakerHostetler隱私和數據保護做法合伙人Craig Hoffman指出,“EMV本身并不是安全解決方案,這是一個真正的防偽欺詐解決方案,換句話說,EMV芯片并不會阻止攻擊者入侵商家的支付卡網絡。”
今年是否已經發展到信息安全的轉折點要在2015年才知道,你可以從2014年的慘痛教訓中吸取很多經驗,從而提高你作為安全專業人士的技能。
