回顾信息安全大事件:2014年是转折年
来源:TechTarget中国
在本文中,主编Robert Richardsom回顾了2014年发生的安全事故和突破以及一些经验教训。
又一年快要结束了,我们希望从2014年的安全事故和突破中找出值得学习的东西。在这一年中,我们看到了持续的政府监视和改变游戏规则的数据泄露事故,这是事情的转折点吗?
在2014年信用卡信息泄露的完美风暴中,零售商们接二连三地让其销售终端(PoS)被粗糙的防御和猖獗的恶意软件“任意宰割”。对此,第一家受此攻击的Target公司已经使用芯片密码(chip-and-PIN)设备取代了其所有的刷卡机器,而同时,在8月初的黑帽大会上,Ross Anderson(再次)提醒我们,芯片密码已经可能会遭受攻击,并且他还展示了概念验证视频来说明这个问题。
供应商在谈论“高级威胁”时,仿佛这个词语在安全产品选择时会有一定作用。而保持互联网运作的旧的C语言程序代码被以令人震惊的低技术含量的方式所攻破,并且没有人注意到。借用狄更斯的一句话:总体而言,2014年代表着安全专业人员经历过的最糟糕的一年。
受监视的国家
在斯诺登首次泄露信息的一年后,2014年的上半年源源不断出现关于NSA项目和方法的新消息。前美国网络负责人Richard Clarke在CSA峰会(在2月份与RSA大会共同举行)的主题演讲中称,NSA情报能力非常强,远远超过你能想象的水平。但随着技术的发展,他们为警察国家创造了潜能。
NSA具有这么强的情报能力的一个原因在于,他们可以成功地搭建后门式的快捷方式,在协议内实现对加密通信的暴力破解,而这些协议原本可以足以阻止这样的做法。
加密功能的开放协议存在明显问题并不是安全社区可以接受的事实,并且,对于供应商是否已经对此串通一气也爆发出争论:
现在我们无法快速回顾这些详细信息,但我们可以看看1月份的报道:
在12月份路透社报道指称EMC旗下的安全供应商在2006年与NSA签署了1000万美元的合同,以使用有缺陷的Dual-EC-DRBG伪随机数生成算数作为其BSAFE加密库产品的默认选项,对此,RSA受到行业严酷的批评。如果这是事实,RSA可能一直在积极协助NSA秘密地访问使用该算法加密的数据。
RSA首席执行官Art Coviello否认了这一指控。在2月份的RSA会议后,这种热议开始平息。这可能是因为我们了解了NSA的网络间谍操作的更多详细信息,从其Tailored Access Operations(TAO)计划暴露的类似购物者的购物清单式的按需攻击方案和工具,再到Glenn Greenwald的新闻网站the Intercept在3月中旬进一步泄露的消息。特别引人关注的是:我们显然不再可能依靠全新设备的安全性。正如SearchSecurity作者同时也是圣路易斯大学董事兼信息安全官Nick Lewis指出:“NSA已经干扰了攻击的供应链,在设备连接到目标网络之前,其监控工具就已经存在于系统中。”
信用卡数据泄露
尽管业界对政府监视做法一片哗然,但在2014年还有更大的事件值得关注:美国的大型零售商似乎对其信用卡数据已经完全失去控制。
1月份有消息称,安全行业的很多人感觉非常肯定接下来会发生的事情:Target泄露事故比最初报道的更加严重。Neiman Marcus在今年第一天也宣称他们也受到攻击。路透社文章称,其他零售商也会受到攻击。实体经济领域的企业已经受到威胁,而PoS终端是共同点。
截至目前,在今年即将结束的几周中,我们看到Home Depot、Michaels、Kmart、Goodwill Industries和Dairy Queen遭受泄露事故。目前还没有任何明确的迹象表明,零售商已经可用完全应对这些事故中出现的RAM-scraping恶意软件的威胁。
在今年夏天,通过摩根大通的网络泄露的7600万家庭的数据,让我们意识到当涉及第三方供应商的安全控制的责任和监管时,监管影响的严重问题。我们预计在今年结束之前还会看到对大型零售商、金融机构和医疗机构更多的数据泄露事故的报道。
云故障
在2014年企业加大对云服务的投资力度的同时,我们也看到云安全失败的消息,也许其中最引人注目的是,源代码托管供应商Code Spaces在攻击者获取对其亚马逊云计算服务控制面板并删除客户库(及其备份)后,其业务彻底崩溃。
我们的新闻报道引用了英国软件设计和咨询公司Springwater Software主管Martin Howes的话,他表示其公司对所有信息都有本地副本,因此没有收到很大影响。“这只是正常的谨慎做法,”Howes表示,“大家都知道把数据放在云中的风险,并不能完全依赖云计算。”但Code Spaces并没有这么谨慎。
在8月份,咨询公司Bonsai Information Security创始人Andres Riancho向AWS用户分享了潜在的问题清单。苹果公司认为,尽管明星艳照在互联网疯传,但这些并不是因为苹果系统(包括iCloud或Find my iPhone)受到攻击。到夏季结束时,2014年已经开始看起来像一个好年头,终于开始全面使用双因素身份验证。
易受攻击的物联网
同样出现在黑帽大会的议题是:可被嵌入到任何硬件设备中的漏洞,包括用于筛选航空旅客的TSA使用的嗅探工具、各种电动汽车、通信卫星以机构你的U盘。通过BadUSB攻击,根本没有办法来确定USB设备是否受到感染,在黑帽大会上,“BadUSB -- On Accessories That Turn Evil”的演讲者Karsten Nohl指出,该攻击出现在TAO目录中,早在他和他的伙伴独立创造出它之前。
在黑帽大会上进行开幕式主题演讲的Dan Geer提供了在技术过渡到物联网(IoT)环境的过程中针对互联网连接的十诫,这些系统很复杂而难以管理,他主张采用务实的做法,强权政治做法,其中具有嵌入式系统的设备要么有强制性的生命终结或者自动修补程序。
残破的协议
如果IoT在很大程度上是具有前瞻性的讨论,那么今年的另一个问题则要回溯到早期互联网时期,当时开源组件还是使用难以辨认的C编程语言的样本在编写。4月份出现的Heartbleed是一个长期存在的漏洞,它存在于TLS协议广泛的OpenSSL部署中而未被发现。“这不是一个玩笑,”CSRgroup Computer Security咨询公司首席顾问Jake Williams表示,“我已经在信息安全领域很多年,这是我见过的最可怕的漏洞之一。”
9月份我们迎来了另一个“几十岁”的漏洞,这次是在Bash shell中,与此同时,McAfee数据估计30万网站仍然受到Heartbleed的威胁。尽管我们还并不清楚Heartbleed是否正应用在在现实环境中(除非由NSA,彭博社报道),但攻击者已经开始转移到被称为“Shellshock”的漏洞。
而10月份带给我们的是Poodle(填充甲骨文在降级的传统加密)。正如我们的报道所称,Poodle的严重性在于,主流Web浏览器无法连接到使用更现代协议的HTTPS服务器时,它们会对那些边缘情况降级对SSL3.0的支持。在这篇报道发布时,我们还不完全清楚Poodle在现实世界带来的严重影响程度,但有人会希望这是最后一根救命稻草,来引发对充满问题的TLS加密机制的重整。
其他方面的消息,安全攻击上升4.6%;赛门铁克在3月份辞去其首席执行官,然后在10月份分离其业务—安全和备份;比特币“堕落到”只有400美元股价,同时,虽然爆发各种非加密安全问题,比特币仍然安然活在新闻之外;美国政府发布NIST网络安全框架1.0,其影响仍然不清楚,无疑是因为合规性不是强制性。
展望未来
2014年最大的经验教训可以归结为,你将需要终端到终端加密和双因素身份验证来确保数据隐私性,尽管这样你可能还是无法逃脱NSA的监视。零售业泄漏事故的接连发生让Europay、MasterCard和Visa(EMV)等标准在明年将会启动,尽管还不清楚这种标准是否能够阻止数据泄露事故(被盗信用卡凭证仍将可用于互联网交易中)。
在10月份,Apple Pay推出,让Touch ID和NFS无线链路陷于PoS问题。在我们报道中身份验证供应商Nok Nok Labs首席执行官Phil Dunkelberger指出,Apple Pay绝对是对现有信用卡安全的提升。
势头可能已经转向,但真正的变化很难发现。虽然很少见诸报端,但美国政府的机构继续其监视活动,而NSA无疑正在忙于制定TAO的圣诞目录。目前似乎还没有真正的计划来取代从浏览器到服务器的TLS连接,而TLS定期会出现重大漏洞。Apple Pay等系统已经开始使用EMV,并用单次使用令牌来替代静态字符,Google Pay也做了同样的事情,但没有吸引同样的关注,这些都意味着物理站点会迎来更安全的电子交易。但话又说回来,正如律师事务所BakerHostetler隐私和数据保护做法合伙人Craig Hoffman指出,“EMV本身并不是安全解决方案,这是一个真正的防伪欺诈解决方案,换句话说,EMV芯片并不会阻止攻击者入侵商家的支付卡网络。”