2021年十大网安事件盘点(上)丨大东话安全
2022/3/2 中科院之声
小白:转眼间就来到了2022年,时间过得也太快了吧!
大东:是呢,这个时候也是梳理2021年度工作、学习、生活各个方面的好时候。梳理的时候不仅会让你体验到,2021年自己竟然干了这么多事项,还有利于你进行新一年的规划。
小白:东哥你说得没错,我这两天还梳理了2021年的热点网络事件,我来讲讲吧。
大东:好啊。
NO.10 “白羊座计划”的隐藏信息
1. 事件穿越
大东:《速度与激情9》中虽说编剧脑洞大开导致许多情节存在硬伤,甚至违背了科学原理,里面讲到的“白羊座计划”倒是引起了我极大的兴趣。
小白:“白羊座计划”是什么呢?
大东:“白羊座计划”的目的是感染所有运行代码的设备。更进一步,程序如果被反派加载到卫星上,就会像病毒一样传播开来,感染其他卫星,操纵地球上的武器系统也只是时间问题。
小白:“白羊座计划”为什么要实施到卫星上呢?
大东:太空互联网发展也不过十余年,不但发展时间不长,而且因为普通人很少涉及这一领域,所以遭到的攻击也不多。这就导致了太空互联网的防御机制比较薄弱,容易找到漏洞。
2. 事件影响
小白:为什么“白羊座计划”就能够感染所有设备呢?
大东:我们有理由认为,“白羊座计划”的程序实际上是一个控制引擎,就像战场上指挥战士们进攻的将军。
小白:那怎么从针对太空互联网的攻击变成威胁到地面的互联网呢?
大东:这是因为太空互联网和地面互联网在业务上是融合的,通过对太空互联网的攻击,能够反向攻击地面互联网。你看,日常生活中的通信、导航、天气预报、地质灾害监测,哪个是离得开卫星的?
3. 小白内心戏
小白:东哥,我注意到,其实“白羊座计划”针对的是太空互联网,你能给我讲讲怎么保护太空互联网安全吗?
大东:要建立卫星互联网全仿真模拟环境。在地面侧建立基于仿真模拟和实物相结合的大规模仿真模拟环境,包括大规模卫星星座运行、组网、多形态通信和典型卫星互联网业务场景的模拟,实现对卫星互联网全要素的地面复现。
NO.9 黑客薅服务器挖矿的羊毛
1. 事件穿越
大东:最近,黑客已经不满足通过入侵个人主机让个人主机帮忙挖矿了,他们盯上了服务器,例如 github、docker hub、travis CI 和 CirCle CI等。
小白:如果黑客入侵github的服务器,听起来技术难度很高的样子。
大东:其实他们是钻了github的一个空子,这个入侵过程可能比侵入PC还要容易,甚至不需要个人上当受骗。侵入PC还可能通过钓鱼邮件勾到上当者呢。
小白:欸,那是怎么做到的呢?
大东:其实是利用了github action的自动执行工作流的功能,轻松将挖矿程序运行在github的服务器上。只需要提交Pull Request,即使项目管理者没有同意,恶意挖矿代码依然能够执行。
2. 事件影响
小白:那github的工作人员有采取措施缓解或者制止吗?
大东:github人员当然也是想禁止这种现象的发生,但是似乎没有起到很好的效果。他们采取的方式是封锁违规账号,但是官方封锁一个账号,黑客就可以新建一个账号,就像在玩“猫和老鼠”游戏一样,黑客不断换马甲号,官方一直封号,屡禁不止呀。官方人员心里也很苦。
3. 小白内心戏
小白:当我们个人使用时,可以设置只允许本地Action或只允许Github官方及特定作者创建的Action。而且你还可以将情况反馈给客服,GitHub会对恶意账号进行封号和关闭相关Pull Request的操作。
NO.8 苹果曝出AWDL协议漏洞
1. 事件穿越
大东:该漏洞发现者是来自谷歌 Project Zero(GPZ) 项目的安全研究员伊恩·比尔,就是他经过六个月的研究,成功地建立了一个能够实施穿越的漏洞,利用这个漏洞可以控制周围的任何苹果产品。
小白:那东哥,这到底是什么样的漏洞呢?
大东:个漏洞可以让攻击者远程重启并完全控制他们的设备,包括阅读电子邮件和其他信息,下载照片,甚至可能通过 iPhone 的麦克风和摄像头监视和监听用户。
小白:哇,好可怕!那它是通过什么途径窃取信息的呢?
大东:黑客可以直接透过iPhone设备在WiFi网络环境下展开协议进行漏洞攻击。直接透过 Air Drop 窃取监听信息。
2. 事件影响
大东:专家团队搜集了市面上的二十多个苹果产品。利用该漏洞实施了攻击测试,测试结果是攻击者只需要几秒钟就能攻击设备内核取得读写权限。
小白:哇,竟然只要几秒钟,效率实在是太高了!
大东:不过,对于这么大的威胁,苹果公司及时作出了补救措施。在发布的 iOS 13.5 正式版中,研究人员已经修复了 AWDL 漏洞,各位苹果用户只要更新至 iOS 13.5 或以上版本,就不必担心以上的问题了!
3. 小白内心戏
小白:除了这个已经修复的AWDL协议漏洞,对于苹果的隔空传输功能的使用,我们还需要注意些什么呢?
大东:首先,在开启之前会有三个选项,接收关闭、仅限联系人、所有人。如果没有特殊需要的话,我们最好选择前两项,接收关闭或者仅限联系人,这样才不会被其他陌生有心人利用。
NO.7 明星照片被窃取
1. 事件穿越
大东:近日,明星“代拍”行业里,出现了一项新型的“健康宝照片”买卖交易。
小白:是呀,听说非常猖狂,隐私以极低的价格被泄露,如“1元购买健康宝查询方式”、“2元70多位艺人健康宝照片”、“1元1000多位艺人身份证号”。
大东:据了解,在代拍群中,开始是花1元可购买1位明星健康宝照片,后来出现了3元可打包“tnt时代少年团”7人的健康宝照片,随后,又出现了2元打包70多位艺人健康宝照片,1000多位艺人身份证号仅售1元等。
小白:惊呆!但这个是怎么做到的呢?
大东:大东:其实没有很复杂的操作。在微信中搜索“北京健康宝”小程序,将本人信息注册之后,点击“健康服务预约查询”,随后点击底部链接打开“核酸检测”服务,最后点击“他人核酸检测结果代查”即可达到输入界面。
2. 事件影响
小白:那隐私泄露之后平台做了哪些措施呢?
大东:首先,北京经信局及时地做出回应,核实此事件。北京市经济和信息化局大数据建设处(智慧城市建设处)已回应:“此问题已解决。” 代查他人健康状态及核酸检测需姓名和身份证号外,已改为还需要被代查人人脸识别认证。
3. 小白内心戏
小白:鉴于大数据具有零成本复制、容易反向脱敏、容易删后恢复的特性,要从隐私数据的最初产生直到彻底湮灭,将数据安全防护贯穿全生命周期。
NO.6 航空公司数据泄露长达九年
1. 事件穿越
大东:那最近发生的马来西亚航空公司数据泄露事件你知道吗?
小白:是那个七年前飞机失联的马航公司吗?
大东:对,马来西亚航空称,该数据泄露事件发生于第三方IT服务提供商,该IT服务提供商通知马来西亚航空其2010年3月至2019年6月期间的会员数据遭到了泄露。
小白:这次泄露事件居然长达九年,真是太恐怖了,那是所有会员数据都被泄露了吗?
大东:不是的,此次事件暴露了其Enrich常旅客计划中会员的个人信息。
小白:东哥,这次泄露的信息都包括会员的哪些个人信息呢?
大东:此次数据泄露事件中,被泄露的会员信息包括会员姓名、联系方式、出生日期、性别、常旅客编号、状态和会员等级。泄露的数据中不包含Enrich会员的行程信息、预订信息、票务信息以及任何身份证信息或银行卡信息。
2. 事件影响
大东:3月1日马航官方秉持着对客户认真负责的态度,向会员发送了事件告知邮件,说明了数据泄露的时间周期,以及安全漏洞出现的具体原因。
小白:那对于身为受害者的马来西亚航空Enrich计划的会员来说他们应该做什么呢?
大东:首先应立即登录到自己的账户并更改密码。如果在其他站点使用此密码,则也应更改。
3. 小白内心戏
小白:都说数据是数字时代的新石油,推动着数字化的大潮滚滚向前,奈何“漏油”“偷油”事件频发,安全底子薄弱已不是一天两天的问题。小到日常生活中的快递盒、外卖单,随时可能泄露的个人信息;大到各类世界级企业的自身安全疏漏、外部网络攻击,导致全球性数据泄露事件。所谓无安全不数字,为了迎接数字时代,我们应该让网络更加安全。
来源:中国科学院信息工程研究所
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
源网页 http://weixin.100md.com
返回 中科院之声 返回首页 返回百拇医药