简论当代网络安全

9 minute read

21 世纪是信息时代,在信息时代中,每个人都有能力去自由地产生、获取、使用和传递信息。而在信息的获取和传递的过程中,计算机互联网是最重要的载体。随着 21 世纪的到来,计算机互联网也走入了家家户户,成为百姓日常生活中不可或缺的基础设施。而随着网络的普及,与其相关的安全事项自然也成为了一个重要话题。

中国科学技术大学公选课《网络安全基础与应用》课程的幻灯片中对“网络安全”是这样定义的:

网络安全是指网络系统的硬、软件及其系统中的数据受到保护,不会由于偶然或恶意的原因而遭到破坏、更改、泄露等。

如同人身安全和财产安全一样,在网络安全的领域中发生的事件也有它自己的特点。下面用几个例子说明网络安全对于个人、对于企业和对于国家的意义。

个人层面的网络安全事件

1. CIH 病毒 (1998)

CIH 是由当时仍在大同大学(台湾)就读的陈盈豪编写,其初衷是挑战当时被广泛接受的“杀毒软件可以有效防止病毒”这一认知,而病毒的命名也是作者的姓名首字母 (Chen Ing-hau)。该病毒在每年的 4 月 26 日发作,用大量垃圾数据覆盖硬盘内容,导致数据损坏和系统崩溃,并尝试重写 BIOS 内容,可导致硬件损坏并需要返厂维修。

据估计,全球范围内超过 6,000 万台计算机受到感染,并因此造成了约 10 亿美元的损失。

2. 熊猫烧香 (2006-2007)

“熊猫烧香” 是一种经过多次变种的病毒,受其感染的计算机中的可执行文件会变成熊猫举着三根香的图标,因而得名。该病毒主要通过网络下载的文件传播,同时也大量利用当时常见的体现出网络安全防范意识低的现象,例如默认密码和空密码,以及未及时安装系统安全更新而导致的可利用的已知漏洞。

据新闻《”熊猫烧香”作者被抓获 灰色资产成幕后元凶》报导,

在最嚣张的时候,李俊(病毒作者)效仿安全厂商的做法,设立病毒自动升级服务器。曾在一天之中升级 8 次,公然挑战反病毒软件厂商,甚至在病毒中嵌入自己的名字,其嚣张气焰不可一世。”

3. XcodeGhost 事件 (2015)

Xcode 是苹果公司发布的用于在 iOS 和 macOS 等操作系统中开发应用程序的开发软件,通过官方的 Mac App Store 免费提供,而由于在中国大陆连接 Mac App Store 常常遇到各种问题,因此不少开发者选择从百度网盘或论坛等较为方便的渠道下载 Xcode 软件,这带来了安全隐患,也是本次事件发生的主要原因之一。

黑客通过修改 Xcode 软件,使得用修改后的 Xcode 编译出来的应用程序都带有黑客提前准备的代码(该代码名为 XcodeGhost,即本事件的名称),收集隐私信息并上传至黑客的服务器。被插入后门的 Xcode 软件通过论坛等渠道传播,造成了此次事件。

XcodeGhost 事件中大量国产应用程序受影响,其中不乏多个知名软件,如微信、网易云音乐、滴滴出行、58 同城、高德地图,甚至 12306 手机软件和一些金融相关的软件(如同花顺)。

4. WannaCry 勒索病毒 (2017)

2017 年初由于美国国家安全局 (NSA, National Security Agency) 的“武器库”泄露,使得 Windows 操作系统中的“永恒之蓝”漏洞被外界所知。微软公司于 2017 年 3 月 14 日发布了针对“永恒之蓝”的补丁,然而利用该漏洞传播的 WannaCry 勒索病毒在两个月后大规模爆发,在全世界范围内传播。受攻击的公司和企业包括西班牙电信、英国国民保健署和联邦快递等。

该病毒会将受害计算机上的所有文件加密,并向受害者索要 300 或 600 美元等值的比特币,且声称若一个星期不支付比特币则“撕票”。该病毒内置的勒索信有多种语言,其中中文版勒索信中有一句话是这么写的:

我敢保证,没有我们的解密服务,就算老天爷来了也不能恢复这些文档。

企业层面的网络安全事件

5. CSDN 密码泄露事件 (2011)

2011 年 12 月 21 日,网络消息称 CSDN 社区遭黑客攻击,600 万用户账户和明文密码泄露。

通常情况下,用户密码不应当明文存储,而是使用安全的措施处理,例如加密后,再存储。

网络文章《CSDN 明文口令泄露的启示》指出:

我昨晚下载了 www.csdn.net.sql 文件,并分析了一下这个文件,经过各种 awk, grep, sort, uniq, sed 后,下面是我看到的东西:

  • 有近 45 万的用户使用 123456789 和 12345678 做口令。
  • 有近 40 万的用户使用自己的生日做口令。
  • 有近 15 万的用户使用自己的手机号做口令。
  • 有近 25 万的用户使用自己的 QQ 号做口令。
  • 设置成弱口令的用户占了 590 万,也就是那种就算你用 MD5 或是 SHA 散列的也能很快就被暴力破解出来的口令。
  • 只有 8000 多个用户的口令里在 8 个长度以上,并有大写字母,小写字母,数字,并不在字典表里。

6. iCloud 名人照片泄露事件 (2014)

2014 年 8 月 31 日,约 200 张好莱坞女性艺人的私人照片被人盗取并上传至贴图网站 4chan,并随后在互联网中被大量转发。苹果公司调查发现,这些私人照片的盗取者为获取图片,非常有针对性地攻击了帐户名、密码和安全问题。据事后分析,该事件可能与 iCloud 登录时允许无限次尝试密码有关。

7. 哔哩哔哩源代码泄露事件 (2019)

2019 年 4 月 22 日下午,有网友发现 B 站(哔哩哔哩视频网站)的网站后台源代码疑似被上传至 GitHub,并且不少关键基础设施,如数据库等,其用户名密码被硬编码在代码里面。在该代码被 GitHub 平台禁用前,其评论区看板已积累超过 6,000 条回复,并且随后几天的网络中不断流传出围观群众在代码中发现的彩蛋,如欺骗用户发送虚假弹幕:

//抽奖不成功也要发送弹幕,概率20% 造成一种很多人中奖的假象

国家层面的网络安全事件

8. 震网 (2010)

震网 (Stuxnet) 在 2010 年 6 月被俄罗斯安全公司首次发现,是针对工业控制系统的蠕虫病毒。该病毒利用西门子的控制系统和 Windows 系统的多个漏洞进行传输和破坏,并通过伪装其他公司的数字签名来逃避检测。2012 年,美国官员承认这个病毒是由美国国家安全局在以色列的协助下研发的,目的在于阻止伊朗发展核武器。

美国对伊朗核武器设施进行的这种有长期准备、组织了庞大的精英黑客团队、有针对性和持续性的攻击称为 APT攻击。APT 指的是高级持续性威胁 (Advanced Persistent Threat),是隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。本例就是一个典型的 APT 攻击。

9. 棱镜门 (2007-2013)

棱镜计划是一项由美国国家安全局自 2007 年开始实施的网络监控计划,其深度监听使用加入计划的互联网公司的服务的用户,和与国外人士通信的美国公民,收集的数据包括电子邮件、视频、图片、通话、传输的文件等。该计划由美国国家安全局的合约外包员工爱德华 · 斯诺登于 2013 年 6 月向世人公开,而在此之前,德国总理默克尔据传已经被美国监听长达 11 年。

对网络安全的关注

通过上面的例子可以看出,网络安全与每一个使用网络的人息息相关,因此对网络安全的关注也在随时代的变化而不断增长。

网络攻击目的的变化

在计算机网络发展的早期,大部分网络攻击没有太大的利益驱使,攻击者的目的大多只是为了好玩和证明自己的技术实力;而今天的网络中,大量的攻击都有商业或政治等利益的驱使,因此现在大多数的网络攻击不再是“明目张胆”的炫耀,而是偷偷进入系统中进行破坏或者窃取信息等。

网络设备的普及与多样化

10 ~ 20 年前,不是每个人都能用上连接网络的电脑;而现在,几乎每个人都有连接 4G 网络的智能手机,互联网中产生的信息量也在爆炸性地增长。因此,对个人的网络攻击的目标也从传统的个人计算机扩展到了多样化的网络设备,这样的攻击的目标群体也更大。毫不夸张地说,互联网已经成为了现代的基础设施,如果被攻击破坏,造成的影响是无法估算的。

网络技术的更新与迭代

从计算机系统的初期开始,计算机技术就一直在进行高速地发展和更新换代,与之相伴的也是网络安全领域层出不穷的新型攻击技术。网络攻击的技术从利用软件漏洞传播和发作的蠕虫病毒,到具有社会工程学面貌的钓鱼邮件,再到近几年颇受关注的硬件漏洞,使现代的网络安全技术对防御人员的要求也越来越高。

公民对个人隐私的关注

近年来的多起隐私泄露事件使得公民对个人隐私的关注也在不断提升:

  • 2016 年 12 月 12 日 《南方都市报》:《恐怖!南都记者700元就买到同事行踪,包括乘机、开房、上网吧等11项记录》

  • 2018 年 8 月,华住旗下酒店数据库泄露,涉及 1.3 亿人的个人信息和开房记录等 5 亿多条信息。根据泄露的数据库配置文件,数据库暴露在互联网中,使用默认账户,密码为 123456。
  • 2019 年 1 月,由于 58 同城的一个数据库未做安全保护措施,超过 2 亿中国用户的简历被泄露。

另外,2018 年 3 月,百度董事长李彦宏表示“中国人愿用隐私换方便”,在网络上引起轩然大波,并被央视等多家媒体点名批评。这体现出人民对隐私的关注和对隐私权的需求越来越大。

应对网络安全问题的措施

国家

针对层出不穷的网络安全问题,我们也不是手束手无策乖乖就范的肉鸡。早在 2016 年 11 月,我国就通过了《网络安全法》,该法律已于 2017 年 6 月 1 日正式实施。该法律的不少内容针对近年的网络安全隐患,如个人信息泄露等;明确了网络诈骗等行为的定义和刑罚,明确了网络运营商的责任,要求其处置违法信息、配合侦察机关工作等。

而在此之前,我国也有其他与信息安全相关的法律法规,如

  • 国务院 -《计算机信息系统安全保护条例》、《互联网信息服务管理办法》
  • 公安部 - 《计算机病毒防治管理办法》
  • 公安部等六部委 - 《信息安全等级保护管理办法》
  • 全国人大常委会 - 《保守国家秘密法》

这些法律法规包含了对个人信息的保护、对网络运营者的安全要求,是对公民在网络安全领域的有效的法律保护。与这些法律法规相伴的,是具有相关功能的职能部门,如网信办和国家互联网应急中心。

个人

在个人层面,应当学会自我保护。一方面在受到侵害时要拿起法律武器维护自己的合法权益以外,另一方面也要了解相关知识、提高安全意识、加强自我保护。

  • 及时更新系统和软件,安装安全软件
  • 谨慎对待不知名的或来源未知的软件,拒绝盗版和破解版软件
  • 避免在多个网络账号中重复使用相同密码,不要使用弱密码

网络服务运营者

网络服务运营者应当具有安全意识和责任意识,主动承担起自己在网络安全中应承担的责任,积极解决安全问题。同时,网络服务运营者可以采取的措施有

  • 建立有效的安全生产责任制度,定期对自己提供的网络服务进行安全审查,加强防护,做到未雨绸缪,将安全隐患解决于未然

  • 设立安全响应中心 (Security Response Center, SRC),积极接受白帽黑客的安全反馈
  • 进行网络安全培训,提升员工的网络安全意识,避免在服务中出现常见的安全漏洞

结语

总而言之,21 世纪中,随着网络技术的不断进步,网络安全的重要性也日益上升。只有关注网络安全、提高网络安全意识、加强网络安全保护、增进网络安全的研究与探索,才能跟紧时代的脚步,不在发展的路上摔跟头。

参考资料

  1. 「网络安全基础及应用」课程第 1 章 PPT,http://staff.ustc.edu.cn/~hsi/nsea/ch01.pdf
  2. Virus:DOS/CIH Description | F-Secure Labs,https://www.f-secure.com/v-descs/cih.shtml
  3. CIH 作者陈盈豪在 HITCON 2013 上的演讲:兴趣执着和专注力让我与众不同,https://bbs.pediy.com/thread-176361.htm
  4. 李俊的人生病毒:靠熊猫烧香成毒王 网赌 7000 万二进宫,https://news.ifeng.com/a/20180101/54713980_0.shtml
  5. “熊猫烧香”作者被抓获 灰色资产成幕后元凶,http://money.163.com/07/0213/02/3767TGC8002524SC.html
  6. What You Need to Know About iOS Malware XcodeGhost,https://www.macrumors.com/2015/09/20/xcodeghost-chinese-malware-faq/
  7. XcodeGhost 源代码,https://github.com/XcodeGhostSource/XcodeGhost
  8. Xcode 非官方版本恶意代码污染事件(XcodeGhost)的分析与综述,https://www.antiy.com/response/xcodeghost.html
  9. Reflections on Trusting Trust,Communications of the ACM. August 1984, 27 (8): 761–763.
  10. 关于防范 Windows 操作系统勒索软件 Wannacry 的情况通报,https://www.cert.org.cn/publish/main/9/2017/20170513170143329476057/20170513170143329476057_.html
  11. 安天针对勒索蠕虫“魔窟”(WannaCry)的深度分析报告,https://www.antiy.com/response/wannacry.html
  12. CSDN 明文口令泄露的启示,https://coolshell.cn/articles/6193.html
  13. CSDN 产品总监范凯就密码明文保存问题发布解释,https://36kr.com/p/70800
  14. Apple Media Advisory - Update to Celebrity Photo Investigation,https://www.apple.com/newsroom/2014/09/02Apple-Media-Advisory/
  15. The Heartbleed Bug,http://heartbleed.com/
  16. AVG on Heartbleed: It’s dangerous to go alone. Take this (an AVG tool),https://www.theregister.co.uk/2014/05/20/heartbleed_still_prevalent/
  17. 「震网」病毒的震撼,https://zhuanlan.zhihu.com/p/24037701
  18. 西门子曝系统新漏洞中国企业恐受波及,http://jjckb.xinhuanet.com/2011-06/07/content_313556.htm
  19. Stuxnet worm slithers into China, heralds alien invasion,https://www.theregister.co.uk/2010/10/01/stuxnet_china_analysis/
  20. 棱镜门泄密事件五周年,改变了什么?,https://news.sina.cn/global/szzx/doc-ihcqccip8322391.d.html?vt=4
  21. Everything you need to know about PRISM,https://www.theverge.com/2013/7/17/4517480/nsa-spying-prism-surveillance-cheat-sheet
  22. Mikko Hypponen: Fighting viruses, defending the net,https://www.ted.com/talks/mikko_hypponen_fighting_viruses_defending_the_net
  23. 中国互联网络发展状况统计报告 - 中共中央网络安全和信息化委员会办公室,http://www.cac.gov.cn/wxb_pdf/CNNIC42.pdf
  24. Meltdown and Spectre,https://meltdownattack.com/
  25. 华住 5 亿条用户信息疑泄露 警方已介入调查,http://www.xinhuanet.com/fortune/2018-08/29/c_1123343927.htm
  26. 超 2 亿中国用户简历曝光!MongoDB 又一重大安全事故,https://www.infoq.cn/article/TL*mYAa6vjUb26gItCdY
  27. 恐怖!南都记者 700 元就买到同事行踪,包括乘机、开房、上网吧等 11 项记录,http://epaper.oeeee.com/epaper/A/html/2016-12/12/content_103959.htm
  28. 中华人民共和国网络安全法,http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm
  29. 《网络安全法》概览,https://assets.kpmg/content/dam/kpmg/cn/pdf/zh/2017/02/overview-of-cybersecurity-law.pdf
  30. 国家互联网信息办公室关于《数据安全管理办法(征求意见稿)》公开征求意见的通知,http://www.chinalaw.gov.cn/government_public/content/2019-05/28/657_235862.html
  31. 国家计算机网络应急技术处理协调中心简介,https://www.cert.org.cn/publish/main/34/index.html
  32. App 违法收集个人信息官方投诉举报渠道来了,https://www.ithome.com/0/416/613.htm

Updated: