经产观察
IT资讯
IT产业动态
业界
网站运营
站长资讯
互联网
国际互联网新闻
国内互联网新闻
通信行业
通信设备
通信运营商
消费电子
数码
家电
国内互联网新闻

国内互联网新闻2014互联网安全年报之国内国际安全热点事件

作者:habao 来源: 日期:2015-1-20 23:04:16 人气:
重庆中考论坛zslpsh,重庆学校zslpsh,重庆学校zslpsh,重庆市中学生网,重庆中学生网,重庆中学生网站,重庆中学生网好,重庆中学生学习网,重庆中学学习网,重庆中学生网家教,重庆中学生论坛,重庆学生zslpsh,重庆高考论坛zslpsh,重庆中学排名zslpsh,重庆中学zslpsh,重庆中学生,重庆学生网中考,重庆中考zslpsh,重庆中学生交友,重庆初中生,重庆中学生学习网,重庆土话网,西南云南方言网,最新电影淘娱淘乐,tianyanmao.cn,重庆18680好,岳阳yy房产网,重庆18680,云南西南方言网,网店taoyutaole,电影淘娱淘乐,最新电影淘娱淘乐,电影淘娱淘乐,娱乐资讯taoyutaole,影视淘娱淘乐,taoyutaole笑话,taoyutaole淘娱淘乐,娱乐taoyutaole,时尚taoyutaole,重庆生活新闻,贵州西南方言网,027旅游新闻网,重庆特产18680,0871昆明旅游人才网,重庆生活18680好,观赏虾之家zadull,022天津交友,022天津交友网,水草造景zadull,18680重庆特产,0755深圳交友网,0755深圳旅游招聘,0755深圳旅游招聘网,0755深圳旅游新闻

  【赛迪网-IT技术讯】2014年2月27日,中央成立了网络安全和信息化领导小组,习总任组长,并发表重要讲话,强调“没有网络安全,就没有;没有信息化,就没有现代化。” 显示出最高层保障网络安全、国家利益、推送信息化发展的决心。网络安全和信息化建设已经上升为国家重大战略。同时,习第一次系统、完整地提出了中国的互联网治理观。通过一系列举措加快国内网络空间化进程,并且通过巴西会议、首届世界互联网大会、中美互联网对话等面向全球发出声音。2014年,也是中国互联网历史上有特别意义的一年。既是中国互联网20周年的日子,也是全球网民数量突破30亿的一年。中国移动互联网用户第一次超过PC用户,中国互联网第一次诞生出3000亿美元的互联网巨头。展现网络大国迈向网络强国的良好态势。然而,2014年互联网上大大小小的个人信息泄露事件频发,信息安全问题比以往任何一个年份都更为突出。从2014年春运第一天12306爆用户信息泄露漏洞,中间最严重的是泄露了130万考研信息,到年底12月25日12306用户数据遭泄露,账号密码身份证信息被售卖。不论是通过不安全的第三方平台还是继续遭受2012年年底的“泄密门”事件持续影响,过去的2014年都是数据泄密的高发持续增长期,使用失窃账户密码依然法获取信息的最主要途径,而这里面三分之二的数据泄露都与漏洞或失窃密码有关。网民的邮箱、微博、游戏、网上支付、购物等账号信息成为网络犯罪眼中的“摇钱树”,个人信息倒卖产业链已形成规模。同时,2014年也是多个互联网严重漏洞集中爆发的一年,如OpenSSL的心脏出血(Heartbleed)漏洞、OpenSSL 3.0的贵宾犬漏洞、Bash Shellshock破壳、IE的0Day漏洞、Struts漏洞、Flash漏洞、Linux内核漏洞、Synaptics触摸板驱动漏洞、USBbad等重大漏洞先后,受影响的网站、操作系统、硬件设备范围之广、之深,闻所未闻。2014年我们所知的所有网络,实际上还只是冰山一角,未来的网络空间将出现更多错综复杂、有组织性甚至是由敌对国家发起的网络袭击。APT事件目前趋于爆发式增长,有些黑客秘密潜入重要系统窃取重要情报,而且这些网络间谍行动往往针对国家重要的基础设施和单位进行,包括能源、电力、金融、国防等;有些则属于商业黑客犯罪团伙入侵企业网络,搜集一切有商业价值的信息。安恒信息盘点了2014年发生在全球的热点互联网信息安全事件,以及全年互联网网络漏洞与网站安全分析整理,希望能给我们的国家、机构、组织、企业,还有人民带来安全意识的,敲响网络信息安全的警钟。国内互联网安全十大热点事件(一)网络安全首次列入工作报告2014年2月27日,中央网络安全和信息化领导小组宣告成立,在召开了第一次会议。中央总、国家、习亲自担任组长,李克强、任副组长,再次体现了中国最高层全面深化、加强顶层设计的意志,显示出保障网络安全、国家利益、推动信息化发展的决心。而3月6日的央视晚间新闻《据说》栏目,向全国观众介绍了当前我国所处的网络安全形势,首次将网络安全列为和发展的重大战略问题之一。(二)2014世界互联网大会以“互联互通 共享共治”为主题的首届世界互联网大会于2014年11月19日至11月21日在浙江乌镇举办。国家互联网信息办公室主任鲁炜在30日国务院新闻办举行的发布会上表示,举办世界互联网大会,旨在搭建中国与世界互联互通的国际平台和国际互联网共享共治的中国平台。世界互联网大会也将永久会址确定在乌镇,打造网络空间的“乌镇峰会”。此次大会是我国举办的规模最大、层次最高的互联网大会,据了解,有来自100个国家和地区的1000多位、企业巨头、专家学者等参加。中方呼吁国际社会齐心协力,携手建立多边、、透明的国际互联网治理体系,共同构建和平、安全、、合作的网络空间,并提出九点,具体包括:促进网络空间互联互通、尊重网络主权、共同网络安全、联合开展网络反恐、推动网络技术发展、大力发展互联网经济、广泛正能量、关爱青少年健康成长以及推动网络空间共享共治。与此同时,安恒信息协助本次大会安全保障部门全面参与了世界互联网大会网络安全技术支撑工作,在安恒信息的风暴中心,技术人员724小时对世界互联网大会的网站进行实时监测,大会主会场的网络安全保障工作也闪现着安恒专家团队的身影。同时,作为大会新闻官网唯一网络安全支持保障单位,安恒信息也派出了最强阵容的专家团队驻场支持。据安恒信息世界互联网大会网络安全技术保障团队统计,截止到2014年11月21日13:00世界互联网大会结束,部署界互联网大会新闻官网中的WAF防护系统共防护了277531次严重,大部分为SQL注入、跨站脚本、WEB组件漏洞和少量CC。(三)2014首届国家网络安全周2014年11月24日,以“共建网络安全,共享网络文明”为主题的首届国家网络安全宣传周启动仪式在中华世纪坛举行。此后,国家网络安全宣传周将于每年11月最后一周举行。首届国家网络安全宣传周是我国第一次举办全国范围的网络安全主题宣传活动,不仅国家有关职能部门共同参与主办,各省、自治区、直辖市也将同期举办相关主题活动,在全国掀起网络安全宣传的。活动围绕金融、电信、电子政务、电子商务等重点领域和行业网络中社会关注的安全热点问题展开,举办网络安全体验展等系列主题宣传活动,营造网络安全人人有责、人人参与的良好氛。(四)2014年春运第一天12306爆用户信息泄露漏洞2014年铁春运售票第一天,在经历了1小时宕机之后,12306铁客户服务中心网站再次爆发用户账号串号问题,大量用户身份证等信息遭泄露。下午15时左右,有网友爆料称12306出现“串号”情况,登录网站购票却出现其他客户信息,疑似信息遭泄露。网友们反映,登录自己账号后,“我的12306”下拉菜单中的“常用联系人”中,显示的是其他用户的订票信息,包括姓名、身份证号码、手机号等信息。下午17时34分,新版12306网站出现泄露大量用户资料的漏洞,危害等级为高。(五)支付宝前员工被曝贩卖20G用户资料此则消息引发了用户对于信息安全问题的关注,也令网络信息贩卖产业链浮现。一条价值较高的用户信息甚至可以被卖至数十元。此次支付宝信息泄露中,超过20G的海量用户信息,被支付宝员工在后载并有偿出售给电商公司、数据公司。一二线电商企业本身有完善的用户数据库,需要进行严格的数据,防止数据泄露至黑色交易链。此类信息贩卖产业,有的甚至采取公司的运作方式,从互联网上购买个人或单位信息,转卖他人获利;通过网上购买户籍、住房、车辆等个人信息为他人提供婚恋、追债、手机定位等服务项目并从中获利;通过网上购买信息推销产品;利用自身特殊身份盗窃、骗取、企业信息转卖获利。(六)DNS瘫痪致全国三分之二网站故障2014年1月21日下午3时20分左右,全国DNS域名解析系统出现了大范围的访问故障,包括DNSPod在内的多家域名解析服务提供商予以确认,此次事故波及全国,有近三分之二的网站不同程度的出现了不同地区、不同网络下的访问故障,其中百度、新浪等知名网站也受到了影响。据了解,在此次故障中,多数网站被解析到了65.49.2.178这一IP地址,由于错误的解析,多数网站出现了访问故障,对普通网民而言,最直接的表现就是很多网站打不开了。下午4时许,匿名者黑客团体宣布对在3时31分发生的DNS瘫痪负责。这次DNS瘫痪除了给网民带来负面体验外,也普及了根服务器的概念:根服务器是是互联网域名解析系统(DNS)中最高级别的域名服务器,目前全世界只有13台,其中10台在美国,另外3台位于英国、和日本。这给我们敲响了警钟,泱泱网民大国只有根服务器的租用权是相当的。(七)“2000万开房信息泄露案”开审2014年2月14日上午,“2000万开房信息泄露事件”首例诉讼在浦东法院第一次开庭审理。原告起诉汉庭星空(上海)酒店管理有限公司和浙江慧达驿站网络有限公司,并要求赔偿20万元。通过分析,完成了《上海市民信息泄露情况分析报告》,上海有86万人,居全国首位。举例说,根据被泄露的详尽个人信息,可能筛选出18—35岁女性,进行化妆品、母婴产品等定向电话。更的是,一旦破译邮箱密码,还可能获取人的微博、微信账号,向好友行骗。甚至能入侵支付宝等其他关联账户,直接资金安全。实名认证的新浪微博账户@股社区发布了一个名为“查开房”的网址。只需输入姓名或身份证号,即可查询到包括身份证号、生日、地址、手机号、邮箱、公司、登记日期等真实信息。(八)携程支付出现漏洞导致大量用户信用卡信息泄露漏洞报告平台网2014年3月22日披露了携程网安全漏洞信息,漏洞发现者称由于携程了用户支付服务接口的调试功能,支付过程中的调试信息可被任意骇客读取。在披露该信息后,携程表示,两个小时内修复该问题。该漏洞发现者称,由于该漏洞存在,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。所谓遍历(Traversal),是指沿着某条搜索线,依次对树中每个结点均做一次且仅做一次访问。访问结点所做的操作依赖于具体的应用问题。携程表示,可能受影响用户为3月21日与3月22日的部分交易客户,目前并没有因该漏洞的影响而造成相应财产损失的情况发现。(九)全国硕士考试报名信息遭泄露1万5买130万用户数据某漏洞平台报道《国内考研130W报名信息泄漏事件》并表示该漏洞导致泄露的信息正在被黑产利用。出售的用户信息截止到2014年11月份的130万考研用户,而且数据已经被多次转卖,经过与卖家了解,数据泄漏了考研用户的姓名、手机、座机、身份证、住址、邮编、学校、专业等数据。(十)年底12306超十万条数据泄露2014年12月25日,当人们还沉浸在圣诞的喜悦中,漏洞平台率先爆出大量12306用户数据泄露,有门介入调查,根据漏洞平台披露的信息,目前已知公开的数据涉及用户数为131653条,尚不清楚是否有更多用户数据被泄露。随后12306通过微信等多个渠道表示,“泄露信息全部含有用户密码。我网站数据库所有用户密码均为多次加密的非转换码,网上泄露的用户信息系经其他网站或渠道流出。”铁机关于当日晚,将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人抓获。经查,嫌疑人蒋某某、施某某通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息,尝试登陆网站进行“撞库”,非法获取用户的其他信息,并谋取非法利益。安恒信息安全研究院对此次泄露事件进行了不同角度的解析,撞库是利用其他泄漏的数据库用户密码信息,对另外一个网站进行密码的碰撞。如果要将6000万条的数据跑完,每秒尝试10次需要两个多月时间才能完成(除非12306完全没有请求数据,或者者利用了分布式的方式),也有可能只跑了一部分数据,真正能撞到的数据还有更多。另外一个问题就是验证码,12306的PC端的验证码比较难识别,但登陆接口并非只有一个,手机APP也存在登陆接口,经过测试也没有验证码。密码只是md5进行了一次hash,这个接口登陆也不需要进行短信验证。所以很容易利用这个接口进行撞库。如果是撞库,这是否也出了12306对此类新型手段的防范意识与手段有待加强呢?还有一个可能是数据库信息之前已经泄漏了一部分,这次只是对密文密码的碰撞所得,这样12306日志中就监测不到相关的,目前公布的情况似乎不是这类,但是否真存在其他的地下数据库就不得而知了。查看一下Web服务器的访问日志应该就可以很容易确定,但在目前12306多子站安全问题频发以及该站对撞库应对不力的现状来看,到底会不会存在更严重的数据泄露事件,还有待进一步观察。

推荐文章