亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        2011安全大記事

        2012-04-29 00:00:00
        CHIP新電腦 2012年2期

        2011年,頻繁爆發(fā)的用戶信息泄露事件摧毀了許多人心中互聯(lián)網(wǎng)十分安全的錯(cuò)覺,黑客攻擊的新時(shí)代已經(jīng)來到。

        最近一段時(shí)間國內(nèi)大量網(wǎng)站用戶信息被盜取。從CSDN到天涯論壇,大大小小的網(wǎng)站都傳出了用戶信息被盜的消息,甚至支付寶、交通銀行等金融網(wǎng)站也出現(xiàn)了用戶賬戶泄露的傳聞,一時(shí)間國內(nèi)互聯(lián)網(wǎng)用戶是人人自危。事實(shí)上,2011年全年幾乎每個(gè)星期都有著名的大型網(wǎng)站被攻擊和用戶數(shù)據(jù)泄露的事件發(fā)生,黑客攻擊導(dǎo)致用戶信用卡數(shù)據(jù)被盜已是司空見慣的事情。而頻繁發(fā)生的安全事故,與網(wǎng)站缺乏安全意識(shí)、草率處理用戶賬戶信息有著莫大的關(guān)系,可怕的是許多網(wǎng)站在面對(duì)這些丑聞時(shí)只知道找借口為自己開脫,一味推卸責(zé)任,這樣繼續(xù)下去,數(shù)據(jù)泄露的丑聞還會(huì)發(fā)生。

        開發(fā)人員的知識(shí)貧乏

        2011年7月,德國聯(lián)邦警察局成了黑客攻擊的對(duì)象,黑客組織NN-Crew盜取了聯(lián)邦警察局和海關(guān)服務(wù)器中的數(shù)據(jù),并且將盜取的數(shù)據(jù)加密后存儲(chǔ)在互聯(lián)網(wǎng)上。他們威脅警方,如果該小組中任何一人被捕,將公布可以瀏覽這些加密數(shù)據(jù)的密碼。這實(shí)在是一件棘手的事情,德國在波恩新成立的國家網(wǎng)絡(luò)防御中心不得不夜以繼日地工作,不過,這次他們追蹤黑客并不是為了保護(hù)其他的國家機(jī)構(gòu)或企業(yè)網(wǎng)絡(luò),而是分析自己系統(tǒng)崩潰的原因。

        究竟發(fā)生了什么?為何黑客組織NN-Crew能夠輕松地侵入聯(lián)邦警察局和海關(guān)的電腦?在一般人的觀念中,負(fù)責(zé)國家安全相關(guān)事項(xiàng)的紀(jì)律部隊(duì),電腦系統(tǒng)的安全性應(yīng)該是非常高的,絕不應(yīng)該被黑客組織輕易攻擊,更何況是被反復(fù)地侵入、頻繁地得手,這實(shí)在是有點(diǎn)匪夷所思。

        在這一事件上,網(wǎng)站開發(fā)人員的知識(shí)貧乏是導(dǎo)致聯(lián)邦警察局和海關(guān)網(wǎng)站異常脆弱的原因。聯(lián)邦警察局和海關(guān)的網(wǎng)站都使用服務(wù)器系統(tǒng)Apache的擴(kuò)展版本XAMPP,這是一個(gè)將Apache服務(wù)器系統(tǒng)以及MySQL、PHP、Perl等服務(wù)器端軟件打包發(fā)行的版本,通常類似的版本是為初學(xué)者提供的,主要為了方便他們學(xué)習(xí)和測試服務(wù)器系統(tǒng),安全性對(duì)于此類版本的服務(wù)器系統(tǒng)并不是最重要的。因而,通常XAMPP都被認(rèn)為是不適合企業(yè)網(wǎng)站使用的版本,而現(xiàn)在它出現(xiàn)在政府機(jī)構(gòu)的網(wǎng)站上。當(dāng)然,通過一些適當(dāng)?shù)呐渲?,XAMPP也可以擁有一定的安全性,但是德國聯(lián)邦警察顯然沒有完成這些工作,才導(dǎo)致入侵者可以頻繁地光顧,如入無人之境,成了互聯(lián)網(wǎng)世界的笑柄。

        安全專家Mark Semmler認(rèn)為,目前許多開發(fā)人員網(wǎng)絡(luò)安全方面的知識(shí)非常貧乏,由于缺乏適當(dāng)?shù)呐嘤?xùn),所以大部分程序員甚至對(duì)于SQL注入之類的攻擊手法都完全沒有概念。對(duì)于存儲(chǔ)敏感數(shù)據(jù)的服務(wù)器來說,毫無疑問安全是至關(guān)重要的,需要細(xì)致和結(jié)構(gòu)化的開發(fā)工作,但是在Mark Semmler為各種大小公司進(jìn)行安全分析的過程中發(fā)現(xiàn),大概有98%的入侵案件都是因?yàn)楸蝗肭志W(wǎng)站在安全設(shè)計(jì)方面有非常嚴(yán)重的致命錯(cuò)誤。

        馬虎大意導(dǎo)致的嚴(yán)重錯(cuò)誤

        除了缺乏應(yīng)有知識(shí)以外,工作馬虎也是導(dǎo)致黑客攻擊頻發(fā)的原因,2011年甚至連一般人心目中的安全保護(hù)神SSL證書認(rèn)證機(jī)構(gòu)都曝出多起數(shù)據(jù)泄露丑聞。3月24日,著名的SSL證書認(rèn)證機(jī)構(gòu)Comodo遭到入侵,攻擊者獲得了谷歌、雅虎和Skype等重要網(wǎng)站的SSL安全證書。6月17日,荷蘭公司的SSL證書認(rèn)證機(jī)構(gòu)DigiNotar的服務(wù)器受到攻擊,入侵者為自己頒發(fā)了多個(gè)偽造的SSL安全證書,并最終導(dǎo)致DigiNotar成為一個(gè)不再被信任的認(rèn)證機(jī)構(gòu)而宣布破產(chǎn)。

        黑客獲得了認(rèn)證機(jī)構(gòu)頒發(fā)的正規(guī)網(wǎng)站SSL證書會(huì)出現(xiàn)什么情況?很簡單,所有依賴SSL證書保護(hù)的安全措施全部失效,用戶無法通過SSL證書確認(rèn)訪問的網(wǎng)站到底是不是自己真正要訪問的網(wǎng)站,用戶與網(wǎng)站之間采用SSL證書加密傳輸?shù)臄?shù)據(jù)也不再安全。而更嚴(yán)重的是,在此情況下,黑客可以輕易地創(chuàng)建用戶無法分辨的釣魚網(wǎng)站,并依賴用戶一直以來對(duì)于SSL證書認(rèn)證網(wǎng)站的信任感,輕易地實(shí)施詐騙。

        根據(jù)安全公司的報(bào)告,被侵入的荷蘭SSL證書認(rèn)證機(jī)構(gòu)DigiNotar的網(wǎng)站服務(wù)器上連一個(gè)防病毒軟件都沒有,并且網(wǎng)站采用非常簡單的密碼保護(hù)措施,因而,入侵者可以輕易地侵入服務(wù)器,并將惡意軟件植入。很明顯,在DigiNotar被攻擊的這件事情上,服務(wù)器的管理工作不周密是最主要的原因。

        安全專家Mark Semmler認(rèn)為,工作馬虎是由于大多數(shù)程序員都有時(shí)間壓力,由于來自客戶的壓力非常大,因而負(fù)責(zé)服務(wù)器系統(tǒng)開發(fā)管理的公司大多必須快速地完成工作,并且預(yù)算非常有限,這導(dǎo)致開發(fā)商不得不壓縮開支,而安全這個(gè)看不到摸不著的東西自然被作為首先犧牲的對(duì)象。根據(jù)Mark Semmler的了解,許多優(yōu)秀的程序員都會(huì)由于時(shí)間不足,而對(duì)于類似用戶密碼沒有加密存儲(chǔ)這樣的明顯漏洞視而不見。

        很明顯,國內(nèi)互聯(lián)網(wǎng)因“密碼門”導(dǎo)致泄露用戶信息的網(wǎng)站,草率處理用戶信息這一罪名是逃不掉的,使用明文存儲(chǔ)用戶密碼,這對(duì)于一個(gè)優(yōu)秀的程序員來說是匪夷所思的。如果不是程序員有意為之,存在竊取用戶密碼的想法,那么或許正如Mark Semmler所說的“大多數(shù)程序員都有時(shí)間壓力”。

        缺乏安全意識(shí)

        除了草率,使用明文存儲(chǔ)用戶密碼同時(shí)也是一種明顯缺乏安全意識(shí)的做法。存在此問題的絕不僅僅是涉及“密碼門”的網(wǎng)站。今年以來,索尼公司網(wǎng)絡(luò)被黑客組織LulzSec多次攻擊,黑客盜取了超過一百萬包括用戶賬號(hào)、密碼的客戶資料,這些被盜取的客戶資料都沒有經(jīng)過編碼而直接存儲(chǔ)在服務(wù)器上。為此,索尼公司付出了沉重的代價(jià),被用戶索賠超過24億美元,而且,這還沒有算上PlayStation網(wǎng)絡(luò)被迫關(guān)閉長達(dá)一個(gè)多月所造成的損失。

        為什么索尼公司的游戲網(wǎng)絡(luò)如此不堪一擊?一個(gè)主要的因素原因是這是一個(gè)創(chuàng)建于2006年的游戲網(wǎng)絡(luò),安全專家Johann Peter Hartmann認(rèn)為,大部分2006年和2007年開發(fā)的網(wǎng)站,安全性都是一塌糊涂。在PlayStation創(chuàng)建游戲網(wǎng)絡(luò)之初,用戶的信息未經(jīng)編碼而直接存入數(shù)據(jù)庫。對(duì)于現(xiàn)在的Web服務(wù)站點(diǎn)來說,這樣做的風(fēng)險(xiǎn)無疑是非常高的。但是,當(dāng)初網(wǎng)絡(luò)攻擊遠(yuǎn)沒有現(xiàn)在這么普遍,即使有人攻擊網(wǎng)站,通常也只是玩笑性質(zhì)的,最嚴(yán)重的莫過于刪除數(shù)據(jù)庫的信息,由于網(wǎng)站的數(shù)據(jù)必然有備份,所以并不會(huì)造成什么實(shí)質(zhì)性的損害。因此,當(dāng)初開發(fā)人員或許認(rèn)為根本沒有必要加密用戶信息,甚至認(rèn)為加密解密的操作影響服務(wù)器性能?,F(xiàn)如今則不同,黑客組織已經(jīng)不再是為了開玩笑而攻擊一個(gè)網(wǎng)站,侵入網(wǎng)站竊取數(shù)據(jù)并通過勒索等方式可以讓他們獲得豐厚的利潤,在金錢的驅(qū)使下,攻擊者為了侵入一個(gè)網(wǎng)站可以無所不用。

        也許不少人認(rèn)為真正有能力的黑客并不多,但是實(shí)際上現(xiàn)在一個(gè)門外漢也能夠攻擊并侵入一些互聯(lián)網(wǎng)站點(diǎn)。除了購買各種現(xiàn)成的黑客工具以外,還可以租用功能強(qiáng)大的僵尸網(wǎng)絡(luò)。許多黑客制作工具出售或者出租給其他人,而存在漏洞的舊系統(tǒng)是主要攻擊的對(duì)象。不過,值得安慰的是近幾年許多網(wǎng)站的開發(fā)人員安全意識(shí)已經(jīng)有所提高,部分網(wǎng)站的用戶信息不僅加密,而且還分發(fā)到多個(gè)數(shù)據(jù)庫進(jìn)行存儲(chǔ),黑客即使侵入網(wǎng)站也只能夠獲得一部分?jǐn)?shù)據(jù),竊取用戶信息已經(jīng)不再那么容易。

        瘋狂的代價(jià)

        2011年世界各地大范圍高頻率的黑客攻擊行為導(dǎo)致許多國家都在重新思考互聯(lián)網(wǎng)治理的問題,包括標(biāo)榜自由民主的美國政府也在討論是否應(yīng)該建立數(shù)字國家邊界,檢查和過濾所有進(jìn)出的數(shù)據(jù),不過這一方法工作量無疑過大,很難實(shí)施。因而,有人進(jìn)一步地提出了另一種激進(jìn)的做法,直接取消互聯(lián)網(wǎng),建立國家范圍內(nèi)的網(wǎng)絡(luò)。對(duì)于伊朗以及其他的一些伊斯蘭國家的政府來說,一直以來都希望成立他們自己的網(wǎng)絡(luò),不過,類似的建議在許多國家都被反對(duì)派批評(píng)。除了限制了普通網(wǎng)絡(luò)用戶的自由以外,對(duì)于世界性的企業(yè)來說,這也是無法接受的。

        “我們發(fā)現(xiàn),

        98%的個(gè)案都有非常嚴(yán)重的致命錯(cuò)誤?!?/p>

        Antago GmbH公司安全測試員

        Mark Semmler

        3月17日

        RSA

        安全公司RSA的系統(tǒng)被入侵并被竊取了用于SecurID認(rèn)證產(chǎn)品的重要數(shù)據(jù)。SecurID是一種雙因素認(rèn)證系統(tǒng),用于為敏感數(shù)據(jù)和網(wǎng)絡(luò)提供保護(hù),為此,該公司已經(jīng)更換世界各地40萬正在使用的SecurID。

        3月24日

        Comodo

        SSL證書認(rèn)證機(jī)構(gòu)Comodo遭到入侵,攻擊者獲得了谷歌、雅虎和Skype幾大重要網(wǎng)站的SSL安全證書,使用這些證書攻擊者可以輕易地創(chuàng)建用戶無法分辨的釣魚網(wǎng)站,依賴SSL證書認(rèn)證的網(wǎng)站安全性蕩然無存。

        4月16日

        索尼PSN

        由于服務(wù)器上的用戶信息沒有被編碼,所以索尼公司網(wǎng)絡(luò)被黑客組織LulzSec多次攻擊,盜取超過一百萬的客戶資料,這些資料包括用戶的賬號(hào)和密碼。襲擊事件發(fā)生后,索尼公司被迫關(guān)閉PlayStation網(wǎng)絡(luò)長達(dá)一個(gè)多月的時(shí)間。

        4月17日

        蘋果

        iPhone用戶發(fā)現(xiàn)備份檔案中包含用戶的位置數(shù)據(jù),外界普遍認(rèn)為蘋果公司在收集和使用用戶的定位信息。隨后史蒂夫喬布斯承認(rèn)相關(guān)的程序編程過于草率,但是數(shù)據(jù)并非蘋果公司有意收集也沒有被濫用,同時(shí)將修改軟件不再保存相關(guān)信息。

        4月21日

        亞馬遜EC2

        亞馬遜在推廣其EC2(Elastic Compute Cloud,彈性云計(jì)算)服務(wù)時(shí)說:“云,你可以信賴”。然而,在一次升級(jí)的過程中網(wǎng)絡(luò)出現(xiàn)故障,網(wǎng)絡(luò)出現(xiàn)延遲和連接錯(cuò)誤等問題,大量的網(wǎng)站無法正常使用,企業(yè)的數(shù)據(jù)無法處理。

        5月21日

        洛克希德馬丁公司

        美國最大的國防企業(yè)洛克希德馬丁公司(Lockheed Martin Corp)系統(tǒng)受到攻擊,此次攻擊有哪些資料遭到竊取,尚不明確,但是該公司許多員工很長一段時(shí)間無法訪問系統(tǒng),顯然入侵者通過攻擊RSA的系統(tǒng)獲得了其員工的SecureID。

        6月17日

        DigiNotar

        荷蘭公司的SSL證書認(rèn)證機(jī)構(gòu)服務(wù)器受到攻擊,入侵者頒發(fā)了多個(gè)偽造的SSL安全證書。根據(jù)安全公司的報(bào)告,該網(wǎng)站服務(wù)器連一個(gè)防病毒軟件都沒有,并使用非常簡單的密碼保護(hù),因而,入侵者可以輕易地將惡意軟件植入到服務(wù)器中。

        6月19日

        Dropbox

        著名的數(shù)據(jù)存儲(chǔ)服務(wù)Dropbox出現(xiàn)認(rèn)證系統(tǒng)的錯(cuò)誤,由于編程上的粗心,使得服務(wù)器在更新程序后導(dǎo)致任何賬號(hào)不用密碼就可以直接訪問。

        開發(fā)商在4個(gè)小時(shí)后發(fā)現(xiàn)該錯(cuò)誤,并迅速做出了修正。

        7月7日

        德國聯(lián)邦警察

        黑客組織NN-Crew侵入德國聯(lián)邦警察局和海關(guān),在其電腦系統(tǒng)植入木馬之后竊取了大量信息,再將這些信息加密存儲(chǔ)在互聯(lián)網(wǎng)上,并威脅警方,如果該小組中任何一人被捕,將會(huì)公布可以瀏覽這些信息的密碼。

        7月17日

        REWE

        REWE是銷售世界自然基金會(huì)和足球聯(lián)賽圖片的大型零售商。它的主要分銷商網(wǎng)站遭到黑客攻擊,入侵者盜取了客戶的姓名、電子郵件地址和賬戶密碼,但是該公司的公告說明,用戶的信用卡數(shù)據(jù)沒有被盜,并且該公司很快修復(fù)了漏洞。

        8月2日

        osCommerce

        開源的網(wǎng)上商店系統(tǒng)osCommerce出現(xiàn)漏洞,攻擊者可以通過這些漏洞在使用該系統(tǒng)的網(wǎng)站上放置木馬程序,并感染瀏覽器存在漏洞的網(wǎng)上交易者。2010年11月起相關(guān)的漏洞被修復(fù),但是有許多使用該系統(tǒng)的網(wǎng)上商店并沒有及時(shí)更新。

        12月21日

        密碼門

        國內(nèi)最大的程序員網(wǎng)站CSDN曾在2009年以前被黑客入侵,盜取的用戶賬號(hào)和密碼近期被曝泄露。25日下午,國內(nèi)最大的網(wǎng)絡(luò)社區(qū)天涯社區(qū)也傳出4000萬用戶資料泄露的消息,此所謂國內(nèi)互聯(lián)網(wǎng)的“密碼門”。

        日韩极品视频在线观看免费| 欧洲一卡2卡三卡4卡免费网站| 亚洲男人天堂2019| 超级碰碰人妻中文字幕| 久久成人精品国产免费网站| 精品人妻免费看一区二区三区| 成人自拍偷拍视频在线观看| 99久久精品免费看国产| 国产成人精品日本亚洲11 | 国产亚洲欧美日韩国产片| 国产激情一区二区三区在线蜜臀| 国产区一区二区三区性色| 日本熟妇美熟bbw| 又粗又大又黄又爽的免费视频| 久久丁香花综合狼人| 精品少妇一区二区三区四区| 日本av一区二区三区视频| 天天躁日日躁狠狠很躁| 精品无码久久久九九九AV| 久久精品日韩免费视频| 国产av无码专区亚洲a∨毛片 | 亚洲欧美日韩人成在线播放| 亚洲av成人一区二区三区网址| 中文字幕乱码一区在线观看| 欧美三级不卡在线观看| 亚洲国产av一区二区三区四区| 国产精品国产三级国产在线观| 少妇爽到高潮免费视频| 无码国产福利av私拍| 啪啪无码人妻丰满熟妇| 国产精品亚洲精品专区| 小雪好紧好滑好湿好爽视频| 亚洲国产综合精品 在线 一区| 欧洲无码一级毛片无遮挡| 亚洲国产精品国自产拍性色| 在线播放免费播放av片| 亚洲AV无码秘 蜜桃1区| 色婷婷一区二区三区久久亚洲| 日本成本人片免费网站| 波多野结衣中文字幕在线视频| 国产在线精彩自拍视频|