2011年的互聯(lián)網(wǎng)信息安全攻擊事件，除了常見的針對操作系統(tǒng)的漏洞攻擊，針對金融機構(gòu)的釣魚網(wǎng)站

除攻擊之外、還包括以日本索尼千萬級用戶和國內(nèi)CSDN超過600萬用戶密碼泄露為代表的針對互聯(lián)網(wǎng)用戶的安全事件。這些安全事件的發(fā)生，其本質(zhì)也離不開對各種安全漏洞或者是0day漏洞的依賴，這也為安全漏洞的挖掘分析提供了參考。2012年，以基礎(chǔ)設(shè)施的漏洞安全、云安全、社交網(wǎng)絡(luò)的信息泄露、移動智能終端的安全以及APT高持續(xù)性攻擊為代表的關(guān)鍵詞匯，將成為信息安全領(lǐng)域的研究熱點。

1、基礎(chǔ)設(shè)施安全漏洞

此類以微軟和蘋果為代表，涉及到操作系統(tǒng)、瀏覽器類等。這一部分基礎(chǔ)設(shè)施類的應用程序研究重點有三大部分：

1）以微軟為代表的操作系統(tǒng)類的產(chǎn)品安全漏洞：2011年微軟共發(fā)布了接近100個安全補丁，修復的包括操作系統(tǒng)內(nèi)核、Office系列辦公軟件、IE瀏覽器等近200多個安全漏洞；

2）非微軟系的操作系統(tǒng)和瀏覽器安全漏洞：如Mozilla公司的Firefox、谷歌的chrome瀏覽器以及蘋果的Safari等，這些瀏覽器已經(jīng)占據(jù)超過40%的市場份額，是除微軟之外另一個不可忽視的部分。2011年蘋果公司也發(fā)布了數(shù)十個針對蘋果MACOS操作系統(tǒng)和Safari瀏覽器的安全漏洞，僅在2011年7月份就發(fā)布了多個針對Safari瀏覽器安全漏洞，如CVE-2011-0218/0221/0222/0225/0233/0234等，通過這些安全漏洞容易誘使用戶訪問網(wǎng)頁并被植入惡意代碼；

3）以O(shè)racle數(shù)據(jù)庫及Adobe為代表的典型應用程序安全漏洞：僅在2011年第四季度，甲骨文就發(fā)布了57個Oracle關(guān)鍵補丁更新，涉及到多個Oracle數(shù)據(jù)庫版本和中間件，其中有22個是遠程登錄漏洞，最高級別的補丁為Solaris操作系統(tǒng)更新，其一旦被黑客利用將造成數(shù)據(jù)庫被遠程控制的巨大危害。而黑客利用Adobe的flash安全漏洞，也成功的實施了影響巨大的RSA安全攻擊事件。考慮到這些應用程序的基礎(chǔ)設(shè)施類的定位，2012年這仍然是安全研究領(lǐng)域的重中之重。

2、云計算環(huán)境下的安全風險

無論是大型云計算服務(wù)商的公有云或是企業(yè)的私有云建設(shè)，云安全始終是整體建設(shè)方案中不可缺少的部分，尤其對于公有云服務(wù)而言，用戶對于自身的數(shù)據(jù)在云中安全性的擔憂正在阻礙云計算的發(fā)展。2012年，針對云計算環(huán)境下的三類安全風險，仍將繼續(xù)存在并成為研究重點。

1）虛擬化軟件廠商各種底層應用程序的安全漏洞。典型代表如VMware、Citrix和微軟的虛擬化應用程序ESX/XEN/Hyper-V，這些應用程序的安全漏洞將影響到主機的安全，另外還包括以vCenter為代表的虛擬機管理程序，因為其覆蓋了整個虛擬架構(gòu)下的多個虛擬機管理，一旦其安全漏洞被利用將可能導致整個虛擬架構(gòu)不能正常工作。2011年，VMware和微軟都公告了多個安全漏洞，如VMware ESX的lsassd服務(wù)存在遠程拒絕服務(wù)安全漏洞（CVE-2011-1786），vCenter Orchestrator存在遠程代碼執(zhí)行漏洞（CVE-2010-1870）等；

2）承載在虛擬機之上的多種應用程序的安全漏洞。這些應用程序是云服務(wù)交付的核心組成，包括WEB前端的應用程序、各種中間件應用程序及數(shù)據(jù)庫程序等。這些應用程序本身，即使在傳統(tǒng)網(wǎng)絡(luò)安全環(huán)境下，仍然會因為編程技術(shù)的缺陷而存在多個安全漏洞；在云計算環(huán)境下，這些安全漏洞仍然會繼續(xù)存在，典型如各種WEB會話控制漏洞、會話劫持漏洞及各種注入攻擊漏洞。同時為了適應或使用虛擬化環(huán)境下的各種API管理接口，也可能導致一些新的安全漏洞。2011年德國某大學爆出亞馬遜WEB服務(wù)存在多個安全漏洞，攻擊者通過XML簽名封裝攻擊獲取了很多客戶帳號的管理員權(quán)限，從而可以隨意創(chuàng)建或者刪除客戶的鏡像文件，同時他們也發(fā)現(xiàn)亞馬遜云服務(wù)存在多個XSS跨站腳本的安全漏洞。類似的問題在各大云計算服務(wù)商的環(huán)境中應該是普遍存在的；

3）用戶身份認證授權(quán)管理系統(tǒng)的安全漏洞。在所有的云服務(wù)包括每個云服務(wù)的管理界面，都需要針對用戶的身份管理、認證、授權(quán)和審計，確保"合法"的用戶訪問正確的服務(wù)器，在這種情況下，薄弱的用戶驗證機制，或者是單因素的用戶密碼驗證很可能產(chǎn)生安全隱患。同時，針對公有云服務(wù)而言，按需的自助服務(wù)是其重要的特征，而這意味著云服務(wù)商需要提供一個自助服務(wù)管理門戶，便于用戶進行身份認證及訪問權(quán)限管理。此時，認證管理系統(tǒng)本身的安全漏洞將導致各種未經(jīng)授權(quán)的"合法"訪問。一旦發(fā)生這種未經(jīng)授權(quán)訪問，黑客完全可以借助HTTPS加密等手段，逃避傳統(tǒng)安全防護系統(tǒng)的檢查，實現(xiàn)對用戶后臺數(shù)據(jù)的惡意訪問。

3、社交網(wǎng)絡(luò)的信息泄露安全

2011年，從索尼超過千萬級別用戶的個人信息和信用卡信息泄露，到年底國內(nèi)以CSDN為代表的超過600萬互聯(lián)網(wǎng)用戶的賬號密碼泄露，信息安全泄露在這一年成為了網(wǎng)民關(guān)注的焦點。數(shù)量龐大的網(wǎng)民一夜之間發(fā)現(xiàn)互聯(lián)網(wǎng)的安全風險就在自己身邊。黑客產(chǎn)業(yè)鏈也認識到大規(guī)?；ヂ?lián)網(wǎng)用戶信息的價值，除了常規(guī)的SQL注入等手段實現(xiàn)對企業(yè)關(guān)鍵數(shù)據(jù)庫的信息竊取之外，針對社交網(wǎng)絡(luò)或游戲類服務(wù)商保存的用戶私密信息的竊取，將成為2012年的黑客興趣所在。在黑客的眼中，社交網(wǎng)絡(luò)的賬號信息和用戶的信用卡一樣具備吸引力，黑客產(chǎn)業(yè)鏈中甚至不乏專門活躍在各種論壇中進行社交網(wǎng)絡(luò)賬號信息交易的罪犯，只要獲取了規(guī)模的用戶私密信息，就可以價值最大化的謀取經(jīng)濟利益。尤其是社交網(wǎng)絡(luò)集聚了相互信任的親朋好友，如果黑客成功登陸了你的社交網(wǎng)絡(luò)賬號，便可以輕易的對用戶的好友實現(xiàn)經(jīng)濟欺詐。從技術(shù)實現(xiàn)的角度，黑客第一步仍然需要通過諸如SQL注入等方式突破社交網(wǎng)絡(luò)服務(wù)商的關(guān)鍵數(shù)據(jù)庫并獲取完全讀取權(quán)限。因此針對知名社交網(wǎng)絡(luò)服務(wù)商的關(guān)鍵數(shù)據(jù)庫應用的安全漏洞分析和挖掘，應該重點關(guān)注。

4、移動智能終端的安全

移動互聯(lián)網(wǎng)的市場正在快速擴大，以蘋果和谷歌為代表的移動操作系統(tǒng)智能終端也在快速流行。根據(jù)Gartner預測，截至目前全球已經(jīng)有超過4億的智能終端互聯(lián)網(wǎng)用戶，而國內(nèi)三大運營商的3G智能終端互聯(lián)網(wǎng)用戶也已經(jīng)達到千萬級別。如此龐大的用戶規(guī)模勢必帶來潛在的互聯(lián)網(wǎng)安全風險，如手機被植入惡意代碼導致進行惡意流量下載，惡意電話撥號產(chǎn)生高額電話費，或者是通過竊取用戶手機聊天工具和網(wǎng)上支付的機密信息獲取經(jīng)濟利益，從而對移動用戶的互聯(lián)網(wǎng)安全產(chǎn)生嚴重危害。

從另外一個角度看，現(xiàn)階段移動智能終端大量的特色應用，如蘋果或安卓應用商店，蘋果的icloud云共享服務(wù)，客觀上更加刺激了黑客對移動互聯(lián)網(wǎng)安全的興趣。黑客可以通過發(fā)布帶有惡意代碼的應用程序侵入用戶智能終端，一旦拿到用戶在蘋果云中的ID和登錄密碼后，將輕易竊取到用戶在云中共享的各種數(shù)據(jù)并從中牟利。2011年3月份，由于發(fā)現(xiàn)了惡意應用，Google被迫從其安卓應用商店下架了大約50個應用。同時蘋果在2011年也發(fā)布了數(shù)十個危害嚴重的涉及到iPhone和IPad的安全漏洞。2012年針對移動智能終端操作系統(tǒng)的安全漏洞分析、以及針對移動應用商店應用程序的惡意代碼檢測，仍然是安全研究的工作重點。

5、APT高持續(xù)性安全攻擊

APT（Advanced Persistent Threat)，顧名思義就是一種高級持續(xù)性攻擊，這種攻擊的攻擊者有明確的攻擊目標，攻擊行為通常持續(xù)較長的時間，部分攻擊可能存在數(shù)天或者是數(shù)月。在設(shè)定攻擊目標后，黑客往往通過多種手段包括社會工程學的方式，逐步獲取目標組織內(nèi)部的傀儡機權(quán)限并作為跳板，在多個不同的時間段輪番進行攻擊。在這個過程中，包括零日漏洞、釣魚垃圾郵件、SQL注入等技術(shù)手段常常被利用，入侵之后，黑客往往通過壓縮或SSL加密等技術(shù)手段將數(shù)據(jù)傳送到后端，以避開企業(yè)內(nèi)部的常規(guī)安全防護系統(tǒng)的檢查。典型攻擊如2011年3月，RSA公司部分Secure ID技術(shù)和重要客戶的信息被竊取，導致很多使用RSA Secure ID作為認證憑證的客戶網(wǎng)絡(luò)，如洛克希德馬丁公司，遭到攻擊且資料被盜。在這次攻擊事件中，黑客向RSA的部分員工發(fā)送了暗藏Adobe flash 0day漏洞（CVE-2011-0609）的電子郵件，有員工點擊該Email并導致其機器被注入惡意代碼，從而使得遠程攻擊主機通過指令控制該傀儡機并入侵RSA的開發(fā)服務(wù)器（Staging Server）。預計在2012年，該類型的安全攻擊將持續(xù)存在并更加具有目的性，針對APT的安全研究將為企業(yè)的攻擊檢測和防護提供參考。

結(jié)束語

各安全研究機構(gòu)，在緊密圍繞上述幾個領(lǐng)域關(guān)鍵詞的基礎(chǔ)上，結(jié)合自身在各領(lǐng)域內(nèi)的技術(shù)積累情況，針對重點系統(tǒng)應用進行安全分析，提前掌握高危安全漏洞隱患，必將提升信息安全產(chǎn)業(yè)的風險防范能力。