2014年重大网络安全事件回顾
■年终专稿
2014年,网络安全问题受到了空前的关注,诸多的网络安全事件让用户知道了网络信息所面临的威胁。
2014年,随着中央网络安全和信息化领导小组成立、首届国家网络安全宣传周、首届世界互联网大会在浙江乌镇召开,信息安全上升到了国家战略高度。
同时,随着政府把网络安全提到了国家安全这一高度,也使得网络安全走进了大众的视野。
面对众多的网络安全事件,不禁对网络安全的本质问题和原有的防护手段进行反思,国家提出的自主可控、安全可信的战略更加坚定了解决网络安全问题的决心,而这其中可信计算是一个重要途径。
当前,网络空间已被视为继陆、海、空、天之后的“第五空间”,网络空间已经变为主权空间。我们要建成网络强国,就必须有可控的网络技术。
1、微软Windows XP停维事件
今年4月,微软正式停止为WindowsXP提供安全更新,服役13年的WindowsXP系统就此“退休”。但是在中国大陆XP系统用户仍高达57.8%,XP的退出将让许多仍在使用这一系统的用户无法升级系统修复补丁,会导致PC的安全问题变得更加严峻。XP服役多年,已经超过了一般系统的生命周期,XP的退役也带来了相关产业的获益。作为中国电子制造业界的“国家队”,中国电子信息产业集团有限公司(以下简称中国电子)自然不会袖手旁观。4月3日,中国电子旗下中电长城网际和北京可信华泰信息技术有限公司在北京上地举办新闻发布会,正式向社会发布新品“白细胞”操作系统免疫平台,标志着我国自主创新的基于可信技术的新一代网络安全技术路线实现产业化。
2、OpenSSL心脏滴血
来自OpenSSL的紧急安全警告:OpenSSL出现“Heartbleed”安全漏洞。这一漏洞让任何人都能读取系统的运行内存。虽然已经有了一个紧急补丁,但在安装它之前,成千上万的服务器都处于危险之中。
该漏洞在互联网又称为“heartbleed bug”,中文名称叫做“心脏出血”、“击穿心脏”等。Heartbleed漏洞,这项严重缺陷(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。
Heartbleed漏洞是由安全公司Codenomicon和谷歌安全工程师发现的,并提交给相关管理机构,随后官方很快发布了漏洞的修复方案。2014年4月7号,程序员Sean Cassidy则在自己的博客上详细描述了这个漏洞的机制。
2014年4月9日,Heartbleed(意为“心脏出血”)的重大安全漏洞被曝光,一位安全行业人士在知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
3、eBay数据的大泄漏
2014年5月22日,eBay要求近1.28亿活跃用户全部重新设置密码,此前这家零售网站透露黑客能从该网站获取密码、电话号码、地址及其他个人数据。该公司表示,对这次网络攻击的调查显示,“没有证据”表明黑客攻破了该集团旗下的PayPal在线支付服务——PayPal的客户数据与eBay的客户数据是分开存储和加密的。
该公司表示,黑客得手的eBay数据库不包含客户任何财务信息——比如信用卡号码之类的信息。eBay表示该公司会就重设密码一事联系用户。这次泄密事件发生在今年2月底和3月初,eBay是在大约两周前发现这一泄密事件的。该公司并未说明有多少用户受到此次事件的影响。eBay还表示,黑客获取了“少数”员工登录授权,令他们能够访问该公司的企业网络。
4、中国互联网DNS大劫难
1月21日下午3点10分左右,国内通用顶级域的根服务器忽然出现异常,导致众多知名网站出现DNS解析故障,用户无法正常访问。虽然国内访问根服务器很快恢复,但由于DNS缓存问题,部分地区用户“断网”现象仍将持续数个小时,至少有2/3的国内网站受到影响。微博调查显示,“1·21全国DNS大劫难”影响空前。事故发生期间,超过85%的用户遭遇了DNS故障,引发网速变慢和打不开网站的情况。(李国敏)