8個IT安全災難:從警示案例中吸取教訓
任何關注網絡安全的人都知道數據泄露和網絡攻擊事件如今正在快速增長。然而,真正獲得“災難”稱號的網絡攻擊并不多。
2012年:Court Ventures公司遭遇社交工程網絡攻擊
越南籍黑客Hieu Minh Ngo實施的網絡攻擊證明,黑客并不需要具備深厚的黑客技術和知識就可以破壞重要數據的安全性,并可以訪問很多人的私人信息。有時只需要一些虛假陳述和社交工程技能。由于Hieu Minh Ngo冒充是一名新加坡私家偵探,全球領先信息服務商Experian公司在2012年誤將數百萬名美國人的個人數據出售給他,他從Experian公司的子公司Court Ventures公司獲得專門訪問這些數據的機會。
總而言之,他在被捕之前賺了近200萬美元。雖然Ngo實際上是一名普通黑客,但事實證明,他的“非技術性”騙局證明是十分有效的。
2014年:Mt.Gox公司破產倒閉
如今,人們已經習慣了加密領域中的各種黑客攻擊、欺詐和錯誤。但在2014年相對較早的加密時代,人們被日本比特幣交易所Mt.Gox公司的戲劇性事件所吸引。該交易所最初是作為一個比特幣交易平臺的網站而開發的:到2013年,Mt.Gox平臺處理了大約70%的比特幣交易。
Mt.Gox平臺在2011年遇到了黑客攻擊問題,并設法以令大多數客戶滿意的方式解決問題。但在2014年,該公司快速破產,而其客戶損失了數百萬美元價值的比特幣。雖然人們對發生的這一切并不完全了解,但似乎黑客攻擊從未真正結束,比特幣多年來一直被網絡攻擊者掠奪,該公司可能本質上是以一種傳銷的方式運營,當時只能在2013年支付可以提取的款項。在該公司內部,各種糟糕的安全和管理做法導致了內部崩潰,并沒有用于軟件更新的版本控制系統,所有更改都要經過該公司首席執行官的審核,這意味著安全補丁可能需要數周時間才能推出。這一切可能會導致人們在向不受監管的加密金融機構投入資金時會三思而后行,但事實并非如此。
2014年~2017年:喜達屋、OPM和Equifax數據泄露事件
從2014年到2017年,全球有三個主要組織和機構受到數據泄露的沉重打擊:喜達屋酒店品牌的預訂系統在2014年遭遇數據泄露事件;負責管理政府文職人員的美國人事管理辦公室(OPM)在2015年遭遇數據泄露事件;全球三大信用評級機構之一的Equifax公司在2017年遭遇數據泄露事件。美國人事管理辦公室當時完成了一次系統重置,并認為這已經從他們的網絡中清除了安全漏洞,卻沒有意識到網絡攻擊者在其他地方獲得了另一個立足點;Equifax公司沒有發現網絡攻擊者泄露該公司的加密數據,因為他們忘記更新SSL證書;喜達屋公司遭遇的黑客攻擊事件直到四年后才被發現,當時該公司已被萬豪公司收購。
所有這些數據泄露都導致數百萬人的個人身份信息(PII)被網絡攻擊者竊取,在美國人事管理辦公室(OPM)和Equifax公司數據泄露的情況下,其中很多都是相當敏感的數據。受到網絡攻擊的企業需要為受影響的個人提供信用監控,并為一場從未發生過的身份盜竊大肆襲擊做好準備。
2016年:希拉里·克林頓競選遭遇黑客攻擊
如果人們能記住關于希拉里·克林頓2016年競選活動的一件事的話,那就是電子郵件對外泄露。隨著競選活動的進行,有問題的電子郵件最初存儲在她擔任美國國務卿期間的個人電腦,盡管它們本應在政府部門的電腦上更安全。但在大選前幾周,主導新聞發布的是來自其競選團隊內部的電子郵件,其中充滿了內部八卦,當維基解密公布這些消息時,這些消息成為令人尷尬的頭條新聞。
那么,這些電子郵件是如何公開的?主要是經典的網絡釣魚詐騙手段,再加上美國政治史上最嚴重的錯別字事件之一。2016年,希拉里·克林頓已經將工作郵箱從她的個人電腦轉移到谷歌托管的服務,競選經理John Podesta收到了一封看起來像是來自谷歌公司的電子郵件,聲稱有人試圖訪問他的賬戶,他應該在bit.ly鏈接上點擊重置密碼。在競選技術人員Charles Delavan在向Delavan發送“這不是一封合法的電子郵件”這條消息時,遺漏了“不是”這一單詞。更令人困惑的是,他隨后敦促Podesta無論如何都要重置密碼,以防萬一,雖然Delevan的消息中包含了相應的鏈接,但Podesta卻點擊了原始電子郵件中的bit.ly鏈接,并對外泄露了其登錄信息的憑據。
2016年:孟加拉國銀行網絡盜竊案
用于國際銀行轉賬的SWIFT系統本應是不可破解的。但是,這是一個不可能實現的目標。在SWIFT的案例中,黑客攻擊的薄弱點可以在發展中國家政府運營的中央銀行中找到,這些國家的安全部門通常資金不足。一些黑客試圖在孟加拉銀行進行一次大膽的盜竊,采用定制惡意軟件以破壞銀行的系統并最終訪問SWIFT終端。SWIF并沒有與網絡的其余部分相隔離。黑客還巧妙地安排了網絡攻擊時間,以便盡可能少地關注他們的行動:孟加拉國的周末是周五和周六,而美國紐約(處理大多數SWIFT交易的聯邦儲備銀行所在的地方)周日休息;在他們計劃在特定的周末搶劫,菲律賓的銀行將在農歷新年關閉,他們竊取的大部分資金都將流向賭場,因此可以通過賭場洗錢。資金流通的一些銀行可以在正常工作時間之外充當溝通渠道。
盡管這些黑客很聰明,但他們還是犯了一些基本的錯誤。他們的目標是讓這一交易在任何人看到之前自動完成,但他們正在通過其中一家中間銀行轉移部分現金,其名稱中有“Jupiter”,碰巧也是一家因與伊朗進行貿易而受到制裁的航運公司的名稱,因此,這些資金轉移觸發了自動警報,并被紐約的交易人員看到,他們對這一交易很懷疑:孟加拉國銀行從未發起過如此大規模的交易,文件中也有許多拼寫錯誤和其他錯誤,經不起審查。這些網絡竊賊最終只竊取了2000萬美元,但如果他們的交易沒有被阻止的話,他們最終可能會竊取10億美元。事實證明,自動化安全技術也并不可靠。
2016年:Mirai和Dyn攻擊
2016年10月21日,歐洲和北美大部分地區的大量用戶數小時內無法使用互聯網。最初的擔憂是黑客組織正在嘗試徹底摧毀互聯網。事實上,網絡攻擊的原因更加荒謬,其成功的原因說明了互聯網基礎設施中仍然存在的弱點。
DDoS攻擊依賴于僵尸網絡,即大量被黑客入侵的計算機,它們都可以被命令嘗試訪問單個網站,從而通過一波網絡流量將其關閉。隨著個人電腦越來越受到內置安全軟件的保護,黑客正在轉向物聯網設備,這些設備往往被忽視且不更新。Mirai僵尸網絡包是由羅格斯大學的一名學生編寫的,其傳播方式非常簡單而巧妙:它在互聯網上搜索具有開放telnet端口的設備,并嘗試使用包含61個默認用戶名和密碼的硬編碼列表登錄,該列表附帶各種物聯網設備。
事實證明,大量閉路電視攝像頭參加了一場大多數人都不知道的網絡戰爭:各種各樣的Minecraft服務器主機試圖讓對方離線,以竊取對方的客戶信息。具有諷刺意味的是,第一波Mirai攻擊的目標是銷售DDoS防護工具的網站。在幾天之內,Mirai源代碼就被發布到了網上,另一名網絡攻擊者利用它攻擊了Dyn。Dyn為一些游戲服務器以及數十個其他網站提供DNS服務。
2021:Parler背叛用戶
Parler是作為一個Twitter風格的網站推出的,其不干涉的審核政策迅速吸引了極右翼用戶的注意力,在2021年1月6日美國國會大廈的騷亂之后,在此期間,許多網絡攻擊者協調并記錄了他們在Parler上的活動——蘋果和谷歌從他們的商店中刪除了該應用程序,亞馬遜公司將其從AWS服務器上關閉。
一個名為donk_enby的黑客試圖在Parler完全關閉之前盡可能多地保留數據,而Parler的安全態勢使這項任務變得異常容易。目前尚不清楚Parler的API是否根本沒有身份驗證,或者只是很容易繞過身份驗證,但donk_enby能夠在AWS關閉之前使用它抓取Parler的99%的內容。事實證明,刪除功能實際上并沒有起作用(內容被標記為已刪除,但實際上并未從數據庫中刪除),并且原始數據沒有從圖像或視頻內容中清除(其中大部分記錄了在前述國會大廈襲擊中犯下罪行的襲擊者)。
2021年:Colonial Pipeline公司經歷一場復雜且混亂的危機
2021年,負責在美國東海岸銷售多達45%的汽油和其他燃料的燃油供應商Colonial Pipeline公司遭到勒索軟件攻擊并中斷運營了六天的時間,導致天然氣短缺的連鎖反應和價格飆升。Colonial Pipeline公司在遭遇勒索軟件攻擊之后立即關閉了運行管道本身的操作系統。
然而問題得到解決之后,更多細節浮出水面,內部人士透露,勒索軟件根本沒有影響物理系統;與其相反,它攻擊了Colonial Pipeline公司的計費系統。換句話說,雖然Colonial Pipeline公司能夠提供燃料,但它無法向用戶收取費用,從該公司的角度來看,這種結果同樣很糟糕。在那個混亂一周的時間中,很多用戶無法加油。該事件最終說明了運營技術和信息技術的相互依存關系,以及復雜系統如何具有許多潛在的故障點,這些潛在的故障點是不容易被發覺的。
