3)用户身份认证授权管理系统的安全漏洞。在所有的云服务包括每个云服务的管理界面,都需要针对用户的身份管理、认证、授权和审计,确保“合法”的用户访问正确的服务器,在这种情况下,薄弱的用户验证机制,或者是单因素的用户密码验证很可能产生安全隐患。同时,针对公有云服务而言,按需的自助服务是其重要的特征,而这意味着云服务商需要提供一个自助服务管理门户,便于用户进行身份认证及访问权限管理。此时,认证管理系统本身的安全漏洞将导致各种未经授权的“合法“访问。一旦发生这种未经授权访问,黑客完全可以借助HTTPS加密等手段,逃避传统安全防护系统的检查,实现对用户后台数据的恶意访问。
社交网络的信息泄露安全
2011年,从索尼超过千万级别用户的个人信息和信用卡信息泄露,到年底国内以CSDN为代表的超过600万互联网用户的账号密码泄露,信息安全泄露在这一年成为了网民关注的焦点。数量庞大的网民一夜之间发现互联网的安全风险就在自己身边。黑客产业链也认识到大规模互联网用户信息的价值,除了常规的SQL注入等手段实现对企业关键数据库的信息窃取之外,针对社交网络或游戏类服务商保存的用户私密信息的窃取,将成为2012年的黑客兴趣所在。在黑客的眼中,社交网络的账号信息和用户的信用卡一样具备吸引力,黑客产业链中甚至不乏专门活跃在各种论坛中进行社交网络账号信息交易的罪犯,只要获取了规模的用户私密信息,就可以价值最大化的谋取经济利益。尤其是社交网络集聚了相互信任的亲朋好友,如果黑客成功登陆了你的社交网络账号,便可以轻易的对用户的好友实现经济欺诈。从技术实现的角度,黑客第一步仍然需要通过诸如SQL注入等方式突破社交网络服务商的关键数据库并获取完全读取权限。因此针对知名社交网络服务商的关键数据库应用的安全漏洞分析和挖掘,应该重点关注。
移动智能终端的安全
移动互联网的市场正在快速扩大,以苹果和谷歌为代表的移动操作系统智能终端也在快速流行。根据Gartner预测,截至目前全球已经有超过4亿的智能终端互联网用户,而国内三大运营商的3G智能终端互联网用户也已经达到千万级别。如此庞大的用户规模势必带来潜在的互联网安全风险,如手机被植入恶意代码导致进行恶意流量下载,恶意电话拨号产生高额电话费,或者是通过窃取用户手机聊天工具和网上支付的机密信息获取经济利益,从而对移动用户的互联网安全产生严重危害。
从另外一个角度看,现阶段移动智能终端大量的特色应用,如苹果或安卓应用商店,苹果的icloud云共享服务,客观上更加刺激了黑客对移动互联网安全的兴趣。黑客可以通过发布带有恶意代码的应用程序侵入用户智能终端,一旦拿到用户在苹果云中的ID和登录密码后,将轻易窃取到用户在云中共享的各种数据并从中牟利。2011年3月份,由于发现了恶意应用,Google被迫从其安卓应用商店下架了大约50个应用。同时苹果在2011年也发布了数十个危害严重的涉及到iPhone和IPad的安全漏洞。2012年针对移动智能终端操作系统的安全漏洞分析、以及针对移动应用商店应用程序的恶意代码检测,仍然是安全研究的工作重点。
APT高持续性安全攻击
APT(Advanced Persistent Threat),顾名思义就是一种高级持续性攻击,这种攻击的攻击者有明确的攻击目标,攻击行为通常持续较长的时间,部分攻击可能存在数天或者是数月。在设定攻击目标后,黑客往往通过多种手段包括社会工程学的方式,逐步获取目标组织内部的傀儡机权限并作为跳板,在多个不同的时间段轮番进行攻击。在这个过程中,包括零日漏洞、钓鱼垃圾邮件、SQL注入等技术手段常常被利用,入侵之后,黑客往往通过压缩或SSL加密等技术手段将数据传送到后端,以避开企业内部的常规安全防护系统的检查。典型攻击如2011年3月,RSA公司部分SecureID技术和重要客户的信息被窃取,导致很多使用RSA SecureID作为认证凭证的客户网络,如洛克希德马丁公司,遭到攻击且资料被盗。在这次攻击事件中,黑客向RSA的部分员工发送了暗藏Adobe flash 0day漏洞(CVE-2011-0609)的电子邮件,有员工点击该Email并导致其机器被注入恶意代码,从而使得远程攻击主机通过指令控制该傀儡机并入侵RSA的开发服务器(Staging Server)。预计在2012年,该类型的安全攻击将持续存在并更加具有目的性,针对APT的安全研究将为企业的攻击检测和防护提供参考。
