2013年的重要安全故事

回顾过去，2013年就像过山车一样，我们每隔几周就会从好消息到坏消息不断走：数据泄露，隐私，网络间谍，政府间谍，先进的恶意软件，大量逮捕，改进的安全功能等。

一年中最大的故事（或更确切地说，一系列故事）围绕着前国家安全局承包商承包商爱德华•斯诺登（Edward Snowden）偷走并向媒体发布的文件。 然而，这并不是2013年唯一的重大事件。一家安全公司首次明确提出了中国对美国企业进行间谍活动的明确案例，美国政府正式与中国政府讨论了这一问题。 执法部门取得了一些重大胜利，打破了一个大型的信用卡盗窃团伙，并逮捕了Blackhole Exploit Kit的创建者。 数据泄露仍在继续，但Experian的泄露突出了数据经纪人汇总个人信息的问题。 随着Google Glass用户走上街头，普通用户开始谈论在线隐私。 公司致力于采取更好的安全措施，例如对传输中的数据进行加密，实施两因素身份验证以及使其提供给政府的信息变得更加透明。

对于安全专业人员和个人而言，2013年是繁忙的一年。 这是对本年度重要安全故事的回顾，不分先后。

NSA秘密监视程序

除了NSA的启示，我们什么都填不上。 有关电话记录收集程序的最初文章令人震惊，但感觉每个后续的启示都比以前更具爆炸性。 该机构监视网络活动，监听来往Google和Yahoo数据中心的流量，拦截在电子设备中安装间谍软件和后门程序的货物，并据称窃听了其他国家和游戏玩家的头目。 尽管国家安全局局长基思·亚历山大（Keith Alexander）将军继续坚持该机构在其边界内行事，并谨慎维护公民自由，但改革的呼声越来越高。 一名保守的联邦法官在克莱曼诉奥巴马案中裁定，国会正在辩论如何解决国家安全局的问题，美国国家安全局的电话记录程序可能违反了第四修正案，白宫选定的独立小组建议国家安全局程序需要减少。

苹果公司的蒂姆·库克（Tim Cook），谷歌的埃里克·施密特（Eric Sc​​hmidt）和雅虎的玛丽莎·梅耶尔（Marissa Mayer）等一批科技巨头与总统巴拉克·奥巴马（Barack Obama）谈到了他们对国家安全局活动的担忧。 美国在线，苹果，Facebook，谷歌，LinkedIn，Twitter，雅虎和微软联合起来要求，尽管政府需要采取行动保护公民的安全，但“目前的法律和做法需要改革”。

越来越多的公司正在发布透明度报告，以披露他们将什么样的信息移交给政府，并且加密的电子邮件服务Lavabit被关闭，以避免不得不移交有关其用户的信息。 EMC的安全部门RSA目前正在捍卫自己的声誉，此前有路透社报道称，它已从NSA手中拿出1000万美元在其安全产品中推广了一种已泄露的加密算法。

中国中国

关于NSA活动的信息浪潮令我们非常着迷，以至于我们很容易忘记，我们从2013年开始就发布了爆炸性报告，概述了中国在网络间谍活动中的作用。 Mandiant的APT1报告是第一份明确的声明，清楚地阐明了来自中国的网络攻击者为打入美国企业和政府网络所做的一切。 该报告概述了这些攻击者如何窃取知识产权，安装后门以及损坏的系统。

报告发布后不久，许多政府官员就中国的活动发表了讲话。 五月份，五角大楼的《中国年度报告》直接指责该国政府针对美国的政府和军​​事袭击。 奥巴马总统甚至在与中国国家主席习近平会面时提出了指控。 中国政府甚至指责美国实质上在做同样的事情。 （对斯诺登有一点预兆吗？）

攻击媒体出口

媒体今年受到了攻击，《纽约时报》，《华盛顿邮报》和《华尔街日报》披露他们已经感染了复杂的恶意软件。 怀疑之指指向了中国。 叙利亚电子军大肆抨击洋葱，卫报和其他商店的Twitter帐户。 美联社推特账户上的假帖子“突破：白宫两次爆炸和巴拉克•奥巴马受伤”，甚至在股市上造成了一点点损失，道琼斯指数暂时下跌了140点。

SEA设法更改了该网站的域名系统设置的针对“纽约时报”网站的攻击突显出攻击者可以多么轻松地干扰Web操作。 这次攻击中的SEA甚至没有侵入网络-该小组通过鱼叉式网络钓鱼实现了此攻击。

专注于应用程序安全

《平价医疗法案》（Affordable Care Act）和医疗保健交流网站的推出将安全测试的重要性带到了最前沿。 安全专业人员知道在上线之前对应用程序进行安全问题测试的重要性，但是当时间紧迫而时间紧迫而无法按时交付产品时，安全性就会被淘汰。 在HealthCare.gov推出失败后发现的一些问题增加了攻击者将目标锁定该站点的可能性。 有报告说，个人在网站上看到属于其他用户的敏感信息。

遵循整个传奇的高管可能不会很快就在下次有重大应用程序部署时跳过安全测试。 还是我们希望如此。

分布式拒绝服务攻击

DDoS并不是新生事物，但是今年我们看到了两个重大发展。 DDoS经常用于金融场所，尤其是作为“阿巴比尔行动”的一部分，但攻击者将目标扩大到了其他行业。 一年中最大的攻击之一是三月份对Spamhaus的攻击，峰值达到300 Gbps。

重大网络犯罪逮捕

5月，美国纽约东区检察官5月宣布了一项涉及盗窃帐户信息的4500万美元的银行抢劫案。 据称，该团伙入侵了金融机构以窃取帐户信息，然后从自动柜员机中提取了数百万美元。

今年7月，美国新泽西州检察官指控另一个网络犯罪分子，因为该计算机违反了至少17家主要零售商，金融机构和付款处理商的计算机网络，以窃取超过1.6亿张信用卡和借记卡号码。 目标网络包括纳斯达克，7-11，Visa和JC Penney等。

俄罗斯当局声称已逮捕了黑洞漏洞利用工具包的创建者宝奇。 安全专家认为，随着这次逮捕，网络犯罪分子正在争先恐后地填补。 Websense的安全研究主管Alex Watson表示：“由于黑洞没有明确的继任者，网络犯罪团伙可能会在其他地方进行投资，以弥补由于较不复杂的恶意软件分发机制而造成的收入损失。”

水坑攻击

今年，水坑攻击非常普遍，黑客入侵网站以损害Facebook，Apple，Microsoft和Twitter等主要科技公司的员工，以及防御承包商和政府雇员。 这些水坑攻击利用了Internet Explorer，Java和其他常用技术中的零日漏洞。

还发现了针对亲藏维权人士的水坑袭击，袭击者针对的是讲汉语的人，他们访问了西藏中央政府和藏族房屋基金会，以及由东突厥斯坦伊斯兰协会维护的维吾尔网站。

益百利数据泄露

我们倾向于记住最后一次重大数据泄露，而忘记之前发生的所有其他事件。 虽然Target最近的数据泄露事件非常严重，但在假日购物季节，其中有近4000万借记卡和信用卡号被盗，但最可怕的涉及用户信息的数据泄露事件是Experian数据泄露事件。

益百利是买卖个人信息（社会安全号码，地址，银行帐户详细信息）的组织之一。 根据安全作家布莱恩·克雷布斯（Brian Krebs）的调查，这些信息被卖给了一个海外犯罪集团。 该漏洞还突显了这样一个事实，即许多基于知识的身份验证系统现在变得更加脆弱，在该系统中，人们通过说出自己拥有的汽车或以前住的地方来验证自己的身份。

人们唤醒在线隐私

当Google通过第一波Google Glass“探索者”展示可穿戴技术的未来时，人们感到非常震惊。 人们终于意识到面部识别的影响以及在线发布任何内容可能对其隐私造成的影响。 技术的未来是没有隐私的地方，还是可以从饭店和其他场所引来人们以保护隐私的未来？

我们已经展望了2014年，预测了新的攻击，国家互联网，在线支付，移动安全和物联网。 欢迎来到2014。这将是充满不确定性或胜利的一年吗？ 在新的一年里，随着我们关注安全的起伏，请坚持使用Security Watch。