常见信息安全威胁与经典案例

信息及信息系统由于具备脆弱性、敏感性、机密性、可传播等多种特性，其遭受到的威胁也可以来自各种场景和手段。

信息安全威胁现状

目前由于互联网越来越发达，信息的重要程度越来越高，信息安全的事件也层出不穷，如：

1. 2017年5 月 12 日晚8 时左右，WannaCry勒索软件全球爆发，存在漏洞的电脑开机上网就可被攻击
2. 2017年国内多款软件在升级更新时，遭遇网络流量劫持攻击，用户以为在升级，实际却把病毒安装到电脑上
3. 电信网络诈骗案件 90％ 以上是违法分子靠掌握公民详细信息进行的精准诈骗
4. 2018年2月，人气网游《最终幻想XIV》遭遇持续长达3小时的DDoS攻击
5. 2016年11月10日，俄罗斯五家主流大型银行遭遇长达两天的DDoS攻

网络战争的开端：“震网”病毒

震网病毒又名Stuxnet病毒，是一个席卷全球工业界的病毒。
作为世界上首个网络“超级破坏性武器”，Stuxnet的计算机病毒已经感染了全球超过 45000个网络，伊朗遭到的攻击最为严重，60%的个人电脑感染了这种病毒。计算机安防专家认为，该病毒是有史以来最高端的“蠕虫”病毒。蠕虫是一种典型的计算机病毒，它能自我复制，并将副本通过网络传输，任何一台个人电脑只要和染毒电脑相连，就会被感染。

震网（Stuxnet），指一种蠕虫病毒。它的复杂程度远超一般电脑黑客的能力。这种震网（Stuxnet）病毒于2010年6月首次被检测出来，是第一个专门定向攻击真实世界中基础（能源）设施的“蠕虫”病毒，比如核电站，水坝，国家电网。互联网安全专家对此表示担心。
“震网”病毒利用了微软视窗操作系统之前未被发现的4个漏洞。通常意义上的犯罪性黑客会利用这些漏洞盗取银行和信用卡信息来获取非法收入。而“震网”病毒不像一些恶意软件那样可以赚钱，它需要花钱研制。这是专家们相信“震网”病毒出自情报部门的一个原因。
据全球最大网络保安公司赛门铁克（Symantec）和微软（Microsoft）公司的研究，近60%的感染发生在伊朗，其次为印尼（约20%）和印度（约10%）， 阿塞拜疆、美国与巴基斯坦等地亦有小量个案。
由于“震网”感染的重灾区集中在伊朗境内。美国和以色列因此被怀疑是“震网”的发明人。
这种新病毒采取了多种先进技术，因此具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB接口，这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得一些工业用电脑系统的控制权。（在当时工控电脑的信息安全还未被注意到）

发现历史：

1. 2010年6月，“震网”病毒首次被发现，它被称为有史以来最复杂的网络武器，因为它悄然袭击伊朗核设施的手法极其阴险。
2. 2010年9月，瑞星公司监测到这个席卷全球工业界的病毒已经入侵中国。瑞星反病毒专家警告说，我国许多大型重要企业在安全制度上存在缺失，可能促进Stuxnet病毒在企业中的大规模传播。
3. 2010年12月15日，一位德国计算机高级顾问表示，“震网”计算机病毒令德黑兰的核计划拖后了两年。这个恶意软件2010年一再以伊朗核设施为目标，通过渗透进“视窗”（Windows）操作系统，并对其进行重新编程而造成破坏。
4. 2011年1月26日，俄罗斯常驻北约代表罗戈津表示，这种病毒可能给伊朗布什尔核电站造成严重影响，导致有毒的放射性物质泄漏，其危害将不亚于1986年发生的切尔诺贝利核电站事故。
5. 2011年2月，伊朗突然宣布暂时卸载首座核电站。此前业界表示伊朗只需一年就能拥有快速制造核武器的能力。而在遭受“震网”病毒攻击后，1/5的离心机报废。导致此项研究至少延迟两年。
6. 2012年6月1日的美国《纽约时报》报道，揭露“震网”病毒起源于2006年前后由美国前总统小布什启动的“奥运会计划”。2008年，奥巴马上任后下令加速该计划。
7. 2013年3月，中国解放军报报道，美国曾利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备，已经造成伊朗核电站推迟发电，目前国内已有近500万网民、及多个行业的领军企业遭此病毒攻击。 这种病毒可能是新时期电子战争中的一种武器。震网病毒，截止2011年，感染了全球超过45000个网络，60%的个人电脑感染了这种病毒。

信息安全攻击事件的演变

1. 攻击方式变化小

   攻击的方式仍然是我们所能看到的病毒、漏洞、钓鱼等，看起来似乎形式并无太大变化
   

2. 攻击的手段由单一变得复杂

   一次重大攻击往往需要精密的部署，长期的潜伏，以及多种攻击手段相结合以达到最终目的
   

3. 攻击目的多样化

   攻击的目标从个人电脑攻击到经济、政治、战争、能源，甚至影响着世界格局
   

安全威胁分类

• 网络安全威胁

   1. DDoS攻击
   2. 网络入侵等
  

• 应用安全威胁

   1. 操作系统漏洞
   2. 2. 病毒、木马、蠕虫
   3. 钓鱼网站
   4. 数据泄露等
  

• 数据传输与终端安全威胁

    1. 通信流量挟持
    2. 中间人攻击
    3. 未授权身份人员登录系统
    4. 无线网络安全薄弱等
  

网络安全威胁

案例

美国Dyn DNS服务遭受DDoS攻击

Dyn是DNS SaaS提供商，其核心业务就是为其用户管理托管DNS服务。DDoS攻击严重影响其DNS业务，导致客户网站无法访问。因其服务众多公司，造成的损害如星火燎原一般，影响极其恶劣。导致近半个美国陷入断网，涉及超过百家网站出现无法访问的情况，严重断网长达3小时，仅亚马逊一家损失就已达千万美元以上。

攻击的“肉鸡”主要是网络摄像机、数字硬盘录像机和智能路由器 （主要由物联网设备组成）。Mirai僵尸网络感染设备上百万 ，而在此次攻击中仅十分之一设备参与。
目前，互联网中存在着大量的僵尸主机和僵尸网络，在商业利益的驱使下，DDoS攻击已经成为互联网面临的重要安全威胁。

为什么使用物联网设备发动攻击？

1. 物联网设备一般没有密码或者密码简单，容易暴力破解
2. 目前物联网设备数量众多，数量大概在几十亿上百亿的水平，对攻击者来说是非常好的资源
3. 物联网设备难以检测是否被入侵

Mirai病毒发动攻击过程（DDos攻击过程）

• 寻找肉鸡：物联网设备通常默认开启telnet远程登录功能，方便管理员进行远程管理。攻击者可以通过IP地址扫描来发现存活的物联网设备，通过端口扫描来进一步判断物联网设备是否开启telnet服务。

• 组建僵尸网络：部分物联网设备使用者，会直接使用出厂密码，或者设置简单的密码（类似admin/123456的简单用户名/密码组合），这些密码很容易被攻击者暴力破解。当攻击者成功破解物联网设备的密码，并通过telnet登录成功后，接着在物联网设备上进行远程植入恶意软件Mirai，从而获得设备的绝对控制权。

  • 恶意软件对感染的设备拥有绝对控制权，除了利用设备发起DDoS攻击以外，还能够对设备本身的系统、业务、数据造成严重危害，比如能够篡改数据、窃取隐私、修改配置、删除文件等，并可能以此为跳板攻击核心业务系统。

• 加载攻击模块：攻击者在物联网设备上加载DNS DDoS攻击模块。

• 发起攻击：攻击者通过僵尸网络向美国Dyn DNS服务发起DDoS攻击，导致上百家网站出现无法访问的情况。

扫描

扫描是一种潜在的攻击行为，本身并不具有直接的破坏行为，通常是攻击者发动真正攻击前的网络探测行为。

扫描可以分为地址扫描和端口扫描：

• 地址扫描

  攻击者运用ICMP报文探测目标地址，或者使用TCP/UDP报文对一定地址发起连接，通过判断是否有应答报文，以确定哪些目标系统确实存活着并且连接在目标网络上。（如ping目的主机，若是能ping通则说明改目的地址主机存活在目标网络上）

• 端口扫描
  攻击者通过对端口进行扫描探寻被攻击对象目前开放的端口，以确定攻击方式。在端口扫描攻击中，攻击者通常使用Port Scan攻击软件，发起一系列TCP/UDP连接，根据应答报文判断主机是否使用这些端口提供服务。

获取控制权限

1. 攻击者可以通过密码暴力破解方式来获取控制权限

2. 也可以通过各种欺骗攻击来获取访问和控制权限，如IP欺骗攻击：

   攻击者通过向目标主机发送源IP地址伪造的报文，欺骗目标主机，从而获取更高的访问和控制权限。

IP欺骗是利用了主机之间的正常信任关系来发动的。基于IP地址的信任关系的主机之间将允许以IP地址为基础的验证，允许或者拒绝以IP地址为基础的存取服务。信任主机之间无需输入口令验证就可以直接登录。

lP欺骗攻击的整个步骤：

1. 首先使被信任主机的网络暂时瘫痪，以免对攻击造成干扰（若是想要获取B的权限，则需要先攻瘫B信任的主机A，如下图）
2. 然后连接到目标主机的某个端口来猜测序列号和增加规律
3. 接下来把源地址伪装成被信任主机，发送带有SYN标志的数据段请求连接
4. 然后等待目标机发送SYN+ACK包给已经瘫痪的主机
5. 最后再次伪装成被信任主机向目标机发送的ACK，此时发送的数据段带有预测的目标机的序列号+1
6. 连接建立，发送命令请求

发起DDoS攻击

DDos(Distributed Denial of Service)即分布式拒绝服务攻击，是典型的流量型攻击。

DDoS攻击是指攻击者通过各种手段，取得了网络上大量在线主机的控制权限。这些被控制的主机称为僵尸主机，攻击者和僵尸主机构成的网络称为僵尸网络。当被攻击目标确定后，攻击者控制僵尸主机向被攻击目标发送大量精心构造的攻击报文，造成被攻击者所在网络的链路拥塞、系统资源耗尽，从而使被攻击者产生拒绝向正常用户的请求提供服务的效果。

根据采用的攻击报文类型的不同，网络中目前存在多种DDoS攻击类型，主要有以下这几种常见的DDoS攻击：SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood等。

DDoS的目的：
- 耗尽网络带宽
- 耗尽服务器资源
- 使得服务器无法正常提供服务（瘫痪）

网络类攻击的防御手段

部署专业的防护设备：

• 防火墙：通过在大中型企业、数据中心等网络的内网出口处部署防火墙，可以防范各种常见的DDoS攻击，而且还可以对传统单包攻击进行有效地防范。

• AntiDDoS设备：Anti-DDoS解决方案，面向运营商、企业、数据中心、门户网站、在线游戏、在线视频、DNS域名服务等提供专业DDoS攻击防护。

应用安全威胁

案例

微博网站曾遭遇到一次蠕虫攻击侵袭，在不到一个小时的时间，超过3万用户受到该蠕虫的攻击。攻击过程如下：

漏洞

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

漏洞带来的威胁：

• 注入攻击（如SQL注入攻击）
• 跨站脚本攻击（Cross-site scripting，通常简称为XSS或跨站脚本或跨站脚本攻击）
• 恶意代码传播
• 数据泄露

常见攻击手段

钓鱼攻击

“钓鱼”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。

钓鱼网站的设计通常有两种方式：

1. 第一种以“中奖”等名义为诱饵，诱骗用户填写身份证号码、银行帐户等信息；
2. 第二种模仿银行在线支付、电子交易网站，骗取用户的银行卡信息或者在线支付账号密码。

整个过程如同钓鱼一般，这样的恶意网站也就被称作“钓鱼网站”。这样的钓鱼手法技术含量并不高，或者利用人们贪图便宜的心理上当受骗，或者利用部分网民防范欺诈意识的薄弱。人们一旦上当，或者个人隐私信息泄露并被贩卖，或者因为在网站上填写了银行账号信息，相应的资产会被立刻转走，追悔莫及。

恶意代码

病毒

攻击者利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染其他程序，能够破坏计算机系统，纂改、损坏业务数据。（简单的来说就是依附于其他程序的恶意代码）

特点：

• 需要宿主程序

木马

伪装成系统程序的恶意代码。通过一段特定的程序(木马程序)来控制另一台计算机。

特点：

• 很难发现，很难杀死。最好的方法就是重装系统
• 目的：获得目的主机的控制权限
• 木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客不仅可以窃取计算机上的重要信息，还可以对内网计算机破坏。

蠕虫

一种能够利用系统漏洞通过网络进行自我传播的恶意程序.

特点：

• 利用网络能够进行自我复制和自我传播，传染途径是通过网络和电子邮件。
• 主要危害：消耗主机资源，甚至破坏主机系统，造成主机拒绝服务；蠕虫传播造成的流量导致网络拥塞，甚至导致整个互联网瘫痪、失控。（威胁很大，大到能破坏一个国家的网络如：永恒之蓝Wanna Cry）

后门

指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。

特点：

• 一般在系统前期搭建或者维护的时候后门程序被安装
• 主要目的：窃取信息

间谍软件

一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件，搜集、使用、并散播企业员工的敏感信息，严重干扰企业的正常业务的恶意软件

特点：

• 伪装成终端信任的文件
• 悄无声息的安装在你的终端设备上

应用类攻击防御手段

• 定期修复漏洞

   1. 漏洞扫描
   2. 安装补丁
  

• 提高安全意识

    1. 对可疑网站、链接保持警觉
  

• 专业设备防护

    1. 防火墙（防火墙作为边界设备，可对用户的上网行为、网页及邮件病毒、非法应用程序等进行阻断，从而达到保护内网的作用）
    2. WAF（Web Application Firewall，Web应用防火墙。它是通过执行一系列针对HTTP/HTTPS的安全策略专门为Web应用提供保护的一款防护设备）
    3. 杀毒软件
  

数据传输与终端安全威胁

案例

用户通信遭监听

美国国家安全局（NSA）在云端监听Google（包括Gmail）和Yahoo用户的加密通信。NSA利用谷歌前端服务器做加解密的特点，绕过该设备，直接监听后端明文数据。

Tumblr用户信息遭泄露

轻博客网站Tumblr上超过半数的账号密码被黑客盗取。
黑客首先通过一定的方式侵入了Tumblr的服务器，获取了Tumblr用户信息。Tumblr曾发声因数据库信息加密，对用户不会造成影响。然而事实证明用户信息采用了较弱的算法，黑客获取到该加密的用户信息后，在较短时间内便破解了大量的用户信息。

通信过程中的主要威胁

1. 传输安全隐患

    1. 中间人攻击
    2. 数据传输未加密或加密程度不够
   

2. 终端安全隐患

    1. 服务器存在漏洞
    2. 用户使用弱密码
    3. 用户身份未经验证
   

中间人攻击

中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。中间人攻击主要的威胁是信息篡改和信息窃取

主要防御手段

1. 数字签名
2. 信息存储必须加密
3. 信息传输必须加密
4. 采用强加密算法
5. 安装正版杀毒软件
6. 采用高强度密码
7. 降低多密码之间的关联性