十大安全事件
一、維護網路安全首次列入政府工作報告
2月27日,中央網路安全和信息化領導小組宣告成立,在北京召開了第一次會議。中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長,李克強、劉雲山任副組長,再次體現了中國最高層全面深化改革、加強頂層設計的意志,顯示出在保障網路安全、維護國家利益、推動信息化發展的決心。而3月6日播出的央視晚間新聞《據說兩會》欄目,向全國觀眾介紹了當前我國所處的網路安全形勢,以及政府工作報告首次將維護網路安全列入的信息,維護網路安全是關乎國家安全和發展的重大戰略問題。
二、微軟XP停服影響70%中國電腦
2014年4月,微軟正式停止為Windows XP提供安全更新,服役13年的WindowsXP系統就此“退休”。但是在中國,Windows XP的市場份額仍高達70%,用戶量超2億。“後XP時代”的信息安全廣受關注。為檢驗國內安全軟體的防護能力,一場“XP挑戰賽”在清明節激烈上演,開賽僅57秒,騰訊電腦管家就被黑客攻破;1分53秒,金山毒霸也宣告失守。360安全衛士XP盾甲則堅守13小時無人能破,也因此在XP安全市場競爭中占得先機。
三、首屆網路安全周在京召開
11月24日,以“共建網路安全,共享網路文明”為主題的首屆國家網路安全宣傳周在北京召開。此次網路安全宣傳周是我國第一次舉辦全國範圍的網路安全主題宣傳活動,不僅國家有關職能部門共同參與主辦,各省、自治區、直轄市也將同期舉辦相關主題活動。宣傳周圍繞網路釣魚、電信詐欺、網上謠言等關係公眾切身利益的常見網路安全風險,普及網路安全知識和基本的網路安全防護技能。今後,國家網路安全宣傳周將於每年11月最後一周舉行。
四、中國團隊“盤古”首家完美越獄iOS7.1.1
6月23日,國內越獄團隊盤古團隊正式發布全球首個 iOS7.1.1完美越獄工具,名字確定為“盤古”。自從蘋果發布iOS7.1.1更新以來,先後有i0n1c、winocm等國外大神宣稱成功越獄了iOS7.1.1,但他們都是“只發圖或視頻不發工具”,讓眾多果粉失望。而“盤古”不僅是首個國內開發的iOS越獄工具,同時也是iOS 7.1.1版本的全球首個完美越獄工具,向世界證明了中國越獄團隊的實力。
五、OpenSSL爆“心臟出血”漏洞
4月8日,OpenSSL爆出本年度最知名的安全漏洞Heartbleed,被形象地形容為致命的“心臟出血”。利用該漏洞,黑客坐在自己家裡電腦前,就可以實時獲取約30%的https開頭網址的用戶登錄賬號密碼,其中包括網民最常用的購物、網銀、社交、門戶、微博、微信、信箱等知名網站和服務,影響至少兩億中國網民。OpenSSL的“心臟出血”再一次把網路安全問題推到了公眾面前。
六、安卓平台首現“不死”木馬
1月25日,央視新聞頻道曝光了全球首個安卓手機木馬“不死木馬”(oldboot)。它會偷偷下載大量色情軟體,造成話費損失,國內感染超過50萬部手機。與以往所有木馬不同的是,該木馬被寫入手機磁碟引導區,全球任何防毒軟體均無法徹底將其清除,即使可以暫時查殺,但在手機重啟後,木馬又會“復活”。隨著“不死”木馬的發現,其背後專門製造木馬、刷入木馬的黑色產業鏈也浮出水面。
七、SyScan360首破特斯拉智慧型汽車
7月16日,SyScan360國際前瞻信息安全會議啟動了全球首個智慧型汽車破解挑戰賽——特斯拉破解大賽,近20位安全技術愛好者經歷了長達24小時的挑戰,最年輕的一組挑戰者是浙江大學的2位在校學生。參賽選手們圍繞特斯拉系統的瀏覽器、手機APP和智慧型引擎系統持續了三輪的模擬入侵。360網路攻防實驗室的安全專家也現場演示了已經發現並提交給特斯拉的應用程式系統漏洞,重現了該漏洞的安全隱患,成功利用電腦實現了遠程開鎖、鳴笛、閃燈、開啟天窗等操作。
八、1·21中國網際網路DNS大劫難
1月21日下午3點10分左右,國內通用頂級域的根伺服器忽然出現異常,導致眾多知名網站出現DNS解析故障,用戶無法正常訪問。雖然國內訪問根伺服器很快恢復,但由於DNS快取問題,部分地區用戶“斷網”現象仍將持續數個小時,至少有2/3的國區域網路站受到影響。微博調查顯示,“1·21全國DNS大劫難”影響空前。事故發生期間,超過85%的用戶遭遇了DNS故障,引發網速變慢和打不開網站的情況。
九、手機木馬“XX神器”七夕節爆發
8月2日七夕當天,一款名為“XX神器”的安卓系統手機病毒在全國範圍蔓延。該手機木馬通過手機簡訊“XXX(簡訊接收者姓名)看這個:http://cdn……XXshenqi.apk”傳播,一旦點擊後手機就會中招,木馬不僅會竊取手機通訊錄和簡訊內容,還會自動給通訊錄中的號碼發生病毒簡訊,不斷擴大傳播範圍,最終導致手機因傳送大量簡訊而欠費停機。據統計,超過百萬用戶感染“XX神器”,一度引起恐慌,被業界稱為有史以來最大規模的手機木馬。
十、政府採購國產安全軟體
隨著全社會對信息安全的日益關注,國家層面也開始有針對性地在信息安全相關的軟體和硬體領域進行更為嚴格的把關,將有可能涉及信息安全的威脅“拒之門外”。中央國家機關政府採購中心正式公布了2014年防毒軟體類產品採購名單,360、金山、冠群金辰、江民科技和瑞星5個國產品牌入選,而一直在國內政府採購中榜上有名的俄羅斯卡巴斯基和美國防毒軟體供應商賽門鐵克則被排除在安全軟體供應商之外。這一舉措意味著我國政府開始正視信息安全長期依賴國外技術的現象,國產安全軟體將迎來新的機遇。
2014年網際網路安全狀況總結
2014年2月27日,中央成立了網路安全和信息化領導小組,習總書記任組長,並發表重要講話,強調“沒有網路安全,就沒有國家安全;沒有信息化,就沒有現代化。”顯示出最高層保障網路安全、維護國家利益、推送信息化發展的決心。網路安全和信息化建設已經上升為國家重大戰略。同時,習主席第一次系統、完整地提出了中國的網際網路治理觀。通過一系列舉措加快國區域網路絡空間法治化進程,並且通過巴西會議、首屆世界網際網路大會、中美網際網路對話等面向全球發出聲音。
2014年,也是中國網際網路歷史上有特別意義的一年。既是中國網際網路20周年的日子,也是全球網民數量突破30億的一年。中國移動網際網路用戶第一次超過PC用戶,中國網際網路第一次誕生出3000億美元的網際網路巨頭。展現網路大國邁向網路強國的良好態勢。
然而,2014年網際網路上大大小小的個人信息泄露事件頻發,信息安全問題比以往任何一個年份都更為突出。過去的2014年都是數據泄密的高發持續增長期,使用失竊賬戶密碼依然是非法獲取信息的最主要途徑,而這裡面三分之二的數據泄露都與漏洞或失竊密碼有關。網民的信箱、微博、遊戲、網上支付、購物等賬號信息成為網路犯罪分子眼中的“搖錢樹”,個人信息倒賣產業鏈已形成規模。同時,2014年也是多個網際網路嚴重漏洞集中爆發的一年,如OpenSSL的心臟出血(Heartbleed)漏洞、OpenSSL3.0的貴賓犬漏洞、BashShellshock破殼、IE的0Day漏洞、Struts漏洞、Flash漏洞、Linux核心漏洞、Synaptics觸摸板驅動漏洞、USBbad等重大漏洞先後曝光,受影響的網站、作業系統、硬體設備範圍之廣、之深,聞所未聞。
2014年我們所知的所有網路攻擊,實際上還只是冰山一角,未來的網路空間將出現更多錯綜複雜、有組織性甚至是由敵對國家發起的網路襲擊。APT攻擊事件目前趨於爆發式增長,有些黑客秘密潛入重要系統竊取重要情報,而且這些網路間諜行動往往針對國家重要的基礎設施和單位進行,包括能源、電力、金融、國防等;有些則屬於商業黑客犯罪團伙入侵企業網路,蒐集一切有商業價值的信息。
盤點了2014年發生在全球的熱點網際網路信息安全事件,以及全年網際網路網路漏洞與網站安全分析整理,希望能給我們的國家、機構、組織、企業,還有人民帶來安全意識的啟發,敲響網路信息安全的警鐘。
