2011年資訊安全回顧

過去一年的資訊安全威脅正在不斷増加，我們現在總結和回顧一下，希望可以從中學習和裝備自己迎接明年的新挑戰。

1. 網絡攻擊的新動機

自2005年以來，網絡攻擊的主要動機是和金錢有關。攻擊者主要是網絡罪犯，控制數以百萬部被的感染電腦（殭屍網絡）去賺錢。

到了2011年，以下兩種新的攻擊動機變得更加普遍，第一種是hacktivism和第二種是針對重要基礎設施的攻擊。

Hacktivists 是一些有國際性聯繫的激進分子，他們透過入侵網絡去廣為宣傳他們的不滿。Anonymous和Lulsec就是 hacktivist群體中典型的例子。在2011年1月，Anonymous對亞馬遜和其他抵制Wikileaks的公司發起分佈式拒絕服務 (DDoS)攻擊以表達不滿， Lulsec亦針對性對 SONY¹，世嘉，中央情報局，和英國的嚴重有組織犯罪局作出網絡攻擊。他們的目的是竊取和洩露任何政府和著名的機構（如銀行）的機密信息。由於他們的高調攻擊，兩個組織的一些成員在2011年被逮捕。然而，他們己樹立了hacktivism的榜樣。

Stuxnet 是一種在2010年發現比較複雜的電腦蠕蟲病毒，據報它曾滲入伊朗的核電廠和造成混亂。 2011年10月，類似Stuxnet的蠕蟲病毒 Duqu被發現。其後研究人員證實了Duqu與Stuxnet是有關連的。Stuxnet和Duqu是專門針對監控和數據採集系統（SCADA）和重要基 礎設施系統的漏洞進行攻擊。² 其複雜性和能夠使用被盜的電子證書，標誌着背後策劃人的專業水平和組織性。這些威脅已上升到國家級別，有些人甚至認為這些攻擊是某些國家發動，而我們現在正處於網絡戰爭的前夕。

互聯網信任的重要基礎設施在2011年亦受到挑戰。今年有十多間國際電子核證機關的系統被入侵。導致由這些電子核證機關簽發的有關電子證書不被信任，這事故影響到500多個網站，包括谷歌，微軟和其他機構。³

2. 殭屍網絡
   
   殭屍網絡仍然是DDoS攻擊，網絡釣魚，惡意軟件託管和垃圾郵件的發射平台。它們使網絡犯罪成為一種可訂購的服務，使互聯網的健康和安全有很大的影響。它們的規模和殭屍網絡的複雜性日漸增加。
   
   另一方面，我們看到在2011年一些殭屍網絡被關閉。執法機關，安全研究人員，電腦保安事故協調中心，軟件供應商一同合作，採取行動關閉了多個大型殭屍網絡的指揮和控制中心，如在三月關閉了Rustock，四月關閉了Coreflood和九月關閉了Kelihos。⁴  殭屍網絡被關閉，垃圾郵件的數量即發現大幅下降，顯示出大家同心協力的效果。當然，被感染的殭屍電腦仍然存在，正有待被發現。香港電腦保安事故協調中心和世界各地的電腦保安事故協調中心正在努力主動找出在香港而又被感染的電腦，協助事主進行清理。

3. 香港發生的網絡攻擊

香港最受關注的網絡攻擊是今年八月香港聯合交易所有限公司的新聞網站受到DDoS攻擊。導致該網站服務中斷及七隻股票的交易暫停。⁵ 有人認為該攻擊背後是有組織策劃的。

釣魚攻擊繼續快速增長，黑客偽裝金融機構發出電子郵件或短訊給用戶，引誘他們連結到虚假網站輸入他們的帳戶資料，騙取用戶的個人資料如用戶名和密碼。今年香港金融管理局公布多達十餘宗釣魚郵件和欺詐銀行網站的案件。⁶

根據第三方資料來源Zone-H的統計，今年有超過一千多個香港的網站被黒客入侵篡改。⁷

在七月和八月，有大規模的代碼注入攻擊，針對一個名叫osCommerce的網上購物車應用軟體程式。香港電腦保安事故協調中心透過使用谷歌搜索器找到在香港超過 45,000個網頁懷疑被感染。被感染的網站的注入碼會引導到訪者去載有惡意程式的網站。

4. 資料外洩和隱私問題

去年因Foxy軟件和遺失或被竊USB存儲裝置所引致的資料外洩事故，使公眾開始關注資料外洩和隱私問題。因為社交網站和移動應用程式日益普及下，這些問題愈來愈多人擔憂。
 

在2011年，仍然有很多公共和私人機構有資料外洩的事件。雖然我們看到很多機在構訂立指引和意識教育推廣方面下了不少苦功，但相信大家仍然需要更多的持續努力。至於一度流行的Foxy軟件被台灣法院下令停止運作。⁸ 然而，Foxy簡體中文和英文版本的下載網站仍然有效。

5. 惡意程式

今 年的移動惡意程式明顯增加，由於官方Android Market缺乏檢查機制，所以移動惡意程式特別是針對 Android系統。惡意軟件能感染智能手機和掌上平板等移動設備。惡意程式入侵移動設備後會收集的個人信息，並通過短信發送到攻擊者。幸好當谷歌在 Android Market上發現惡意程式時，會馬上刪除它和暫停相關的開發人員帳戶。⁹

個人電腦方面，虛假安全軟件仍然很猖獗。這類型的惡意軟件偽裝成合法軟件，以幫助用戶保護電腦系統為名誘使用戸安裝。其實它在電腦系統上安裝惡意軟件，竊取個人資料或破壞用戸的電腦系統。¹⁰

6. 雲端計算

今年雲端計算是一個非常熱門的話題，它除了為用戶和中小企業提供更低的成本和靈活性，亦為網絡犯罪打開了一個容易進行的渠道。雲端服務的持續可用性和保密性成為用戶最關心的問題。

攻擊者正在使用雲端作為存放惡意軟件和拆解密碼的平台。同樣地，在2011年雲端計算安全漏洞也受到攻擊。

• 亞馬遜雲端網站服務中的漏洞被發現，讓黑客控制整個系統。¹¹

• Dropbox的安全漏洞，令用戶的雲端資料完全沒有保護下，被其他用戶讀取。¹²

參考

1.   Sony Hacked Again, 1 Million Passwords Exposed

http://www.informationweek.com/news/security/attacks/229900111

Sega says 1.3 million users affected by cyber attack

http://www.reuters.com/article/2011/06/19/us-sega-hackers-idUSL3E7HJ01520110619

2.   U.S. probes cyber attack on water system

http://www.reuters.com/article/2011/11/21/us-cybersecurity-attack-idUSTRE7AH2C320111121

Two-thirds of energy firms at risk from Stuxnet-like Scada attack

http://www.v3.co.uk/v3-uk/news/2041556/-thirds-energy-firms-risk-stuxnet-scada-attack

US CERT warns of critical bug in industrial facilities' systems

http://www.theregister.co.uk/2011/05/12/critical_iconics_scada_bug/

SCADA manufacturers infected by new malware Duqu

http://www.theregister.co.uk/2011/10/18/son_of_stuxnet_disclovered/

http://www.zdnet.com/blog/security/stuxnet-20-researchers-find-new-cyber-surveillance-malware-threat/9647

http://www.v3.co.uk/v3-uk/news/2118124/focus-2011-mcafee-dissects-duqu-targeted-attack

3.   Certificate Authority Breached in 2011

http://paulsparrows.wordpress.com/2011/12/10/another-certification-authority-breached-the-12th/

The impact of Diginotar on Certificate Authorities and trust

http://isc.sans.edu/diary.html?storyid=11560

4.   MS claims credit for Rustock botnet takedown

http://www.theregister.co.uk/2011/03/18/ms_claims_credit_for_rustock_botnet_takedown/

FBI and Justice Department shut down Coreflood botnet

http://www.v3.co.uk/v3-uk/news/2043377/fbi-doj-raid-datacentres-shut-coreflood-botnet

5.   Hack on Hong Kong Stock Exchange disrupts trading

http://www.theregister.co.uk/2011/08/10/hong_kong_stock_exchange_hack/

Ming Pao Finance News

http://www.mpfinance.com/htm/Finance/20110812/News/ea_gaa1.htm

Hong Kong stock exchange (HKEx) website hacked, impacts trades

http://nakedsecurity.sophos.com/2011/08/10/hong-kong-stock-exchange-hkex-website-hacked-impacts-trades/

6.   香港金融管理局新聞稿

http://www.hkma.gov.hk/chi/key-information/press-releases/2011/

7.   Zone-H

http://www.zone-h.org/archive/filter=1/domain=.hk/fulltext=1/page=50

8.   Yahoo News

http://hk.news.yahoo.com/%E7%94%A8%E6%88%B6%E6%B3%84%E5%AF%86%E5%A4%B1%E6%8E%A7-foxy%E8%A2%AB%E5%8B%92%E4%BB%A4-%E9%97%9C%E9%96%80-223000978.html

Foxy engine shut down by Taiwanese court

http://law.lexisnexis.com/webcenters/hk/Asia-Legal-News/Foxy-engine-shut-down-by-Taiwanese-court

9. Trend Micro: A Chinese Android malware operated under blog control

http://www.theregister.co.uk/2011/10/06/trend_discovers_more_android_malware/

Google's Android wears big bulls eye for mobile malware

http://www.zdnet.com/blog/btl/googles-android-wears-big-bulls-eye-for-mobile-malware/45733 

http://www.zdnet.com/blog/open-source/google-kind-of-sort-of-addresses-android-malware/8409

More Malware Found in Official Android Market

http://www.esecurityplanet.com/mobile-security/more-malware-found-in-official-android-market.html

10. Rogue Antivirus security threat

http://www.microsoft.com/security/pc-security/antivirus-rogue.aspx

11. Crypto boffins uncover rogue task risk on Amazon cloud

http://www.theregister.co.uk/2011/10/27/cloud_security/

12. Drop box web interface was WIDE OPEN for some time yesterday

http://forums.dropbox.com/topic.php?id=40113

Dropbox Security Breach Highlights Cloud Risks

http://www.softwaretechadvocate.com/blog/archives/40