9月5日,2022年國家網絡安全宣傳周啟動,來自國家計算機病毒應急進行中心和360釋出的調查報告顯示,美國國家安全局(NSA)下屬的特定入侵行動辦公室(TAO)多年來對大陸國内的網絡目标實施了上萬次的惡意網絡攻擊,控制了相關網絡裝置,疑似竊取了高價值資料,其中就包括4月對西北工業大學(以下簡稱“西工大”)的網絡攻擊。近年來,國家針對個人資訊保護和政企網絡安全保護出台了多部法律法規,倡導全民關注。面對看不見的網絡安全防線,普通使用者應該如何保護個人資訊,除了要關注傳統的電信、網絡安全保護,還有哪些場景存在網絡安全風險?
國家網絡安全宣傳周啟動
9月5日-11日,中央宣布部、中央網信辦等聯合在全國範圍内統一舉辦2022年國家網絡安全宣傳周,主題是“網絡安全為人民,網絡安全靠人民”。安全周期間,全國各省(區、市)統一組織本行政區内的網絡安全宣傳周活動,各有關中央部門、人民團體組織指導本系統本行業的活動,其中包括網絡安全教育雲課堂、網絡安全賽事、網絡安全進基層,另外,網安周期間還将安排校園日、電信日、法治日、金融日、青少年日、個人資訊保護日等主題日活動。
國家網絡安全宣傳周啟動當天,相關話題均登上微網誌、百度熱搜。當天挂在熱搜上的還有西工大遭網絡安全攻擊事件。
根據360等釋出的“關于西工大發現美國NSA網絡攻擊調查報告”,6月22日,西工大釋出《公開聲明》稱,該校遭受境外網絡攻擊。陝西省西安市警察局碑林分局随即釋出《警情通報》,證明在西工大的資訊網絡中發現了多款源于境外的木馬程式樣本,西安警方已對此正式立案調查。初步判明相關攻擊活動源自美國(NSA)的TAO。
“360主要通過多年積累的海量安全大資料,以及獨立捕獲大量進階複雜的攻擊程式樣本,對美國NSA攻擊事件進行了追蹤分析,還原了相關攻擊事件的總體概貌、技術特征、攻擊武器、攻擊路徑和攻擊源頭”,360安全專家邊亮告訴北京商報記者。
調查發現,近年,美國NSA下屬TAO對中國國内的網絡目标實施了上萬次的惡意網絡攻擊,控制了數以萬計的網絡裝置,包括:網絡伺服器、上網終端、網絡交換機、電話交換機、路由器、防火牆等,竊取了超過140GB的高價值資料。
網絡攻擊事件非個例
對于西工大遭到美國國家安全局網絡攻擊一事,外交部發言人在9月5日舉行的中國外交部例行記者會上表示,中方對此強烈譴責。美國應立即停止對他國進行竊密和攻擊,為維護網絡安全作出建設性作用。外交部發言人毛甯指出,中方堅決反對任何形式的網絡攻擊。維護網絡安全是國際社會共同責任,願同國際社會一道,攜手建構網絡空間命運共同體。
根據調查報告,美國NSA還利用其控制的網絡攻擊武器平台、“零日漏洞”(0day)和網絡裝置,長期對中國的手機使用者進行無差别的語音監聽,非法竊取手機使用者的短信内容,并對其進行無線定位。
事實上,2020年360曾公開披露,美國中央情報局CIA攻擊組織(APT-C-39)對大陸進行長達十一年的網絡攻擊滲透。在此期間,大陸航空航天、科研機構、石油行業、大型網際網路公司以及政府機構等多個機關均遭到不同程度的攻擊。
2022年3月,360獨家披露了美國國家安全局NSA(APT-C-40)為達到美國政府情報收集目的,針對全球發起大規模網絡攻擊,其中大陸是NSA組織的重點攻擊目标之一。攻擊對象包括政府、金融、科研院所、軍工、航空航天、醫療行業等重要基礎設施,潛伏滲透的時間長達近十年。
邊亮告訴北京商報記者,“截至今年,360已累計發現了50個其他國家背景的APT(進階持續性威脅)組織,監測到5200多起針對中國的國家級網絡攻擊行為。2022年上半年,360捕獲到對中國地區發起攻擊涉及的組織12個”。
個人資訊安全保護口訣:會識别、關權限、安裝反詐App
由于越來越多的網站、App要求使用者必須實名注冊和登入,這使普通網民對個人資訊安全保護的關注度越來越高。
國家相關部門也已釋出《網絡安全法》《資料安全法》《個人資訊保護法》等多項法律法規。自2021年11月1日施行《個人資訊保護法》規定,在取得個人的同意;為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;為履行法定職責或者法定義務所必需等情況下,個人資訊處理者方可處理個人資訊。基于個人同意處理個人資訊的,個人有權撤回其同意。個人資訊處理者應當提供便捷的撤回同意的方式。
作為普通使用者,應該怎樣防範不必要的個人資訊洩露?奇安信行業安全研究中心主任裴智勇向北京商報記者總結了三項能力:“一是要掌握一定的詐騙資訊識别能力,努力避免通過電話、短信、郵件、社交軟體或釣魚網站,向陌生人洩露自己的個人資訊;二是要學會使用智能手機的權限管理功能,關閉App非必要的個人資訊擷取權限,最大限度地保護個人資訊不被商家過度擷取;三是安裝國家反詐中心App或全民反詐App,安裝手機安全軟體,減少惡意軟體或詐騙電話攻擊的風險”。
作為政企機構,特别是經營業務本身涉及大量公民個人資訊的政企機構,如網際網路企業、有關政府部門、社會組織,以及金融、能源等社會服務型行業機構,裴智勇的建議是:“需要把使用者的或服務管理對象的個人資訊保護工作,作為網絡安全工作的重點來抓,從業務設計、系統開發、資料梳理等多個方面,全面加強資料安全的建設與運維,既要防外賊,又要防内窺;既要防洩露,又要防勒索;既要做好資料加密,又要做好資料災備。”
那些網絡安全風險新場景
除了從攻擊對象出發關注網絡安全問題,網絡安全場景也有新的變化,其中智能汽車安全是個典型。
根據相關資料,2016年到2020年,全球圍繞汽車網絡安全方面發生的事件數量增長了近10倍,IDC資料顯示,2020年全球智能網聯汽車出貨量4440萬輛,到2024年全球智能網聯汽車出貨量将達到約7620萬輛,全球出貨的新車中超過71%将搭載智能網聯系統。2021年特斯拉全球伺服器當機導緻車主無法通過App 解鎖車輛事件,将智能汽車網絡安全問題推上風口浪尖。
一般來說,車主通過鑰匙、手機App即可進行車輛解鎖、遠端啟動等操作。但安恒資訊研究人員發現,通過破解,隻要知道這個車架号,即可擷取車輛的控制權限,在不需要鑰匙的情況下,即可開關車門、開關後備箱等。
安恒資訊總經理吳卓群告訴北京商報記者,“車輛被控制後,可以在不知情的情況下安裝惡意程式。不法分子可以植入一個惡意二維碼,冒充綁定系統。一旦不小心掃碼,就會洩露手機号碼等個人資訊”。
以行車記錄儀為例,行車記錄儀具備錄音、錄像等功能,也存儲着大量隐私資料。安恒資訊研究人員發現,部分行車記錄儀也存在着漏洞,行車記錄儀在啟動時會釋放一個WiFi熱點(預設無密碼),當該熱點被惡意攻擊者接入時,就可以通路行車記錄儀的一些服務。按正常流程這些服務需要擷取到行車記錄儀的授權(如登入賬号密碼或App認證)才可以通路,但惡意攻擊者可以通過行車記錄儀的安全漏洞進行未授權通路,檢視目前行車記錄儀的實時視訊,還可以擷取行車記錄儀系統内部存儲的曆史視訊,比如行車軌迹、甚至于車内交流的聲音等等,危害到行車記錄儀車主的個人隐私。
針對車聯網存在的安全風險,吳卓群向車主建議:“1、要及時進行系統更新;2、不使用時,盡量關閉電源,關閉不必要的藍牙、WiFi等功能,設定強密碼并定期修改密碼。我們也呼籲車企,能夠加強車主的資料安全保護。”
北京商報記者 魏蔚
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)