安全事件集锦（1）

国内外每年都会出现安全漏洞导致的严重的安全问题的报道，有些造成重大经济损失，有些造成信息泄漏。

 

1、斯诺登棱镜计划

泄露的文件中描述PRISM[prɪzəm]计划，能够对即时通信和既存资料进行深度的监听。许可的监听对象包括任何在美国以外地区使用参与计划公司服务的客户，或是任何与国外人士通信的美国公民。美国国家安全局在PRISM计划中可以获得的数据电子邮件、视频和语音交谈、影片、照片、VIP交谈内容、档案传输、登入通知，以及社交网络细节。

2、心脏滴血漏洞Heartbleed

这项严重缺陷(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容，这样一来受害者的内存内容就会以每次64KB的速度进行泄露。

3、Linux曝高危漏洞Crytsetup

Linux被发现高危漏洞(CVE-2016-4484)，长按Enter键70秒即可获取root权限.西班牙马克进行研究的对象是Crytsetup——一个允许用户通过LUKS（Linux统一密钥设置)来进行硬盘加密的工具，而漏洞就存在于Linux流行变体中的统一密钥设置(LUKS)中，可允许用户对密码进行多次试错。攻击者只需要按住Enter键大约70秒或更多就可以在重置密码提示之后访问该shell。

4、比特币病毒

勒索病毒名为WannaCry。该病毒大肆感染传播的最重要原因在于其利用了前段时间泄漏的NSA黑客工具包中的“永恒之蓝”0day漏洞(微软漏洞编号:MS17-101)，蠕虫主要通过445端口进行利用传播。

5、Therac-25事件

是在软件工程界被大量引用的案例。Therac-25是Atomic Energy of Canada Limited所生产的一种辐射治疗的机器。由于其软件设计时的瑕疵，致命地超过剂量设定导致在1985年6月到1987年1月之间，六件已知的医疗事故中，患者死亡或严重辐射灼伤。事后的调查发现整个软件系统没有经过充分的测试，而最初所做的Therac-25全分析报告中有关系统安全分析只考虑了系统硬件，没有把计算机故障（包括软件）所造成的隐患考虑在内。

6、莫里斯蠕虫

不是“借取资源”，而是“耗尽所有资源”。是通过互联网传播的第一种蠕虫病毒。它既是第一种蠕虫病毒，也是第一次得到主流媒体的强烈关注。它也是依据美国1986年的《计算机欺诈及滥用法案》而定罪的第一宗案件[1]。该蠕虫由康奈尔大学学生罗伯特·泰潘·莫里斯（Robert Tappan Morris）编写，于1988年11月2日从麻省理工学院（MIT）施放到互联网上。

7、日本卫星坠毁

2016年，日本宇宙航空研究开发机构（JAXA）正式宣布，无法恢复对X射线卫星“瞳”的操控，事故原因经初步调查源自底层软件错误。卫星的控制系统在发现飞行姿态失控时，采取了错误的调整，推进器点火时朝向了错误的反方向，导致自身旋转更加严重，最终彻底失控。

8、微信漏洞

2018年7月4日在国外安全社区seclists有一个署名叫Rose Jackcode的白帽子公布了微信支付sdk的一个严重的安全漏洞(xxe漏洞)。攻击者可以伪造一个恶意的回调数据请求(xml格式)，读取商户服务器上任意文件，甚至可以执行远程系统命令，导致商户服务器被入侵。

什么是xxe漏洞，xxe全称为XML External Entity attack，即XML外部实体漏洞。XML定义的外部实体可以载入本地或者远程的内容。

微信支付sdk受影响版本： WxPayAPI_JAVA_v3.zip （之前版本的应该也受影响）

 

9、勒索病毒

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密。除了病毒开发者本人，其他人是几乎不可能解密。加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。

 

10、Struts 病毒

Struts 框架是Apache基金会Jakarta项目组的一个 Open Source项目，它采用MVC模式，帮助 java 开发者利用J2EE开发Web应用。Struts 框架广泛应用于运营商、政府、金融行业的门户网站建设，作为网站开发的底层模板使用，目前大量开发者利用J2EE开发Web应用的时候都会利用这个框架。

 

Apache Struts2 框架在2010年被发现存在一个严重命令执行漏洞（CVE-2010-1870）。近期，一系列针对此漏洞的自动化检测、利用工具在网络上公开，大大降低了利用难度。目前大量使用Struts2框架编写的网站被发现受此漏洞影响，并已在互联网上公开，这可能造成这些网站被控制、敏感数据被泄漏。使用该框架的企业包括了很多知名企业，如：淘宝，京东，腾讯，华为等，波及到了诸多互联网公司。

 

11、孟加拉国央行事件

2016年2月5日，孟加拉国央行被黑客攻击，攻击者通过网络攻击或其它方式获得了孟加拉国银行SWIFT系统操作权限，向纽约联邦储备银行发送虚假的SWIFT转账8100美元的指令。

 

12、美国人事局大规模网络入侵

美国官员周四透露，黑客通过一次大规模网络攻击入侵了美国人事管理局(OPM)的电脑。由于该部门专门负责收集联邦政府雇员的人事信息，导致400万现任和前任员工信息被盗。

攻击来自美国境外，FBI介入调查

美方认为外国机构或政府可能是此次攻击事件的幕后主使。美国联邦调查局FBI也宣布对此展开调查，并将把犯罪分子绳之以法。

OPM今年4月在其IT系统中发现了新的恶意活动，而美国国土安全部表示，他们在5月初发现该机构的数据被盗。

此次攻击影响了OPM的IT系统及其存储在美国内政部数据中心的数据，该数据中心由美国多家政府机构共享。该官员不愿透露其他政府机构的数据是否也受此影响。

 

13、社交网站rockyou.com被曝SQL注入漏洞

2010年，大型社交网站rockyou.com被曝存在SQL注入漏洞，黑客利用此漏洞获取到3200万用户记录（包括E-mail、姓名及明文形式的密码）。

14、英国电话和宽带供应商TalkTalk被SQL注入漏洞

2015年，英国电话和宽带供应商TalkTalk被一名15岁的黑客利用SQL注入漏洞进行攻击，四百万TalkTalk客户的姓名、地址、出生日期、和信用卡/银行详细信息被黑客窃取。

15、花旗银行信用卡业务系统漏洞

2018年，台湾一男子利用花旗银行信用卡业务系统漏洞，刷卡消费达6300余万元（新台币约合人民币1345万元），花旗银行已通过司法途径，向该名客户求偿。