2023年十大網(wǎng)安事件盤點(diǎn)（上）丨大東話安全

大東：小白，2023年即將結(jié)束，回首這一年的學(xué)習(xí)生活，你覺得如何呢？

小白：在這段時(shí)間里，我深入研究了網(wǎng)絡(luò)安全知識，了解了一些發(fā)生的網(wǎng)絡(luò)安全事件，拓寬了我的網(wǎng)絡(luò)安全視野。

大東：年底了，是時(shí)候回顧一下2023年度的學(xué)習(xí)、工作、生活了。

小白：是的，我最近正在進(jìn)行總結(jié)。我整理了2023年發(fā)生的十大網(wǎng)絡(luò)安全事件，或許通過這些事件的分析，我們能夠總結(jié)出網(wǎng)絡(luò)安全的一些特點(diǎn)，從而更好地增強(qiáng)網(wǎng)絡(luò)安全的保障能力。

大東：小白做的很棒！

小白：我們一起來了解一下吧！

NO.10數(shù)字安全錦囊

數(shù)字安全錦囊（圖片來源：網(wǎng)絡(luò)）

1. 事件穿越

大東：強(qiáng)化數(shù)字安全屏障能力，首先，得了解數(shù)字安全的技術(shù)內(nèi)涵；其次，需清楚數(shù)字中國的涵蓋范疇；然后，還要結(jié)合數(shù)字中國的建設(shè)協(xié)同規(guī)劃，真正把能力強(qiáng)化落實(shí)到位。

小白：這種能力很重要，如何建立這種能力呢？

大東：這就要提到我們的數(shù)字安全錦囊了。

小白：數(shù)字安全錦囊？那是什么。

大東：數(shù)字安全錦囊，從“經(jīng)度”建設(shè)數(shù)字安全韌性能力。錦囊就是網(wǎng)安事件分析策略，這個(gè)應(yīng)從戰(zhàn)備、戰(zhàn)略、戰(zhàn)役三個(gè)層次出發(fā)。

2. 數(shù)字安全錦囊精彩回顧

戰(zhàn)略錦囊

大東：我們應(yīng)該堅(jiān)持“大領(lǐng)跑型思維”，通過主動(dòng)謀劃和超前布局。在網(wǎng)安事件梳理分析的基礎(chǔ)上，建立面向數(shù)字中國的數(shù)字安全韌性能力指標(biāo)體系。

小白：建立數(shù)字指標(biāo)化和指標(biāo)數(shù)字化的評估范式，對于發(fā)揮我國的新型舉國體制，推進(jìn)數(shù)字中國建設(shè)十分重要。

大東：人才是國家發(fā)展的基石，通過因地制宜考慮人才聚集機(jī)制，實(shí)施科教結(jié)合協(xié)同育人行動(dòng)計(jì)劃，建立多層次人才梯隊(duì)，打通產(chǎn)學(xué)研人才生態(tài)循環(huán)。同時(shí)為了適應(yīng)數(shù)字化轉(zhuǎn)型的現(xiàn)在進(jìn)行時(shí)，建議盡快部署構(gòu)建功能完備最小集的實(shí)驗(yàn)床，開展網(wǎng)絡(luò)安全的先行先試工作。

小白：統(tǒng)一建設(shè)指標(biāo)、鍛造人才鐵軍、構(gòu)建試驗(yàn)平臺(tái)是數(shù)字安全戰(zhàn)略錦囊的三位一體要素。

戰(zhàn)備錦囊

大東：透過現(xiàn)象看本質(zhì)，通過情報(bào)看清隱藏在情報(bào)與事件背后的規(guī)律，智能推演安全事件場景，精準(zhǔn)定位、靶向探究，在國家視角看各組織單元的數(shù)字安全韌性能力建設(shè)的全局，做好感知態(tài)勢。

小白：戰(zhàn)備錦囊就是做數(shù)字中國的網(wǎng)絡(luò)攻防事件應(yīng)急能力儲(chǔ)備。

戰(zhàn)役錦囊

大東：從“三個(gè)科”的科學(xué)角度來觀測區(qū)域數(shù)字安全韌性能力建設(shè)的演進(jìn)脈絡(luò)和方向趨勢，收斂到rite的4個(gè)0的體系中找尋應(yīng)對之策。無論是什么樣的安全定制解決方案還是先進(jìn)安全產(chǎn)品，最后還是要看療效，而這個(gè)療效的好壞可以從4個(gè)0的收斂效果做評估。

小白：實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)。

3. 小白內(nèi)心說

小白：網(wǎng)安事件無法消除，應(yīng)該充分認(rèn)可千變?nèi)f化是永恒的客觀事實(shí)；在此基礎(chǔ)上，我們應(yīng)建立對網(wǎng)安事件持續(xù)跟蹤分析能力，從人、機(jī)、物、態(tài)四個(gè)象限做安全風(fēng)險(xiǎn)收斂。

NO.9數(shù)字安全****妙計(jì)

數(shù)字安全妙計(jì)（圖片來源：網(wǎng)絡(luò)）

1. 事件穿越

大東：小白，我們上次在《數(shù)字安全錦囊》里面根據(jù)戰(zhàn)略、戰(zhàn)備、戰(zhàn)役三個(gè)方面針對區(qū)域數(shù)字安全韌性能力建設(shè)展開了分析。還記得吧？

小白：記得的東哥，上次是從宏觀的角度來做的分析，也就是“經(jīng)度”。這次是不是該“緯度”啦？

大東：你猜的沒錯(cuò)，錦囊對應(yīng)經(jīng)度，妙計(jì)就對應(yīng)緯度。經(jīng)度側(cè)重“統(tǒng)一”，而緯度側(cè)重“多元”。錦囊側(cè)重于涵蓋多重?cái)?shù)字安全應(yīng)用場景，而妙計(jì)是主要場景與范式的提煉和凝華。

小白：妙哉，統(tǒng)一多元數(shù)字安全韌性能力建設(shè)的兩大要素都齊活了。那么這次會(huì)從哪個(gè)角度來闡述？

大東：如果統(tǒng)一是“條分”，那么多元當(dāng)然應(yīng)該是“縷析”了。

小白：“條分”和“縷析”有哪些區(qū)別呢？

大東：你可以理解為，是從中觀的顆粒度分析區(qū)域數(shù)字安全韌性能力建設(shè)?！熬暥取笨蓮陌踩录治龅囊暯莵砜?，自底向上構(gòu)建分別為——萬花筒、鉆探機(jī)、金剛鉆和瞭望塔。

2. 數(shù)字安全妙計(jì)精彩回顧

萬花筒

大東：“萬花筒”是數(shù)字安全領(lǐng)域中的一種戰(zhàn)略思維層次，聚焦于廣度。核心思想是通過“快、準(zhǔn)、全、智”來評估廣度目標(biāo)，強(qiáng)調(diào)信息獲取的迅速性、信息判定的準(zhǔn)確性、信息來源的廣泛涵蓋以及輔助決策的智能性。通過這種全面的廣度妙計(jì)，能夠迅速捕捉網(wǎng)絡(luò)安全事件的趨勢，提高安全態(tài)勢發(fā)展的預(yù)測能力，為數(shù)字中國的安全提供全方位的支持。

小白：大東話安全和東話優(yōu)選就是萬花筒的一部分。

鉆探機(jī)

大東：“鉆探機(jī)”聚焦于深度。通過對安全事件背后的產(chǎn)生動(dòng)機(jī)、歷史安全事件的關(guān)聯(lián)等進(jìn)行全局推演，以更全面、深刻地理解安全事件。舉例來說，對研究軟件供應(yīng)鏈安全，需要考慮全真快智的評判標(biāo)準(zhǔn)，并根據(jù)具體場景和特征調(diào)整研究的顆粒度，類比于勘探油田的過程。

小白：從攻防的本質(zhì)特征出發(fā)才能夠把握鉆探的尺寸。

金剛鉆

大東：“金剛鉆”聚焦于精度，《網(wǎng)絡(luò)安全之歸零》提到的“RITE”的網(wǎng)安對號領(lǐng)導(dǎo)力模型，將多元數(shù)字安全韌性能力統(tǒng)一為一個(gè)基座，實(shí)現(xiàn)對歷史安全事件系列的時(shí)空維度對比分析，目標(biāo)是實(shí)現(xiàn)歷史安全事件的時(shí)空維度對比分析，對重點(diǎn)安全事件進(jìn)行戰(zhàn)略層面的分析，并對安全事件發(fā)生頻率進(jìn)行分析。通過這樣的分析，可以更加精準(zhǔn)地預(yù)判未來的安全趨勢，從而進(jìn)行精細(xì)化的安全策略設(shè)計(jì)。

小白：有了“RITE”加持，數(shù)字安全韌性能力評價(jià)將更加精確。

瞭望塔

大東：“瞭望塔”聚焦于高度?！安t望塔”的高度取決于建在哪里，這里地勢好比前沿技術(shù)，不斷演化中。數(shù)字安全人員需要與時(shí)俱進(jìn)，不斷尋找前沿科技領(lǐng)域的制高點(diǎn)，修建“瞭望塔”，而不是期望一蹴而就。修建瞭望塔也需要高效，建立一套標(biāo)準(zhǔn)模式化的機(jī)制，以便敏銳持續(xù)捕捉前沿科技的風(fēng)向標(biāo)和制高點(diǎn)。

小白：九層之臺(tái)起于累土，但是要想修個(gè)千尋之塔，也絕非易事。

3. 小白內(nèi)心說

小白：統(tǒng)一、多元，經(jīng)度、緯度，條分、縷析，還能對應(yīng)到“RITE數(shù)字安全韌性領(lǐng)導(dǎo)力模型”，對區(qū)域數(shù)字安全韌性能力建設(shè)的賦能的拼圖也愈加清晰，數(shù)字安全妙計(jì)解讀值得琢磨！

NO.8 對地震檢測中心進(jìn)行網(wǎng)絡(luò)攻擊？！意欲何為？

地震檢測中心遭受攻擊，誰是幕后黑手？（圖片來源于：網(wǎng)絡(luò)）

1. 事件穿越

大東：我國某地震監(jiān)測中心的部分網(wǎng)絡(luò)設(shè)備被植入木馬病毒，初步判定這一事件為境外具有政府背景的黑客組織和不法分子發(fā)起的網(wǎng)絡(luò)攻擊行為。經(jīng)監(jiān)測發(fā)現(xiàn)，其所屬地震監(jiān)測中心部分地震速報(bào)數(shù)據(jù)前端臺(tái)站采集點(diǎn)網(wǎng)絡(luò)設(shè)備遭受境外組織的網(wǎng)絡(luò)攻擊。

小白：地震檢測中心為什么會(huì)被攻擊？

大東：地震數(shù)據(jù)關(guān)乎國家安全。地震波穿過的地下介質(zhì)、結(jié)構(gòu)不同時(shí)會(huì)產(chǎn)生波速的變化。而獲取地震監(jiān)測中心的相關(guān)數(shù)據(jù)可以推導(dǎo)出某一區(qū)域的地下結(jié)構(gòu)和巖性。例如推測地下是否有大型的空洞，進(jìn)而推測它是否是軍事基地或者指揮所。

2. 事件影響

大東：在千行百業(yè)數(shù)字化轉(zhuǎn)型的過程中，其實(shí)會(huì)衍生出越來越多的流程和場景，那么在這些新增的流程和場景中，自然也會(huì)暴露出越來越多以前我們沒有遇到過的安全問題。

小白：有哪些場景呢？

大東：比如海洋牧場，海洋牧場就是利用數(shù)字化手段，引入先進(jìn)的信息技術(shù)來實(shí)現(xiàn)智能化管理和可持續(xù)發(fā)展。聯(lián)合衛(wèi)星、飛機(jī)、水面浮標(biāo)和水下潛水器等工具，建立立體觀測系統(tǒng)，實(shí)時(shí)監(jiān)測海洋牧場的環(huán)境和生物狀況。這樣可以更精確地評估環(huán)境和資源質(zhì)量，實(shí)現(xiàn)針對性的調(diào)整，提高生態(tài)效益。

小白：那么這里面暗藏的數(shù)字安全可能會(huì)面臨什么風(fēng)險(xiǎn)和挑戰(zhàn)呢？

大東：數(shù)字化設(shè)備的互聯(lián)可能會(huì)暴露更多的攻擊面，比如對水下機(jī)器人進(jìn)行控制或干擾。未來的水下機(jī)器人如果是AI驅(qū)動(dòng)的，那就會(huì)產(chǎn)生“意識攻擊”，形成AI與AI之間的對抗網(wǎng)絡(luò)，這后果不堪設(shè)想。

3. 小白內(nèi)心說

小白：隨著傳統(tǒng)行業(yè)的不斷數(shù)字化，以及千行百業(yè)的深度數(shù)字化融合進(jìn)程的推進(jìn)，數(shù)字安全問題不再局限于特定領(lǐng)域。無論是金融、醫(yī)療、制造，還是農(nóng)業(yè)、海洋等領(lǐng)域，都需要構(gòu)建強(qiáng)有力的數(shù)字安全韌性能力屏障，以保護(hù)關(guān)鍵數(shù)據(jù)和系統(tǒng)免受威脅。我們需要站在更宏觀的層面來統(tǒng)籌考慮數(shù)字安全問題，避免陷入“只見樹木不見森林”的誤區(qū)。

NO.7**電商APP后門風(fēng)波：你的隱私安全嗎？**

APP偷窺隱私（圖片來源：網(wǎng)絡(luò)）

1. 事件穿越

大東：2023年3月，有一個(gè)安全研究團(tuán)隊(duì)發(fā)表了一篇報(bào)告，說某電商APP疑似能提權(quán)控制手機(jī)，從而繞過隱私合規(guī)監(jiān)管，收集用戶的各種信息，其收集的用戶隱私信息包括但不限于社交媒體賬戶資料、位置信息、WiFi信息、基站信息甚至是路由器信息等等。

小白：他們是怎么做到的？

大東：第一步攻擊者利用了漏洞 (CVE-2021-25337)，這是一個(gè) system_server 中導(dǎo)出的 semclipboardprovider 所存在的任意文件讀寫，允許攻擊者以 untrusted_app 身份讀寫 users_system_data_file，也就是一般 system_app 的私有數(shù)據(jù)文件，攻擊者參考了 TTS 漏洞研究成果，利用 TTS 中從自身配置文件加載任意動(dòng)態(tài)鏈接庫的能力，將第一個(gè)漏洞轉(zhuǎn)化為了一個(gè) system_app 提權(quán)漏洞。第二步攻擊者將手機(jī)設(shè)備中未更新的 Mali GPU 驅(qū)動(dòng)內(nèi)核信息泄露漏洞 (CVE-2021-25369) ，和手機(jī)自己的 kmsg 泄露“特性”組合利用，最終獲得內(nèi)存基址和 addr_limit 地址。最后攻擊者使用 DECON driver 中的 UAF 漏洞 (CVE-2021-25370)， 結(jié)合堆風(fēng)水，最終，利用 signalfd 系統(tǒng)調(diào)用修改 addr_limit，轉(zhuǎn)化為內(nèi)核任意地址讀寫，完成提權(quán)。

2. 事件影響

小白：這電商APP這么費(fèi)勁的獲取管理員權(quán)限，是要干什么呢？

大東：該APP拿到管理員權(quán)限之后，進(jìn)行 System App 和敏感系統(tǒng)應(yīng)用文件讀寫；進(jìn)而突破沙箱機(jī)制、繞開權(quán)限系統(tǒng)改寫系統(tǒng)關(guān)鍵配置文件為自身?；睿薷挠脩糇烂妫↙auncher）配置隱藏自身或欺騙用戶實(shí)現(xiàn)防卸載。

小白：隱藏自己，防止被卸載，這也太離譜了！

大東：還有更厲害的呢。它還可以通過覆蓋動(dòng)態(tài)代碼文件的方式劫持其他應(yīng)用注入后門執(zhí)行代碼，進(jìn)行更加隱蔽的長期駐留；甚至還實(shí)現(xiàn)了和間諜軟件一樣的遙控機(jī)制，通過遠(yuǎn)端“云控開關(guān)”控制非法行為的啟動(dòng)與暫停，來躲避檢測。

小白：還能逃避檢測，這比黑客還要黑客。

3. 小白內(nèi)心說

小白：如何防范這類事件呢？首先肯定是手機(jī)廠商需要更重視自研代碼的安全，削減不必要的、可能被攻擊者利用的攻擊面；然后監(jiān)管機(jī)構(gòu)需要針對此類行為進(jìn)行治理，根據(jù)現(xiàn)有法律法規(guī)嚴(yán)格執(zhí)法、監(jiān)管，嚴(yán)肅問責(zé)，以構(gòu)建一個(gè)更安全的數(shù)字環(huán)境。個(gè)別公司的錯(cuò)誤不該連帶整個(gè)行業(yè)背負(fù)罵名，更不該由我們用戶承擔(dān)后果。

NO.6 保護(hù)數(shù)字安全——LED燈讀取密碼的挑戰(zhàn)該何去何從？

LED燈讀取密碼事件（圖片來源：網(wǎng)絡(luò)）

1. 事件穿越

大東：來自內(nèi)蓋夫本古里安大學(xué)和康奈爾大學(xué)的研究人員發(fā)現(xiàn)，密碼計(jì)算會(huì)改變設(shè)備的功耗，而這反過來會(huì)影響電源LED的亮度。也就是說，如果你能精確地測量LED的亮度變化，你就可能能找出密鑰。

小白：真的嗎？聽起來好神奇。

大東：是的，研究人員甚至成功從三星Galaxy S8手機(jī)中提取了378位SIKE密鑰。他們使用的方法是將iPhone 13的攝像頭對準(zhǔn)連接到USB集線器的羅技Z120揚(yáng)聲器的電源LED燈進(jìn)行拍攝，而這個(gè)集線器也被用來給手機(jī)充電。

2. 事件影響

小白：測信道攻擊？他們是怎么做的？

大東：研究人員通過惡意軟件來控制這個(gè)LED燈，讓它以閃爍的方式發(fā)出二進(jìn)制信號。他們在論文中提到，這種閃爍可以以最大4000bps的速度傳輸數(shù)據(jù)，這足以泄露密碼、加密密鑰和文件，而一般人不會(huì)注意到這種泄露。

小白：LED燈閃爍很正常吧！

大東：是的，正是因?yàn)長ED閃爍很正常，所以用戶不會(huì)懷疑其活動(dòng)發(fā)生了變化。

小白：做到這一點(diǎn)應(yīng)該不容易吧！

大東：首先，你需要將攝像頭放置在一定距離內(nèi)，而且能夠直接看到電源LED。另外，你需要記錄足夠長的時(shí)間，這個(gè)研究是65分鐘。這個(gè)方法需要相當(dāng)復(fù)雜的數(shù)學(xué)和計(jì)算機(jī)科學(xué)知識，不是任何人都能做到的。

小白：雖然利用起來很難，但也不是不可能

3. 小白內(nèi)心說

小白：那在現(xiàn)實(shí)生活中，我們該怎樣防范這種惡意攻擊呢？

大東：當(dāng)然可以。首先，可以采用物理隔離，將包含機(jī)密信息的設(shè)備與LED指示燈進(jìn)行物理隔離，如使用不透明的膠布將LED指示燈遮蓋住，或?qū)⑵渑c設(shè)備斷開連接。也可以建立機(jī)制確保只有可信的設(shè)備連接到包含機(jī)密信息的設(shè)備上。采用更復(fù)雜的密碼算法，或者使用硬件加密等方式來提高安全性。

小白：科技的進(jìn)步總是帶來新的可能性和新的問題。但是，只要我們保持警惕，適應(yīng)變化，并且學(xué)會(huì)利用新技術(shù)的同時(shí)防范其潛在的風(fēng)險(xiǎn)，我們就能在科技的浪潮中保持安全和穩(wěn)定，才能更好地利用科技，同時(shí)保護(hù)我們自己。