转自http://www.infosec.org.cn/news/news_view.php?newsid=17070

     据韩国媒体报道，韩SECUIFOCUS公司发表上半年安全报告书，指出移动·智能设备很“危险”。

    智能电视，尖端医疗机器等各种智能设备赚足了人们的眼球，但它们背后的“脆弱”却往往被忽视。现今，所有连接到互联网的IT设备都会受到攻击，智能设备的安全问题也被放上桌面。

    SECUI公司在前日发表了一份“2013上半期安全动向”的报告。直指智能设备的安全问题，报告中提到的安全问题主要有以下几方面。1、针对移动设备用户传播的恶意代码。2、智能IT产品暴露的安全漏洞。3、APT攻击的多样化。4、钓鱼诈骗的智能化。5、黑客主义的增多。6、社会工程学的黑客技术变化。7、利用零日漏洞的攻击增加。8、针对货币和金融信息的网络攻击增加。9、恶性代码的多样化。

    更须强调的是以移动终端为代表的智能设备多数安全脆弱，针对这些设备的恶性代码与日俱增。

    1、针对移动设备用户传播的恶意代码。

    随着智能手机的普及以及移动终端使用数量的增加，专门针对这部分设备的攻击也大有增加之势。除了已知的短信诈骗以及鱼叉式网络钓鱼等手段之外，恶性代码还会伪装在于游戏等一些应用中。通过短信以及GOOGLEPLAY诱导用户下载。

    另外，越来越多的恶性代码会在智能手机使用USB与电脑连接时，自动运行PC用代码，PC端也会遭到感染。

    2、智能IT产品暴露的安全漏洞。

    发现智能IT产品的安全漏洞，并针对这些漏洞进行攻击的案例也呈上升态势。

    利用智能TV在打开网络浏览器时的漏洞的零日攻击、利用专有协议的漏洞攻击与互联网连接的打印机、路由器、各种等。

    美国食品药品监督局(FDA)曾宣布，如果医疗器械不考虑对网络安全的防护，则不予承认这一产品。

    3、APT攻击的多样化。

    韩国2013年3月20日曾遭到网络恐怖袭击，这攻击导致了银行网络瘫痪。近年来APT攻击不断发生，愈演愈烈。APT攻击的主要目标不仅限于公共 设施，政府机构，近年来，攻击对象越来越多，越来越具有不确定性。为此，黑客使用了“wateringhole(水坑)”技术。

    所谓水坑攻击，即首先攻击一个流行的、并在不同领域公司之间都拥有较高访问量的网站服务器。然后让登陆这个网站的智能终端自动下载恶性代码。

    4、钓鱼诈骗的智能化。

    网络钓鱼电子邮件、短信和语音网络钓鱼以中奖、法院、退休金等接口诱惑智能手机使用者，让他们在终端上支付。

    5、黑客主义(Hactivism)的增多。

    黑客(hacker)和政治行动主义(activism)合起来就叫做黑客主义(Hactivism)。这些人未达到政治或社会目的将网络攻击作为一种武器。这种攻击以黑客团伙攻击为主，但极有可能引发国家间的网络战争。

    6、社会工程学黑客技术的变化。

    通过智能手机和短信，个人爱好或其他个人隐私会很容易泄露，这无疑扩大了社会工程攻击的范围。黑客们可以通过这些信息针对个人进行攻击。

    7、利用零日漏洞的攻击增加。

    零日漏洞”是指被发现后立即被恶意利用的安全漏洞,这种攻击利用厂商缺少防范意识或缺少补丁,从而能够造成巨大破坏。

    8、针对货币和金融信息的网络攻击增加。

    通过安全证书泄漏而饱受争议ActiveX与安全证书系统正在改善。金融机构，公共机构，门户网站，游戏，正在积极推动动态密码的使用。

    9、恶性代码的多样化。

    最近发现恶意代码的形式日趋多样化和复杂。甚至发现了在恶意代码运行后，即使重启并回滚系统也无济于事的情况。

    我国网络法律仍处起步阶段，尚未有专门法律来判决网络犯罪。针对这些日趋复杂的网络问题。不仅需要安全公司进一步强化我们使用的设备。更需要强有力的法律来打击犯罪，在网络上保障我们的信息与财产安全。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课