究竟有多糟糕 2007年值得注意的安全事件

雪影蓝风（编译）　

　　2007年的网络安全缺口、漏洞还有一些破坏行为究竟有多糟糕呢?抱持着乐观的态度，它也许会被对2008年所预测的情况要好一些。关于2008年的安全方面，现在有许多各种各样的像冰川融化似的预言——更多的黑客社区的不法行为，更多网络应用程序的攻击，更多钓鱼攻击，更多垃圾邮件，更多零日攻击和与虚拟化相关的威胁——我们可以比较开心地让你去回顾一下2007年相对比较平静的日子。

　　这无法让你振作起来吗?好的，那么让我们一起来看看2007年一些值得注意的安全事件。你只要记住：这一切都已经过去了。

　　2007年最糟糕的五件数据泄露事件

　　一枝独秀：TJX公司

　　2006年数据泄露的新闻中，大多数都与美国退伍军人事务部有所牵连，但在今年，商业利益相关的事也能够拿奖——特别是马萨诸塞州Framingham的零售巨头TJX公司。它在一月时被揭发泄露事件，这成为有史以来最大的信用卡数据安全问题，而这时实际上已经是在事情发生之后几个月了。

　　TJX自己说，超过4560万的用户信用卡在超过18个月间受到隐秘地入侵;然而，一些银行则对其发起控诉，说实际的数量是9400万张信用卡，其中大部分是Visa所发布的。这次数据泄露事件引致了众多诉讼官司以及对更强大的数据保护法律的要求——此外，不幸的是，还引致了一阵信用卡盗刷事件。

　　虽然它的影响范围很广，以致分析公司Forrester Research所作的预言，称这次泄露事件能够在接下来的几年终结TJX十亿美元，但有些人还是认为，这种论断有些言过其实。在泄露时间被揭发后大概11个月内，我们看到这个数字并没有这么夸张：TJX自己估计，公司大概为此次事件付出了将近两亿五千万美元的费用。

　　英国的版的VA事件

　　英国税务海关在11月遗失了2500万青少年的记录。当被揭露其遗失了存储有2500万青少年福利索赔信息的磁盘，英国税务海关就成功上升到了VA级的地位。这些没有加密的磁盘，是在运送到国家审计署的途中丢失的，里面包括了银行帐户资料的详情以及公民的ID号。分析公司Gartner预计，由于此次数据泄露事件而需要进行账户关闭以及新账户建立来防止受到潜在的诈骗行为，这项花费大约需要5亿美元。

　　被经纪人攻破的系统

　　富达国民信息服务公司一家子公司Certegy Check Services的资深数据库管理员非法下载数据并将其出卖给经纪人，导致超过8500万个人信息泄露。

　　Fidelity National是从著名的富达投资公司分离出来的，当事件7月份第一次被披露时，它说仅有2500万份记录泄露出去。几周后，它又悄悄地在美国证券交易委员会的档案中将这个数字提高到8500万。根据公司所说，被窃取的数据起先被转卖是出于直接的营销目的，而不是ID窃贼或者是其它类型的欺诈。

　　盗亦有道

　　大型网上证券商美国交易公司的经济公司在9月份被披露，有人入侵了他们其中一个系统，窃取了超过6200万零售业和公共团体用户的合同信息，诸如名称、地址和电话号码。然而，根据公司所说，似乎存储在同一个数据库中的社会安全码和帐户号码却完好无损。被窃取的数据似乎只是用来发送与股票相关的垃圾邮件。

　　黑客攻击的产物

　　Monster.com大约有1600万求职者的姓名、电子邮件地址、邮箱地址、电话号码和简历ID在8月份通过访问了Monster.com的简历数据库泄露。虽然大都称是黑客所为，但实际上这些信息是由于攻击者使用了非法的用户名和密码而访问到的——这极有可能是从一些专业的招聘人员以及使用Monster.com来找寻职位应征者的人力资源的相关人员那里窃取的。庆幸的是，在这次数据泄露事件中，没有社会安全码或者是金融数据被窃取。

---

　　一些著名的灾难

　　你抄袭了吗?：DHS自己创造的DDoS攻击

　　通过电子邮件订阅来自国土安全部的每日新闻的数千名安全方面的专业人士发现他们的收件箱被来自彼此的邮件塞满，这都多亏了一名在DHS承包方工作的电子邮件管理员的明显技术错误。在10月早期，一名订阅者发送了一封带有更改投递请求的回复到管理员处，这封电子邮件就自动地被在发送到列表中所有的订阅者的电子邮箱中。

　　在数小时内，许多订阅者都回复了最初的邮件。每封回复也就被发送到了列表上所有其他的订阅者的邮箱。在那天要结束的时候，超过200万封电子邮件都被收件人使用回复或者是回复全部而生成，结果造成了垃圾邮件的大浪，接着由于这样而引起的不满，又导致这些人发出了很多即兴的评论、一些讽刺的言语以及取消订阅的要求——这样就造成了小规模的分布式拒绝服务(DDoS)攻击。一些人的电子邮件地址、电话号码以及联系人信息，包括政府和军队官员，都在这次骚动中暴露无遗。

　　Supervalu遭到钓鱼攻击

　　全美第二大的超市连锁公司Supervalu在2月的时候，被钓鱼者伪造的两家公司验证供应商银行账户所欺骗，像这两个账户汇入1000万美元。Supervalu受到了两封电子邮件，一封称自己是美国礼品公司，而另一封则是来自百事公司的菲多利部门，要求公司将将来的货款汇入佛罗里达和阿肯色州的两个新的银行账户。

　　这两封电子邮件迷惑了Supervalu，于是它向这两个账户汇入了1000万美元。对于这家零售商来说，幸运的是，这笔资金在撤退之前就被联邦调查局调查员所找回。

　　尴尬的关系处理：赛门铁克在中国

　　赛门铁克的杀毒软件在5月的一个签名更新让中国数以千计的PC陷入瘫痪。软件发现中文版的Windows XP SP2中有两个关键的系统文件是一个Trojan，因此将它们隔离，于是造成了大范围的系统瘫痪。让这次事件更糟糕的是，这两个特定的文件要求在安全模式下启动受到影响的系统，确保所有的应用程序关闭，这在博客圈引起了强烈抗议。五周之后，尴尬的赛门铁克决定向用户提供免费的备份软件，来平复一些对用户带来的不良影响，并延长了他们对这款让他们陷于苦恼的杀毒软件服务的订阅期。

　　议会出卖了告密者

　　美国众议院司法委员会在10月份向众多的告密人士道歉，因为他们不小心向一些使用委员会网站秘密订阅关于传说中司法部的虐待事件的人透露了他们的电子邮件地址。这次混乱的发生，是由于一名委员会的书记员在发送邮件的时候在发送到区域中不小心包含了所有告密者的电子邮件地址。在奋发列表中大体有超过150个电子邮件地址，包括了一部分个人的真实姓名。在这份列表中还包括副总统Dick Chene和一些使用了假名的个人的电子邮件地址。

　　WGA的错误盗版认证

　　8月份的时候，微软一个服务器的错误导致众多为Vista和XP系统付费的用户被微软的WGA正版认证认定是盗版软件的系统。

　　这个问题持续了19个小时，在这段时间内，沮丧的用户们失去了系统中的一些特性，而这些都只能在重新认证之后才能够重新获得。这次的技术故障在一个夏天的周末发生，导致了这种状况得到公司帮助的延迟。

---

　　2007头版任务

　　顾问变身“机器牧人”：John Schiefer

　　这个曾经担任洛杉矶3G通讯公司安全顾问的人承认，在11月在25万台PC上大规模地运行了僵尸网络，这些计算机由于广告软件程序感染到其它的机器，同时还利用了间谍软件窃取银行和PayPal帐户信息。他由于四项重罪将面临60年的监禁，包括线路和银行欺诈以及非法访问受保护的计算机。法庭证据显示这是一宗团伙犯罪，包括一些未成年人，用密码盗取的Trojan程序感染超过13万5千台PC，接着再通过窃取数据访问PayPal和其它金融相关的帐户。

　　撤退战略：Gary Min

　　在他离开杜邦公司去任职一家竞争公司的科学家这个职位前五个月，Gary Min秘密地访问并下载了公司机密的文件，总共价值估计有4亿美元。在那段时间内，他下载和访问文档超过15次，成为杜邦数据库系统又一个最活跃的用户，但一直到他离开了公司，投效竞争对手公司后才被抓到。他承认，在2006年11月窃取杜邦公司的行业秘密;这次事件在1月份被联邦检察官发现后才披露了细节。威尔明顿一名区法院的法官在11月判处Min18个月的监禁，并责令其支付3万美元的罚金，并向杜邦公司赔偿1万4500美元。这个判决实际上比起Min能够接收到至多10年的监禁和25万美元的罚金来说，已经是很轻的了。

　　行为恶劣的Ivory Dickerson

　　这名北加利福尼亚土生土长的土木工程师在他承认他有份参与用黑客行为入侵年轻的女孩的计算机，并非法获取数据，恐吓她们发送她们自己一些照片给他们之后，他被判处了110年的监禁。Dickerson通过MySpace来寻找罗渥德郡内未成年的女孩。当他通过IM或者是电子邮件接触上了可能上钩的目标对象，他就诱使她们打开一个包含有木马程序的文件，这样就能够让他的共犯们控制她的计算机。接着他就用他利用黑客手段获取到的信息来强迫这些女孩发送照片，如果她们拒绝的话就威胁会伤害她或者她的家人。这次的调查发现，不仅她有许多未成年人的照片，还有很多露骨低级的照片，足以令人作呕。

　　非生日的人：Yung-Hsun

　　一名之前任Medco Health Solutions公司的Fair Lawn, N.J办公室的Unix系统管理员Lin Lin认罪，承认他在9月份的时候制造了逻辑炸弹摧毁了超过70台服务器上的一些关键数据，包括为个人配置的处方药品数据。他在2003年制造这个炸弹最初是认为，他会在Medco与药品制造商Merck & Co合作之后失去这份工作。这个炸弹最初是计划在Lin 2004年的生日时爆炸，但设置失败后他重新设置了日期，将其定在下一年的同一个日子。这个炸弹在2005年1月早期被发现，也就是在它计划会触发的前几个月。Lin在法庭上认罪，他的行为导致了超过5000美元的损失。他预计在1月8日被审判。他面临的是最长可达10年监禁的判决和25万美元的罚金。

　　不可思议的Maxwell Butler

　　也被人称作是Max Vision，这个过去的安全顾问在9月被联邦陪审团控告了三项线路欺诈的罪状和两项偷换窃取身份信息的罪状。Butler使用了众多网上的化名，包括Iceman、Digits和Aphex，利用黑客手段入侵多台金融机构以及信用卡公司的计算机网络，并出售他从这些系统中窃取的账户和身份信息。他甚至将其利用盗取的信用卡信息所购买的商品出售，其所得作为支付给他的同伙的报酬。

　　Butler曾经是安全社区上一位著名的研究员，在2000年，他承认了一项重罪，那就是入侵受保护的军事机构和政府的计算机，并为此度过了几年牢狱生活。他还被指控入侵PC游戏开发商Doom an Quake的网络，并窃取了数百访问加里福尼亚互联网服务供应商的密码。在这次的审判中，他被揭露了至少长达两年的FBI信息提供者的身份。