快捷搜索:

betway必威官网手机版

当前位置:betway必威官网手机版 > betway必威官网手机版 > 网络威逼报告指网络罪犯通过表单恫吓牟取高利

网络威逼报告指网络罪犯通过表单恫吓牟取高利

来源:http://www.abirdfarm.com 作者:betway必威官网手机版 时间:2019-07-19 07:53

原标题:【网安智库】迅速崛起的智慧城市及其相关风险

物联网的发展加速了科技融入生活的进程,使人们开始了解并体验智能化生活,比如智能家居带来的家庭自动化,智慧城市带来的城市数字化,各种智能设备给我们的生活带来了极大的便利。尽管物联网的前景被看好,但安全问题却受到诸多挑战。

赛门铁克年度威胁报告披露更具破坏性、更隐蔽的网络攻击,为企业及消费者提供网络威胁全方位视图

betway必威官网手机版 1

医疗行业的安全挑战:勒索软件和IoT只是冰山一角。2015年安腾(Anthem)和Premera这两家医疗保险公司,泄露了多达数百万份的医疗记录,这次泄露事件也使得公众开始意识到安全在医疗机构中的重要性。2016年相较于2015年,则针对医疗机构的大规模数据泄露事件明显少了不少。但令人遗憾的是,这并不说明医疗机构的安全问题已经得到了解决。事实上,在去年各行各业都遭受了不同程度的勒索软件攻击,而医疗机构则成了这种威胁的重灾区。这与近年来连接互联网的医疗设备和健身跟踪器的不断激增有关,同时也表明了医疗保健的未来将会面对更多的挑战。

所谓智慧城市,就是运用信息和通信技术手段感测、分析、整合城市运行核心系统的各项关键信息,从而对包括民生、环保、公共安全、城市服务、工商业活动在内的各种需求做出智能响应。

那么,究竟应该如何看待物联网的安全问题呢?“谈到物联网安全,不仅指设备的安全,还有网络和后台系统等的安全。在硬件设备中,智能手机和智能手表、可穿戴设备、智能家居以及车联网都是常见的攻击目标。而在物联网设备的研发中,很多厂商并没有考虑到安全问题。例如家中设备插入电视,一旦受到攻击,智能家居不仅能盗取用户信息,甚至能够监视家人的一举一动。车联网如今也作为物联网攻击的主要目标之一。几个月前,有报道称特斯拉便受到了物联网攻击。” 赛门铁克公司亚太区大客户部副总裁兼大中华区总裁梅正宇说。

北京2019年3月8日 /美通社/ -- 3月7日,全球网络安全领域领导厂商赛门铁克公司(纳斯达克:SYMC)发布第24期《互联网安全威胁报告》。报告显示,随着勒索软件和密码窃取带来的收益不断减少,网络犯罪分子正在伺机寻找其他的方法来牟取利益,如网页表单内容劫持(Formjacking,以下简称“表单劫持”)。

中新网北京3月7日电 7日,2019年《互联网安全威胁报告》在北京发布,报告显示,随着勒索软件和密码窃取带来的收益不断减少,网络犯罪分子正在伺机寻找其他的方法来牟取利益,如网页表单内容劫持(Formjacking,以下简称“表单劫持”)。

betway必威官网手机版 2

betway必威官网手机版 3

betway必威官网手机版 4

betway必威官网手机版 5

报告由老牌网络安全公司赛门铁克发布,基于全球最大的民用威胁情报网络,赛门铁克全球情报网络数据进行分析,据悉,该网络监控全球超过157个国家和地区的1.23亿个监测终端报告的攻击事件。

勒索软件只是冰山一角

这包含执法部门使用的监控系统、智能拥堵缓解交通系统、配置动力传感器的LED路灯、智能电网以及智能供水系统等。

智能手表与智能手机受到勒索软件的攻击

赛门铁克公司大中华区总裁陈毅威

报告中提及的网页表单内容劫持是网络罪犯牟取暴利的最新途径,其本质就是虚拟ATM扫描。网络犯罪分子通过将恶意代码植入零售商网站以窃取购物者的支付卡信息。

近年来勒索软件的攻击可以说是愈演愈烈,而勒索的赎金也水涨船高。因此,勒索软件的成功勒索往往意味着被勒索的企业或个人,需要支付高额的赎金甚至面临被‘撕票’的巨大风险。那么我们就真的拿勒索软件没办法了吗?事实上,勒索软件是一种可以通过针对端点和网络的最低安全实践来减轻的威胁。在发现第一个勒索软件的变体之后,安全专家往往不会将其视为严重的威胁,因为此时的勒索攻击可以很容易的被阻止,即便恶意文件被执行了也不会有太大的问题:受害者只需将提前备份的数据恢复,就可以轻松的摆脱赎金勒索。

简而言之,智慧城市本身包含无数接受、收集和传输数据的实体。其实质是利用先进的信息技术,实现城市智慧式管理和运行,进而为城市中的人创造更美好的生活,促进城市的和谐、可持续成长。

赛门铁克互联网安全报告显示,去年勒索软件的增长幅度达到113%。而今年上半年勒索软件的蔓延速度更为迅猛。并且,勒索软件的攻击从PC机蔓延到智能手机,现在已扩展到智能手表。

赛门铁克2019年《互联网安全威胁报告》综合介绍了当今网络威胁态势,并对全球威胁活动、网络攻击动向和攻击动机提供深度洞察。报告基于赛门铁克全球情报网络数据进行了分析,该网络是全球最大的民用威胁情报网络,监控全球超过157个国家和地区的1.23亿个监测终端报告的攻击事件,平均每天拦截1.42亿次网络攻击。本年度报告的主要亮点包括:

报告称,全球平均每个月超过4,800个不同的网站遭到表单劫持代码入侵。据悉,2018年赛门铁克共拦截超过370万次表单劫持端点攻击,其中有近三分之一都被监测到发生在全年最繁忙的网购高峰期:11月和12月。

但事实上,许多个人或企业可能并没有按规则去很好的执行那些安全防护措施。例如:一些企业可能并没有按计划,进行定期的数据备份。用于检测恶意邮件,文件,链接或流量的安全产品,可能配置不当或缺与完善。备份策略可能未正确实施,导致备份文件也受到勒索软件的攻击等。对于用户而言可能会因为某些安全措施过于繁琐,而直接禁用这些安全产品。

智慧城市进行数据收集的目的是为了创造创新型产品和服务,以提高智慧城市中人们的生活质量,帮助解决各种市政问题。但是,事物总是具有两面性的,正如其他技术一样,智慧城市也同样容易受到严重威胁。

智能手表之所以同样能够受到勒索软件威胁,是因为智能手表和智能手机之间,软件同步是轻而易举的事情。如果用户在智能手机中下载应用,智能手表便能够很快同步手机中的应用。但同时也意味着,如果智能手机感染恶意软件,它也将快速同步到你的智能手表中。手表中的勒索软件同样能够中断手表的正常工作,并以此进行勒索,使用户无法使用智能设备。

网页表单内容劫持:网络罪犯牟取暴利的最新途径

报告指出,近年来,勒索软件和加密劫持成为网络犯罪分子牟取快速利益的惯用手段,加密劫持是指利用从消费者和企业处窃取的算力和云CPU资源挖掘加密货币。然而在2018年,随着加密货币的价值下跌以及云和移动计算的普及,这些攻击者们变得力不从心,相关攻击活动和回报随之下降。

无论是什么原因,最终造成的结果将是,受影响的企业可能需要支付高额的赎金来交换他们的数据。而对于医疗保健行业来说,数据往往关乎着人们的生死攸关问题,因此勒索软件也更青睐于这些数据,并以此来敲诈更为高昂的赎金。

隐私问题

那么,怎样做才能避免受到恶意软件攻击呢?

表单劫持攻击的原理很简单 -- 其本质就是虚拟ATM扫描。网络犯罪分子通过将恶意代码植入零售商网站以窃取购物者的支付卡信息。全球平均每个月超过4,800个不同的网站遭到表单劫持代码入侵。2018年赛门铁克共拦截超过370万次表单劫持端点攻击,其中有近三分之一都被监测到发生在全年最繁忙的网购高峰期:11月和12月。

报告称,自2013年以来,勒索软件的感染率首次下降20%。但是报告同时提醒企业不应该放松警惕—2018年企业勒索软件感染率跳涨12%,与总体下降趋势相反,这显示出勒索软件对企业的威胁还在持续增加。

风险评估和补救的重要性

考文垂(Coventry University)大学研究人员Sara Degli-Esposti,以及考文垂大学系统安全教授 Siraj Ahmed Shaikh曾告诫称,

赛门铁克公司技术支持部经理马蔚彦表示,首先要及时更新应用和固件,应用和固件的更新能够为之前可能受到恶意攻击的漏洞打上补丁;其次是不要随意下载应用。现在,人们越来越追求便捷性,这会导致当用户面对同样功能的不同产品进行选择时,往往会选择更加便捷好用的产品。而攻击者往往会利用这种心理对便捷应用放置恶意代码。如果用户从不可信的网站下载应用,会面临很大的安全风险。

最近几个月,包括Ticketmaster和英国航空公司在内的众多知名零售商的在线支付网站均遭到了表单劫持的攻击,据赛门铁克研究显示,广泛受到网络攻击的基本上是中小型零售商。

报告还指出,企业在最初采用PC时都出现过安全问题,如今这一现象又将在云端重现。单个错误配置的云主机或存储实例将会给企业带来数百万美元的损失,或者让其陷入违规危机。报告称,仅去年一年,就有超过7000万条记录从配置不当的S3存储桶中被盗或泄露。

在此前的有篇文章中,我们已经就风险评估在医疗保健中的重要性进行了相关的讨论和说明。通过定期分类资产和传输方式,可以帮助你确定可能的漏洞和风险。当你考虑到这些风险的可能性和潜在成本时,你可以提前做好你的防护预案,来最大程度的帮助你减少或避免损失。

考文垂大学

智能家居面临隐私泄露的风险

据保守估计,去年犯罪分子通过在暗网兜售消费者个人及财务信息,牟取了数千万美元的不义之财,这些消费者信息均通过信用卡诈骗获得。一张信用卡信息在地下销售论坛上最高可叫卖到45美元,而犯罪分子只要从每个植入代码的网站窃取10张信用卡信息并出售,每月收益便可高达220万美元。英国航空公司(British Airways)的信用卡泄露信息超过38万条,仅这次攻击就可能让犯罪分子净赚1700多万美元。

报告强调,供应链攻击和“就地取材”式的攻击目前已经成为现代威胁环境的主流模式,在网络犯罪分子和有针对性的攻击团伙中应用十分广泛。

betway必威官网手机版 6

“通过嵌入城市各个角落的传感器以及我们口袋中的智能手机,智慧城市将有能力不断识别人们的位置、他们正在与谁会面,甚至可能了解他们正在做什么。”

马蔚彦说:“智能家居现在属于新兴领域,可以全部连接网络。预计,2015年智能家居的数量能够达到29亿,而到2022年将会达到260亿。有报道称,家长通过家用摄像头来查看孩子是否存在危险,但由于摄像头受到攻击,黑客通过这个攻击点能够看到家中的其他设备。所以,智能家居设备一旦出现安全问题,将会面临隐私泄露的风险。”

赛门铁克公司首席执行官Greg Clark表示:“表单劫持已经对企业和消费者构成了严重威胁。消费者如果不使用全面的安全解决方案,便有很大可能访问已被感染的在线零售商网站,大幅增加消费者个人和财务信息被盗的潜在风险。对企业而言,表单劫持的激增也使得供应链受到攻击的风险日益加大,企业遭到攻击时所面临的声誉和责任风险更加无法估量。”

此外,物联网成为网络罪犯和攻击组织的目标。报告称,虽然物联网攻击数量与2017年一样居高不下,但攻击格局发生了巨大变化。尽管路由器和互连摄像头在受感染设备中占据了最大比例,但是几乎每台物联网设备都容易遭到攻击,无论是智能电灯还是语音助手,都为攻击者提供了入侵的新机会。

针对勒索攻击,我们可以参照以下对信息资产进行风险评估:

而且,随着智慧城市变得日益智能,隐私问题也将变得更加明显。Esposti和Shaikh指出,像新加坡、旧金山以及伦敦这样的城市现在正在使用“城市感知(捕捉人与人之间以及周围人的互动方式),地理追踪(记录人员流动信息)以及实时分析(处理大量收集的数据)”等技术。

她认为,技术的发展速度之所以远远快于安全,其一是由于消费者个人意识淡漠,其二则在于开发人员、厂家的安全意识淡漠,很多研发人员和厂商甚至并没有考虑过安全。

加密劫持和勒索软件的收益缩水

最近,随着CambridgeAnalytica数据丑闻的发酵、《通用数据隐私条例》的实施以及苹果FaceTime等应用程序广泛使用位置跟踪及隐私漏洞的曝光,消费者隐私问题在过去一年成为关注的焦点。

什么资产有被勒索软件加密的风险?

betway必威官网手机版,为了证明一个人可以轻松地被监控到,Esposti和Shaikh还详细介绍了一个有关Facebook的示例:

如今,家家户户都有机顶盒,但大多数人对于机顶盒中能够收发邮件并不了解。数据显示,2014年上半年,每天有超过10万封恶意电子邮件发送至智能家庭设备中。年青一代对智能家居设备中的邮件充满好奇心,经常会没有安全意识便会打开邮件。如果刚好邮件中存在恶意攻击,设备和家庭安全将会面临危险。

近年来,勒索软件和加密劫持成为网络犯罪分子牟取快速利益的惯用手段,加密劫持是指利用从消费者和企业处窃取的算力和云CPU资源挖掘加密货币。然而在2018年,随着加密货币的价值下跌以及云和移动计算的普及,这些攻击者们变得力不从心,相关攻击活动和回报随之下降。自2013年以来,勒索软件的感染率首次下降20%。但是企业不应该放松警惕—2018年企业勒索软件感染率跳涨12%,与总体下降趋势相反,这显示出勒索软件对企业的威胁还在持续增加。事实上,超过80%的勒索软件感染会影响到企业。

报告认为,智能手机可以说是有史以来最方便的监视设备,它集摄像头、监听设备和位置跟踪器于一身,无论用户走到哪里,都可以随身携带和使用。报告显示,45%的最常用Android应用和25%的最常用iOS应用请求使用位置跟踪,46%的主流Android应用和24%的主流iOS应用请求获得设备摄像头访问权限,44%的热门Android应用和48%最受欢迎的iOS应用要求共享电子邮件地址。为跟踪儿童、朋友或丢失手机而收集手机数据的数字工具也在不断增多,这便加剧了更多未经批准的跟踪用途持续泛滥。

勒索软件是通过什么传输方式进入你的网络的?

众所周知,物联网(IoT)设备收集了大量有关个人的详细信息,同样地,智慧城市项目也可能会导致类似的隐私问题。以Cityware项目为例,它证明智慧城市项目不仅能够映射数字信息,而且可以映射Facebook朋友之间的身体接触。据悉,Cityware能够使用他们的Facebook个人资料和智能手机蓝牙信号追踪30,000人的活动和互动状态。

互联汽车存在大量安全漏洞

加密劫持活动在去年年初时达到顶峰,但在2018年全年整体下滑52%。尽管加密货币价值下跌90%,黑客利润大幅缩水,但由于加密劫持门槛较低,开销最小且具有匿名性,它仍然备受攻击者的青睐。仅在2018年12月,赛门铁克公司就拦截了350万次端点加密劫持攻击。

此外,目前有200多个应用和服务为跟踪者提供了多种功能,包括基本位置跟踪、文本收集甚至秘密视频录制。

该威胁是通过什么方法来接收命令,并加密你的文件的?

betway必威官网手机版 7

马蔚彦称,克莱斯勒此前因存在黑客能够利用的重大安全漏洞而召回了140多万辆车。在车联网以及车载系统中,CD播放器,OBD-II端口以及无线接口均是攻击者的攻击目标。

PC安全问题将在云端重现

受到这种威胁的可能性有多大?

连接万物的物联网

她分析认为,克莱斯勒、吉普等智能汽车受到攻击,其最早的入侵点便是汽车娱乐系统。汽车的娱乐系统都是电子化运行,很多时候是人为编程代码运行。大家可能认为,汽车并不像电脑,有着多方攻击途径,但智能汽车的发展非常快,车内能够通过蓝牙连接手机,使用车载电话进行接听,这就是一个无线通路,在小小的车体内,有着很多无线方式。车内的设备系统小,操作系统很精简。但其核心原理相同,也就都会存在安全漏洞。

企业在最初采用PC时都出现过安全问题,如今这一现象又将在云端重现。单个错误配置的云主机或存储实例将会给企业带来数百万美元的损失,或者让其陷入违规危机。仅去年一年,就有超过7000万条记录从配置不当的S3存储桶中被盗或泄露。此外,攻击者还有很多工具,可用于识别互联网上错误配置的云资源。

成功攻击将会造成多大的潜在货币损失?

大多数人不愿意相信自己携带的智能手机其实是一个强大的感应工具的现实。为了发挥作用,你的手机会持续共享有关你的位置信息、数字以及物理交互等数据。当这些数据与从物联网设备和智能电网(即能够迅速检测并应对本地电量使用变化的电力供应网络)中收集到的进一步信息相匹配时,就会对人们的隐私和自决权产生严重影响。

另一个方面,只要需要登陆,需要认证用户名密码的程序,在哪里都会出现用户名密码弱的问题。在企业网络中也会有中间人攻击,企业内部人员在通讯过程中,中间人能够获取内容信息,并能够通过劫持、篡改来达到目的,这就是中间人攻击。

最新发现的硬件芯片漏洞(包括Meltdown、Spectre和Foreshadow)云服务面临被利用的风险,攻击者趁机利用这些漏洞进入服务器上受保护的内存空间,从而窃取同一物理服务器上其他企业的资源。

不幸的是几乎所有可被在互联网访问的数据或或系统,都属于可能被加密的风险资产。勒索软件的攻击,往往会通过分发包含恶意文件或链接的网络钓鱼邮件来实施。攻击者一般还会结合社会工程学的手段,来欺骗目标点击或下载邮件中的链接或恶意文件。因此在这种情况下,电子邮件将会是主要的传输方式,而社会工程学将是决定成败的关键因素。恶意软件通常需要向外发出请求指令,并通过特定的控制通道来接收指令,许多勒索软件的变体都会通过诸如HTTP或HTTPS的通用协议,来进行命令的传输和接收。而具体的货币损失也因组织而异,但对于所有行业和企业规模来说,都有被攻击的可能性。

就像你赋予Facebook拥有你在个人资料上发布的任何内容一样,智慧城市中充斥的各类在线传感器所收集的数据也分别归属于各个公司所有,包括互联网服务提供商(ISP)。2017年,美国总统唐纳德·特朗普(Donald Trump)签署了一份决议,废除了FCC针对互联网服务提供商(ISP)提出的隐私规则,允许电信运营商销售用户数据(如浏览历史记录等),此举正式推翻了奥巴马政府时代制定的隐私政策。

这一点在互联汽车中是相同的,攻击者能够利用车体,也能够利用汽车中的部件。汽车的刹车、油门等所有部件都能够通过总线连接到汽车的控制系统中。而后,汽车控制系统再与后台系统相连接,将行车数据存入云端。整个汽车的通讯过程如何防止篡改,如何保证通讯安全,是必须要认真思考的。

“就地取材”式的工具和供应链漏洞助长更隐蔽、更凶猛的攻击

你可以通过采取以下措施,来尽可能的降低风险和减少损失。例如:

betway必威官网手机版 8

供应链攻击和“就地取材”式的攻击目前已经成为现代威胁环境的主流模式,在网络犯罪分子和有针对性的攻击团伙中应用十分广泛。事实上,供应链攻击在2018年飙增78%。

定期执行备份和验证,以在受影响时进行数据的及时恢复。

互联网=隐私放大镜?

LotL无文件攻击战术可让攻击者保持低调,并将其活动隐藏在大量合法进程中。例如,去年恶意PowerShell脚本的使用增加了1,000%。虽然赛门铁克公司能够每个月拦截115,000个恶意PowerShell脚本,但实际上这还不到PowerShell整体使用率的1%。阻止所有PowerShell活动的企业也会受到影响,这进一步说明了为什么LotL技术已成为许多攻击者的首选策略。

网络隔离,以限制恶意软件在你系统上的活动。

一旦各种小装置/工具连接到互联网,智慧城市所设计的互联性就会让个人置于隐私全无的境地。智慧城市项目中收集的所有数据都会被第三方购买,并将其用于营销目的,以了解用户偏好的品牌、产品和服务,甚至个人的使用细节等信息。

识别和阻止这些攻击需要使用分析和机器学习等高级检测方法,比如赛门铁克的托管型端点检测和响应服务、其增强版EDR 4.0技术以及高级人工智能解决方案针对性攻击分析。TAA帮助赛门铁克发现了数十起隐蔽的定向攻击,其中包括来自Gallmaker组织的隐蔽攻击 -- 他们在网络间谍活动中完全没有使用到恶意软件,因此很难被察觉。

过滤垃圾和网络钓鱼电子邮件,降低恶意软件到达用户的风险。

网络攻击,包括网络恐怖主义

除了LotL和软件供应链中的漏洞外,如今攻击者更加频繁地使用鱼叉式网络钓鱼等传统攻击方法来入侵组织。虽然收集情报是定向攻击的主要动机,但是2018年使用恶意软件破坏和扰乱商业运营的攻击团伙数量增加了25%。

提高自身安全意识,降低恶意软件被执行的可能性。

城市越智能就越容易被攻击者利用。智慧城市的加速崛起等于是为攻击者的窥探、欺骗、破坏以及泄露行为提供了一个全新的机会。进一步来说,一旦有网络攻击者成功妥协一项智慧城市项目,那么其他攻击者的目光就会随即而至,攻击智慧城市的价值也会随之飙升,进而吸引更多攻击者。

物联网成为网络罪犯和攻击组织的目标

鼓励用户主动将可疑电子邮件或文件提交给IT或安全人员,以提高邮件过滤的有效性。

一旦攻击者将目标锁定在智慧医疗或其他医疗保健项目上,这种威胁就会变得尤为危险。医疗保健设施是智慧城市网络的一部分,近年来,针对医疗机构的攻击事件屡见不鲜,由此可见医疗保健行业基础设施的脆弱性。

网络威逼报告指网络罪犯通过表单恫吓牟取高利润,互连网安全威吓报告。虽然物联网攻击数量与2017年一样居高不下,但攻击格局发生了巨大变化。尽管路由器和互连摄像头在受感染设备中占据了最大比例,但是几乎每台物联网设备都容易遭到攻击,无论是智能电灯还是语音助手,都为攻击者提供了入侵的新机会。

在网关,网络和端点等关键部位部署使用防病毒软件,可以及时的帮助我们发现和阻止恶意软件进入你的网络。做好初始的防御计划,可以让我们减少损失。

betway必威官网手机版 9

定向攻击团伙也逐渐将物联网作为一个关键切入点。VPNFilter路由器恶意软件的兴起代表着传统物联网威胁的演变。该软件由技术娴熟且资源充足的攻击者构思而成,帮助黑客销毁或清除设备数据、盗取证书和数据以及拦截SCADA连接。

防火墙和入侵防御软件可以帮助我们,识别未知或不需要的网络流量。此外,还可以帮助我们减少各种其他类型的攻击行为。全面的风险评估和提高组织的整体安全状况,可以大大降低所有类型安全漏洞的频率和严重程度。

几乎每天都能听到信息泄露的新闻

赛门铁克公司大中华区总裁陈毅威表示:“随着IT和工业物联网的日益融合,生产线技术领域将成为新一轮的网络攻击战场。Thrip和Triton等越来越多的黑客组织开始打起生产系统和工业控制系统的主意,全新的网络保卫战一触即发。”

医疗健身器材

最重要的是,智慧城市同样面临勒索软件攻击的威胁。

数据隐私大觉醒

随着物联网的不断深入和普及,医疗和健身设备也紧跟步伐,越来越多的医疗和健身设备也都连接到了网络。而大部分这些设备都存放着用户较为敏感的隐私数据,但其安全性却往往被人们所忽视。正如我们所看到的,没有坚实安全基础的保护将会导致严重的后果。

今年2月份,美国科罗拉多州交通部(CDOT)遭遇了黑客攻击,分属该机构的两千台计算机被证实感染了勒索软件SAMSAM的一个变种,并被迫停止使用。1月份,同样是SAMSAM勒索软件还袭击了位于印第安纳州的汉考克健康(Hancock Health),迫使其管理层为了解锁计算机、恢复文件以及系统运行支付了4个比特币(约5.5万美元)作为赎金。不得不说,在智慧城市的规划、实施和管理过程中,勒索软件仍然是一个严重且不可忽视的威胁。

最近,随着Cambridge Analytica数据丑闻的发酵、Facebook数据隐私听证会的召开、《通用数据隐私条例》的实施以及苹果FaceTime等应用程序广泛使用位置跟踪及隐私漏洞的曝光,消费者隐私问题在过去一年成为关注的焦点。

医院网络中的医疗设备

此外,智慧城市中的交通系统也可能成为黑客的攻击目标,并造成交通不便甚至人员伤亡。例如,正如密歇根大学的学者已经证明的那样,一辆恶意汽车即可诱骗美国智能交通管制系统误认为交叉路口已满,并强制交通控制算法更改当前行为,从而间接地导致出现交通缓慢甚至是交通堵塞问题。

智能手机可以说是有史以来最方便的监视设备,它集摄像头、监听设备和位置跟踪器于一身,无论用户走到哪里,都可以随身携带和使用。智能手机除了被一些国家政府用作一般监控手段之外,也通过收集消费者个人信息成为不法分子的摇钱树,其中移动应用程序开发者是最严重的隐私侵犯者。

betway必威官网手机版 10

荷兰杂志《Provada Future》曾就在智慧城市中针对交通系统进行恶意攻击可能产生的灾难性后果,做出过如下描述:

根据赛门铁克研究,45%的最常用Android应用和25%的最常用iOS应用请求使用位置跟踪,46%的主流Android应用和24%的主流iOS应用请求获得设备摄像头访问权限,44%的热门Android应用和48%最受欢迎的iOS应用要求共享电子邮件地址。

我们都只知道医院所使用的医疗设备,通常都非常的庞大且价格昂贵。这些设备都喜欢运行在(例如Windows XP Embedded)的操作系统上,且都是些早已过时的操作系统。这些设备通常都可以非常方便地访问医院网络的其他分支,其中保留了许多不同类型的敏感信息,例如用于计费的财务信息,用于保险的身份信息,以及由病人访问产生的健康相关信息等。

Provada Future

为跟踪儿童、朋友或丢失手机而收集手机数据的数字工具也在不断增多,这便加剧了更多未经批准的跟踪用途持续泛滥。此外,目前有200多个应用和服务为跟踪者提供了多种功能,包括基本位置跟踪、文本收集甚至秘密视频录制。

这些数据对于攻击者而言,是一笔利润丰厚的买卖 – 这些医疗数据在黑市上通常可以以,高于信用卡或借记卡十倍的价格出售。医院的医疗设备往往会使用与台式机类似的操作系统

“可以这么说,公共交通系统就如同我们城市的心血管系统。控制住它们将会影响进出城市的人流。例如,网络恐怖分子可以通过关闭列车线路来阻止工人进入中央商务区,从而导致当地经济的混乱。当然,他们也可以做相反的事情,通过接管道路交通信号来阻止人们离开该地区,这种策略可以被恐怖分子用于补充攻击。”

,因此你可以使用台式机相同的技术手段,来保护这些系统。而对于那些使用严重过时操作系统的设备,则应该给予更多的额外保护。最好的做法就是将所有设备与网络隔离,但仍需要注意防范移动介质传播的风险。

betway必威官网手机版 11

家中的医疗设备和跟踪器

Provada Future 网站最新一期首图

家庭使用的医疗设备和健身跟踪器相比医院的设备则小了不少,这样做是为了方便更好地佩戴或植入。它们大多使用的是,基于Linux的操作系统。这些设备通常会与互联网进行连接,或是与移动设备或计算机进行实时的数据同步。

新鲜的水源对于任何城市人口的生存来说都是至关重要的大事,这也就是解释了为什么城市需要竭尽全力保护自己的供水系统免受黑客攻击。此外,对城市紧急服务网络的攻击,尤其是与物理恐怖袭击一起执行时,同样会造成灾难性后果,导致城市内大规模恐慌和混乱。

betway必威官网手机版 12

任何智慧城市的设计流程中都必须纳入安全措施,而且,目前的安全措施都必须经过仔细的审查。除此之外,智慧城市中的居民也需要树立和提升安全意识,了解潜在的威胁,实践态势感知,并对市政当局施压,以将风险水平控制在最低水平。

这些设备虽然不会收集和存储用户的支付卡信息,但是这些设备上存储的一些其他信息,可能会帮助攻击者来窃取或修改受害者的支付卡信息。例如email地址,用户名和密码,GPS数据,以及家庭或工作地址等。此外这些设备一般都会记录用户的重要健康数据,一旦被攻击者恶意的利用及修改,则可能造成严重(甚至致命)的医疗问题。

最后,必须强调的是,智慧城市的好处将远远超过其将面临的安全风险。

对于个人的医疗设备而言,我们要做的是保证设备不被利用来伤害用户或泄露他们的隐私数据。而对于类似于胰岛素泵或心脏起搏器,这类直接关乎到人们生命安全的重要医疗器材,作为制造商应当在设计阶段就进行严格的安全把关。

来源 : Freebuf、腾讯网络安全与犯罪研究基地

医疗器械的保护

原创声明 >>>

以下是针对医疗设备制造商提出的安全建议:

本微信公众号刊载的原创文章,欢迎个人转发。未经授权,其他媒体、微信公众号和网站不得转载。

隐私设计 - 了解隐私设计的七大原则。

···························································返回搜狐,查看更多

数据加密 - 对通过电子邮件,网络或IM发送的数据或与同步计算机时,应当对这些数据进行强力的加密保护。

责任编辑:

增加数据存储选项 - 让用户能够本地存储跟踪信息,而不仅仅在云端。

验证访问账户 - 在允许数据进行共享,修改或植入之前,进行严格的身份验证,并尽可能的为用户提供多因素身份验证。

设置故障安全状态 - 发生错误和故障,设备必须默认将对关键功能的访问设置为维护状态,以保证在发生问题时不会危及用户。

保证代码安全性 - 避免合法代码被未经身份验证的恶意代码所利用。

为漏洞做准备- 建立并公开发布负责任的漏洞报告披露政策。

为数据泄露做准备 - 创建事件响应计划,以便在数据泄露的情况下,可以做出快速的反应。

为政府审查做准备 - 美国食品和药物管理局(FDA)和联邦贸易委员会(FTC),正在密切关注医疗器械领域。因此做好以上的事情可以帮助制造商们,避免一些法律问题和巨额的罚单。在可预见的未来,医疗保健行业的安全性可能会成为大众关注的焦点。尽管目前仍存在着诸多的问题,但我相信在不久的将来,医疗保健行业势必会成为其他行业的典范,并融入进我们生活的方方面面。

本文由betway必威官网手机版发布于betway必威官网手机版,转载请注明出处:网络威逼报告指网络罪犯通过表单恫吓牟取高利

关键词: