2017互聯網安全領域十大話題

導

語

2017年即將過去，2018新年還有3天，回顧2017，看似很平淡地過去了，但總有一些印記讓我們印象深刻。作為互聯網安全領域的一份子，阿里聚安全時刻關注著互聯網行業的安全事件，讓我們一起來盤點2017年安全圈的一些大事吧，看看是否與你關注的差不多~

1

勒索軟體與安全

勒索軟體的風險一直存在，2017上半年5月份，wannacry的爆發，小到個人，大到企業、醫療衛生，民生政務，教育機構皆受到不同程度威脅，風頭一時無二。

WannaCry利用竊取自美國國家安全局的黑客工具EternalBlue（永恆之」）實現了全球範圍內的快速傳播。隨後，WannaCry 2.0，手機「農藥」輔助軟體勒索病毒，國產一鍵生成Android勒索軟體製作工具接二連三出現。

下半年Bad Rabbit(壞兔子)在歐洲的肆虐，讓西方的企業政府等部門，在勒索軟體的陰影下，瑟瑟發抖。

Bad Rabbit通過偽裝成Adobe Flash Player軟體升級更新彈窗，誘騙用戶主動下載並安裝運行惡意程序。可以加密文檔類型、資料庫文件、虛擬機文件等類型文件，同時還會使用賬號弱口令密碼掃描內網和SMB共享服務獲取登錄憑證嘗試登錄和感染內網主機，對業務存在高安全風險。

2

應用商店安全

面對越來越多的網路惡意應用，去官方應用商店下載是個不錯的選擇。但事實證明，官方應用商店也不是那麼的讓人放心。

年初，「SMSVova」惡意程序隱藏在一款虛假的「軟體更新」應用程序中，並通過簡訊從攻擊方接收指令，以執行諸如為「SMSVova」間諜軟體設置和更改密碼以及檢索位置數據等功能。

11月4日報道，安全研究人員Dexter Genius近期發現黑客利用官方 Google Play商店作為惡意軟體存儲倉庫、部署冒牌WhatsApp應用。

而國外科技作者Johnny Lin發表一篇名為《如何利用App Store月入8萬美金》，揭蘋果應用商店存在一類詐騙APP，利用廣告刷榜加指紋支付騙取用戶訂閱，「詐騙訂閱」的存在凸顯了蘋果應用商店審核機制的不完善以及用戶操作過於粗心大意。

3

漏洞與賞金

被稱為黑客世界盃的移動Pwn2Own黑客大會今年宣布，攻破iOS獎勵10萬美元。根據安全漏洞的不同，獎金也有變化。

8月28日大疆宣布推出「大疆威脅識別獎勵計劃」，最低獎勵為100美元（約合人民幣658元），最高3萬美元（約合人民幣197457元），金額根據威脅潛在的影響而定。

10月20日消息，為了清除Google Play商店中的漏洞，谷歌本周四啟動新項目，開始向發現Android應用漏洞的安全專家提供獎勵。承諾每發現一個漏洞，安全專家獲得的獎勵至少為1000美元。

賞金計劃的推陳出新和賞金額度的不斷提高表現了業內對安全的日益重視，但全球安全人才缺口巨大，整體形勢依然嚴峻。

4

網路內容安全

信息爆炸的時代，網路內容的複雜性成幾何上升。諸如網路鑒黃師，網站內容審核，貼吧論壇管理員等等會對網路內容安全進行審核。但網路上動輒以萬億計數的信息條目讓人工審核捉襟見肘。過去，只有增加審核人員一條路，但是高強度的工作，接收過多的負面信息讓內容審核崗位成為冷門。

2017年9月16日，「2017網路安全博覽會暨網路安全成就展」（網路安全周）上，在數據安全、隱私保護備受關注，網路黑灰產日漸猖獗，作案手段不斷翻新的背景下，阿里巴巴分享了阿里系最新的「十大安全黑科技」。其中內容安全技術迎合主流的人工+智能的審核方式，成為了眾多企業開發者考察的對象。

5

實人認證與安全

《網路安全法》第二十四條 網路運營者為用戶辦理網路接入、域名註冊服務，辦理固定電話、行動電話等入網手續，或者為用戶提供信息發布、即時通訊等服務，在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網路運營者不得為其提供相關服務。

雲棲大會阿里巴巴分享核身實踐：利用生物識別技術進行身份認證、人機交互已經成為很多移動端產品的重要趨勢。阿里實人認證技術可以利用活體檢測、人臉對比等並結合權威數據源與阿里實人可信模型，判定用戶身份真實性、有效性的在線身份校驗服務。

12月初，英國廣播公司（BBC）當地時間12月10日報道，BBC記者約翰·蘇德沃斯在我國貴陽體驗 「天網工程 」，在被手機拍下一張面部照片後，僅僅 「潛逃」七分鐘，就被中國警方抓獲。

6

《網路安全法》

2016 年11月7日，全國人大常委會表決通過的《中華人民共和國網路安全法》，於2017年6月1日起施行。這部法律填補了我國關於網路安全犯罪行政處罰方面的空白，它有6個亮點：

明確了網路空間主權的原則；

明確了網路產品和服務提供者的安全義務；

明確了網路運營者的安全義務；

進一步完善了個人信息保護規則；

建立了關鍵信息基礎設施安全保護制度；

確立了關鍵信息基礎設施重要數據跨境傳輸的規則。

對個人而言，個人信息保護是關鍵，如法律中明確規定網路實名制，若不提供真實身份信息，網路運營者將不能為其提供相關服務。

對企業而言，比較側重於企業安全，比如企業應該怎麼去保護信息、怎麼去保護網路安全等。此後企業有了更具體的義務和責任去維護網路安全，並對用戶和客戶負責。

7

雲棲大會（杭州）-移動安全專場

2017年10月11日-14日在杭州召開了雲棲大會，迎來世界各地4萬多位開發者、創業者、科學家、行業先鋒們。

了解業務安全端安全方面應該注意的風險，區分業務風險優先順序，關注縱深防禦節點，做出平衡業務的取捨，才能使業務安全部門更敏捷，更具有彈性。在雲棲大會的移動安全專場，阿里巴巴集團的安全專家們就業務安全端方面做了一些分享。

阿里巴巴安全專家孫澤奪-《APP加固新方向》，重點介紹android加固對於端上的業務風險控制是如何做到自動化部署和分析，能更快捷的感知安全風險，以便快速做出響應，減少不必要的業務損失。

阿里巴巴移動安全專家馬征-《APP渠道推廣作弊攻防那些事兒》，為如何能減少APP推廣經費被羊毛黨消耗問題做了詳盡的分析。

阿里巴巴高級演算法專家王炎分享《生物識別：阿里巴巴在移動端的核身技術實踐》，講述了阿里實人認證技術和聲紋識別技術為移動端設備提供額外的安全性。

……

8

KRACK-WiFi漏洞

10月中下旬，安全研究人員Mathy Vanhoef在WPA2協議的四次握手過程中發現了嚴重的安全漏洞KRA（Key Reinstallation Attacks），可能影響所有WiFi設備，利用這個漏洞發起的攻擊就叫KRACK攻擊。

幾乎所有支持Wi-Fi的設備（Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys等）都面臨安全威脅，危害較大。

因此一時間各安全廠商與個人用戶人心惶惶，好在暫未發現在野利用實例，而微軟、蘋果等廠商都及時發布補丁。

阿里安全技術平台團隊第一時間對該漏洞做出詳盡的漏洞分析報告，並提出漏洞安全加固建議。

9

IPv6部署

今年11月底，由下一代互聯網國家工程中心牽頭髮起的「雪人計劃」已在全球完成25台IPv6根伺服器架設，中國部署了其中的4台，打破了中國過去沒有根伺服器的困境。

12月初，中共中央辦公廳、國務院辦公廳印發了《推進互聯網協議第六版（IPv6）規模部署行動計劃》，加快推進IPv6規模部署，IPv6城域網、政府網站IPv6雙棧化改造、IPv6城市公共無線網路等均已開始試點和部署，互聯網BAT部分內容已支持IPv6訪問，流量增長迅速，新的網路環境以及新興領域均將面臨著新的安全挑戰。

針對IPv6安全，計劃中重點要求升級安全系統，強化IPv6地址管理，增強IPv6安全防護，加強IPv6環境工業互聯網、物聯網、車聯網、雲計算、大數據、人工智慧等領域的網路安全技術、管理及機制研究，構築新興領域安全保障能力。

阿里安全技術平台團隊針對IPv6安全防護問題從IPv6安全威脅結合互聯網網路安全運營視角進行了重點分析，同時探討了互聯網IPv6網路安全保障體系面臨安全風險及加固建議。

10

iOS11.2 完美越獄

「非完美越獄」後的手機一旦重啟，需重新手動操作一遍越獄流程。而完美越獄可在重啟手機後，能自動執行越獄代碼，在重啟前完成越獄。

阿里安全潘多拉實驗於2017年成立，此前僅在阿里先知創新大會上露過一次面，其安全研究員用視頻演示了安卓8.0的Root提權和iOS 11.1的完美越獄。

12 月13日，阿里安全潘多拉實驗室稱，已經完美越獄蘋果iOS 11.2。一天後，在蘋果發布了iOS 11.2.1之後的數小時內，他們又演示了針對該版本的完美越獄。

研究人員龍磊表示，理解iOS系統，研究它的安全機制，驗證蘋果系統是否有「缺口」才是實驗的目的。這也是後來潘多拉實驗室一直沒發布越獄工具的原因之一.。

總結

當然，2017年安全領域的關鍵詞還有很多，小編整理的也只是一小部分，阿里聚安全在2017年有很多收穫也有一些不足，在此與大家共勉，希望在2018年能繼續為用戶提供滿意的安全服務，共同進步！感恩！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！