2011年已经过去，我们有必要回顾一下过去12个月中IT安全领域所发生的重大事件。如果必须用一个词总结这过去的一年，我觉得“火爆”这个词非常贴切。这一年，发生了太多的事件、故事，揭露了众多真相，同时也出现很多新的趋势和新的主角，所以，要选择2011年十大安全事件并不容易。我挑选这些事件的目的是让大家记住这些故事，同时了解其代表的最新安全趋势以及登上安全舞台的新主角。通过了解这些事件，我们能够预测2012年的安全形势。

1.“黑客主义”的兴起

我想，任何阅读本文的读者肯定都听说过Anonymous和LulzSec，还可能有TeaMp0isoN。在过去的2011年中，这些黑客组织同其它黑客组织一起，积极投入到针对执法机关、银行、政府、安全公司以及大型软件公司的攻击行为中。有时候，他们协同作战，有时候又各自为战，这些黑客团体无疑是2011年安全领域最重要的角色之一。它们制造出众多安全事件，如联合国网络、FBI承包商IRCFederal、美国国防部承包商ManTech以及CIA被黑事件。有趣的是，有些安全事件，如Stratfor被黑事件，暴露出很多安全问题，包括CVV号码采用未加密格式储存，或者系统管理员使用强度非常弱的密码。

整体来看，黑客主义兴起是2011年的主要安全趋势之一。毫无疑问，这一趋势在2012年仍将继续，并且还会因此产生类似的安全事件。

2.HBGaryFederal被黑事件

虽然这一事件同上述的黑客组织攻击有关，但是我认为有必要将其单独列为一个事件。2011年1月，来自Anonymous黑客组织的黑客通过SQL注入攻击方式，攻陷了GBGaryFederal公司的网页服务器——hbgaryfederal.com。黑客想办法获取到多个MD5哈希值，其中包括公司CEOAaronBarr和COOTedVera所使用的密码。不幸的是，他们所使用的密码均十分简单，仅包括六位小写字母和两位数字。通过这些密码，黑客获取到该公司的研究资料以及储存在GoogleApp上的数万份电子邮件。我认为这一事件具有典型性，因为其发生的前提很巧。首先，使用的密码强度较弱，而且公司使用的是较为陈旧的软件系统，而且还使用了云存储技术，最终这些因素导致了一场安全噩梦。如果公司的CEO和COO都是用高强度密码，这一攻击事件可能就不会发生。或者，如果他们在GoogleApp中使用多重认证系统，攻击者也不会轻易获取超级账号，将公司的电子邮件全部拷贝下来。另外，需要指出的是，即使该公司所采用的安全措施都到位了，我们仍然不能排除黑客通过其它途径将其攻陷的可能，因为黑客可能会发现其它的入侵渠道。

攻击者具有持久的耐心和不懈的决心，再加上大量的时间，使得他们能够最终攻击成功。

3.高级持续性威胁

虽然很多安全专家对于这一词汇颇有微词，但是该词汇确实被主流媒体所引用，并且因为RSA安全事件或NightDragon行动、Lurid和ShadyRat等类似的事件成为一个热门词汇。但是有趣的是，很多这样的网络攻击行为所采用的技术和手段并不高超。另一方面，很多这样的安全事件中，网络黑客都采用了零日漏洞攻击，例如RSA被黑事件中。该案例中，攻击者利用AdobeFlashPlayer中的CVE-2011-0609漏洞，在被攻击计算机上运行恶意代码。而在针对美国国防部承包商ManTech的针对性攻击中，黑客则利用CVE-2011-2462漏洞发起攻击，该漏洞是一个存在于AdobeReader中的零日漏洞。很多攻击都是以美国为目标，同美国军方或政府有合作的公司更是首当其冲。Lurid攻击的目标主要是东欧国家，例如俄罗斯或其它独联体国家。这些攻击表明网络武器超级大国的出现，意味着网络间谍行为已经变得普遍。此外，很多这样的攻击似乎之间都有关联，甚至是全球范围内攻击的一部分。例如，RSA被黑事件中造成SecurID电子口令数据库失窃，而这些电子口令之后则被用在其它攻击中。

4.Comodo和DigiNotar被黑事件

2011年3月15日，知名安全软件和SSL电子证书发放公司Comodo的一个下属公司遭黑客攻陷。攻击者很快利用其基础设施，创建了九个假冒的数字证书，其中包括针对mail.google.com、login.yahoo.com、addons.mozilla.com、和login.skype.com等的电子证书。调查过程中，Comodo最终确认攻击者的IP地址来自伊朗的德黑兰，IP地址为212.95.136.18。但是，仅从攻击规模来说，这次攻击同针对DigiNotar的攻击相比，规模要小得多。2011年6月17日，黑客开始对DigiNotar服务器发起攻击。在接下来的五天内，黑客获取到该公司的基础设施访问权限，并且创建了超过300个假冒数字证书。黑客还以数字证书的形式进行了留言，留言为波斯语，内容为“了不起的黑客，我将解密所有的加密内容，我将摧毁你”。几天后，该假冒的数字证书被用来发动针对十万个Gmail用户的中间人攻击，攻击来自伊朗，更证实了此次攻击同伊朗有关。

早在这些案例之前，大家对证书发放机构（CA）的信任度就有所下降，这些事件更是加剧了这一情况。未来，针对CA机构的攻击可能会越来越多，而且采用数字签名的恶意软件也可能会逐渐增多。

5.Duqu木马

2010年6月，来自白俄罗斯VirusBlokada公司的研究人员SergeyUlasen发现了一款复杂的恶意软件。该恶意软件似乎采用了被盗数字证书对其驱动进行签名，而且还利用典型的Autorun方式复制自身，并包含.Ink文件零日漏洞利用程序。这一恶意软件迅速走红，并且被命名为Stuxnet。Stuxnet是一种计算机蠕虫，其攻击目标非常特殊，直接攻击目标是伊朗的核设施。Stuxnet劫持伊朗的Natanz电站所使用的西门子PLC系统，将其重新编程。其行为只有一个目的，就是破坏Natanz的浓缩铀加工设施。当时，我看到该恶意程序的代码能够对控制64000转离心机的PLC系统进行重新编程，觉得不可思议。因为如果没有接触到原理图和源代码，是不可能写出这样的代码的。但是，攻击者是如何获取到这些敏感的代码的呢？而且这些代码还控制着价值上百亿美元的设施。

答案可能就在Duqu木马中，因为Duqu木马和Stuxnet出自同一群恶意软件编写者。Duqu最早于2011年8月被匈牙利研究实验室CrySyS发现。最初，我们还不清楚Duqu木马是如何感染攻击目标的。后来，能够利用CVE-2011-3402漏洞的恶意Word文档被发现，并且是Duqu入侵攻击目标的手段之一。Duqu木马的目的同Stuxnet非常不同。该木马其实是一个复杂的攻击工具，可以用来攻破系统，从而榨取其中的信息。此外，该木马还能加载新的模块并联机运行，不会留下文件系统足迹。Duqu木马具有高度模块化的架构，并且在全球只感染了很少的系统，使得其出现多年以后才被发现。最早的Duqu相关活动其实早在2007年8月就已经出现。我们分析这些攻击事件，发现攻击者都使用被攻陷服务器组成基础设施从受感染计算机上转移数据，有时候这些数据甚至有数百兆大小。

Duqu和Stuxnet是目前最为先进的网络武器。它们的出现预示着我们已经进入网络冷战时代。由于真实战争具有局限性，所以一些超级势力开始利用网络武器互相攻击。

6.索尼PSN网络被黑事件

2011年4月19日，索尼发现其PSN网络被黑客攻陷。最初，索尼并不愿意公布发生的状况，并且声称该服务于4月20日暂停，并将在几天内恢复。但直到4月26日，索尼才承认PSN网络中的个人数据被盗，其中可能包括信用卡账号信息。三天后，有报道出现说有220万个信用卡账号信息在黑客论坛上出售。到5月1日，PSN网络仍然不能访问，使得其用户不仅面临信用卡被盗的事实，还不能玩已经付费的游戏。2011年10月，PSN网络再次成为媒体焦点，因为索尼为了避免账号被滥用，冻结了93,000个被盗窃的PSN服务账号。索尼PSN网络被黑事件是2011年一件重大的安全事件，因为它揭示出在云存储时代，个人身份信息虽然很容易通过互联网在其它地方快速访问，但一旦那出现设置错误或安全问题，很容易就造成失窃。在云存储时代的2011年，全球有约7700万用户账号和220万信用卡信息被盗。

7.打击网络犯罪和僵尸网络的关闭

虽然索尼PSN被黑事件的幕后攻击者还没有找到，但2011年对很多网络罪犯来说，绝对是难过的一年。因为全球范围内，很多网络罪犯被执法机关所逮捕。例如，ZeuS的幕后攻击者被逮捕，DNSChanger网络犯罪集团被打掉，Rustock、Coreflood和Kelihos/Hilux僵尸网络被关闭等。打击网络犯罪集团对于在全球范围内抑制网络犯罪有长远意义，因为通过大力度的打击，能够向其余的网络罪犯发出信号，即从事网络犯罪不再是一项没有风险的行为。需要特别提到的是Kelihos僵尸网络，它的关闭是卡巴斯基实验室同微软数字犯罪小组共同协作完成的。卡巴斯基实验室首先为该僵尸网络进行了“排污行动”，每天检测到数万台被感染计算机。正是在这个时候，一场争论开始了。了解该僵尸程序的更新详情后，卡巴斯基实验室或执法机关能够推送一个程序给所有的受感染用户，通知他们清除感染，甚至可以自动将受感染计算机上的僵尸程序清除。在Securelist网站上进行的调查中，有超过83%的参与调查人员投票认为卡巴斯基实验室应该推送清除工具，清除感染。但是，这一做法在大部分国家是非法的。所以，基于这些显而易见的原因，我们并没有这样做。但是，这一事件却表明今天的立法系统对于有效打击网络犯罪，还存在很多限制。

8.安卓恶意软件的崛起

2010年8月，我们发现了安卓平台下首个木马程序——Trojan-SMS.AndroidOS.FakePlayer.a，该木马会伪装成一个媒体播放器程序。在仅仅不到一年时间内，安卓恶意软件迅速增长，目前已经成为最常见的手机恶意软件种类之一。这一趋势在2011年第三季度更为明显。2011年期间我们所发现的所有手机恶意软件中，安卓恶意软件所占比例超过40%。并最后于2011年11月达到临界值，总数超过1000个恶意程序样本。这一数量几乎是过去六年中所有发现的其它手机恶意软件之和。安卓恶意软件之所以如此盛行，有多个原因。首先，安卓平台本身增长迅速。其次，有大量免费的安卓平台文档可供参考，使得编写安卓恶意软件较为方便。最后，还有很多人责怪Google的安卓电子市场，因为该市场的审核措施比较薄弱，使得网络罪犯很容易上传恶意程序到电子市场中。而目前，针对iPhone的恶意软件目前仅发现两款，我们收集到的安卓木马数量现在已经接近2000个。

9.CarrierIQ事件

CarrierIQ是一个成立于2005年的小型私人公司，地址位于加利福尼亚的山景城。根据公司网站提供的信息，全球有1.4亿台设备安装了CarrierIQ软件。虽然该公司声称CarrierIQ的目的是从手机终端收集“诊断”信息，但安全研究专家TrevorEckhart却演示了CarrierIQ收集到的信息远远不止“诊断”信息，该软件甚至还包括键盘记录工具以及URL地址监控功能。CarrierIQ具有典型的命令和控制架构，系统管理员能够决定收集何类信息，并选择将这些信息返回。很明显，CarrierIQ确实收集了很多手机用户的信息，但这并非表示其目的是不良的。至少其所属公司以及HTC这样支持其使用的公司是这样宣称的。但是，作为一个美国公司，美国执法机关通过相关证明，可以强制CarrierIQ公司交出他们收集的这些数据。这一法律漏洞甚至能够变成政府窃听和监控的工具。不管事实是否如此，很多用户决定将他们手机中的CarrierIQ软件清除。但不幸的是，清除过程并不简单，而且针对iPhone、安卓手机和黑莓手机，清除手段各不相同。对安卓系统手机，用户必须先要破解手机，才能够清除该软件。或者，很多用户选择重新刷新手机固件，如Cyanogenmod固件。

CarrierIQ事件表明我们对于运行在自己手机设备中的软件几乎毫不知情，对于他人控制我们手机硬件的程度也知之甚少。

10.Mac系统下的恶意软件

我意识到我一旦提到MacOSX系统下的恶意软件，就将自己推入了火线。但是，Mac恶意软件的出现是2011年不能忽视的一个重大安全趋势。2011年5月，出现了一些名为MacDefender、MacSecurity或MacGuard的恶意软件。它们都是Mac操作系统下的流氓反病毒软件，并且很快普及开来。这些恶意软件利用黑帽搜索引擎优化技术，通过Google搜索结果进行传播。此外，这些恶意程序还利用社交工程技术，诱惑用户下载安装，并让用户付费获取完整版。如果用户付费40美元购买完整版，会发现自己其实支付了140美元，有时候甚至还多次被扣费。PC平台下的威胁跨平台出现于Mac平台，是2011年一个重要趋势（流氓反病毒软件是PC平台下最常见的恶意软件种类之一）。除了Mac平台下的流氓反病毒软件，DNSChanger家族的木马程序同样值得关注。该类恶意软件最早于2007年被发现，这类木马会利用简单的方式感染系统，修改系统的DNS设置，将DNS指向网络罪犯设置的专用DNS服务器，之后将自身删除。这样，即使用户感染了DNSChanger，系统DNS设置被更改，但用户也不易发现，因为计算机上并不存在恶意软件。但是，网络罪犯利用这种手段，感染DNS通讯，让用户访问假冒的网站，或者进行点击诈骗以及中间人攻击。幸运的是，2011年11月，FBI逮捕了六个爱沙尼亚国籍的网络罪犯，他们是DNSChanger恶意软件的幕后操作者。根据FBI提供的数据，在过去四年中，他们在全球100多个国家共感染400万台计算机，获得非法利润约1400万美元。这些事件表明Mac操作系统下的恶意软件同PC平台下的一样真实存在，即使采取了当今的安全措施，也很难预防复杂的社交工程感染技术。而且毫无疑问，这两个平台下的恶意软件数量还会增加。

总结来说，上述十个事件只是2011年众多安全事件中的一小部分。之所以选择这些事件，是因为它们是2011年安全领域里的绝对主角，并且在不远的将来，仍将继续在网络安全领域扮演重要角色。其中涉及黑客主义者集团、安全公司以及超级大国互相对抗，进行网络间谍行为的高级持续性威胁，此外，还包括软件和游戏开发商（如Adobe、微软和索尼）、执法机关、传统的网络罪犯、安卓系统开发商Google以及MacOSX平台开发商苹果公司。他们之间的关系可能会错综复杂，充满戏剧性或包含很多秘密，就像是电视剧《Dexter》那样神秘和梦幻。但有一点可以确认，这些IT领域的明星在2012年的安全大戏中，仍将继续吸引大家的眼球。