2014年安全领域十大推文

去年一整年，IT安全领域可谓纷繁复杂。众多安全事件不断接踵而至：从影响全球数百万台计算机的全球性漏洞到与本地网络犯罪分子的终极对决。几乎每一个事件在某种程度上都与社交网络有关–自从推特开始播报新闻以后，尤其成为了”重灾区”。为此，我们专门为您收集了2014年与IT安全领域有关的十大推文。

1. 2014年3月，一名’Pump Water Reboot’黑客小组成员针对多家俄罗斯网络服务发动了一系列DDoS（分布式拒绝服务）攻击—受害者包括多个在线社区和数家银行。每一个受害者被要求支付1000美元赎金以停止攻击。

在这片推文中写道，该网络犯罪分子还对在线专业银行Tinkoff Credit Systems的创始人，俄罗斯银行家Oleg Tinkov进行了威胁。

@olegtinkov На ваш сайт ведется DDoS – атака. Мы предлагаем решение этой проблемы. Атака прекратится если Вы готовы заплатить 1 000$.

— Pump Water (@PumpWaterReboot) March 24, 2014

（从俄语翻译过来：你的网站正在遭受DDoS攻击。我们能为您提供解决问题的方案。如果你愿意支付1000美元的话我们就能停止这一攻击。）

直到去年夏天，这名网络犯罪分子终于被警方抓获，最终在几个月后被判处2年半的监禁并被罚款1200万卢布（约合40万美元）。对于年仅19岁的学生来说的确是一笔巨额罚款，而随后了解到他只是头脑一时发热。

2. Heartbleed漏洞在当时竟然对全球2/3的互联网造成了威胁。你可以从我们的博文中了解更多相关的详细内容。《xkcd》漫画作者将为您提供有关该事件最佳的简略版本：

Heartbleed http://t.co/wxVnw6YK6Q http://t.co/j1iYb4DC7l pic.twitter.com/ekr3nFr1oW

— XKCD Comic (@xkcdComic) April 9, 2014

Heartbleed漏洞的影响深远，将在很长一段时间继续萦绕着我们：成千上万存在漏洞的服务器依然没有更新。而且其中许多将永久地处在Heartbleed漏洞的阴影之下。

3. 对我们来说，2014年最佳推文莫过于来自—你绝对不会相信的！—美国中央情报局。很高兴看到即使是这些硬汉都有幽默的一面。

We can neither confirm nor deny that this is our first tweet.

— CIA (@CIA) June 6, 2014

4. 8月中旬，网络黑客事件甚至险些让俄罗斯总理梅德韦杰夫卷入政治风波：有黑客非法入侵（恶搞）他的推特账号。

（俄语翻译过来：我决定辞职。我为俄罗斯政府的行为感到羞耻。对此我非常抱歉。）

与此同时，梅德韦杰夫的其他账号也遭到了黑客入侵。这导致梅德韦杰夫移动设备上的大量私人照片和往来邮件遭到外泄。但随后所有黑客发布的推文都被一一删除。到底发生了什么–该黑客是否被捕了–依然未可知。

5. 就在两周后，又发生了另一起重大的外泄事件：有人将多名好莱坞明星的隐私裸照放到互联网上，其中就有詹妮弗•劳伦斯。

https://twitter.com/YahoodiSaazish/status/506139424426446848

这一外泄事件迅速被冠以’The Fappening’（艳照）之名，并在全世界传播开来。之后，好莱坞明星们不得不加倍警惕，而发布这些艳照的网络服务网站则从广告商那儿获得了巨额利益。流行网站Reddit尤其从中大赚了一笔，足以支持一个月的项目。

6. 多事之秋可谓名副其实。9月，在Bash shell内发现了新的根本性漏洞。现在人们都将其称之为“Bashdoor”或”Shellshock“。这是一年中第二次发现重大漏洞，导致数百万台计算机和大部分服务器遭受病毒感染。发现这个bug的家伙并没有立即发布在他的推特账号上。但随后他发了一些有价值的推文并附带说明：这一漏洞可能最早在25年前（1989年）就已出现。

Shellshock was actually introduced in bash-1.03 (1989, 25y ago), not 1.13 as Chet, I and others have said earlier (http://t.co/LC5TEqpqkx)

— Stephane Chazelas (@SChazelas) October 4, 2014

Bashdoor bug以及上述所提到的Heartbleed漏洞至少将在相当长的一段时间影响着我们。

7. 几周后，全世界又发现了另一个全球性威胁。10月初，两名研究人员宣布地球上的每一个USB设备都存在致命漏洞。出于某种原因，相关人员并没有对这一发现进行深入的讨论，但我们将为您提供一些蛛丝马迹：

BadUSB research: "You can’t trust anything you plug into your PC, not even a flash drive" https://t.co/kOkdrw8dEZ pic.twitter.com/ANYpF01EY6

— Eugene Kaspersky (@e_kaspersky) October 3, 2014

目前尚不清楚我们应该在全球范围采取哪些措施以保护自己免受这一bug的侵害。已知只有一种最佳保护措施：不要使用未知的USB设备，包括但不限于键盘和鼠标。

8. 十月中旬又发生了一起外泄事件。这次受害者是Dropbox用户。公司发言人迅速作出反应，宣称网站服务并未遭到黑客入侵，而所外泄数据只是因为采用了某种其它的数据收集方式。

Reports claiming we’ve been hacked aren’t true. Your stuff is safe. More info on our blog: http://t.co/vI6sfNjC4Z

— Dropbox Support (@DropboxSupport) October 14, 2014

许多人认为Dropbox的确遭受了黑客入侵，而公司更倾向于和入侵者私下”交涉”而不愿付出损失信誉的代价。

9. 10月末所发生的安全事件许多人并未引起足够的重视：推特宣布计划不再使用密码，取而代之的是更加高级的身份认证系统。除了采用密码认证用户账号以外，推特还为第三方开放人员提供使用数字平台的机会，以认证使用其应用程序的用户。

https://twitter.com/digits/status/524977241780805632

对于放弃使用密码许多人已进行了众多的尝试，但到目前为止还未有成功的案例。但推特在未来几年很有可能取得成功，我们终将放弃使用这一古老的认证方法。

10. 至于密码：千万不要将密码保存在你PC电脑上未加密的文件内。否则的话，你将遭遇索尼影业同样的惨痛结果。该公司遭到GOP黑客小组大规模的黑客攻击。事实上在本次攻击发动之前，网络犯罪分子已盗取了索尼影业其中一个推特账号，并向公司首席执行官发出即将发动黑客入侵的警告。

不幸的是，黑客并未只限于这些威胁，索尼影业的大量员工信息也遭到外泄–只是他们根本还未准备好应对着一切。你可以从我们的博客了解更多有关该事件的详细内容。