2015年的全球网络安全环境实在算不上太平。而在波及范围最广、受害人群最多的十大国际安全事件中，数据(被攻击后)泄露与高危漏洞成为最常见的两类问题。
            　　婚外情网站数据泄露、军火贩子Hacking Team被黑、Xcode Ghost事件使上亿苹果用户躺枪……2015年的全球网络安全环境实在算不上太平。而在波及范围最广、受害人群最多的十大国际安全事件中，数据(被攻击后)泄露与高危漏洞成为最常见的两类问题。

　　攻击&数据泄露：

　　监守自盗，摩根士丹利员工窃取35万客户信息

　　

       

 

　　正所谓日防夜防，家贼难防。美国《华尔街日报》报道，摩根士丹利的一名财务顾问涉嫌窃取35万名客户账户信息;甚至一度有900名客户的信息被其短暂公布在公共网络上。据媒体深扒，这位监守自盗的员工在大摩的工作时间已长达7年，对相关规矩心知肚明;此次明知故犯，也给其职业生涯画上了句号。

　　华人荣耀，世界黑客攻击大赛中国团队登顶

　　

       

 

　　在黑客的世界中，同样存在着“世界杯”一般的顶级赛事——Pwn2Own世界大赛。作为全球公认的级别最高的黑客大赛，每一届Pwn2Own都会吸引全世界最顶尖的黑客团队前来，“名正言顺”的破解、攻击ie、chrome、safari、firefox等浏览器。

　　值得一提的是，2015年Pwn2Own大赛的诸多攻击比试中，条件最苛刻、攻破难度最高的ie浏览器，被中国团队360Vulcan Team于17秒内斩于马下。这也是亚洲团队9年来第一次在世界大赛中攻破ie浏览器。

　　黑暗中的交锋I，黑客组织匿名者向3K党、ISIS宣战

　　匿名者，世界最大、最神秘的黑客组织，曾瘫痪中情局网络、入侵索尼、黑进朝鲜官方新闻网站……在2015年，该神秘组织先后向3K党与ISIS发起网络上的攻击，颇有替天行道之意。

　　

       

 

　　今年11月，匿名者披露了大量3K党名单。据传闻，起因是某名匿名者组织成员的女朋友被3K党骚扰，于是匿名者们“冲冠一怒为红颜”。

　　对ISIS的攻击行为，则是源于对法国恐怖袭击等惨案的愤慨。外媒报道，仅三天内匿名者就攻陷了20000余个属于ISIS的社交账号;同时，匿名者也公布了部分ISIS成员的个人信息，一名在欧洲负责招募新成员的恐怖分子的地址已被公开。

　　黑暗中的交锋II，军火贩子Hacking Team被黑、400G敏感数据泄露

　　如果说匿名者向ISIS、3K宣战属于以暴制暴，那漏洞中间商、知名黑客组织Hacking Team被同行所黑，就多少有一些恶有恶报的意味了。今年7月，收购、贩卖漏洞及隐私数据的黑客机构Hacking Team被攻击者入侵，其贮藏了大量漏洞及敏感数据的“军火库”也被洗劫一空。

　　

       

 

　　该泄露事件几乎成为了整个互联网行业的灾难。泄露的400G资料里有海量的代码——覆盖全平台、自带多个0day，包括远程执行，本地提权等。于是一时间网络中挂马横行，大量设备、平台面临威胁。

　　“干爹”们的噩梦，全球最大婚外情网站Ashley Madison被黑

　　Ashley Madison，全球最大的婚外情网站，为已婚人士提供交友、约会服务，致力于帮助成功男士寻找小三。然而当该网站详细的用户数据被黑客攻破、掌握甚至曝光后，这些成功人士就坐不住了，纷纷发推洗地。好在攻击该网站的黑客表示：此举纯粹是为了倒逼婚外情网站的关闭，没有任何其他企图。其伟光正，毫不亚于世界领袖金将军。

　　

       

 

　　可惜故事的结局是，该黑客组织在邮件中称：允许花费1比特币(约合225美金)，换取个人信息的不被泄露;否则，便在网上曝光详细资料。于是便有了那句经典的网友讽刺：“本以为是蝙蝠侠，原来却是蝙蝠精。”

　　高危漏洞：

　　雪上加霜，三星输入法漏洞影响6亿用户

　　近年来三星的日子并不好过，不仅出货量下滑，智能机销量第一的位置也被iPhone霸占。然而祸不单行，正处于“危急存亡之秋”的三星，又于15年6月被爆出了高危的输入法漏洞。通过该漏洞，攻击者可以暗中监控用户的摄像头和麦克风、读取输入和传出的短信以及安装恶意应用程序，影响全球超过6亿的三星手机用户。

　　人在车中坐祸从天上来，一漏洞致140万JEEP被召回

　　在万物互联时代，会出现漏洞的不只是电脑系统，还有在街上跑的汽车。继14年特斯拉被发现漏洞、远程破解后，JEEP也在15年遭到了美天才专家Charlie Miller和Chris Valasek的黑手——利用漏洞，黑客能够在JEEP的行驶过程中对其下达指令，使车辆偏离路面并栽入沟中。

　　

       

 

　　二位黑客曾先后在拉斯维加斯的DefCon大会、与国内的Syscan360大会上演示过漏洞的利用、破解过程。而该破解举动，也直接导致Jeep母公司菲亚特·克莱斯勒在美国召回140万辆汽车，其中包括2014和2015款吉普大切诺基和切诺基SUV，以及2015款道奇挑战者等常见车型。

　　一条彩信控制手机，95%安卓机曝高危Stagefright漏洞

　　7月下旬，以色列安全公司 Zimperium 宣布，Android 2.2 到 5.1 的所有版本都存在Stagefright高危漏洞，约95%的安卓设备受到该漏洞影响。利用Stagefright漏洞，攻击者只需要向安卓手机上发送一条彩信，不论机主打开与否，都能完全控制用户手机。而且该漏洞极难修复，谷歌在发布了两批补丁后，才完成了对Stagefright系列漏洞的修补。

　　管理漏洞导致病毒传播，苹果XCodeGhost事件引反思

　　严格来讲，XCodeGhost事件并非由系统漏洞引发，而是被植入了恶意代码;但整个事件的出现以及传播，却是由于苹果公司的管理漏洞所致。由于Xcode体积过于庞大，为追求效率，许多国内开发者都会使用网盘或迅雷资源下载。开发者们没想到的是，这些网络上流传的非官方途径的Xcode，悉数带有XcodeGhost 病毒。

　　

       

 

　　更让人后怕的是，这些携带恶意代码的APP，居然毫发无损的上传到了AppStore，并被数亿人下载使用。于是，病毒制造者便可以利用这些感染了XcodeGhost的APP，私自上传用户资料，甚至获取iCloud帐号密码。由此可见，系统中的漏洞固然可怕，管理的漏洞却更为致命。

　　上万机构受波及，针对虚拟平台的“毒液”漏洞爆发

　　

       

 

　　VENOM毒液漏洞(CVE-2015-3456)，是一种能够影响QEMU软盘控制器驱动程序(用于管理虚拟机的开源电脑模拟器)的漏洞。攻击者可以从客户系统发送命令和参数数据到软盘控制器，以此导致数据缓冲区溢出，并在主机管理程序进程环境中执行任意代码。该漏洞波及范围巨大，至少将影响到成千上万的机构和数以百万计的终端用户。

　　这十大案例，只是2015年诸多安全事件中的冰山一角，类似事件屡见不鲜：美医疗机构Anthem、人事管理局相继被黑，甚至直接导致局长引咎辞职;英国电信运营商被入侵;德国导弹系统短暂失去控制……甚至就在数日前，日本还爆发了“VVV病毒”，且大有流入国内之势。

　　从2015年发生的这些案例中可以看出：有组织的攻击行为，正逐步成为各类安全事件的主要诱因。那么在面对攻击者们愈发猖獗的进攻态势时，全世界的安全从业者们又该何去何从呢?