9月5日,2022年国家网络安全宣传周启动,来自国家计算机病毒应急处理中心和360发布的调查报告显示,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)多年来对我国国内的网络目标实施了上万次的恶意网络攻击,控制了相关网络设备,疑似窃取了高价值数据,其中就包括4月对西北工业大学(以下简称“西工大”)的网络攻击。近年来,国家针对个人信息保护和政企网络安全保护出台了多部法律法规,倡导全民关注。面对看不见的网络安全防线,普通用户应该如何保护个人信息,除了要关注传统的电信、网络安全保护,还有哪些场景存在网络安全风险?
国家网络安全宣传周启动
9月5日-11日,中央宣布部、中央网信办等联合在全国范围内统一举办2022年国家网络安全宣传周,主题是“网络安全为人民,网络安全靠人民”。安全周期间,全国各省(区、市)统一组织本行政区内的网络安全宣传周活动,各有关中央部门、人民团体组织指导本系统本行业的活动,其中包括网络安全教育云课堂、网络安全赛事、网络安全进基层,另外,网安周期间还将安排校园日、电信日、法治日、金融日、青少年日、个人信息保护日等主题日活动。
【资料图】
国家网络安全宣传周启动当天,相关话题均登上微博、百度热搜。当天挂在热搜上的还有西工大遭网络安全攻击事件。
根据360等发布的“关于西工大发现美国NSA网络攻击调查报告”,6月22日,西工大发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西工大的信息网络中发现了多款源于境外的木马程序样本,西安警方已对此正式立案调查。初步判明相关攻击活动源自美国(NSA)的TAO。
“360主要通过多年积累的海量安全大数据,以及独立捕获大量高级复杂的攻击程序样本,对美国NSA攻击事件进行了追踪分析,还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头”,360安全专家边亮告诉北京商报记者。
调查发现,近年,美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,包括:网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等,窃取了超过140GB的高价值数据。
网络攻击事件非个例
对于西工大遭到美国国家安全局网络攻击一事,外交部发言人在9月5日举行的中国外交部例行记者会上表示,中方对此强烈谴责。美国应立即停止对他国进行窃密和攻击,为维护网络安全作出建设性作用。外交部发言人毛宁指出,中方坚决反对任何形式的网络攻击。维护网络安全是国际社会共同责任,愿同国际社会一道,携手构建网络空间命运共同体。
根据调查报告,美国NSA还利用其控制的网络攻击武器平台、“零日漏洞”(0day)和网络设备,长期对中国的手机用户进行无差别的语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。
事实上,2020年360曾公开披露,美国中央情报局CIA攻击组织(APT-C-39)对我国进行长达十一年的网络攻击渗透。在此期间,我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。
2022年3月,360独家披露了美国国家安全局NSA(APT-C-40)为达到美国政府情报收集目的,针对全球发起大规模网络攻击,其中我国是NSA组织的重点攻击目标之一。攻击对象包括政府、金融、科研院所、军工、航空航天、医疗行业等重要基础设施,潜伏渗透的时间长达近十年。
边亮告诉北京商报记者,“截至今年,360已累计发现了50个其他国家背景的APT(高级持续性威胁)组织,监测到5200多起针对中国的国家级网络攻击行为。2022年上半年,360捕获到对中国地区发起攻击涉及的组织12个”。
个人信息安全保护口诀:会识别、关权限、安装反诈App
由于越来越多的网站、App要求用户必须实名注册和登录,这使普通网民对个人信息安全保护的关注度越来越高。
国家相关部门也已发布《网络安全法》《数据安全法》《个人信息保护法》等多项法律法规。自2021年11月1日施行《个人信息保护法》规定,在取得个人的同意;为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;为履行法定职责或者法定义务所必需等情况下,个人信息处理者方可处理个人信息。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
作为普通用户,应该怎样防范不必要的个人信息泄露?奇安信行业安全研究中心主任裴智勇向北京商报记者总结了三项能力:“一是要掌握一定的诈骗信息识别能力,努力避免通过电话、短信、邮件、社交软件或钓鱼网站,向陌生人泄露自己的个人信息;二是要学会使用智能手机的权限管理功能,关闭App非必要的个人信息获取权限,最大限度地保护个人信息不被商家过度获取;三是安装国家反诈中心App或全民反诈App,安装手机安全软件,减少恶意软件或诈骗电话攻击的风险”。
作为政企机构,特别是经营业务本身涉及大量公民个人信息的政企机构,如互联网企业、有关政府部门、社会组织,以及金融、能源等社会服务型行业机构,裴智勇的建议是:“需要把用户的或服务管理对象的个人信息保护工作,作为网络安全工作的重点来抓,从业务设计、系统开发、数据梳理等多个方面,全面加强数据安全的建设与运维,既要防外贼,又要防内窥;既要防泄露,又要防勒索;既要做好数据加密,又要做好数据灾备。”
那些网络安全风险新场景
除了从攻击对象出发关注网络安全问题,网络安全场景也有新的变化,其中智能汽车安全是个典型。
根据相关数据,2016年到2020年,全球围绕汽车网络安全方面发生的事件数量增长了近10倍,IDC数据显示,2020年全球智能网联汽车出货量4440万辆,到2024年全球智能网联汽车出货量将达到约7620万辆,全球出货的新车中超过71%将搭载智能网联系统。2021年特斯拉全球服务器宕机导致车主无法通过App 解锁车辆事件,将智能汽车网络安全问题推上风口浪尖。
一般来说,车主通过钥匙、手机App即可进行车辆解锁、远程启动等操作。但安恒信息研究人员发现,通过破解,只要知道这个车架号,即可获取车辆的控制权限,在不需要钥匙的情况下,即可开关车门、开关后备箱等。
安恒信息总经理吴卓群告诉北京商报记者,“车辆被控制后,可以在不知情的情况下安装恶意程序。不法分子可以植入一个恶意二维码,冒充绑定系统。一旦不小心扫码,就会泄露手机号码等个人信息”。
以行车记录仪为例,行车记录仪具备录音、录像等功能,也存储着大量隐私数据。安恒信息研究人员发现,部分行车记录仪也存在着漏洞,行车记录仪在启动时会释放一个WiFi热点(默认无密码),当该热点被恶意攻击者接入时,就可以访问行车记录仪的一些服务。按正常流程这些服务需要获取到行车记录仪的授权(如登录账号密码或App认证)才可以访问,但恶意攻击者可以通过行车记录仪的安全漏洞进行未授权访问,查看当前行车记录仪的实时视频,还可以获取行车记录仪系统内部存储的历史视频,比如行车轨迹、甚至于车内交流的声音等等,危害到行车记录仪车主的个人隐私。
针对车联网存在的安全风险,吴卓群向车主建议:“1、要及时进行系统更新;2、不使用时,尽量关闭电源,关闭不必要的蓝牙、WiFi等功能,设置强密码并定期修改密码。我们也呼吁车企,能够加强车主的数据安全保护。”
(文章来源:北京商报)