2016已經來到尾聲,在這一年裡,發生了許多重大的資安事件,很多也都見怪不怪,例如:猖獗了好幾年的勒索病毒、分散式阻斷攻擊(DDOS)、進階持續性威脅(APT)、手機漏洞等,不過同時也由於一些新的技術逐漸崛起,例如物聯網(Internet of Things, IoT),讓攻擊的趨勢趨於更多樣化,另一方面,古老的漏洞被挖掘頻率逐漸增加,接下來,讓我們來回顧一下這一年的一些重大資安事件。
對象甚至擴展到過去比較不會被作為破壞攻擊對象的醫療系統(這邊不考慮資料竊取,或是被植入木馬的部份,僅考慮破壞性的攻擊),例如好萊塢長老教會醫療中心(Hollywood Presbyterian Medical Center)(註三)、基督教會衛理公會醫院(Methodist Hospital)(註四)等,在到年底舊金山交通局的電子售票系統(註五),由此可見,勒索病毒的散播者,正在努力的尋找可能的”財源”,也就是可能付錢的被害者。
DROWN(Decrypting RSA using Obsolete and Weakened eNcryption)「編號:CVE-2016-0800」(註十七) ,屬於典型的跨協定攻擊,透過SSLv2協定的漏洞,去攻擊採用TLS協定的安全連結,藉此可以進行中間人攻擊(Man-in-the-middle Attack)。
CGC(Cyber Grand Challenge)(圖十一),這是由美國國防部先進項目研究局(Defense Advanced Research Projects Agency, DARPA) (註二十四)發起的全球網路安全競賽,主要目的是推動程式自動化攻防的能力,最終希望可以實現全自動的網路安全攻防系統,也就是說,CGC所有的參賽人員都不是人類,而是擁有自動攻擊與防禦的系統,最後的比賽結果由MAYHEM奪得冠軍(圖十二為最終比賽結果)。