2023年十大网安事件盘点（上）丨大东话安全

大东：小白，2023年即将结束，回首这一年的学习生活，你觉得如何呢？

小白：在这段时间里，我深入研究了网络安全知识，了解了一些发生的网络安全事件，拓宽了我的网络安全视野。

大东：年底了，是时候回顾一下2023年度的学习、工作、生活了。

小白：是的，我最近正在进行总结。我整理了2023年发生的十大网络安全事件，或许通过这些事件的分析，我们能够总结出网络安全的一些特点，从而更好地增强网络安全的保障能力。

大东：小白做的很棒！

小白：我们一起来了解一下吧！

NO.10数字安全锦囊

数字安全锦囊（图片来源：网络）

1. 事件穿越

大东：强化数字安全屏障能力，首先，得了解数字安全的技术内涵；其次，需清楚数字中国的涵盖范畴；然后，还要结合数字中国的建设协同规划，真正把能力强化落实到位。

小白：这种能力很重要，如何建立这种能力呢？

大东：这就要提到我们的数字安全锦囊了。

小白：数字安全锦囊？那是什么。

大东：数字安全锦囊，从“经度”建设数字安全韧性能力。锦囊就是网安事件分析策略，这个应从战备、战略、战役三个层次出发。

2. 数字安全锦囊精彩回顾

战略锦囊

大东：我们应该坚持“大领跑型思维”，通过主动谋划和超前布局。在网安事件梳理分析的基础上，建立面向数字中国的数字安全韧性能力指标体系。

小白：建立数字指标化和指标数字化的评估范式，对于发挥我国的新型举国体制，推进数字中国建设十分重要。

大东：人才是国家发展的基石，通过因地制宜考虑人才聚集机制，实施科教结合协同育人行动计划，建立多层次人才梯队，打通产学研人才生态循环。同时为了适应数字化转型的现在进行时，建议尽快部署构建功能完备最小集的实验床，开展网络安全的先行先试工作。

小白：统一建设指标、锻造人才铁军、构建试验平台是数字安全战略锦囊的三位一体要素。

战备锦囊

大东：透过现象看本质，通过情报看清隐藏在情报与事件背后的规律，智能推演安全事件场景，精准定位、靶向探究，在国家视角看各组织单元的数字安全韧性能力建设的全局，做好感知态势。

小白：战备锦囊就是做数字中国的网络攻防事件应急能力储备。

战役锦囊

大东：从“三个科”的科学角度来观测区域数字安全韧性能力建设的演进脉络和方向趋势，收敛到rite的4个0的体系中找寻应对之策。无论是什么样的安全定制解决方案还是先进安全产品，最后还是要看疗效，而这个疗效的好坏可以从4个0的收敛效果做评估。

小白：实践是检验真理的唯一标准。

3. 小白内心说

小白：网安事件无法消除，应该充分认可千变万化是永恒的客观事实；在此基础上，我们应建立对网安事件持续跟踪分析能力，从人、机、物、态四个象限做安全风险收敛。

NO.9数字安全****妙计

数字安全妙计（图片来源：网络）

1. 事件穿越

大东：小白，我们上次在《数字安全锦囊》里面根据战略、战备、战役三个方面针对区域数字安全韧性能力建设展开了分析。还记得吧？

小白：记得的东哥，上次是从宏观的角度来做的分析，也就是“经度”。这次是不是该“纬度”啦？

大东：你猜的没错，锦囊对应经度，妙计就对应纬度。经度侧重“统一”，而纬度侧重“多元”。锦囊侧重于涵盖多重数字安全应用场景，而妙计是主要场景与范式的提炼和凝华。

小白：妙哉，统一多元数字安全韧性能力建设的两大要素都齐活了。那么这次会从哪个角度来阐述？

大东：如果统一是“条分”，那么多元当然应该是“缕析”了。

小白：“条分”和“缕析”有哪些区别呢？

大东：你可以理解为，是从中观的颗粒度分析区域数字安全韧性能力建设。“纬度”可从安全事件分析的视角来看，自底向上构建分别为——万花筒、钻探机、金刚钻和瞭望塔。

2. 数字安全妙计精彩回顾

万花筒

大东：“万花筒”是数字安全领域中的一种战略思维层次，聚焦于广度。核心思想是通过“快、准、全、智”来评估广度目标，强调信息获取的迅速性、信息判定的准确性、信息来源的广泛涵盖以及辅助决策的智能性。通过这种全面的广度妙计，能够迅速捕捉网络安全事件的趋势，提高安全态势发展的预测能力，为数字中国的安全提供全方位的支持。

小白：大东话安全和东话优选就是万花筒的一部分。

钻探机

大东：“钻探机”聚焦于深度。通过对安全事件背后的产生动机、历史安全事件的关联等进行全局推演，以更全面、深刻地理解安全事件。举例来说，对研究软件供应链安全，需要考虑全真快智的评判标准，并根据具体场景和特征调整研究的颗粒度，类比于勘探油田的过程。

小白：从攻防的本质特征出发才能够把握钻探的尺寸。

金刚钻

大东：“金刚钻”聚焦于精度，《网络安全之归零》提到的“RITE”的网安对号领导力模型，将多元数字安全韧性能力统一为一个基座，实现对历史安全事件系列的时空维度对比分析，目标是实现历史安全事件的时空维度对比分析，对重点安全事件进行战略层面的分析，并对安全事件发生频率进行分析。通过这样的分析，可以更加精准地预判未来的安全趋势，从而进行精细化的安全策略设计。

小白：有了“RITE”加持，数字安全韧性能力评价将更加精确。

瞭望塔

大东：“瞭望塔”聚焦于高度。“瞭望塔”的高度取决于建在哪里，这里地势好比前沿技术，不断演化中。数字安全人员需要与时俱进，不断寻找前沿科技领域的制高点，修建“瞭望塔”，而不是期望一蹴而就。修建瞭望塔也需要高效，建立一套标准模式化的机制，以便敏锐持续捕捉前沿科技的风向标和制高点。

小白：九层之台起于累土，但是要想修个千寻之塔，也绝非易事。

3. 小白内心说

小白：统一、多元，经度、纬度，条分、缕析，还能对应到“RITE数字安全韧性领导力模型”，对区域数字安全韧性能力建设的赋能的拼图也愈加清晰，数字安全妙计解读值得琢磨！

NO.8 对地震检测中心进行网络攻击？！意欲何为？

地震检测中心遭受攻击，谁是幕后黑手？（图片来源于：网络）

1. 事件穿越

大东：我国某地震监测中心的部分网络设备被植入木马病毒，初步判定这一事件为境外具有政府背景的黑客组织和不法分子发起的网络攻击行为。经监测发现，其所属地震监测中心部分地震速报数据前端台站采集点网络设备遭受境外组织的网络攻击。

小白：地震检测中心为什么会被攻击？

大东：地震数据关乎国家安全。地震波穿过的地下介质、结构不同时会产生波速的变化。而获取地震监测中心的相关数据可以推导出某一区域的地下结构和岩性。例如推测地下是否有大型的空洞，进而推测它是否是军事基地或者指挥所。

2. 事件影响

大东：在千行百业数字化转型的过程中，其实会衍生出越来越多的流程和场景，那么在这些新增的流程和场景中，自然也会暴露出越来越多以前我们没有遇到过的安全问题。

小白：有哪些场景呢？

大东：比如海洋牧场，海洋牧场就是利用数字化手段，引入先进的信息技术来实现智能化管理和可持续发展。联合卫星、飞机、水面浮标和水下潜水器等工具，建立立体观测系统，实时监测海洋牧场的环境和生物状况。这样可以更精确地评估环境和资源质量，实现针对性的调整，提高生态效益。

小白：那么这里面暗藏的数字安全可能会面临什么风险和挑战呢？

大东：数字化设备的互联可能会暴露更多的攻击面，比如对水下机器人进行控制或干扰。未来的水下机器人如果是AI驱动的，那就会产生“意识攻击”，形成AI与AI之间的对抗网络，这后果不堪设想。

3. 小白内心说

小白：随着传统行业的不断数字化，以及千行百业的深度数字化融合进程的推进，数字安全问题不再局限于特定领域。无论是金融、医疗、制造，还是农业、海洋等领域，都需要构建强有力的数字安全韧性能力屏障，以保护关键数据和系统免受威胁。我们需要站在更宏观的层面来统筹考虑数字安全问题，避免陷入“只见树木不见森林”的误区。

NO.7**电商APP后门风波：你的隐私安全吗？**

APP偷窥隐私（图片来源：网络）

1. 事件穿越

大东：2023年3月，有一个安全研究团队发表了一篇报告，说某电商APP疑似能提权控制手机，从而绕过隐私合规监管，收集用户的各种信息，其收集的用户隐私信息包括但不限于社交媒体账户资料、位置信息、WiFi信息、基站信息甚至是路由器信息等等。

小白：他们是怎么做到的？

大东：第一步攻击者利用了漏洞 (CVE-2021-25337)，这是一个 system_server 中导出的 semclipboardprovider 所存在的任意文件读写，允许攻击者以 untrusted_app 身份读写 users_system_data_file，也就是一般 system_app 的私有数据文件，攻击者参考了 TTS 漏洞研究成果，利用 TTS 中从自身配置文件加载任意动态链接库的能力，将第一个漏洞转化为了一个 system_app 提权漏洞。第二步攻击者将手机设备中未更新的 Mali GPU 驱动内核信息泄露漏洞 (CVE-2021-25369) ，和手机自己的 kmsg 泄露“特性”组合利用，最终获得内存基址和 addr_limit 地址。最后攻击者使用 DECON driver 中的 UAF 漏洞 (CVE-2021-25370)， 结合堆风水，最终，利用 signalfd 系统调用修改 addr_limit，转化为内核任意地址读写，完成提权。

2. 事件影响

小白：这电商APP这么费劲的获取管理员权限，是要干什么呢？

大东：该APP拿到管理员权限之后，进行 System App 和敏感系统应用文件读写；进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面（Launcher）配置隐藏自身或欺骗用户实现防卸载。

小白：隐藏自己，防止被卸载，这也太离谱了！

大东：还有更厉害的呢。它还可以通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。

小白：还能逃避检测，这比黑客还要黑客。

3. 小白内心说

小白：如何防范这类事件呢？首先肯定是手机厂商需要更重视自研代码的安全，削减不必要的、可能被攻击者利用的攻击面；然后监管机构需要针对此类行为进行治理，根据现有法律法规严格执法、监管，严肃问责，以构建一个更安全的数字环境。个别公司的错误不该连带整个行业背负骂名，更不该由我们用户承担后果。

NO.6 保护数字安全——LED灯读取密码的挑战该何去何从？

LED灯读取密码事件（图片来源：网络）

1. 事件穿越

大东：来自内盖夫本古里安大学和康奈尔大学的研究人员发现，密码计算会改变设备的功耗，而这反过来会影响电源LED的亮度。也就是说，如果你能精确地测量LED的亮度变化，你就可能能找出密钥。

小白：真的吗？听起来好神奇。

大东：是的，研究人员甚至成功从三星Galaxy S8手机中提取了378位SIKE密钥。他们使用的方法是将iPhone 13的摄像头对准连接到USB集线器的罗技Z120扬声器的电源LED灯进行拍摄，而这个集线器也被用来给手机充电。

2. 事件影响

小白：测信道攻击？他们是怎么做的？

大东：研究人员通过恶意软件来控制这个LED灯，让它以闪烁的方式发出二进制信号。他们在论文中提到，这种闪烁可以以最大4000bps的速度传输数据，这足以泄露密码、加密密钥和文件，而一般人不会注意到这种泄露。

小白：LED灯闪烁很正常吧！

大东：是的，正是因为LED闪烁很正常，所以用户不会怀疑其活动发生了变化。

小白：做到这一点应该不容易吧！

大东：首先，你需要将摄像头放置在一定距离内，而且能够直接看到电源LED。另外，你需要记录足够长的时间，这个研究是65分钟。这个方法需要相当复杂的数学和计算机科学知识，不是任何人都能做到的。

小白：虽然利用起来很难，但也不是不可能

3. 小白内心说

小白：那在现实生活中，我们该怎样防范这种恶意攻击呢？

大东：当然可以。首先，可以采用物理隔离，将包含机密信息的设备与LED指示灯进行物理隔离，如使用不透明的胶布将LED指示灯遮盖住，或将其与设备断开连接。也可以建立机制确保只有可信的设备连接到包含机密信息的设备上。采用更复杂的密码算法，或者使用硬件加密等方式来提高安全性。

小白：科技的进步总是带来新的可能性和新的问题。但是，只要我们保持警惕，适应变化，并且学会利用新技术的同时防范其潜在的风险，我们就能在科技的浪潮中保持安全和稳定，才能更好地利用科技，同时保护我们自己。