互联网安全专家称苹果Mac电脑“并不安全”

先是Facebook，接着是苹果，两大科技公司先后宣布自己“中招”——员工浏览某行业网站被感染，继而遭恶意代码攻击。尽管两家公司都表示没有数据泄露，但这种极具针对性的大规模网络攻击却并不多见。

昨日，中国最早的黑客组织绿色兵团创始人、现COG信息安全组织创建人龚蔚在接受早报记者采访时表示，这是一次目的明确、精心策划的攻击，但除非Facebook和苹果自己公布调查报告，否则第三方机构很难判断攻击源头。

互联网威慑防御（IDF）实验室创始人万涛则表示，商业公司往往会考虑其商业机密以及声誉，因此不会过多披露其遭受攻击的详情。

Mac电脑“并不安全”

“Mac系统更安全的说法是片面的，只能说以前研究其漏洞的人和曝光的问题少一些。”

“以前网页挂马（即通过各种手段对网站页面加入恶意代码，用户点击打开后会被自动转向或者下载木马病毒）都是通过Windows的IE浏览器来实现，现在对苹果浏览器也有用这种攻击手法。”

苹果很少承认自己遭受攻击，何况还是苹果口中“安全性高”的Mac OS操作系统。

龚蔚表示，以前微软Windows系统使用面广泛，所以研究并利用Windows系统漏洞的人也多，但近些年随着Mac用户的增加，对应研究其漏洞的人数也呈上升趋势，“以前网页挂马（即通过各种手段对网站页面加入恶意代码，用户点击打开后会被自动转向或者下载木马病毒）都是通过Windows的IE浏览器来实现，现在对苹果浏览器也有用这种攻击手法。”

龚蔚指出，Mac系统更安全的说法是片面的，只能说以前研究其漏洞的人和曝光的问题少一些。路透社则称，此次苹果透露的事件，是迄今为止针对使用Mac电脑的企业最严重的网络攻击。

与苹果遭到攻击一样具有“讽刺”意义的还有Facebook。

早在去年Facebook上市前，该公司CEO扎克伯格在提交给美国证券交易委员会的文件中曾表示，会用“黑客的方式”来经营Facebook，而且Facebook一直有举办“黑客马拉松”的传统，以便让员工尝试新想法，在轻松的环境中与别人合作。

但正是推崇黑客之道的Facebook，自己却被黑客攻击。不过，Facebook在自己的声明中只字未提“黑客”一词，而是称其成为一场“精密”攻击的目标。美联社称，这是因为“黑客”在扎克伯格眼中是件美好的事物。

攻击锁定特定目标群体

Facebook和苹果都是在浏览一个针对移动开发人员的行业网站时被感染。该行业网站名为“iPhone Dev SDK”，该网站在移动应用开发方面颇具人气，尤其是共享开发技巧和信息。

此次攻击并没有一个固定的攻击对象，但却有一个特定的目标群体，就是包括Facebook和苹果在内的一群移动App开发工作人员。

根据Facebook和苹果的表述，两家公司都是在浏览一个针对移动开发人员的行业网站时被感染，攻击者利用了Java中的0-day漏洞（即没有补丁的漏洞），使得浏览器中开启了Java的电脑中招。

AllthingsD和《纽约时报》报道称，该行业网站名为“iPhone Dev SDK”，该网站在移动应用开发方面颇具人气，尤其是共享开发技巧和信息。美国科技网站ZDnet警告用户，千万不要访问该网站，因为其潜在的恶意软件或许尚未被清除。

万涛告诉早报记者，问题出在应用层面上，任何使用Java访问该网站的都会被植入木马，而且是0-day，厂商没法办法快速解决，风险较高。

可以确定的一点是，此次黑客攻击的幕后黑手并没有一个固定的攻击对象，但却有一个特定的目标群体，就是包括Facebook和苹果在内的一群移动App开发工作人员。

与此前的钓鱼式攻击不同，这种先攻击一个热门行业网站，再通过该网站感染其他受访用户的行为被称为“水坑”攻击模式。

“这种攻击手法不算新，就像广告投放一样，挂哪些人，哪个特定群体等，经常被使用。”龚蔚说。

有国外安全分析员评论称，比起攻击单一的开发者，这种方式就像是在给水源下毒。

Facebook已经表示，可以肯定其他公司在近期也遭到了类似攻击，AllthingsD认为，还有不少公司已经在不知情的情况下遭遇了此次攻击。

万涛认为，在应用层面这个级别的漏洞，没有什么办法抵御，“也不能说防护水平低，这是在核心层面出现的漏洞，原先的防护机制没有办法来实现。”万涛指出，对互联网公司来说，这是一个可以平衡的风险，考验的是能够快速发现自己中招、被植入木马，这些都取决于公司的防护能力。

万涛介绍称，这种利用0-day的攻击方式是属于目前最流行的APT（高持续性威胁）攻击手法，会利用所有漏洞，加上渗透，对目标的业务和客户进行复合型的分析，并非是属于单一类型的攻击。

据了称，APT攻击方式很难被检测，且能存在较长的时间，攻击频率也较为频繁。

龚蔚则表示，企业的安全防护是木桶原理，最安全的点取决于最短的那块木板，相比起专业的安全人员，即便是科技企业中的员工，安全意识也比较有限。

个人黑客同样做得到

“这个属于可见的攻击方法，不叫创新，但想把这个（攻击）影响做大，追求效果，要经过一定策划和准备，但不能判断是否有组织，个人或者小的团队都可以去做。”

苹果和Facebook并未透露此次攻击的规模有多大，也未明确是否找到攻击来源和动机。

龚蔚表示，类似这种攻击并非一定要有组织，个人黑客同样可以进行。“这个属于可见的攻击方法，不叫创新，但想把这个（攻击）影响做大，追求效果，要经过一定策划和准备，但不能判断是否有组织，个人或者小的团队都可以去做。”万涛说道。

此前曾有第三方机构称，类似攻击的源头来自中国。

但龚蔚认为，除非是苹果或者Facebook这些受到攻击的公司的调查结果，否则很难有说服力，并不是光靠IP地址就能确定到底是哪个国家黑客的行为，“最直观的是来自被攻击的公司，或者是这些公司委托调查的安全机构的调查结果，否则没有获得数据很难判断攻击源头。”龚蔚称，互联网本身没有地域概念，任何一个地方都可以发起攻击，如果单纯放大了某地的攻击行为，更像是一种舆论造势。

不过，龚蔚也指出，分析黑客来源时还会参照其他特性，例如挂马采用了何种技术，以及对一些捕捉到的关键词的分析。龚蔚举例称，此前曾有个中国黑客在木马编译时直接在电脑桌面操作，导致机器名也被编译进去，最终国外安全机构通过该机器名锁定了这个黑客。

值得注意的是，Facebook曾表示，这是一次“精密”的攻击。龚蔚指出，此次攻击看上去是做了精心策划，目标明确，打算持久战。“攻击就像是下围棋，可以直接落子在核心部分，效果也最直接，但也可以从外围开始，很长时间才能明白真正意图。这次是很大的一盘棋，从很远的地方绕进去。”

万涛也提醒道，现在国内有不少黑客产业链，有些黑客受公司竞争对手雇佣，也会卷入网络攻击战中。

尽管国外机构指责攻击来源于中国，但根据中国国家互联网应急中心发表的报告，2012年，7.3万个境外IP地址作为木马或僵尸网络控制服务器参与控制中国境内1400余万台主机，3.2万个IP通过植入后门对中国境内近3.8万个网站实施远程控制。在上述网络攻击中，源自美国的网络攻击数量名列第一。

万涛和龚蔚都表示，相比起国外的公司，中国商业公司的保护意识和防护程度都差很多。

“数据为王”时代的风险

对互联网来说，所有数据都是有价值的，不仅仅是财务数据，社交网站的用户数据以及合作伙伴，甚至经营方式都有高价值，“谁拥有了数据，谁就拥有了财富。”

“在大数据时代，当你成为数据上游，就会成为高风险对象。”

目前尚未清楚黑客攻击的动机是什么，苹果和Facebook也表示没有资料外泄，此前同样遭攻击的Twitter曾表示，25万名用户的资料遭泄露。显然，这些科技公司掌握的数据已经成为“香饽饽”。

“在大数据时代，当你成为数据上游，就会成为高风险对象。资源集中的公司，成为被钓鱼和攻击的对象。”万涛指出，虽然漏洞可以被修补，但由于互联网公司交互太频繁，所以风险一直会存在。

龚蔚称，对互联网来说，所有数据都是有价值的，不仅仅是财务数据，社交网站的用户数据以及合作伙伴，甚至经营方式都有高价值，“谁拥有了数据，谁就拥有了财富。”龚蔚指出，最严重的安全问题，是基于Web应用的安全问题。

各家公司都以数据为重，这在一定程度上也导致了信息的不对称，哪怕是这种大规模的网络攻击在Facebook身上出现后，Facebook也过了一个月才公之于众。

万涛指出，如果分享机制完善一些，在Facebook遭受攻击后，可能其他公司就会注意到这些漏洞，但实际情况是，企业出于一些隐私以及声誉，甚至基于商业利益的考虑，不会去披露遭攻击的具体内容，也不会与其他企业进行分享。（周子静）

发表于2013年2月21日 / 新闻 / 来源：网易新闻