2014年10大网络安全事件汇总

　　2014年网络世界依旧不太平，网络安全事件仍有增无减，“艳照门”、“泄露门”、“安全漏洞”，每一次安全事故曝光，都引起轩然大波。一起来盘点2014年10大网络安全事件：

　　【 2014年1月，中国互联网出现大面积DNS解析故障】

　　这一次事故影响到了国内绝大多数DNS服务器，近三分之二的DNS服务器瘫痪，时间持续数小时之久。

　　【2014年3月，携程“安全门”事件敲响网络消费安全警钟】

　　3月26日，乌云漏洞平台指出携程网安全支付日志存在漏洞，导致大量用户银行卡信息泄露。电商在获利的同时如何对用户信息进行保护，引发人们思考。

　　【2014年3月，敲诈者病毒兴起，PC端、手机端敲诈者病毒导致大量用户受害】

　　敲诈者病毒会加密硬盘、手机存储卡中的重要文件，在电脑上或手机上弹出勒索钱财的提示。一部分敲诈者变种加密的文件可以实现技术解密，另有部分只有病毒作者可以解开，被勒索的网民将面临数据无法访问的结果。

　　【 2014年4月，OpenSSL心血漏洞】

　　2014年4月，OpenSSL心血漏洞使黑客可以从特定的服务器上获取64k的工作日志，一次次持续进行，窃取网站的机密数据，还有可能把服务器上的SSL证书私钥也偷走!

　　【2014年5月，山寨网银大量窃取网银信息】

　　2014年5月，山寨网银伪装成正常网银客户端的图标、界面，在手机软件中内嵌钓鱼网站，欺骗网民提交银行卡号、身份证号、银行卡有效期等关键信息，同时，部分手机病毒可拦截用户短信，中毒用户将面临网银资金被盗的风险。

　　【2014年6月，央视报道“危险的WiFi”】

　　2014年6月，央视《每周质量报告》，曝光了黑客通过公共场所免费WiFi，诱导用户链接从而获取手机中银行卡、支付宝等账户信息，盗取资金的消息，引发了网民对于免费WiFi安全性的担忧。

　　【2014年7月 苹果承认存在“安全漏洞”】

　　2014年7月28日，苹果公司首次承认了iPhone确实存在“安全漏洞”，苹果员工可以利用此前未公开的技术提取用户个人深层数据，包括短信信息、联系人列表以及照片等。

　　【2014年9月 好莱坞明星“艳照门”】

　　外国黑客疑利用苹果公司的icloub云盘系统的漏洞，非法盗取了众多全球当红女星的裸照，继而在网络论坛发布，共涉及101位明星。苹果公司回应：黑客并没有直接进入iCloud等存储服务系统，而是侵入女星个人账户，从而窃走照片。

　　【2014年8月 1400万快递数据遭贩卖】

　　2014年8月12日，警方破获了一起信息泄露案件，犯罪嫌疑人通过快递公司官网漏洞，登录网站后台，然后再通过上传(后门)工具就能获取该网站数据库的访问权限，获取了1400万条用户信息，除了有快递编码外，还详细记录着收货和发货双方的姓名、电话号码、住址等个人隐私信息，而拿到这些数据仅用了20秒的时间。

　　【2014年10月 SSL中间人攻击频发，并爆发SSL V3.0“贵宾犬”漏洞】

　　2014年10月，微软账号系统、国内iCloud服务器、yahoo相继发生SSL中间人攻击事件。同月爆发了SSL V3.0 “贵宾犬”漏洞，通过强制降级安全协议，利用SSLV3.0漏洞截取用户信息的事件，继“心血漏洞”之后再次刺激网民神经。
　　网络安全事件频发，用户该如何防范隐私被泄露？？？

　　黑客攻击是我们不能控制的，那就从自身做起，养成安全的网络使用习惯，尽可能降低隐私泄露的概率。沃通CA(www.wosign.com)为您总结一系列网络安全小常识：

　　1、 使用Https加密协议，保护隐私传输安全

　　使用云服务、网上银行、网上支付等重要的网络应用服务，一定要选择使用了SSL证书的网站，用Https加密协议访问，信息加密传输防泄露。使用Http明文协议的网站，隐私信息明文传输，账号、密码直接就“裸奔”了，任何人都能截获。

　　尽量不要使用公共场所的不明免费WiFi，那极有可能是黑客布下的陷阱。使用WiFi时，一定使用Https加密访问。谷歌搜索引擎就已经支持WiFi状态下，自动加密搜索，可见WiFi的不安全性确实不容忽视。

　　为了维护品牌形象和用户数据安全，建议网络应用服务提供商一定要部署全球信任的SSL证书：通过SSL加密保护用户数据，通过SSL认证，防钓鱼网站仿冒，赢得用户信赖。为了让更多网站能实现SSL加密，沃通CA已推出一款全球信任、永久免费的SSL证书，支持所有浏览器和主流移动终端，让所有的网站都能零成本保网站安全。同时，沃通CA也提供收费SSL证书，为安全需求更高的网站，提供更高安全级别的防护，如显示绿色地址栏和中文单位名称等。

　　2、 使用APP或下载软件时，验证代码签名

　　山寨网银APP、带病毒木马的软件安装程序，让用户防不胜防。如何鉴别程序的真实性呢?其实微软已强制要求所有运行的程序都必须做代码签名，用户在下载安装APP或软件时，确认发布者身份可信，且软件包没有被篡改，才能继续安装，如下图所示。如果软件包被篡改植入木马，运行前Windows会自动报错。利用这个小技巧，您就能轻松甄别山寨软件和木马软件了。

　　3、重要的数据文件，使用PDF文件加密证书，签名加密后再上传到云服务

　　目前大部分云服务不提供安全存储服务，而少数使用简单的自编算法加密，防护作用也不大。用户如何保证自己的机密文件安全的存在云服务器上?求人不如求己，沃通CA给您支妙招。您只要申请一张PDF文件加密证书，将机密文件转成PDF格式后签名加密，那这份文件无论放在哪里，都没有人能窃取了。因为内容是密文，窃取了也没用，2048位公钥加密根本无法破解。同样，选择PDF文件加密证书时，也应选择受Adobe信任的证书，比如沃通CA根证书已通过Adobe认证，提供的PDF文件加密证书受Adobe信任。
　　PDF文件加密证书和签名效果

　　4、 使用客户端证书登录更安全

　　比尔·盖茨曾表示，口令密码登录方式将很快成为历史。数字证书登录方式，将成为未来的趋势，采用数字证书登录云服务，可以避免口令密码太脆弱、易破解、容易被泄露的安全问题，目前很多网银推出的U盾，就是一种客户端证书，强身份认证登录网银。但由于客户端证书申请、验证、安装等方面的易用性存在问题，导致客户端证书登录的方式尚未普及应用。

　　针对这些问题，沃通CA提出个性定制客户端证书的服务，根据证书的使用场景自定义证书字段，简化申请、验证流程，更加方便、快捷、安全。倡导各大云服务网站，采用客户端证书登录方式，为客户提供一个更安全的登录途径，保障用户数据安全。
　　PC端证书登录效果

　　移动端证书登录效果

　　结语

　　在互联网普及的时代，每个人都与网络有着密不可分的联系。网民学会了利用互联网便利，却极少受到全面地网络安全教育，很容易受迷惑，误入黑客圈套。2014年11月的最后一周，首届国家网络安全宣传周在北京举行，以后的每一年都会延续下去，说明我国已经意识到“没有网络安全，就没有国家安全”的重要意义，同时也在积极向网民进行网络安全意识的普及教育。沃通CA始终致力于利用PKI技术构建中国互联网的安全与可信体系，希望能让中国网民享受到更加安全、可信的互联网环境。