信息來(lái)源：FreeBuf

2018年是不平凡的一年，我想這句話最適合今天說(shuō)。

也許你關(guān)注的是IG奪冠、詹姆斯轉(zhuǎn)會(huì)湖人、李詠、金庸去世或是電影《我不是藥神》，無(wú)疑這些都將成為2018年不平凡的元素之一。

對(duì)于安全圈來(lái)說(shuō)，所有的不平凡都伴隨著大型數(shù)據(jù)泄露、漏洞或者網(wǎng)絡(luò)攻擊。接下來(lái)，就讓我們一起來(lái)回顧一些2018年安全圈里那些不平凡的瞬間。

Meltdown與Spectre漏洞

2018年剛開(kāi)始，Meltdown與Spectre漏洞的消息就鋪天蓋地的傳出來(lái)。近20年的Intel, AMD,　Qualcomm廠家和其它ARM的處理器受到影響，據(jù)悉，漏洞會(huì)造成CPU運(yùn)作機(jī)制上的信息泄露，低權(quán)級(jí)的攻擊者可以通過(guò)漏洞來(lái)遠(yuǎn)程泄露（瀏覽器形式）用戶信息或本地泄露更高權(quán)級(jí)的內(nèi)存信息。

而關(guān)于英特爾處理器漏洞的消息也在2018年成為安全圈關(guān)注的重點(diǎn)，屢次被曝出漏洞，所幸沒(méi)有再重蹈覆轍。

無(wú)處安放的隱私

如果說(shuō)Facebook數(shù)據(jù)泄露離我們還算遙遠(yuǎn)的話，那么AcFun千萬(wàn)條用戶信息泄露以及華住、萬(wàn)豪等大型酒店發(fā)生上億用戶數(shù)據(jù)外泄的事件，或許沒(méi)辦法讓我們只做一個(gè)旁觀者。

2018年，隱私泄露的陰霾一直揮散不去。除了已經(jīng)曝出的重大隱私丑聞，還有在沒(méi)有被揭露的、在暗網(wǎng)上不斷被交易的，我們不清楚還有多少；更不清楚的是我們的隱私應(yīng)該如何保全。

這不，2018的最后幾天，推特上曝出一份大型數(shù)據(jù)庫(kù)，包含超過(guò)2億份的簡(jiǎn)歷，全部來(lái)自國(guó)內(nèi)。年度最大數(shù)據(jù)泄露事件大獎(jiǎng)得主還在進(jìn)行最后角逐……

勒索軟件繼續(xù)肆虐

Wannacry雖然已經(jīng)平息，但勒索軟件在2018年繼續(xù)肆虐。年初國(guó)內(nèi)幾家大型醫(yī)院相繼遭受勒索攻擊，導(dǎo)致就醫(yī)系統(tǒng)直接癱瘓數(shù)小時(shí)，嚴(yán)重影響用戶正常就醫(yī)。

下半年，臺(tái)積電遭受勒索病毒入侵，引發(fā)產(chǎn)線停擺，僅三天損失高達(dá)11.5億元人民幣。如果說(shuō)加密貨幣的出現(xiàn)為勒索攻擊提供了絕佳的支付方式，沒(méi)想到8102年了還會(huì)有人不明白這個(gè)道理。95后制作微信支付勒索病毒，幾日便落網(wǎng)。這名95后的作用可能就是讓更多普通人親歷了勒索病毒的危害。

屢創(chuàng)紀(jì)錄的DDoS攻擊

2018年3月初，全球最大的同性交友平臺(tái)Github 遭受大規(guī)模的DDoS攻擊，峰值流量高達(dá)1.35太比特（Tbps），創(chuàng)造當(dāng)時(shí)DDoS攻擊的新紀(jì)錄。引用網(wǎng)友的評(píng)論“打GitHub天理難容”……

沒(méi)過(guò)多久，Memcached DDoS攻擊又將目標(biāo)瞄準(zhǔn)了Google、亞馬遜、Pornhub等主流網(wǎng)站，甚至還包括美國(guó)步槍協(xié)會(huì)。一家未命名的美國(guó)服務(wù)提供商遭遇了一次單獨(dú)的攻擊，峰值流量高達(dá)1.7Tbps。利用Memcached進(jìn)行放大攻擊的方式出現(xiàn)，簡(jiǎn)直成為刷記錄的神器。

加密貨幣、區(qū)塊鏈的大起大落

區(qū)塊鏈?zhǔn)?018年離不開(kāi)的話題，從年初數(shù)百家企業(yè)、數(shù)百家擠進(jìn)去，到年底區(qū)塊鏈行業(yè)的一片哀嚎。加密貨幣交易平臺(tái)、智能合約在今年也是屢次遭受?chē)?yán)峻考驗(yàn)。

僅在上半年就發(fā)生多起大型加密貨幣交易所被攻擊的事件，其中日本加密貨幣交易所Coincheck承認(rèn)遭受黑客攻擊，損失了超過(guò)5億的NEM幣，價(jià)值超過(guò)5億美元。還有最具戲劇性的MyEtherWallet DNS劫持事件，黑客在兩小時(shí)內(nèi)夢(mèng)幻般卷走13000美金，數(shù)額雖然不大，但套路卻讓人印象深刻。

與此同時(shí)，加密貨幣迅速火爆，也讓挖礦軟件成為黑客最熱衷的事情之一，政企網(wǎng)站、醫(yī)療機(jī)構(gòu)以及企業(yè)單位甚至是移動(dòng)終端都成為黑客悄悄安裝挖礦腳本的目標(biāo)。而關(guān)鍵是，并非所有人都能察覺(jué)到挖礦腳本的存在……

光是安全圈里，2018年值得銘記的事情就太多太多，吸取的教訓(xùn)也將在2019年被實(shí)踐。還有2019年我們將面臨的無(wú)數(shù)未知的挑戰(zhàn)，無(wú)論有沒(méi)有做好準(zhǔn)備，2019年還有幾個(gè)小時(shí)就來(lái)了。

如果可以，我希望，2019年的安全圈可以“平凡”一點(diǎn)……