心脏出血漏洞，弹震，Tor和更多：2014年13个最大的安全故事

史诗黑客，重大漏洞，并在互联网上推出像2014年浪潮其他安全的惊喜我们认为我们会看到这一切后SSL漏洞刺穿了互联网的心脏，使加密世界失去了一笔重要资产。但索尼(Sony) (再来一次)成了最具破坏性的网络攻击之一的牺牲品曾经。

除了重大的黑客攻击和悲剧，还有积极的进展。谷歌和雅虎开始认真对待电子邮件加密，Android和iOS加强了它们的加密，Tor赢得了一个主要的支持者。

以下是在2014年至少的顶级安全故事至今。用了几天留在这古怪的一年，你永远不知道会发生什么。

11月下旬，一个自称“和平卫士”(GOP)的黑客组织接管了索尼影业的电脑网络，并将员工的电脑锁在门外。该组织还窃取了大量敏感数据，并将其中大部分发布在网上。

在接下来的几个星期，共和党提出了一些奇怪的要求，包括“平等”索尼员工和停止发行采访中,电影（左图）关于朝鲜领导人的暗杀行动。当局最初对此表示怀疑，但现在认为袭击和威胁是由袭击者发动的朝鲜本身。

卷取索尼终于决定取消该片的首映，援引反恐的担忧。

苹果甚至似乎是安全漏洞方面的潮流引领者。二月，公司决定在“转到失败”错误在2014年发现的另外两个与SSL相关的大问题Heartbleed和GNUTLS bug之前，这个SSL漏洞就已经浮出了头。

未修补，“转到失败”可能允许攻击者捕获或修改这应该通过SSL / TSL被加密的数据。该漏洞影响OSX和iOS设备，并在苹果公司的代码证明单行错字造成的，即使谈到苹果的错误不能帮助创造一些简单，有效，典雅。

心脏出血漏洞在四月透露，当时该bug允许攻击者抢夺运行OpenSSL的服务器敏感数据的在2014年震撼了互联网两大漏洞第一。心脏出血漏洞仅当服务器有被称为“心跳扩展”启用了特殊的OpenSSL功能的工作。有漏洞的知识黑客可以抓住各种数据，包括SSL站点密钥，用户名和密码，电子邮件，即时消息和文件。

心脏出血漏洞迫使数以百万计的人改变在他们的密码各种各样的网站。虽然心脏出血漏洞可以固定一个快速的软件补丁，安全研究人员说，心脏出血漏洞仍将伴随我们多年。风险是最高，尚未费心去更新他们的服务器软件规模较小的网站。

仅仅数月后，在互联网上完成固定与心脏出血漏洞相关的问题祝贺本身，另一个主要的漏洞出现。配音弹震这是任何Unix-y系统(如Linux和OS X)以及web服务器和家庭网络设备上的标准组件。Shellshock允许黑客在受影响的机器上运行关键的shell命令。安全研究人员甚至发现了在野外使用Shellshock病毒的例子。

专家认为Shellshock是一个非常严重的问题比心脏出血漏洞更大的问题的，因为它允许一个目标机器，例如破坏性的访问，并影响设备的远范围更广。

今年5月，世界上最受信任和尊敬的加密程序之一突然消失，引发了各种阴谋论。创作者是否吞下了某种毒丸，以警告世界联邦政府的诡计?这是黑客的骗局吗?它和。有关吗众包安全审计吗?没有人确切地知道。

七个月后,TrueCrypt还是走了，该软件的原始静止URL重定向到一个SourceForge页面潜在安全漏洞的警告。该页面还建议Windows用户切换到微软自己开发的BitLocker，尽管有其他可用的加密选项。

PGP/GPG是一种经过验证的加密电子邮件的安全解决方案，但它是出了名的难以使用。谷歌在6月开始了一个修复这个问题的项目端到端， 一个PGP实施的Gmail通过Chrome浏览器扩展。雅虎在八月跟进宣布，它将适应谷歌的插件，雅虎和推出2015年雅虎邮件加密。

主流引进电子邮件加密在很大程度上是由约NSA监听的斯诺登泄露的后果启发。但是，并非所有人都认为PGP是主流服务最好的主意。雅虎宣布后不久，马修·格林，在约翰·霍普金斯大学的密码专家和研究教授认为，PGP应该被替换通过一个更现代和用户友好的系统。

苹果和谷歌在加密方面也变得更加认真，分别加强了iOS和安卓系统。苹果(Apple)为遵守合法授权，关闭了从iOS设备获取数据的后门，此举引起了轰动。这一变化使得除了iPhone或iPad的所有者之外，任何人都无法解密该设备。

谷歌还决定启用默认情况下，随之而来的是Android 5.0棒棒糖设备加密。由于Android 3.0的Android已经有了可选的设备加密。

综观用户控制移动设备加密的未来，美国联邦调查局局长詹姆斯·科米公开争辩几次，苹果和谷歌都让绑匪和恐怖分子。

的所谓暗网在2014年的魅力隐藏在匿名Tor网络中进行了大量的头条新闻真开始于2013年，随着丝绸之路的消亡和其经营者，恐惧海盗罗伯茨逮捕。但在2014年，执法涉嫌在网络上积极开拓缺陷和拿下在数月的刑事网站。

与此同时，Facebook给了Tor的合法性得到了提升，通过推出Tor版本的社交网络，提醒世界匿名网络不仅仅是犯罪活动的避风港。该社交网络甚至设法成为第一个获得自己的SSL证书的Tor站点。

希望能帮助使网络更安全对于用户来说，谷歌在八月宣布，该启用SSL / TLS加密的任何网站（HTTPS）将得到一个小在提高其搜索排名。SSL/TLS加密用户设备和他们正在浏览的网站之间的连接。2013年，美国国家安全局(National Security Agency)监视世界各地互联网用户的活动被曝光后，对尽可能多的网络活动加密成为一个重要考虑。

总部位于柏林的安全研究实验室在七月透露，USB设备，如拇指驱动器退出令它可以把它们变成一个不可阻挡的恶意软件传递系统的根本弱点遭遇。罪魁祸首是这些设备的固件，这是不受保护的和被攻击者可重新编程的。该漏洞可以被用来执行恶意软件，或者做一个拇指驱动器的行为就像一个键盘和输入按键。

希望迫使USB设备制造商转变为行动，两名研究人员公开发表了一组工具在十月，这将使黑客创建badUSB利用。

十一月，研究人员在帕洛阿尔托网络发现配成的恶意软件Wirelurker用于收集iOS设备的通话记录、联系人和其他敏感数据。当iOS设备连接到被感染的个人电脑时，恶意软件就会进入iOS设备，试图感染目标设备上的应用程序。与大多数iOS恶意软件不同，Wirelurker甚至可以感染未越狱的设备。

苹果迅速解决Wirelurker，阻止被Wirelurker感染的应用程序从运行。在十一月中旬，中国当局关闭了连接到Wirelurker分布的部位和逮捕了三个人怀疑发生的恶意软件。

Verizon的被抓篡改订阅者的web流量在上月该公司的移动网络旅行。希望加强其手机广告业务，Verizon公司将插入一个唯一的标识符，称为唯一标识符头（UIDH），到用户的HTTP请求。的UIDH可以用来识别特定的装置并为第三方使用与Verizon的用户建立用户配置文件的潜在目标。

由于Verizon的UIDH方案被注入到服务器端，用户除了坚持使用Wi-Fi网络，或者在通过Verizon的移动网络发送网络流量时使用HTTPS或VPN之外，几乎无法阻止它。

在八月，报告称，黑客在俄罗斯有用户名和密码的海量数据库的控制摘心1.2十亿项。保持安全性，发现违约，拒绝透露受影响的网站公司。

然而，安全分析师开始提出问题，失窃数据库的故事开始让人感觉有点糊涂——尤其是当Hold Security被指控犯有持股约违反回数据和通过随后的恐慌来扭亏为盈。

最后，一致的结论是，这个数据库很可能是在很长一段时间内由于多次入侵而积累起来的，而且许多登录已经不再有效。