| 2011年8月第四周(08.18-08.25) |
|
本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级 |
1 安全新闻
1.1 Anonymous黑客公布102名警察个人信息 将其置于危险中
黑客集团Anonymous今日再次披露了多达102名旧金山BART轨道交通警务人员的个人详细资料,内容包含姓名,家庭住址,电子邮件地址和密码,这些数据可能将这些警察置于危险之中。BART警务人员协会已经确认此消息,并表示将把问题汇报给FBI。
互联网的出现让个人信息的保护难度加大,因为数据可以快速传播到世界每一个角落,之前LulzSec曾披露了亚利桑那州执法人员的私人资料。
BART当局在周日说,他们正在制定一种策略以阻止抗议者企图中断客运服务的任何做法。BART系统的警察将驻守在该客运系统的车站和通勤列车上。有关方面还与旧金山警方通了气。
1.2 大学生做“黑客”赚钱获刑2年
四川大学生“黑客”入侵中山某校修改成绩 一年敛财7万多元
本报中山讯 (记者张丹、李冀珩)远在四川的大学生“黑客”,入侵中山市某学校数据库修改50多名学生成绩,一年内敛财7万多元。8月12日,这名大学生“黑客”被判犯破坏计算机信息罪,获有期徒刑2年,缓刑3年;并追缴违法所得人民币71170.71元;没收作案工具电脑主机一台。
中山市第一人民法院相关负责人表示,近年来,网络犯罪主体已经开始呈低龄化趋势。
招摇旗号:
“挂科不要紧,我来帮你”
“挂科不要紧,我来帮助你”这是今年24岁的钟伟(化名)为自己打的广告,然而,他所提供的“服务”,则是为挂科的同学修改成绩,使其“及格”。对于“服务”项目,他还明码标价“一般科目成绩修改收费为300元至400元一科,英语四级考试等收取1000元起/科,付款方式是通过银行卡转账。”
出生于1987年的钟伟,是四川某大学某学院的二年级学生,学的专业是电子信息工程。当其偶然入侵中山某学校教务处数据库后,发现可以获得最高权限,并执行任何数据库命令时,于是就动起了修改挂科学生成绩,用来赚钱的念头。
从2009年9月到2010年6月期间,钟伟共为该校50多名学生修改了成绩,获利7万多元。
据钟伟供述,在改成绩前,他都会对原来的成绩和名字备份,“可以将不诚信的学生的成绩改回去。”
绳之以法:
网络犯罪主体呈低龄化
2010年6月17日,中山公安赴四川将钟伟抓获归案。今年8月12日,中山市第一人民法院判处钟伟犯破坏计算机信息罪,获有期徒刑2年,缓刑3年;并追缴违法所得人民币71170.71元;没收作案工具电脑主机一台。
据了解,近两年来,中山市第一人民法院受理了多起涉网络刑事案件,2010年受理4件,2011年仅上半年就受理了3件,涉及的网络犯罪案件多为涉网络开设赌场、收费裸聊等。据介绍,此类网络案件的特点是犯罪主体呈低龄化趋势。
“80、90后‘黑客’的法律意识淡薄,容易受经济利益诱惑。”对此,有法律专家呼吁,特别是80后、90后黑客团伙作案的趋势越发明显,对社会的破坏力日益增强,法律界必须引起高度重视。
专家观点
建议高校网站、加强自身防卫
本案的承办法官李雪琼表示,被告人钟伟之所以能进入该学院的教务系统,并轻易解锁了具有最高权限的管理员账号及密码,是利用了系统管理员信息安全意识过于薄弱、防范意识不强的弱点。
同时,据网络专业人士林先生介绍,像钟伟这样的做法在网络“黑客”中不算高明,目前有的高校网站确实存在很多漏洞,防卫不到位,才给了“黑客”可乘之机。
“网络信息安全意识薄弱是引发本案的重要原因,如果该高校系统管理员能及时修改操作系统的默认账户或密码,被告人也不能这么轻易地进入校方操作系统。”法官提醒市民,每个人都应注意保管好自己掌握的公共及个人信息,提高信息安全防范意识,对重要的账户账号,应当及时修改默认密码。
1.3 警惕:使人致命的黑客攻击技术
每种职业都有自己的职业道德。黑客和骇客也不例外。正所谓盗亦有道,因此每个职业也有着自己的道德禁区,即便是小偷,一般也不会去窃取返乡过年的农民工身上的财物。
英文单词“Hack”,在黑客看来有着明确的解释,为广义和狭义之分。狭义的“Hack”指的是利用纯粹的技术手段攻击或入侵他人计算机,破坏对方信息系统的完整性、可用性以及机密性。广义的“Hack”泛指一切领域的非暴力的攻击和入侵行为,例如当下黑客常用的“社会工程学”攻击,即是利用对手心理上的疏漏以及管理制度上的漏洞进行的入侵行为,有人称之为“Hack one's mind”。而今天要讨论的便是这类广义的hack,同时也是黑客道德的禁区:Hack one's body。
这种技术能够通过信息系统直接对人的身体健康造成伤害,轻则使人感到身体不适,重则致人丧命。这种技术理论已经有黑客提出来了,目前尚不成熟,但理论上攻击效果是明显的。下面对这种技术进行举例说明。
例1
在Windows系统中有个标准的API函数Beep,它的作用是使电脑主板上的扬声器发出声音,俗称蜂鸣。它有两个参数,第一个控制蜂鸣的频率,第二个控制蜂鸣的时间,例如:Call Beep(2000,1000),意味着蜂鸣声的频率是2000HZ,持续时间是1000毫秒。众所周知,人耳接受声波的频率为20~20000HZ,而超声波和次声波能够对人体造成损害。
病理学家研究发现:超声波能够直接损害人体脏器。长期受20000 赫兹以上的声音的影响,会引起人体组织轻微发热。当频率高到超声波或更高时,发热越来越厉害。结果,体内水分子被烧,周围的组织遭破坏。超声波如果不受控制更加危险,会引起溢血、炎症和关节炎。而次声波能够引起人体内脏的共振,这一共振便会使人烦躁、耳鸣、头痛、失眠、恶心、视觉模糊、吞咽困难、肝胃功能失调紊乱;严重时,还会使人四肢麻木、胸部有压迫感。特别是与人的腹腔、胸腔和颅腔的固有振动频率一致时,就会与内脏、大脑等产生共振,甚至危及性命。
如果黑客执行恶意代码call Beep(30000,-1),便能够产生一个频率为30KHZ的永久持续的超声波,如果黑客执行代码:Call Beep(15,-1),便能够产生一个频率为15HZ的永久持续的次声波。笔者没有条件去研究对人体造成伤害的声波频率具体是多少,也没有具体测试这种方式攻击效果危险到什么程度,但无疑这种攻击方式确实是可行的。国外军方研制过超声波/次声波武器,其杀伤力据说非常强悍。主板上的扬声器由于自身功耗的限制虽然无法与声波武器相媲美,但是由于这种攻击方式极为隐蔽,加之操作人员往往是长时间的与电脑接触,因此这种伤害效果是持久的。
主板上的蜂鸣器的功耗由于太低,注定对人体的伤害较小。Windows7已经默认把Beep信号发送到声卡,由音响、攻防、耳机等功耗较大的设备发出蜂鸣(耳机虽然功耗也很低,但是距离人脑较近,故认为危害较大),或者恶意程序直接下载一段超/次声波的音频文件反复地在后台进行播放,如此,危害便更大了。
例2
这是一个真实的例子,那便是2000年的“女鬼”病毒。在电脑感染女鬼病毒后,病毒会首先播放一段文字,讲述的是一个凄凉的鬼故事,在五分钟之后突然切换屏幕为一女鬼图片,同时伴随着凄厉的嘶吼声。 或许病毒的制造者或许只是一个喜欢开玩笑的人,但是却造成了有些用户家破人亡的严重后果——该病毒在台湾地区发作时曾经使人因为惊吓过度,在送往医院救治后死亡,另有两人出现严重的神志不清和精神恍惚现象。
设想这样一个场景:A是一个心理扭曲的骇客,与B发生了某些利益争执。为卸私愤,A使用木马技术控制了B的电脑,通过木马监控B的QQ聊天记录以及网页浏览记录,发现B具有先天性的心脏病。于是在一个深夜,A打开了B电脑上的摄像头,发现B正在悠闲地使用电脑,而且周边并没有其它人。A便用木马劫持了B电脑的屏幕,突然播放了一段震撼的恐怖视频和惊悚的嘶叫声,B由于惊吓造成心肌梗塞而猝死。为掩饰犯罪证据,A在B的电脑上远程下载并播放了一段恐怖电影,并卸载了木马。警方来到现场,确认了B是由于自身观看了恐怖电影导致惊吓而死,并未追查犯罪凶手。以上犯罪过程虽然令人不可思议,但又在情理之中。
例3
这是笔者刚刚获得的消息,在今年的黑帽大会上,安全研究员查理·米勒(Charlie Miller)发现了一种攻击电脑的新方法,他制作的特殊的木马通过利用电池程序的漏洞,允许攻击者远程引爆苹果笔记本的电池……
这便是黑客技术的一个可怕分支:Hack one's Body。
目前还没有调查显示国内有骇客有意实施这样的攻击,但是鉴于国内黑客圈“人妖混杂”,因此我相信有极少数心理扭曲的骇客正在或已经实施了这样的攻击。而且我大胆猜测,国外的信息战部队可能正在研究这方面的相关技术。
本文意在引起各大安全厂商对该问题的注意。从安全技术和黑客技术的发展史来看,安全厂商总是要落后于“黑客圈”一步。由于“Hack one's Body”尚未成为当下攻击技术的主流,所以各大安全厂商并未采取任何防御措施。
笔者所在团队——中创中间件InforGuard团队,其产品线中的Web应用防火墙、网页防篡改、以及统一威胁监管平台可以在Web应用层和网络层防御任何非授权的可执行程序的侵入、运行,包括本文所涉及的这种另类的危险程序,但InforGuard团队毕竟只是一支专注于应用安全的团队。因此我在此呼吁所有的安全厂商,包括应用安全厂商、系统安全厂商、网络安全厂商、杀毒软件厂商、桌面安全厂商,一定要重视该类攻击的发展并研制出相应的解决方案,给我们的网民、政府以及军队一个全方位的保护。
注释:人们往往将骇客统称为黑客,这是不严谨的。骇客行为一般是指为利益所驱使或处于恶意目的,从而实施的漏洞挖掘和入侵破坏行为。而黑客是为好奇心、兴趣所趋势,从而实施的漏洞挖掘和入侵行为。本文将这两种概念区别对待。
1.4 中国受到50多万起黑客攻击
中国政府星期二说,去年有近50万起针对中国电脑的黑客攻击,其中接近一半的攻击源来自国外。
此前有报道暗示,北京政府可能是长时间来国际互联网受黑客攻击的幕后主使。
这次中国受黑客攻击的消息是中国国家计算机网络应急协调中心的网站报道的。
在这些黑客攻击事件中,绝大多数是以特洛伊木马软件形式出现的恶意软件,它能监控互联网的使用,并截获私人信息。
这些攻击中的14.7%的IP地址被追踪到美国,8%被追踪到印度。
本月初,电脑网络保安公司迈克菲报告了一项持续至少5年的黑客攻击,攻击目标针对70多个实体,包括政府和联合国、国际奥委会及许多美国公司。
迈克菲公司说,这些国际黑客攻击的幕后主使很可能是一个国家的政府,于是广泛猜测都落到了中国身上。
中国政府对此并未作出正式的官方反应,但是中国国家媒体说,这种对中国与黑客攻击有关联的推测是极不负责任的。
中国过去否认与任何黑客攻击有关系,并称中国自己才是黑客攻击的受害者。
1.5 黑帽大会:十大最具威胁的黑客攻击方式
在上周于拉斯维加斯举行的黑帽大会及Defcon大会当中,研究人员为大家轮番展示了其最为得意的、涵盖从浏览器到车载设备领域的各类新式攻击手 段。他们在回避安保机制方面所付出的辛勤汗水及迸发的灵感火花令人叹为观止。从这里开始,我们将选择其中最为精彩的案例推介给大家。
在上周于拉斯维加斯举行的黑帽大会及Defcon大会当中,研究人员为大家轮番展示了其最为得意的、涵盖从浏览器到车载设备领域的各类新式攻击手 段。他们在回避安保机制方面所付出的辛勤汗水及迸发的灵感火花令人叹为观止。从这里开始,我们将选择其中最为精彩的案例推介给大家。
针对西门子S7 型计算机的攻击
在黑帽大会中,网络安全系统研究员Dillon Beresford为大家演示了如何侵入一台西门子S7型计算机,包括获取对内存的读写访问权限、盗取数据、运行指令以及关闭整台计算机等等。考虑到此类 设备往往被用于管理工厂、网络公共设施、发电厂、化工类厂房以及各种机械,这种攻击行为无疑应该被视作巨大的安全威胁。由于他在此前会议上所公布的相关研 究发现实在太具破坏力,以致国土安全部对他的演讲进行了全程监控,以确保他没有透露过多具体的实施细节。事实上,他发表此项成果的初衷是敦促西门子公司尽 快修正他所提及的缺陷。
VoIP僵尸网络操控
Bot病毒方面的行家能够利用VoIP电话会议在自己的bot网络中与僵尸计算机交互,来自安全与风险评估公司Security Art的研究员Itzik Kotler以及Iftach Ian Amit在Defcon大会上宣布。他们发布的工具名为Moshi Moshi,能够将按键信息转换成能够被bot病毒所识别的指令并使其将文本内容转换为语音信息,这样一来该工具就能实现从安保薄弱的目标计算机中提取资 料并将其以语音形式存入信箱的功能。攻击者可以随时从语音信箱中收听这些敏感信息。此项技术的出现让我们意识到,攻击者有能力控制他们从无线电话甚至是付 费电话(只要有机会接入)端所劫持到的设备,并通过呼叫会议连接桥的形式使僵尸接口连入企业网络,进而夺取数据。
在供电线缆上外接设备
Dave Kennedy与Rob Simon这两位独立研究员在Defcon大会上展示了一款自制设备,作用是利用我们家中的民用供电线缆对房内的报警及安全摄像系统加以监测及控制。在这 套设备及供电线转宽带网络技术的帮助下,窃贼们只需确定目标室内存在监控装置,并将设备插入房屋外部的某个电源插座上,一套完整的窥探系统就组建完成了。 举例来说,他们可以根据警报系统是否处于开启状态以及安保探头是否工作来判断目标房屋中是否有人。这套设备还能截获安保设备发出的信号,如此一来窃贼们就 可以大摇大摆地实施犯罪而不必担心触动警报,研究员们表示。
无人间谍机
有一件展品分别在黑帽与Defcon大会上展出,这就是由Richard Perkins与Mike Tassey根据现有电子模型所改造的无人间谍机。这架模型飞机--又称无线空中监视平台--浑身上下布满了各类电子技术,从破解代码到感应手机呼叫功能 一应俱全。飞机上的机载电脑能够根据预设的飞行路线发出指令,以便实现进行间谍活动时必要的盘旋及返航动作。研究人员表示有试作型就会有量产型,任何国家 或企业都可能会制造并使用此类间谍装置,值得大家提高警惕。
通过电话网络劫持车辆
在黑帽大会上,我们看到了一项惊人的展示,研究人员仅仅利用手机对车内的无线设备发送文字信息,就使一辆斯巴鲁傲虎汽车的防盗器被破解、门锁被 打开,引擎也正常发动起来。利用此类作法同样可以轻松地控制供电及供水装置,Don Bailey说道,他是一位来自iSec的安全顾问,这项展示也正是出自他的手笔。在这一案例中,最严重的是汽车报警器与那些部署于关键性基础设施网络中 的设备一样,都在防护措施非常薄弱的情况下被接入了公共电话网络。这一项目引发了国土安全部的极大关注,他们要求研究人员提供整个实施流程的简报。
社保号码同样在劫难逃
又是一项同时出现在黑帽及Defcon大会上的展示,它证明了只通过一张可从公共网络数据库中获取的照片、一款面部识别软件以及一系列数字演算 来获取某人社保号码的可行性。这一展示所要表达的是如今通过某个人的形象即可调出个人资料的数字监控框架实际上非常危险,Alessandro Acquisti说道,他是Carnegie Mellon大学的教授,同时也是此项研究成果的发现者。要彻底根除上述问题,我们需要更进一步的技术、更加淡薄的隐私观念以及对群众的大力监督。"我对 此充满恐惧,却不得不承认这恐怕是大家未来必将步向的发展路线,"Acquisti如是说。
远程关闭胰岛素泵
糖尿病患者们常常依靠胰岛素泵的功能帮助自己保持血糖平衡,而在今年的黑帽大会上,研究人员证明该设备能够被远程关闭。Jerome Radcliffe,该成果的发现者,本身也是一位糖尿病患者。他在会上演示了如何阻截控制泵体工作的无线信号、破坏指令内容并将修改后的指令发送至设备 端。他能够使设备向患者体内注入错误剂量的胰岛素,甚至将整套设备完全关闭,这在危急关头很可能是致命的。问题在于,他认为,制造商在生产此类设备时根本 没有考虑到安全性因素。
嵌入式Web服务的威胁
在复印机、打印机及扫描仪这类设备上,往往具备嵌入式Web服务以方便使用者操作,但同时这也意味着更多安全风险。Zscaler实验室的安全 研究副总裁Michael Sutton向黑帽大会反映,事实上我们能够从保持开机状态的此类设备处轻松获取到最近扫描或复印的文件内容。他说他可以利用自己编写的脚本对大块的IP 地址进行扫描,并识别出Web数据头残留的蛛丝马迹,进而找到对应的Web服务器。值得强调的是,"整个过程都不涉及侵入行为,"Sutton说道。
伪造路由器列表
在黑帽大会上,某位研究员透露了一项路由器短路径优先协议(简称OSPF)漏洞,即攻击者能够在基于该协议的路由器上安装伪造的路由器列表。这 使得使用此协议的路由器面临着数据流缺陷、伪造网络拓扑图以及创建破坏性路由循环的风险。至于解决方案嘛,利用诸如RIP、IS-IS之类的其它协议或是 改变短路径优先协议的内容都能有效规避此漏洞,Gabi Nakibly说道,他是以色列Electronic Warfare研究与模拟中心的研究员,也正是此问题的发现者。
SAP缺陷
SAP公司的NetWeaver软件中存在着一项缺陷,允许攻击者回避ERP系统中的身份验证步骤,安全公司ERPScan的研究员 Alexander Polyakov说道,正是他在黑帽大会上发布了此成果。这意味着攻击者们能够获取访问进而删除数据的权限,他说。通过谷歌搜索的方式,他随机抽取了包含 此缺陷的各类服务器,其中有大约半数都沦陷在他的攻击之下,他说。而SAP公司则表示正计划为此问题发布修正方案。
2. 本周关注病毒
2.1 Trojan.DL.Win32.Fednu.eq(木马病毒)
警惕程度★★★
病毒运行后,会释放病毒驱动程序,替换系统服务并结束杀毒软件。为进一步扩大传播范围,病毒会通过局域网和U盘进行传播。电脑中毒后还会被开设后门,成为黑客肉鸡,不断下载盗号木马。
2.2 Dropper.Win32.Undef.cen(木马病毒)
警惕程度★★★
该病毒通过网络传播,病毒会从黑客指定网站下载各种木马、病毒等恶意程序,给用户计算机安全带来威胁。
2.3 Trojan.DL.Win32.Undef.thl(安德夫木马下载器)
警惕程度★★★★
病毒运行后,会偷偷关闭电脑系统的文件保护功能,失去文件保护的系统会变得脆弱不堪。病毒并没有添加开机启动,而是采取了在每个文件夹下复制释放的“lpk.dll”病毒文件,当有程序要调用系统文件lpk.dll时,病毒从而获得执行。由于病毒要遍历磁盘,所以会占用大量的系统资源,系统变得缓慢异常。访问黑客指定服务器http://222.186.52.59**下载大量流行木马病毒。
3. 安全漏洞公告
3.1 织梦DedeCms越权访问漏洞
|
织梦DedeCms越权访问漏洞 |
|
发布时间: |
2011-08-17 |
|
漏洞号: |
|
|
漏洞描述: |
DeDeCMS是最强大的中文开源CMS网站管理项目,使用PHP+MySQL架构。
织梦(DedeCms) v5.6-5.7在后台用户验证过程中存在越权访问漏洞。用户可利用该漏洞绕过验证,直接登录到管理后台。 |
|
安全建议: |
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.dedecms.com |
3.2 风讯SetNextOptions.asp信息泄露漏洞
|
风讯SetNextOptions.asp信息泄露漏洞 |
|
发布时间: |
2011-08-17 |
|
漏洞号: |
|
|
漏洞描述: |
风讯(foosun)网站内容管理系统,现代企业构建自己的门户信息网站将单一的展示转向多类型信息交互层面的web应用程序,自由、开源的设计理念能让你构架出任意风格的网络平台。
风讯foosun的注册文件(SetNextOptions.asp)中存在信息泄露漏洞。攻击者可利用该漏洞读取管理员帐号和密码。 |
|
安全建议: |
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.foosun.net/ |
3.3 Apache Tomcat web应用程序权限许可和访问控制漏洞
|
Apache Tomcat web应用程序权限许可和访问控制漏洞 |
|
发布时间: |
2011-08-17 |
|
漏洞号: |
CVE-2011-2481 |
|
漏洞描述: |
Apache Tomcat是一款由Apache Foundation维护的免费开放源代码的Java Servlet和JSP服务程序。
Apache Tomcat 7.0.17之前的7.0.x版本允许web应用程序替换其他web应用程序中的XML解析器。由于Jsvc库中的错误,没有解除应用程序访问超级用户拥有的文件和目录。本地用户可借助比目标应用程序装载更早的特制应用程序读取或修改web.xml,context.xml或任意web应用程序的tld文件。 |
|
安全建议: |
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://tomcat.apache.org/security-7.html |
3.4 IBM Web Application Firewall多个应用程序输入验证漏洞
|
IBM Web Application Firewall多个应用程序输入验证漏洞 |
|
发布时间: |
2011-08-16 |
|
漏洞号: |
CVE-2011-3140 |
|
漏洞描述: |
IBM Web Application Firewall是IBM IPS产品中使用的用于完善IBM安全产品的端到端Web应用安全解决方案。
在G400 IPS-G400-IB-1和GX4004 IPS-GX4004-IB-2应用程序上使用的IBM Web Application Firewall不能正确处理带有多个相同参数实例的查询字符串。远程攻击者可以通过将危险参数拆分到多个子串中绕过预设的入侵防御。 |
|
安全建议: |
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.exploit-db.com/exploits/17438/ |
3.5 Symantec产品Veritas Enterprise管理员服务缓冲区溢出漏洞