当前位置: 安全纵横 > 安全公告

一周安全动态(12月9日-12月16日)

来源:安恒信息 日期:2010-12

一周安全动态(12月9日-12月16日)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 研究:浏览器漏洞让网站可窃取网友浏览记录

根据美国加州大学圣地牙哥分校一份“JavaScript网页程序隐私资料流向验证”研究报告显示,Alexa排行前五万大的网站中,有485个网 站利用浏览器漏洞未经使用者同意就读取浏览记录。包括Firefox及IE浏览器都尚未修补该漏洞。这485个网站中共有63个网站会把浏览记录上传,其 中46个网站积极运用这些记录,其他17个网站则不确定用途。

由于大部分的浏览器让程序共用浏览记录、档案快取、网域名称快取,导致网站可以通过JavaScript程序取得浏览记录。该份报告指出,有两家网站分析工具公司Tealium与Beencounter销售此类工具软件。

网站通过JavaScript程序可以了解使用者看过哪些网站,甚至是哪些网页,网站可以据此呈现不同的广告,或者选定攻击的目标。但是恶意网站也可以据 此判断使用者是否去过某网站(例如A银行),并诱导使用者链接到特定的网站。而不管是为了广告用途或者是恶意用途,网站可以通过这个功能判断使用者是否链 接到特定网址。

该份报告指出,YouPorn.com、TwinCities.com、Charter.net等网站均会读取使用者的浏览纪录,幸好新一代的浏览器已经 对此免疫,苹果的Safari及Google的Chrome这两种浏览器最新版本已经修补这个问题,Firefox则要等到4.0版,IE浏览器只能在 “InPrivate浏览”隐私模式下才能避免被读取浏览记录。FireFox的NoScript则可以关闭大部分的JavaScript程序,仅让授权 过的程序执行。

除了侦测浏览技术之外,该份报告亦追踪网站关于窃取cookie、挟持网址(强迫使用者观看特定网页)、行为追踪等行为,例如微软、Wired杂志、日本雅虎及YouTube等网站会追踪使用者的行为,依网站不同可能追踪使用者滑鼠的位置、移动的方式、选取的文字等等。

查看研究报告:An Empirical Study of Privacy-Violating Information Flows in JavaScript Web Applications

1.2 互联网90%服务免费 用户信息成免费代价

“免费——商业的未来!”正当全球网民对互联网“免费”大潮欢呼雀跃时,中国的“3Q大战”给了人们当头一棒。我们第一次发现:免费的东西原来并不完全属于自己。即时通信、浏览器、输入法、搜索引擎、杀毒软件、网络游戏在今天的中国互联网上,超过90%的应用软件及服务都已经或正在走向免费。而草根用户们也不断发现,原来自己的使用习惯正在被培养,自己的行为在被分析,连自己的隐私都在被收集甚至贩卖。

“3Q大战”硝烟逐渐散去,但在未来,类似的互联网“暗战”仍将持续。而无论是互联网用户还是从业者都应该扪心自问:免费的代价究竟是什么?


《计算机世界》第47期封面文章:免费的代价


李沫发现自己的生活有些“本末倒置”。这位有着8年经验的搜索工程师,目前是一家开源技术社区的负责人,但是这两个月他几乎顾不上自己公司的事,因为他兼职创办的隐私保护班突然火爆了起来。

每隔几天,他都要到位于北京中关村的财智国际大厦上一次课,学生是一些即将出国的“小朋友”。通常他都先绘声绘色地分析一番Facebook、 Twitter等国外常用工具的设置,并指出其中可能泄露隐私的地方。而在课程的最后,为了证明确实存在隐私泄露的现象,李沫会现场演示,如何通过一个学 生的QQ号,将其住家、学校、工作等个人信息全部展开,每到此时,学生们都“顿时傻眼”。

“一堂课下来,基本快成为反侦探的课了。”李沫向记者坦言,随着互联网上越来越多的服务走向免费,个人数据和行为被采集的地方比比皆是,而个人信息泄露恐怕还只是其中“最小的代价”。


互联网免费盛宴

11月10日,金山安全与可牛公司正式合并,成立金山网络,同时高调宣布金山毒霸将实现完全免费。金山网络CEO傅盛在接受《计算机世界》报记者专访时透露,虽然金山为此舍去了两亿元的收费用户收入,但他仍认为,“这是一个艰难的决定,但也是一个正确的决定。”

据记者了解,在桌面安全领域,原本付费用户的比例接近40%,但自从去年10月奇虎360发布永久免费杀毒策略之后,很快就笼络了上亿用户,到 今年1月其市场份额已攀升至33.76%,一个季度便跃居行业第一。而中国互联网络信息中心(CNNIC)的数据也显示:愿意使用免费杀毒软件的网民比例 高达58.6%;而付费用户中,35.6%的用户明确表示到期后将不再续费。

2009年,美国《连线》杂志总编辑克里斯·安德森的一本名为《免费:商业的未来》的畅销书风靡全球。该书明确提出,对互联网领域的企业来说,“免费”更多的是一种生存法则,一种可以改变旧有发展模式而实现脱胎换骨的“动力机器”。

事实上,虽然金山是传统三大杀毒软件中最先吃螃蟹的一个,因为截止目前,瑞星和江民等都仍然坚持收费,但奇虎360公司董事周鸿在年初就表示,安全厂商免费是早晚的事,杀毒软件的免费时代已经来临。

在《免费:商业的未来》一书中,克里斯 ·安德森指出,新型的“免费”并不是一种左口袋出、右口袋进的营销策略,而是一种把货物和服务的成本压低到零的新型卓越能力。他用法国数学家伯特兰德的竞 争理论来解释互联网免费大潮:在一个竞争性的市场中,价格等同于边际成本,边际成本的经济学定义是每一单位新增生产的产品(或者购买的产品)带来的总成本 的增量,而互联网非常趋近理想化的竞争性市场。

同时科技财经专栏作家、互联网独立评论人醒客指出,数字产品复制需要的成本远远小于传统产品的复制。当用户到达一定数量级的时候,互联网上的产品与服务的边际成本为零,这在经济学上具备免费的可能性。

以奇虎360杀毒为例,假如360开发出360安全卫士、360杀毒、360保险箱、360安全管家、360主动防御等系列安全产品,其总体的 研发成本在1亿元,按照360所覆盖的3亿用户,摊薄到每一位用户的成本约在0.33元左右。随着用户的进一步增长,360的边际成本还会进一步下降。

中国互联网发展的现实似乎也在不断印证克里斯 ·安德森的判断。首先,互联网的早期应用,从以新浪为代表的门户网站、网易为代表的电子邮箱,到以腾讯为代表的即时通讯软件,都是一开始就对用户免费。

不仅如此,在2002年邮箱领域163对决263,2003年C2C电子商务领域淘宝打败易趣,以及近两年360搅局杀毒市场,胜利一方的杀手 锏都是免费。而在如今的互联网上,无论你想干什么几乎都是免费的,免费应用的覆盖人群越来越广,而以前能够收费的领域也一点点地在被免费吞噬。

“零付费几乎就是互联网天然的商业逻辑!”暴风影音CEO冯鑫指出,产品的复制与分发在互联网上,当用户越来越多,为每个用户提供产品的成本就会越来越低。按照零付费来吸引用户,一旦用户到达一定规模,价值就会自然显露。所以谁拥有用户,谁就拥有价值。


免费背后的算盘

“世界上没有免费的午餐,使用免费的背后,用户也在付出,只不过付出的不是钱,而是时间、注意力和消费习惯等。”互联网资深专家谢文认为,对于任何一家互联网服务提供商来说,免费都不是目的,只是策略,因为他们的终极追求还是赚钱。

而在免费的大背景下,服务提供商可打的算盘只有两个:一个是互联网广告,另一个增值服务。前者属于直接交叉补贴,后者则是用某些客户补贴另一些客户。

谢文认为,免费使互联网服务商成为一个平台,也打通了商家和用户之间的桥梁。广告可以存在其中,商家可以进行更好的服务推广。而更重要的是,互联网事半功倍地实践了以往难以付诸现实的精准营销。

“基于数据挖掘的精准营销,能够让广告发布更有效,效率更高,更准确,这是互联网的发展趋势。”冯鑫表示,暴风是对整体用户的使用情况来进行研究,并不会涉及个人隐私。

以搜索服务为例,广告主在Google购买了一个AdWords关键词。当用户输入一个检索词时,Google在返回搜索结果的同时,将给同时 匹配相关的广告。“这应该是三赢的局面,广告商找到理想的广告对象,用户可以看到相关的商业信息,免去了许多烦繁的过程,而平台商Google就赚了广告 商的钱,根据点击付费原则也使广告效果有了可以量化的渠道。”冯鑫说。

同时,醒客也指出,免费不仅是一种商业模式,也是一种营销手段。“原本要花钱买的东西现在免费了,需求一定会暴增。”正如《免费》这本书中提到的一样:“如果你想快速地推广,就不要拿它来收费。”

而现在免费也常常作为一种市场竞争手段出现,覆盖用户的速度也足以令人瞠目结舌。2009年10月,360推出杀毒软件正式版。在短短的8个月 时间里,360杀毒软件的用户已经超过了两亿,而其中很多用户是第一次使用杀毒软件。从营销的角度看,360的免费策略不但使自己的品牌迅速得以树立,也 客观上推动了杀毒软件的普及。

搜狗公司CEO王小川在接受本报记者采访时表示,搜狗作为一家搜索公司,为什么要做客户端,其实并非单纯直接的 “商业模式”诉求,因为浏览器、输入法都是彻底免费的,目前也没有考虑过有任何收费的增值服务。“我们看中这些产品在用户中的口碑和品牌效应,这是搜狗做 它们的初衷。与此同时,浏览器、输入法对搜狗做好自己的搜索服务有着重要意义,包括对用户需求和习惯的了解,这是多大的投入都无法换来的。”王小川说。

“事实证明,只要是网民普遍用到互联网基础服务,都可以做到免费。”今年年初,在取得安全领域过半的市场份额,并成功地将360安全软件变成仅次于腾讯QQ的第二大客户端软件之后,360公司董事长周鸿曾兴奋地做出如上表示。

然而,年底其与腾讯展开的一场“3Q大战”,让互联网用户意识到,免费不仅是一场盛宴,有时它也会变成一把枷锁。


免费的代价

“现在,在互联网上寻找个人信息,根本就用不着多高深的黑客技术。”李沫告诉记者,网络上要求实名制的地方太多了,但很多网站对个人隐私信息的 保护不力,甚至有的公司还会把用户个人信息往外卖。“在一些实名制社区里面,个人隐私有可能会被商业滥用。而你填写的信息越多,有效性越强,被恶意使用带 来的损失越大。”

对此,酷我音乐的雷鸣认为,企业有责任保护用户信息。任何不经用户许可,暴露或者利用用户信息的行为,都违反企业的商业道德和社会责任。

然而,个人信息被滥用还只是用户面临的权利困扰之一。

2010年9月27日,360公司突然发布了 一款“360隐私保护器”的工具软件,指控腾讯QQ在用户不知情的情况下窃取个人隐私数据。一时舆论哗然,“3Q大战”就此打响。

最初大家都以为它会像以往互联网圈里多次口水战一样,闹腾一阵就散了,谁也没想到腾讯会做出“在装有360软件的电脑上停止运行QQ软件”的决定,而正是这一涉嫌逼迫用户“二选一”的举动,最终把腾讯推到了舆论的风口浪尖——它被指为“绑架用户”。

虽然腾讯并未全面执行,并很快放弃“不兼容”政策,但人们已经开始关注一个问题:对于免费软件的使用,似乎用户自己说了不算。面对360和腾讯,大多数用户只有选择装还是卸,既没有它们进行后台操作的知情权,一不留神还要被绑架。

事实上,在今天的中国互联网上,超过90%的应用软件及服务都已经或正在走向免费。而草根用户们也不断发现,自己的使用习惯正在被培养,行为在被分析,连隐私都在被收集甚至贩卖,但是从来没人主动告诉他们,用户自己有什么权利。

用户在“免费”的暖风下,其使用习惯也慢慢地“被培养”。免费杀毒软件使很多个人用户装上了360;免费网游模式使很多游戏玩家玩起了《征途》;酷我音乐盒让用户养成了在线的音乐消费习惯;今天人们发邮件已经不会再为文件过大烦恼,因为QQ邮箱有“超大附件”……

用户被培养的使用习惯数量越多、越稳固,对相关软件、服务的依赖程度就越高。而这种依赖一旦形成,就难免被服务提供商所利用。例如,电脑上装了 360安全卫士,它就会提示安装360安全浏览器;装了搜狗拼音,它就会推荐搜狗浏览器;追本溯源,“3Q大战”的起点应该是腾讯用QQ捆绑安装QQ医 生,后自动升级为电脑管家。

捆绑推广的效果很明显。2010年春节前后,腾讯就在二三线和更低级别的城市强行推广QQ医生安全软件,一夜之间,QQ医生占据国内一亿台左右 电脑,市场份额近40%。但令网民不满的是,这些动作可能都在静默安装,在后台进行,神不知鬼不觉。一位QQ用户在微博用 “被强暴”来形容自己的感受——没有知情权,没有选择权。

不过暴风影音CEO冯鑫特别强调,用户的知情权和选择权有时难免存在冲突,因为每一款软件和服务都有漏洞,当厂商发现用户使用的版本有漏洞,而用户却不知道的情况下,厂商自动帮助用户来升级是情有可原的。

据记者了解,目前我国法律对互联网服务知情权依然空白,没有明文规定后台操作是否需要用户确认。“3Q大战”发生后,谢文与CSDN创始人蒋涛 等业内人士提出了《关于保护互联网用户基本权利的联名呼吁》,号召业界各方凝聚共识、集体自律、共同行动,并提出了五项最基本的用户权利:知情权、选择 权、卸载权、隐私权、索赔权。

“现在最重要的是发起一个第三方的监督和治理。”蒋涛在接受《计算机世界》报记者专访时透露,他们在跟一些技术专家讨论后,发现由于现在各个平台用户的数据都在自己的“云端”,由于缺少一个从上到下的推动力,目前规范、监督的设想很难执行。

但事实上,如今几乎每个互联网用户都有10种以上形成依赖的互联网应用,而这些服务难免有功能上的重合,服务提供商在产品战略上也一定存在竞争 关系,所以,蒋涛认为,未来即便不会再出现“3Q大战”蛮横的竞争方式,但互联网服务、尤其是客户端之间的“暗战”仍会长期持续。


客户端类型与用户规模对比

提出文字

DCCI数据显示:2010年中国网络广告营销市场规模将达到252.7亿元,占中国广告总体市场的比例首次突破10%;预计2012年中国网络广告营销市场将达到423.1亿元,超越报纸(2012市场规模预计为413亿元),成为中国市场第二大广告媒介。
互联网上的两场争斗余音绕梁,谁也不知道它们会不会成为又一场斗争的起点,不可否认的是,用户数据信息已经成了互联网上的交易“黄金”。

谁动了你的数据?

在“3Q大战”发生的同时,国际社交网络巨头Facebook也正在和Google进行一场暗战。先是 Facebook宣布拒绝向Google提供用户数据,同时与Google最大竞争对手微软搜索引擎Bing签订用户数据合作协议,之后Google就开 始阻止Facebook及其他网站获取自己的用户信息。

Android资深开发者屠程远是一个Google的敏锐观察者。在他看来,Google此举只是在给Facebook设置障碍,防止 Facebook把Gmail的用户都拉走。“但我认为Google的用意更为深远,它的目的是为传说中的Google Me服务铺路。”

无论是“3Q大战”,还是Google与Facebook,虽然这两场斗争一个在国内、一个在国外,而且表象可能也不尽相同,但是其本质却都指向用户数据信息。

剑指用户数据

今年6月,美国社交新闻网站Digg创始人Kevin Rose在一则Twitter信息中写道:“一个大传闻:非常可靠的消息来源称,Google即将推出可挑战Facebook的服务,名为Google Me。”屠程远分析说,从目前所透露出的一些信息推测,Google Me初期是要为自己所有的核心产品都加上社交中间层,并试图模拟用户现实生活中的社交网络,让用户通过一个统一的社交中间层去访问不同的社交网络。而这个 中间层在实现上除了需要连接Google自己的产品之外,也需要尽可能地去连通其他所有的社交网站。这就势必要求有完全的开放性,所有的网站都能够互联互通。

而在分析Google和Facebook的争斗时,屠程远指出,目前Facebook的实现战略存在两个问题:一是Facebook认为每人应 该只有惟一的一个身份(脸谱),它认为一个人惟一无法伪造的是自己的人际圈,或者说,人际圈决定了你的身份。的确,真实身份和真实的社会关系是 Facebook能够快速发展用户的关键。但实际生活中,用户有多重身份和多个交际圈是常态,强迫用户保持一个身份是不大符合实际情况的。而Google Me这个针对不同圈子的社交中间层很可能就是在打击Facebook的“每人惟一一个身份”的弱点。

其二,Facebook并不完全开放,它视用户的个人数据、尤其是用户的社会关系数据为自己的核心机密和竞争力,并不让用户方便、完整地导出自 己的个人数据。Facebook所存储的数据在实质上是所有用户个人数据的集合,如果未来只有Facebook一家独大,所有人的个人数据都集中到 Facebook那里,只被Facebook所把控,这是非常可怕的。

从目前所透露出有关Google Me的信息来看,Google恰恰是要针对这两点向Facebook发起挑战,扳回自己有些落后的局面。而Google的出发点,就是要“盘活”用户数据。

用户数据归谁所有?

用户数据如果深陷某个单一的网站,必定导致用户数据完全为某个服务网站所拥有,很难导出和移植,用户被粘滞,信息沉淀,比如用户很难迅速地从一 个SNS网站转移到另一个提供同样更好服务的网站,出现一家独大的局面。Facebook与Google之争,“3Q大战” 都是这类矛盾的一个激发。

对此,中国政法大学教授成晓霞告诉记者,垄断被规范立法的最主要的一个原因就是他们对价格的操纵,但是今天的互联网公司大多免费提供自己的服 务,当消费者没有花钱消费的时候很难谈到说消费者损害的问题。“但是比起直接向我们收钱,许多互联网公司对收集我们的数据更感兴趣。”成晓霞说。

在前不久召开的一次“纵论互联网研讨会”上,博主代表司马平邦也在呼吁,消费者应通过“3Q大战”,透过现象看本质,多多关注自己的权益,维护自己的权益。

而针对蒋涛等人提出的五项基本权利,屠程远指出:“互联网用户的权利其实不仅仅是这五项,用户最大的权利应该是用户个人数据的所有权,即用户对自己在互联网上所产生的个人数据具有所有权,可以任意处置。”

目前用户是无法完全自由地去选择服务的,一个新网站也很难利用用户已有的数据提供新的更好的服务,很多时候只能从空白开始。如果树立了“个人数 据所有权”的概念,用户在自己完全拥有自己数据的前提下,可以选择完全移植自己的数据,自由地去选择另一个服务网站以获得更好的服务。

这样就打破了现有互联网服务模式的误区。现有模式其实就是一种圈地模式——圈得最多的用户及数据,粘滞住用户,并以此构建出非技术性的壁垒,最终走上固步自封的道路,抑制创新,使得新服务进入成本过高。

呼唤开放协议

“从网景开始,到雅虎、谷歌,最后到Facebook,每个互联网企业的成功都是因为发扬了互联网精神,更加开放。这种精神从互联网早期文化到 渗透到整个技术架构和整个运营机制,包括管理模式和商业模式。”博客中国共同创始人兼董事长方兴东指出,对中国人而言,互联网是一个突如其来的新生事物, 所以比较缺乏互联网精神的熏陶,包括网络文化传统。互联网所表达的价值观应该是自由、开放、共享、创新、公平等,决不是造就垄断企业的出现。

对此,中国工程院院士倪光南也指出:“我们希望采用开放标准,这个概念有时候比所谓国际标准更重要,因为开放标准意味着可以公平地竞争,意味着用户可以有更多选择权。造成一家独大,这是很不正常的。”

而在国内,腾讯的通信协议就是封闭的,这样在技术上就很难实现第三方的QQ客户端,其他IM服务也无法和QQ互联互通。QQ客户端只能由腾讯一 家来提供,就产生了两方面的问题。一是用户缺少了选择权,腾讯可以往客户端里任意添加捆绑新的服务,用户要么全安装,要么全不安装,类似当年的 Windows操作系统捆绑IE;二是无法和其他IM服务互联互通,使得用户无法轻易地迁移到其他IM客户端。通信协议封闭使用户自身迁移到其他IM客户 端时无法将QQ里的联系人列表迁移。

“在国外,IM已经被当成互联网的一种基础通信设施,不屑也不敢通过封闭的手段建立自己独特的竞争优势。几乎所有的IM之间都是互联互通的。” 屠程远介绍说,XMPP就是最广泛被采用的IM协议,Google的Gtalk就完全支持XMPP,用户甚至可以搭建自己的 XMPP服务器并联通到Gtalk上。其它著名IM服务商如MSN、Yahoo Messenger、ICQ也都开放了自己的通信协议,存在着形形色色的第三方客户端。

只有倡导开放,打破现有的这种产业格局,才能确立新的游戏规则。随着新平台不断涌现,无论是Google、 Facebook还是腾讯、百度,都不可能凭一己之力完全收集和控制互联网上的数据,在用户个人数据面前,各网站的起跑点是相同的,着眼点将是如何更好地 利用用户数据提供对用户最有价值的增值服务上来,形成良性竞争关系。用户也将慢慢形成为优质服务买单的习惯,使新服务能有更好的进入环境。《计算机世 界》(许磊 尹一捷 汤浔芳 许泳)。

1.3 Lady Gaga等明星被黑客入侵 未发行歌曲被盗

被黑网站:12月7日,两位德国黑客Deniz A和黑客Christian M入侵了多位歌星的电脑,Lady Gaga,Justin Timberlake,Kelly Clarkson等均被入侵,未发行的歌曲被盗并被非法销售,除此之外,还有某位明星的艳照被窃取。让人无法理解的是,在两位黑客被发现之前,他们已经通 过木马程序控制了多位明星的电脑长达12个月之久,这么长的事件如果是针对任何一家公司,恐怕都要倒闭了。看来网络安全对于很多人来讲还是门外汉,那些被 爆出的艳照,现在想想也不足为奇了。

12月7日消息,据国外媒报道,两位来自德国的电脑黑客侵入了Lady Gaga,贾斯汀-廷伯莱克(Justin Timberlake),Ke$ha与凯莉-克拉克森(Kelly Clarkson)等多位歌星的电脑。二人盗取了这些歌星的未发行作品后非法销售,致使唱片公司不得不提前歌曲的发行日期。

Lady Gaga的歌曲被黑客盗窃


目前德国警方的调查已经有了结果,一位来自杜伊斯堡市的18岁高中生与他的同伙,现年23岁家住维塞尔区的无业青年成为了这起黑客盗窃歌曲的嫌疑人。他们 在被警方发现之前,通过木马程序入侵这些艺人的电脑长达12个月之久。在这段时间中,他们通过销售未发行歌曲获得了超过上万欧元的非法收入。这两位年轻人 目前都与各自双方的父母居住在一起,二人的居住地相距大约30公里。

这位18岁的高中生黑客被德国媒体称为Deniz A,他在接受警方传讯时声称自己与另一位同犯Christian M之间已经很久没有联系。他表示:“我已经几个月没有听到他的消息了。”Deniz A拒绝就此案件发表任何看法或提供详细证据,称他的律师已经告知他不要向媒体透露任何内容,目前媒体还无法与他的律师取得联系。

据德国当地媒体报道,这两位黑客通过特洛伊木马程序盗取这些歌星私人电脑中的MP3歌曲,而其中的大部分歌曲都还没经过唱片公司以及艺人的正式发行。而 Deniz A同时被指控盗取其中一位歌星的性爱照片,并向其发送勒索邮件。不过德国警方并未透露被盗窃的照片来自哪位歌星。

德国当地媒体《图片报》引用了Deniz A的话说:“我是一位乐迷,我仅仅是希望听到很酷的音乐。而且,我从未向任何人发过勒索邮件。”德国警方在今年收到举报,称凯利-克拉克森的新歌在正式发 行之前,新歌已经在互联网上被公开出售。警方发言人表示,他们在此事发生之前,已经对这二位黑客展开了数月的调查,并准备了一份上千页的案件报告。如果一 旦二人被定罪,他们将面临长达五年的牢狱之灾与巨额罚款。

克拉克森与Ke$ha同属于RCA唱片公司旗下,而廷伯莱克则与Jive唱片公司唱片,这两家唱片公司都隶属于唱片巨头索尼公司。索尼唱片的德国分部目前 并未就此事发表任何评论。Lady Gaga则是环球唱片公司旗下的当红明星。同样,她的德国发言人并未就此事件发表任何评论。

1.4 2010年十大安全事件回顾

即将结束的2010年里,IT安全领域可以用“混乱”一词来形容。在此我们为大家列出了十大安全事件,谷歌、思科、迈克菲和美国政府都榜上有名。谷歌、思科、迈克菲、AT&T等科技巨头上榜一点也不奇怪。因为树大招风,他们一直都是黑客攻击的目标,同时任何时候他们只要在安全方面出现失误都是重大新闻。


极光”漏洞导致谷歌受攻击。

所谓极光攻击事件指,谷歌在一月份承认他们的许多重要知识财产在去年十二月份被网络非常入侵所窃取。与此同时,另外还有十二家高科技和业内公司受到了同样的攻击。
中国ISP劫持互联网。

一家名为IDC China Telecommunication的小型中国网络服务供应商首先发出了错误的路由数据,然后经过中国电信的二次传播,扩散到了整个互联网,这一事件导致 全球的服务提供商都受到了影响。该事件被列入到今年十一月份向美国国会提交的2010年美中经济和安全审议委员会报告中。报告中称,今年4月8日,由于中 国电信发出错误的路由信息,导致美国参议院、国防部以及国家航空及太空总署(NASA)等许多网站的电子邮件全部“绕道”中国传输,整个过程持续了18分 钟。中国电信对此表示,四月份的信息重新定向是一起事故。
迈克菲误杀事件。

迈克菲在四月份对病毒库文件进行更新时,误删Windows XP系统文件,导致部分用户电脑故障,这就是著名的迈克菲5958病毒定义文件。误杀导致大量迈克菲客户的电脑出现类似微软的“蓝屏故障”并造成了拒绝服 务攻击效果。随后该公司总裁兼首席执行官Dave DeWalt出面道歉并提供了故障解决方案,不过一些愤怒的客户认为迈克菲做的还不够。
思科Cisco Live 2010年会参会者名单被黑事件。

虽然并不是什么重要数据,但是这一事件对于希望被 全球认为是安全领域领军企业的思科十分尴尬。有人通过攻击获得了Cisco Live 2010会议的参加者名单。这个安全突破使思科不得不一一通知客户和合作伙伴。尽管思科对其中的细节保持沉默,但是有厂商对思科说,有人出人意料地企图通 过这次会议的网站ciscolive2010.com访问会议参加者的信息。思科称,这次安全突破很快就被封闭了,不过这是在某些会议的列表被访问之后才 封闭的。据Cisco Live会议团队在电子邮件中警告称,这些被攻破的信息包括Cisco Live会议的标识卡号码、姓名、职务、公司地址和电子邮件地址。这个事件导致思科向会议参加者和其他已经收到邀请但是没有参加会议的人员发出了电子邮件 进行道歉。
谷歌数据嗅探。

谷歌已经对在街景车项目中非法嗅探和收集未加密 Wi-Fi网络中的个人数据的行为进行了道歉。在隐私保护人士和欧洲与美国监管机构的愤怒中,谷歌承认了错误,其搜索与引擎业务高级副总裁Alan Eustace在博客中承诺将删除这些数据。
iPad 3G用户的信息泄露事件。

一个自称为Goatse Security的网络信息安全组织在AT&T Web应用中发现了一个安全漏洞并导致超过了10万名iPad用户的电子邮件地址被泄露。在入室搜查后,FBI逮捕了发起iPad攻击的一名Goatse 成员,并以持有违禁毒品与药品的罪名对其提起了诉讼。
南岸医院数据被窃事件。

位于美国马萨诸塞州的南岸医院宣布他们丢失了80万份文件。这些文件涉及到患者、合作伙 伴和医院职员的健康和财政信息,时间跨度为15年。南岸医院最初表示他们将与受波及的个人进行联系,但是随后院方改口称他们选择不与数据被窃案中受波及的 个人进行联系。对于院方的做法,马萨诸塞州总检察长表示反对,并认为院方应当通知受波及的个人。
间谍大戏。

在俄罗斯间谍案中,与其他十二名俄罗斯间谍一起被FBI逮捕的安娜·查普曼在返回莫斯科后,身着黑色 贴身内衣登上了俄罗斯马克西姆成人杂志封面,并受雇于俄罗斯一家银行推动银行信息技术创新。然而当初就是因为她在技术知识的缺陷导致FBI抓住了她。不仅 FBI在监控中对她的无线网络进行了嗅探,查普曼还曾经将她的笔记本电脑送至一个美国政府密探那里修理过。尽管如此,俄罗斯基金服务银行称,他们雇用查普 曼是为了“行推动银行信息技术创新”。
Stuxnet蠕虫病毒攻击。

尽管Stuxnet蠕虫病毒此前一直存在,但是该病毒直到六月份才引起人们的关 注。Stuxnet蠕虫病毒是专门攻击工业监控与数据采集(SCADA)系统的恶意软件中的一部分,其主要目标是伊朗的核设施。该病毒可能是是一种用于阻 止伊朗伊朗制造核弹的网络武器。在十月份,健康承认该蠕虫病毒已经影响了伊朗国内3万个系统。伊朗总裁内贾德在十一月份称:“伊朗的敌人利用电子部件中安 装的软件的确对伊朗一部分浓缩铀离心机制造出了‘有限的’麻烦。他们对我们做了坏事。”
维基解密再次登场。

大量美国政府电报被窃,超过25万份与其他国家和元首有关的各类外交通信信息被维基解密网站曝光。美国国务卿希拉里将这一行为指责为“攻击”,并紧急就泄密事件向各国道歉。

2. 本周关注病毒

2.1 病毒名称:“Trojan.Win32.fedoN.dc(木马病毒)”
警惕程度 ★★★

该病毒会搜索QQ软件的安装目录,然后释放TXFPROXY.dll病毒文件替换正常的QQTXFPROXY.dll,然后释放一个名为 QQTXFPROXY.dll的病毒加载器,从而借QQ运行自身,最终修改IE浏览器默认首页为恶意网站,并在桌面上添加恶意网站快捷方式。

2.2 病毒名称:“支付宝大盗”--Trojan.PSW.Win32.Alipay
警惕程度 ★★★★

“支付宝大盗”木马病毒已在短短两个月内生成200余个变种,开始借路不知名的软件下载站进行传播,篡改用户浏览器首页并窃取用户网银财产。同时,由于该类病毒还会利用下载工具、浏览器和购物软件的数字签名来绕开杀毒软件,已成为2010年末最流行的高危木马。

最新的“支付宝大盗”病毒在以前版本的基础上,进一步利用下载工具、浏览器和购物软件来加载自身,由于这些软件具有合法的数字签名,往往会被杀毒软件当作正常操作放过,因此可以实现开机自行启动病毒体,并得以进行修改用户IE首页、篡改网络交易收款人信息等病毒行为。

“支付宝大盗”一旦运行,黑客就能够截获感染者的网上交易信息并对其实施自由控制,当选定某一目标,便可向正在进行网上付款的该用户发送伪造的支付页面信息,同时还会修改支付宝页面,使得用户将本应付给支付宝的钱打到黑客账户中。值得一提的是,在作案金额的选择上,黑客通常会倾向于百元上下的交易,由于受损失较小,很多用户即使发现问题,也不愿深究。

预防和清除:

1. 安装最新的杀毒软件,及时更新杀毒软件的病毒库;

2. 网上支付时,在付款前需要确认收款人信息,当发现异常时,应立即杀毒或联系安全厂商;

3. 及时更新操作系统漏洞和第三方软件,避免病毒通过软件漏洞入侵电脑。

3. 安全漏洞公告

3.1 D-Link DIR路由器"bsc_lan.php"绕过安全限制漏洞

D-Link DIR路由器"bsc_lan.php"绕过安全限制漏洞

漏洞发布时间:

2010-12-08

漏洞号:

CVE ID: CVE-2010-1508

漏洞描述:

D-Link DIR是小型的无线路由器。


D-Link DIR路由器在实现上存在漏洞,攻击者可利用此漏洞绕过某些安全限制,控制受影响的设备。

此漏洞源于设备未正确限制对"bsc_lan.php"脚本的访问权限。通过在Web请求中将"NO_NEED_AUTH"参数设置为"1"及"AUTH_GROUP"参数设置为"0"访问管理界面。

安全建议:

厂商补丁:
D-Link
------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.dlink.com/

 

3.2 PHP "setSymbol()"函数拒绝服务漏洞

PHP "setSymbol()"函数拒绝服务漏洞

漏洞发布时间:

2010-12-08

漏洞号:

BUGTRAQ ID: 45235

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP在实现上存在漏洞,攻击者可利用此漏洞造成用PHP编写的应用程序崩溃,造成拒绝服务和执行任意代码。
此漏洞源于getSymbol()函数的整数溢出漏洞。
<*来源:Tomas Hoger (thoger@redhat.com)
*>

安全建议:

厂商补丁:
PHP
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.php.net

 

3.3 GNU glibc "regcomp()"栈耗尽拒绝服务漏洞

GNU glibc "regcomp()"栈耗尽拒绝服务漏洞

漏洞发布时间:

2010-12-08

漏洞号:

BUGTRAQ ID: 45233
CVE ID: CVE-2010-4051,CVE-2010-4052

漏洞描述:

glibc是绝大多数Linux操作系统中C库的实现。
glibc在实现上存在漏洞,攻击者可利用此漏洞导致受影响的计算机不响应和拒绝服务。
此漏洞源于GNU libc的regcomp()函数可触发深度回归。
<*来源:Maksymilian Arciemowicz (max@jestsuper.pl
  链接:http://www.kb.cert.org/vuls/id/912279
*>

安全建议:

厂商补丁:
GNU
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.gnu.org

 

3.4 Linux Kernel IGB Panic VLAN报文远程拒绝服务漏洞

Linux Kernel IGB Panic VLAN报文远程拒绝服务漏洞

发布时间:

2010-12-07

漏洞号:

 

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux Kernel在实现上存在漏洞,攻击者可利用此漏洞造成内核崩溃,拒绝服务合法用户。
此漏洞源于VLAN无过滤,无法处理位于0000000000000028的Kernel NULL指针引用。
<*来源:Krzysztof Moscicki
  链接:https://bugzilla.kernel.org/show_bug.cgi?id=15582
*>

安全建议:

厂商补丁:
Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kernel.org/

 

3.5 Linux Kernel "pipe_fcntl()"本地拒绝服务漏洞

Linux Kernel "pipe_fcntl()"本地拒绝服务漏洞

发布时间:

2010-12-08

漏洞号:

BUGTRAQ ID: 45125
CVE(CAN) ID: CVE-2010-4256

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux Kernel在实现上存在本地拒绝服务漏洞,本地攻击者可利用此漏洞造成内核崩溃,拒绝服务合法用户。
<*来源:Linus Torvalds (torvalds@g5.osdl.org
  *>

安全建议:

厂商补丁:
Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kernel.org/