当前位置: 安全纵横 > 安全公告

一周安全动态(2011年02月17日-2011年02月24日)

来源:安恒信息 日期:2011-02

2011年2月第三周(02.17-02.24)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象,需对网络和主机进行必要的监控和升级。

 

 

 

1. 安全新闻

1.1 美国史上最著名黑客冈萨雷斯:互联网无间道

作为美国史上最著名的黑客,艾伯特.冈萨雷斯和朱利安.阿桑奇十分不同:后者通过入侵政府机构,盗取政治机密,并将之公布于世,在全世界引发动荡情绪与恐慌;而冈萨雷斯“擅长”的,则是疯狂的经济犯罪,和“无间道”般的双重生活。在转为有偿线人、为美国特勤局工作期间,他纠集黑客团伙盗取4000万张信用卡的信息;去年3月,他在波士顿法庭被判20年徒刑,成为美国因计算机犯罪获刑最重的黑客。

文/ 詹姆斯.韦里尼(James Verini) 火靓月编译自《纽约时报》

“他体面、温和、冷静,很会说话。”

特勤局密探迈克尔曾如此评价艾伯特.冈萨雷斯。

在狱中刚过完29岁生日,这位网络大盗接受了《纽约时报》记者专访。

他没有为自己做过多辩解,却用轻柔的口气谈起了他的前女友。  

2000年至2010年,是网络犯罪飞速增长的十年。1月底,一向以为全球提供网络安全解决方案而著称的美国迈克菲实验室公布了一份最新报告,《网络犯罪的十年好时光》。

正如迈克菲实验室在报告中所说的,在这十年里,黑客的破坏活动正在发生变化,从开始炫技型地破坏转向更复杂、更有所图谋的形式。

在这十年的末尾,最著名的黑客要数阿桑奇,而在阿桑奇之前,世界上最疯狂的黑客是艾伯特.冈萨雷斯。

和阿桑奇不同,冈萨雷斯“擅长”的是经济犯罪,和“无间道”般的双重生活。

2003年,22岁的冈萨雷斯因盗用信用卡被捕,继而转为美国特勤局的有偿线人。在他为政府工作的几年里,一方面,他帮助美国政府诱捕黑客—— 那次行动,成为美国政府有史以来破获的计算机犯罪案件中最成功的一例;另一方面,他纠集起庞大的跨国黑客集团,在两三年的时间里,盗取4000万张信用卡 信息,“偷走”美国最大几个零售集团的一半交易。

而真正让美国特勤局感到危险的,不是他疯狂攫取金钱的行为,而是他的欺诈能力。

去年3月,在法院对他的量刑听证中,他被判两个并行的20年刑期,这是美国史上对计算机犯罪判罚刑期最长的一次。法官说,“我觉得影响最坏的,是你背叛了你所合作的政府调查机构,你本质上就是一个双重间谍。”

入狱后,冈萨雷斯在狱中迎来了他的第一个生日,29岁生日。当《纽约时报》记者在狱中见到他,他对记者说:“我2003年就应该坐牢。我当时就应该坐牢,这样的话我现在可能就已经出来了。”  

第一次被捕  

2003年7月的一个晚上,冈萨雷斯第一次被捕。

纽约警察局的一名便衣警察正在上曼哈顿区调查一系列汽车偷窃案件。他发现了一个形迹可疑的年轻男人,于是偷偷跟踪他直到一家银行的ATM大厅。

那个年轻男子披着一头长直发,戴着鼻环,进入银行后,从口袋里掏出一张借记卡,提取了几百美元现金,一张接一张。警探假装在用ATM机,一边不动声色地观察这名年轻男子。这个人不是在偷汽车,但警探估计他在偷其他什么东西。

据这名年轻男子后来供认,他是在“套现”。他将偷来的借记卡号码输进了一叠空白的借记卡中,然后用这些卡从每个账户里提取尽可能多的现金。他选 择在接近午夜12点时作案,因为那是当日提款限额结束的时刻,他可以几分钟内在同一台“吐钱机”上再取一次钱。为了躲避监控录像,这名年轻男子戴着女式假 发和镶有珠宝的鼻环。

警探询问他的名字,尽管他在互联网上有很多别名,有时候他叫“古巴约翰尼”,有时候他叫“segvec”,但他最喜欢的名字还是“汤纳粹”(soupnazi)——不过他还是很有礼貌地说了真名:“艾伯特.冈萨雷斯。”

在冈萨雷斯被捕后,消息传到位于纽瓦克的美国新泽西律师办事处,他们正和美国特勤局电子犯罪特遣队密探一起调查当地信用卡和借记卡欺诈。进展很 不顺利。在听取了关于冈萨雷斯的汇报后,他们认定他是个不可多得的人才。这不仅因为他在电脑里存了数以万计的借记卡账号数据,还因为他十分耐心地向警探们 解释了他在“在线银行卡欺诈”方面的专长。据一名前特勤局警探说,冈萨雷斯是个极其聪明的人。“他精通电脑、精通欺诈。”

冈萨雷斯不仅是一个提款人,也是“阴影船员”(Shadowcrew.com)网站的版主——这是一个在21世纪初期、互联网电子商务井喷时期 形成的原始犯罪者网上集会点。它的用户贩运被盗银行卡的账户数据库,在有机可乘的银行和商铺外做标记,并进行有效的电子邮件诈骗。这个网站是由一个亚利桑 那州学生和一个新泽西州的前按揭经纪人创建的,在美国、欧洲和亚洲有着数以百计的会员。一个联邦检察官将其称为“一个网络犯罪界的eBay网、巨兽网(招 聘网站)和‘我的空间’。”

几次会面后,冈萨雷斯同意为政府提供帮助以免于被起诉。“我那时只有22岁,很害怕,”他后来说,“当一个特勤局的密探告诉你可以免坐20年牢,你什么都会愿意做的。”  

双重间谍  

“他体面、温和、冷静、很会说话,”最了解冈萨雷斯的特勤局密探迈克尔说,“刚开始,他很沉默,但后来就放开了,开始相信我们。”

特勤局为冈萨雷斯支付生活费,并表现出十足的耐性。冈萨雷斯是一个间歇性瘾君子,一直靠服用可卡因和抗嗜睡药莫达非尼使自己长时间保持清醒。一 个密探说,“起初他极瘦,抽烟很严重,衣服也很乱。随着时间的推移,他的体重增加了,开始把头发剪短,而且每天都刮脸了。”这位密探还说,“如果你能卸下 他的防备,他可以完全不怀敌意。我觉得我是在跟一个社会工程学研究生,而不是和一个欺诈大师相处。”

然而恰恰是冈萨雷斯在欺诈上的天赋,使他成了政府有史以来最有价值的网络犯罪线人之一。在他的帮助下,检察官至少起诉了12名“阴影船员”的成 员。之后特勤局劝他搬回家乡迈阿密。2006年初,冈萨雷斯成了特勤局迈阿密办事处的一名有偿线人。迈克尔密探也调职到了迈阿密,他和冈萨雷斯合作了一系 列调查,冈萨雷斯干得很不错。“似乎他在试着做正确的事情,”迈克尔说。

但他没有。在过去为政府工作的几年中,冈萨雷斯和他的黑客团队从一些美国最知名的公司如顶级奥菲斯、BJ批发俱乐部、戴夫和巴斯特餐厅、T. J. Maxx和Marshalls 服装连锁的顾客数据库里,偷盗了大约1.8亿支付卡账户。据冈萨雷斯一案的首席检察官说,“冈萨雷斯和他的组织对人们所造成的侵害程度是空前的。”

狱中生涯  

曾经肌肉发达并晒得黝黑的冈萨雷斯,在狱中度过了自己的29岁生日。他看上去苍白单薄,卡其色制服挂在身上就像一个麻袋,镶边眼镜后面的双眼充满了血丝。偶尔他脸上会浮现恶作剧般的笑容,其余时间,他凝视着你,用一种带着同情却又情绪激烈的目光。

一开始他不愿多谈他的犯罪经历,却以一种轻柔的口气谈起他的前女友:她已经不来探望他了(“我并不怪她”),也谈到了他在读的书(安东尼.比弗 的《Stalingrad》、乔恩.克拉考尔的《Into Thin Air》和拉尔夫.沃尔多.爱默生的散文),他还谈到了对新闻报道中计算机侵入的看法。他现在是美国国家公共广播电台的忠实听众,最近还听了一个关于黑客 的讨论。他也谈到了他的童年和家庭。他父亲年轻时乘木筏离开古巴,在佛罗里达海峡被一艘海岸保卫巡逻艇救起。冈萨雷斯有一个5岁的侄子,“他是这个世界上 我最爱的人。”他侄子的母亲,也就是冈萨雷斯唯一的姐姐玛利亚,“总是对父母言听计从”,但是冈萨雷斯不是。

12岁时,冈萨雷斯用自己的钱买了第一台电脑。在一次电脑被病毒感染后,他开始对计算机安全产生了兴趣。“我们打电话给技师,他过来,我问了他这些问题,‘我自己要怎么维护它?为什么会有人要发明电脑病毒?’”

他的愤怒不久就化解了,并且在14岁那年侵入了美国航天局,NASA探员为此到访了他所在的南迈阿密高中。冈萨雷斯并未因此受阻,他成立了一个合作组织名叫“黑帽子”,并赢得了一定声誉。

直到他大一从迈阿密达德学院辍学时为止,冈萨雷斯已经通过阅读软件手册自学了如何侵入互联网服务提供商,以获取免费宽带。他发现自己可以更进一步侵入,获取管理人员的登录信息和密码。

“他们的电脑往往是一个隐藏了大量信息、网络图表的地方,”他沉醉于回忆中。“我了解系统的架构,就好像我是他们的员工一样。”

冈萨雷斯最亲近的好友,史蒂芬.沃特,目前正因为帮助冈萨雷斯而处于两年的服刑期。他口中的冈萨雷斯“仅仅通过正规教育就获得了福尔摩斯般的才 能”,“他可以在50码之外看清一个结婚戒指,也可以在50码外认清楚一只百达翡丽手表。他本可以成为一个世界级的审讯者。他非常擅长辨别人有没有说 谎”。  

“他背叛了我们所有人”  

就像很多其他黑客,冈萨雷斯在计算机安全的正当与不正当之间轻松穿梭。

在他2003年同意成为线人后,冈萨雷斯在一年时间里帮助司法部和特勤局建起了一个针对“阴影船员”网站的巧妙陷阱,名叫“运行防火墙”。政府 通过他,使用黑客密语占领“阴影船员”网站,作为卧底买家渗透到网络中,在全世界范围内追踪目标用户。最终,政府官员甚至成功地将网站转移到了一个由特勤 局控制的服务器上。同时,冈萨雷斯劝说用户到该网站的“虚拟私人网络”(VPN)来交流。VPN是一个在计算机之间寄送加密信息的安全途径,它由特勤局设 计的,具备一项特殊功能:执行由法院授命的窃听。

冈萨雷斯和密探们一起,连续数月没日没夜地工作。 “这是一种很特别的经历。随着时间的流逝,他和密探们结成了一种紧密的关系。他们在一起合作得很好。” 一个司法局检察官说。

2004年10月26日,冈萨雷斯在华盛顿特勤局总部把“阴影船员”网上的目标集合在了一个聊天会话中。早上9点,密探开始敲门查找。到半夜为 止,28名来自8个州和6个国家的人被捕,他们中大多数人就在电脑边。19人最终被起诉。有人估计这是政府有史以来破获的最成功的计算机犯罪案件。

“我发觉做调查很刺激。”冈萨雷斯说,“利用智慧,找出他们的身份。虽然回头想想还是挺容易的。当一个人信任你的时候,他们会放松警惕。”然 而,他对此“实际上良心感到不安”。“我陷入了一种道德困境,不像大多数的线人。”他还说过,“这种区别很重要……我的‘忠诚’一直是忠于黑帽子组织。”

但那些被捕获的人对这种区别不感兴趣。一个偶尔为冈萨雷斯洗钱的“阴影船员”网站成员说,“他背叛了我们所有人,如果你相信因果报应的话,他最终得到了他的报应。”  

双重生活  

2004年末,冈萨雷斯回到了迈阿密,开始着迷于一种被称为“沿街扫描”的技术:黑客们可以坐在大量贩店停车场的车子里,用笔记本电脑潜入公司的无线网络。老手们可以在几分钟之内侵入一家有着亿元资产的跨国公司的服务器。

冈萨雷斯和来自EFnet的老朋友斯科特再次联系上了。2005年夏天,他们侵入了在马塞诸塞州弗雷明汉的Marshalls母公司TJX(美国最大服装零售商-编注)总部的服务器,定位了商店里的旧卡交易服务器,偷走4000万张信用卡的信息。

同时,冈萨雷斯正在偷盗银行卡数据,并筹措一个国际犯罪组织。他最中意的销赃人是乌克兰人Yastremskiy,他能将成套的卡号卖给美国、 欧洲和亚洲的买家,然后分红。冈萨雷斯还雇了另一个朋友,他能在全国各地的ATM机上取钱。最后,他联合了两个有远见的东欧黑客,他自己也只知道他们的网 名,“Annex”和“Grig”,他们共谋入侵美国信用卡付款处理器,零售经济的现金命脉。

“我一直在问我自己,我为什么要这么做?”冈萨雷斯说,“一开始我是为了钱。特勤局的工资不够我花,我需要钱。那时候,我已经像滚雪球那样不得 不一直做下去了。我想停但是停不了。”他声称他的部分意图是值得尊敬的。他是真的想帮助帕特里克.托伊,冈萨雷斯的一个黑客好朋友,后来帮他做了很多复杂 的侵入企业网络的跑腿工作。

冈萨雷斯也对计算机犯罪的智力挑战津津乐道。据托伊说,他并不是一个有天赋的编程者,实际上,他甚至不会写简单的编码,但他可以理解整个系统,而且常常用独特的恩赐来拉拢他们。这就是计算机犯罪对冈萨雷斯来说最主要的吸引力。

不过他也喜欢偷窃。“无论我有怎样的道德感,都被兴奋感给盖过了。”而且他也喜欢花钱,他半认真地以“50分”(乐队名,50cent)的新专辑以及同名的电影《要钱不要命》来形容自己。

“回头想想,我们只知道那些他让我们知道的……他在双重的人生中过着一种双重生活。” 迈克尔密探说。

2007年春天,冈萨雷斯又找到了一个新挑战,名叫“SQL注入”。 SQL是在线商务的通用语言。黑客一旦学会了SQL就绝对可以摸透一家公司。而且SQL是通过网站登录的,不管在哪里都可以实施。

冈萨雷斯和他的黑客团伙开始对SQL进行试验。他们开始刺探那些看上去有机可乘的公司网站,或者说,那些他厌恶的公司。“我只是不喜欢他们所做 的,”他指的是服装连锁品牌“Forever 21”。他觉得他们的衣服都是粗制滥造的,而且员工待遇很差。“这家店有这个国家里我所厌恶的一切。”最终,冈萨雷斯和托伊从数个像“Forever 21”和TJX这样的大型集团获得超过400万的卡号信息。“每一个银行卡号被偷走,都会被记录在我们的文件里,”托伊说,“任何人对此束手无策。”

在拼凑出冈萨雷斯是如何组织这些抢劫的之后,联邦检察官也不得不佩服他的巧思:“这就像进入银行旁边的一座楼里,然后打地道进入银行。”  

落入法网  

2006年的圣诞前夕,司法局和马塞诸塞州的助理律师海曼从TJX的律师那里收到了一系列发狂的电话。根据TJX公司的描述,在大约1年半时间内,“在美国、波多黎各和加拿大店铺的交易大约有一半”确认被偷走了。这是美国历史上最大的银行卡数据偷窃案,眼下毫无头绪。

“我们毫不夸张地将全世界列入了嫌疑范围,”海曼说,“如果你面对的是一个杀人现场,那将到处是血,到处是指纹。但如果你面对的是黑客入侵公 司,至关重要的信息可能在连接断掉的一瞬间全部丢失。”海曼从未见过像TJX侵入案这样的事件。海曼掌握了大量的数据,很多潜在线索,但是他们不知道自己 在追踪谁。“很累,精疲力尽。”海曼说。

线索从Yastremskiy那里连接起来。两年来,一名特勤局的卧底密探从Yastremskiy那买银行卡信息,他辗转到泰国和迪拜去同这 个乌克兰人会面,在迪拜偷偷地复制了他的笔记本硬盘。在记录里,他们发现一个联系人似乎是Yastremskiy最大的被窃银行卡数据提供者。但是关于这 个人,特勤局所能知道的只有一个IM登记号码,没有个人信息。

之后特勤局的技术人员得到了这个人的IM登记信息。没有地址或者名字,但有一个电子邮箱地址:soupnazi@efnet.ru。这对于认识冈萨雷斯的人来说是一个致命的消息。

2008年5月7号早上7点,密探们抓到了冈萨雷斯。当密探冲入他在迈阿密海边的国家旅馆套房时,跟他在一起的是一个克罗地亚女人,两台笔记本电脑和22000美元。不久之后,他开始开口说话。几个月后,他带着特勤局的密探找到了在他父母家后院里埋藏的120万美元。

在3月的宣判会上,冈萨雷斯承认了所有指控。他一动不动地坐着,没有回头看过一眼波士顿联邦法庭的旁听席,在那里他母亲冷淡地坐着,父亲则拿着手帕抹眼泪,他的姐姐安慰着他。他也没有看过他的旧同事一眼。冈萨雷斯只是身体前倾,凝视着前方的法官,似乎是盯着一台电脑。

他只说过一次话,仅有那么几句话。“我不怪任何人只怪自己,”他说,“我很内疚的是我不光利用了电脑网络还利用了人际关系,尤其是信任我的一位 政府密探。这位密探不仅相信我,还给我了第二次人生重新开始的机会。而我却完全把它们抛之脑后。”根据服刑时间和良好的行为,冈萨雷斯预计在2025年出 狱。

在狱中,他度过了29岁生日,生日那天,冈萨雷斯花了一整天时间读了一本巴菲特的传记。

在法律程序中,法庭下令让冈萨雷斯接受心理评估。“他将自己和电脑视为一体,”报告上说,“甚至在现在,对冈萨雷斯先生来说,除了计算机语言之外,很难明白人类成长、发展和进化。”

冈萨雷斯回忆起他童年时第一次着迷于电脑,“我记得好多次跟我妈吵架,因为她想要拔掉我电脑的电源线,或者是她早上6点发现我在电脑前,而我7点半就该去上学,又或者是我跟女朋友出去的时候完全忽视她,自管自想着上网可以做些什么。”(文章有删节)

1.2 Windows新零日攻击漏洞 可远程劫持用户PC

安全研究人员本周一披露了一个新的没有补丁的Windows安全漏洞。一些专家认为,利用这个安全漏洞能够远程劫持用户的PC。

微软称,它正在调查这个安全漏洞,但是,到目前为止,微软还没有提供它进行分析的任何信息。微软安全反应中心部门经理Jerry Bryant星期二在电子邮件中称,微软正在调查公开宣布的Windows SMB(服务器消息块)中可能存在的一个安全漏洞。
一旦完成调查,我们将采取适当的措施帮助保护用户。这些措施可能包括通过每月的发布流程提供一个安全补丁,发布周期之外的补丁或者提供额外的指南帮助用户保护自己。

一个网名为“Cupidon-3005”的安全研究人员本周一发布了利用这个安全漏洞的代码。这个安全漏洞据说存在于“mrxsmb.sys”驱动程序中 的“BowserWriteErrorLogEntry()”函数中。这个驱动程序处理发给Windows用于网络通讯的服务器消息块协议的请求。

服务器消息块主要用于向Windows机器提供文件和打印机共享。

法国安全公司Vupen把这个安全漏洞列为严重等级的安全漏洞,指出成功地利用这个安全漏洞能够引起拒绝服务攻击或者完全控制有漏洞的计算机。

Vupen证实称,Windows XP SP3和Windows Server 2003 SP2容易受到这种攻击。丹麦安全公司Secunia称,其它版本的Windows也受到了影响。

1.3 美专家发明网络“数字大炮”可摧毁整个互联网

英国《新科学家》周刊网站2月11日报道 原题:可以摧毁互联网的网络武器(记者雅各布·阿伦)

一种新的网络武器可以摧毁整个互联网———并且目前几乎没有什么防御措施可以阻挡它。马克斯·舒哈德在明尼苏达大学对他的同事说了这番话,正是他们创造了这种“数字大炮”。但万幸的是,他们还不打算摧毁互联网。相反,他们正建议改进互联网的防御。

互联网结构存漏洞

舒哈德的新攻击方法利用互联网的结构来攻击其自身。在网络上,每分钟都有许多节点脱机,但我们不会注意到,因为网络会绕过它们。它能做到这一点是因为组成 互联网的那些较小的网络———也就是人们所知的“自治系统”———通过路由器互相通讯。当一个通讯路线发生改变,附近的路由器会通过一个所谓的“边界网关 协议”(BGP)系统向其附近的路由器发出通知。这些路由器又接着向其他邻近路由器发出通知,最后将新路径的情况发布到整个互联网。

此前发现的一种攻击方法叫作ZMW攻击,它是通过扰乱BGP,使两个路由器之间的连接显示为脱机,从而切断这两个路由器之间的连接。舒哈德和他的同事们研究出了如何将这种方法扩大到整个互联网,并模拟了其效果。

这种攻击需要一个巨大的“僵尸网络”———一个由被木马感染的计算机组成的网络。舒哈德估计25万台这样的电脑将足以摧毁互联网。僵尸网络经常被用来发动 分布式拒绝服务(DDoS)攻击,这种攻击方式通过让网络服务器流量超载而使其死机。但舒哈德的这种新攻击方法与此不同。

数字大炮”运作机制

发动舒哈德网络武器的攻击者要在僵尸网络中的计算机之间发送流量,建立它们之间的“路径地图”。然后他们要找到众多路径共用的一个连接,发动ZM W攻击摧毁它。附近的路由器会对此作出回应,发送

BGP更新消息,将流量导向别的地方。很短的时间之后,这两个被切断的路由器会重新连接,并发送它们自己的BGP更新信息,攻击流量由此会再次流入,让它 们再次断开。这一循环不断重复,每次断开和重建连接都会向互联网上的每一台路由器发送BGP更新消息。最后全世界每一台路由器都会接收到超出自身处理能力 的更新消息。

在世界上每一台路由器都被占用的情况下,正常的路由中断无法得到修复,最终互联网会变得千疮百孔,无法进行通讯。舒哈德认为这种情况需要数天时间才能恢复。

他说:“这种攻击一旦发动,就无法通过技术手段解决,只能由网络运营者互相口头交流。”每个自治系统都必须关闭并重启,以清除那些BGP积压处理任务

如何防止网络崩溃

那么,互联网的崩溃是不是不可避免?可能不是。这种攻击不太可能由黑客蓄意发动,因为绘制网络地图、找到目标连接是一项技术性很强的工作,而且任何拥有足够大的僵尸网络的人更有可能将其出租来赢利。

不管是谁发动这样的攻击,我们对此都做不了什么。舒哈德的模拟显示,现有的BGP内置故障保护措施对于他的攻击几乎无能为力。一种解决办法是通过一个独立网络来发送BGP更新消息,但这不太现实,因为这必然涉及建立一个影子互联网。

另一个办法就是改变BGP系统,让其假定连接永不断开,但根据研究者的模型,此方法必须让互联网至少10%的自治系统作出这种改变,并且要求网络运营者寻找其他方法监控连接的健康状况。舒哈德说,要说服足够多的独立运营商作出这一改变将很困难。

1.4 博士黑客入侵游戏网站牟利400余万 结婚前被抓

两年“潜伏”某游戏网站,利用网络漏洞修改消费点数牟利四百余万元。近日,南京玄武警方在“春雷行动”中,挖出了一名顶级网络黑客——徐放,他的身 份是国外某大学的研究员。徐放落网后交代,他将作案视作对自己计算机水平的一种检验,“我就想看看,以我的水平,要多久才会被人发现,我认为警察永远找不 到我”。目前,徐放已被玄武警方刑事拘留。

【案发】 “虚拟银行”多出亿两“银子”,网站损失大了

去年11月,在杭州某棋牌游戏网站上,网友们和往常一样玩得不亦乐乎。但在该网站的后台,网络管理员的头上却渗出了冷汗。

经常玩网络游戏的人都知道,玩游戏需要用钱购买游戏点数——即网络虚拟货币,杭州这家网站同样如此。在该网站上,网络虚拟货币被称为“银子”。正常 情况下,网站的“银子”储存在“虚拟银行”中,其总量是固定的。让网络管理员滴汗的异常是,“虚拟银行”的“银子”数量每天都固定增加一亿两千万两,相当 于人民币一万余元。

“肯定是系统被人入侵了。”网络管理员一开始就意识到了这个问题,但是他运用自己的网络技术查找了两个月,却依然找不到问题所在。由于多余货币的产 生,导致该游戏平台的虚拟货币贬值,给网站造成间接损失人民币400余万元。无奈之下该网站经营者于去年11月向南京玄武警方报案,请求帮助调查其位于南京的服务器。

【暗战】 侦查无功而返,警方意识到遇上了顶尖高手

网警们运用自己的专业知识,经过多天查找,却和网站管理员一样,同样找不到头绪。“连黑客利用的网络漏洞都没找到,更别提黑客的入侵手法了。”玄武 公安分局网警大队孙永明副大队长说,为此警方马上调整侦查思路,着重于从嫌疑人踪迹入手。于是,去年11月下旬开始,玄武网络民警和黑客展开了一场没有硝 烟的“暗战”。

孙永明说,侦查中,他和网警发现了黑客的入侵踪迹,便开展循线追踪。但是,这名黑客显然不同于以往的一些“菜鸟”,当网警们满心欢喜地以为即将抵达“目的地”时,却发现其实是走进了“死胡同”。

“这种情形反复了多次,我们换了好多种破案思路都是这样。”孙永明说,嫌疑人似乎早就料到他们会采取的步骤,故意设了“陷阱”让他们钻进去,然后便是无功而返。“这次遇上顶尖高手了。”

【锁定】 嫌疑人履历让民警倒吸一口冷气:太漂亮了

负责侦查虚拟货币流向的民警发现了一条重要线索。在受害网站被侵入的那段时间,有一名杭州男子顾林一直在网络上销售大量该网站的虚拟货币。经过十多天的艰苦追踪,终于警方锁定,侵入受害网站的顶级黑客名叫徐放,四川绵阳人,顾林正是他的销赃人。

翻开徐放的履历,民警不禁倒吸一口冷气,实在太漂亮了。1979年出生的徐放非常聪明,从上小学起就显露出了自己的才华,成绩非常拔尖。高中时被国 内某顶尖理科院校提前单独招生录取。本科毕业后,徐放又进入国内某科研院所念硕士研究生,研究领域是低温超导。以优异成绩轻松取得学位后,他继续攻读博 士,主攻能源研究。

2007年,徐放因侵入了某游戏网站,非法牟利,被处以治安处罚。此次事件后,他被迫离开了原单位,去了国外,并进入某大学任研究员。在作案阶段,他正在国外协助一位教授指导其研究生,收入不菲。

【抓捕】 春节回老家举办婚礼前一天,他被警方抓获

去年12月,玄武警方锁定了徐放之后,发现其身在国外,抓捕有一定困难,便决定另寻他途。经过细致侦查,民警了解到,徐放这些年每年都要回四川老家过年。于是,办案民警决定等到过年前后再伺机行动。今年1月26日,侦查人员获悉,徐放乘坐飞机回国,并前往四川绵阳。

办案民警迅速前往绵阳。在寻找过程中,玄武警方获悉,徐放大年初三准备举办结婚典礼,婚后就要和新婚妻子赶赴海南度蜜月。为防止徐放有所警觉后逃跑,玄武警方决定大年初二实施抓捕行动。大年初二下午,民警在一家银行门口将到银行取钱的徐放抓获,他的婚礼也因此无限期延迟。

与此同时,玄武警方还派出抓捕组赴杭州,将徐放的同伙顾林抓获。至此,该起入侵计算机系统案件两名犯罪嫌疑人全部落网。

【交代】自认计算机水平高超,以为永远不可能被抓

经过审查,徐放和顾林如实供认了自己的犯罪事实。从2008年以来,徐放运用自己的计算机知识,侵入杭州某游戏网站后台,寻找到后台漏洞修改“虚拟 银行”数据,将产生的虚拟货币转至其朋友的支付宝中,然后再转移给顾林,由其向玩家兜售,从中获利400余万元。徐放供称,他违法所得的400万赃款均用 于投资基金。

徐放作为国外某大学的研究员,收入不菲,缘何还要干违法的事?徐放的回答让民警们震惊。原来,2007年徐放第一次作案被警方抓获后,他产生了一个 令人诧异的念头。徐放认为,以自己的计算机水平,本不应该被抓住的,之所以被抓,是因为自己太大意了,如果自己在行事过程中精密筹划,是完全有可能躲过警 方追踪的。

于是,从2008年开始,他经过精心策划,侵入此次案件中的这家游戏网站。他断定警方永远也不可能抓到他。

目前,徐放已被玄武警方以涉嫌非法侵入计算机信息系统犯罪行为刑事拘留。

《现代快报》

1.5 赛门铁克:Stuxnet蠕虫攻击伊朗5大工业网站

美国安全软件开发商赛门铁克上周五发布报告称,在过去10个月间屡次试图破坏伊朗核设施的Stuxnet蠕虫共计对5家伊朗工业机构网站发动了3波攻击。

赛门铁克表示,之所以能够对感染路径进行追踪,是因为Stuxnet采用了非同寻常的功能:能够提交受感染的电脑类型所处的地点。通过这类信息,Stuxnet的作者就可以判断是否成功到达预定目标。

根据赛门铁克搜集的样本,该公司创建了Stuxnet的感染路径模型。通过对1.2万次感染的追踪,该公司只发现了5个最初的感染点。

赛门铁克在本次研究中共搜集了5个与伊朗境内工业组织相关的域名,但是限于该公司的保密政策,因此无法公布这些域名。

2. 本周关注病毒

2.1 病毒名称:Worm.Win32.DownLoader.ns(蠕虫病毒)
警惕程度 ★★★

该病毒使用驱动技术对自身释放的病毒文件和进程进行保护,隐藏自身模块,并对与病毒相关的注册表进行了保护。另外其注入动态库和安装驱动的方式也比较独特,能绕过大部分杀毒软件的主动防御。通过局域网、u盘和感染exe文件方式进行传播,最终病毒会访问黑客指定网站下载大量木马到用户电脑中。

2.2 病毒名称:Trojan.DL.Win32.Undef.sur(木马病毒)
警惕程度 ★★★★

这是一个病毒下载器,病毒运行后链接黑客指定的病毒下载列表,随后根据这个下载地址列表下载很多流氓软件和病毒。

2.3 病毒名称:Backdoor.Win32.Drwolf.hon(红狼后门病毒)
警惕程度 ★★★

病毒会清除系统事件日志,接受黑客远程命令,篡改IE主页,使用户访问黑客指定的恶意网站。通过上传电脑信息,使黑客可以取得用户电脑的硬件信息、窗口信息和硬件信息。并且可以远程录音录像,键盘记录,远程关机,远程文件操作等。最终还会从黑客服务器上下载木马病毒,盗取用户的网游装备和网银账号密码。

3. 安全漏洞公告

3.1 Oracle Java SE和Java for Business远程JAVA运行时环境漏洞

Oracle Java SE和Java for Business远程JAVA运行时环境漏洞

发布时间:

2011-2-15

漏洞号:

BUGTRAQ ID: 46395,46393,46387,46410,46391,46411,46386,46394,46409,46407,46405,46404,46403,46402,46401,46400,46399,46398,46397
CVE ID: CVE-2010-4467,CVE-2010-4468,CVE-2010-4470,CVE-2010-4475,CVE-2010-4466,CVE-2010-4463,CVE-2010-4462,CVE-2010-4447,CVE-2010-4474,CVE-2010-4451,CVE-2010-4472,CVE-2010-4473,CVE-2010-4422,CVE-2010-4476,CVE-2010-4469,CVE-2010-4471,CVE-2010-4448,CVE-2010-4450

漏洞描述:

Oracle Java SE是标准版的Java平台是一个Java2的平台,为用户提供一个程序开发环境。这个程序开发环境提供了开发与运行Java软件的编译器等开发工具、软件库及Java虚拟机。它也是Java2平台、企业版本和Java网页服务的基础。Java for Business是一套自定义的Java SE改版,企业可通过它快速访问关键修复,特点是长期支持和企业级定位。

Oracle Java SE和Java for Business在实现上存在远程JAVA运行时环境漏洞,此漏洞可影响“Deployment”子部件,攻击者可利用这些漏洞获取用户的NTLM验证信息,可通过多个协议利用此漏洞。

安全建议:

厂商补丁:
Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.oracle.com

 

3.2 Oracle Java Applet剪贴板注入远程代码执行漏洞

Oracle Java Applet剪贴板注入远程代码执行漏洞

发布时间:

2011-2-15

漏洞号:

BUGTRAQ ID: 46406
CVE ID: CVE-2010-4465

漏洞描述:

Java运行时环境(JRE)为JAVA应用程序提供可靠的运行环境。
Oracle Java在处理剪贴板中的数据写入和读取的控制上存在远程代码执行漏洞,远程攻击者可利用此漏洞通过诱使用户访问恶意网页以系统级别的权限执行任意指令。

安全建议:

厂商补丁:
Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.oracle.com

 

3.3 Oracle Java "Applet2ClassLoader"类未签名Applet远程代码执行漏洞

Oracle Java "Applet2ClassLoader"类未签名Applet远程代码执行漏洞

发布时间:

2011-2-15

漏洞号:

BUGTRAQ ID: 46388
CVE ID: CVE-2010-4452

漏洞描述:

Java运行时环境(JRE)为JAVA应用程序提供可靠的运行环境。
Oracle Java的"Applet2ClassLoader"类在Java运行时环境中存在远程代码执行漏洞,攻击者可利用此漏洞以系统级别的权限执行任意代码。
sun.plugin2.applet.Applet2ClassLoader类的findClass方法中存在漏洞,由于没有正确验证可疑程序提供的URL,可能会在Windows 32位和64位以及Linux 32位上以SYSTEM权限执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.oracle.com

 

3.4 PHP Exif Extension "exif_read_data()"函数远程拒绝服务漏洞

PHP Exif Extension "exif_read_data()"函数远程拒绝服务漏洞

发布时间:

2011-2-15

漏洞号:

BUGTRAQ ID: 46365

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP的"exif_read_data()"函数在实现上存在远程拒绝服务漏洞,远程攻击者可利用此漏洞造成拒绝服务,影响Exif扩展。
此漏洞仅影响64位的平台。

安全建议:

厂商补丁:
PHP
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.php.net

 

3.5 Microsoft Active Directory "BROWSER ELECTION"缓冲区溢出漏洞

Microsoft Active Directory "BROWSER ELECTION"缓冲区溢出漏洞

发布时间:

2011-2-15

漏洞号:

BUGTRAQ ID: 46360

漏洞描述:

Microsoft Active Directory是基于计算机和服务器MS Windows上的目录结构,用于存储网络和域的相关信息和数据。
Microsoft Active Directory对用户提供的数据缺少边界检查,存在远程堆缓冲区溢出漏洞,攻击者可利用此漏洞以系统级别的权限执行任意代码,完全控制受影响计算机,造成拒绝服务。

安全建议:

厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/security/