当前位置: 安全纵横 > 安全公告

一周安全动态(2011年02月24日-2011年03月03日)

来源:安恒信息 日期:2011-02

2011年2月第四周(02.24-03.03)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象,需对网络和主机进行必要的监控和升级。

 

 

 

1. 安全新闻

1.1 英国网络犯罪年损270亿英镑 大型公司受害最深

英国网络安全和信息保障办公室17日发布名为“网络犯罪损失”的报告,称网络犯罪每年给英国带来270亿英镑(约合432亿美元)损失。

网络安全和信息保障办公室在报告中承认,网络犯罪正呈现增长和扩散势头,对这一犯罪形式缺乏了解和缺乏洞察是导致网络犯罪现象“普遍化”的主要原因。

就网络犯罪给国家及个体经济带来的损失明细而言,大型商业公司是网络犯罪的主要受害者,去年因网络犯罪而蒙受210亿英镑(336亿美元)损失。政府损失在22亿英镑(35.2亿美元)上下,个人用户损失约为31亿英镑(49.6亿美元)。

就犯罪损失形式而言,网络犯罪往往以大型商企的知识产权为主要目标。另外,商业机密也频频遭窃,商业敲诈屡见不鲜。

在英国去年发布的英国国家安全战略中,网络安全已被定义为与恐怖主义、战争、自然灾难并列的“头等威胁”。

1.2 德国政府将成立国家网络防卫中心 防黑客攻击

中新社柏林2月23日电 (记者黄霜红)针对互联网上日渐增多的黑客攻击对政府以及工业界网络带来安全威胁,德国政府于23日决定成立“国家网络防卫中心”。该中心将负责对网络系统入侵者进行分析并帮助被攻击的领域采取应对措施。据联邦信息政治安全局透露,德国政府网络每天都会收到四、五个带有木马的邮件,大部分来自国外。

内政部长德麦齐埃说,建立国家网络防卫中心的目的是预防互联网瘫痪,因为互联网已经是现代社会一个重要的基础设施,人类对它就象水电一样非常依赖,如果网络失灵,整个国家将处于危险中。

联邦信息政治安全局发言人说,现代网络空间战并非是针对私人犯罪,而是国家利用信息技术对另一国的战争行为,并且其背后还可能隐藏着军事目的。就象实地作战一样,在网络空间战中也存在着从预防、警告、胁迫到干预的各种手段。德国已准备联合欧盟国家共同作战。

德国国家网络防卫中心将从今年4月1日起开始工作,由政府和非政府两部分组成,非政府部分主要负责经济界的网络安全。

1.3 黑客重创欧洲碳排放交易市场 盗走碳排放权

西班牙近期决定恢复其碳市场中的现货交易市场,这是在最近三个月的黑客袭击事件后,第7个重新开放碳市场的国家。
今年初,碳市场在经历短暂春天后,又遭受重创:据估算,在布鲁塞尔当局被迫“拔下插头”,停止现货市场的碳排放权交易之前,黑客共盗走了价值超过5000万欧元的碳排放权。

就在欧盟急于证明碳市场模式可以奏效,并希望为中美两国作出榜样之时,各种行政制约与安全隐患,伴随着新类型的刑事犯罪,令碳市场陷入了信任危机。

不翼而飞

1月18日,在捷克布拉格捷克电力交易所(OTE),负责人斯塔尼(Stastny)办公室中传来广播命令:“所有员工撤退,可能存在着炸弹威胁。”

OTE负责管理捷克在欧盟的温室气体排放交易系统中的那一部分交易。

捷克警方在这栋大楼里匍匐检查了三个多小时,对七层楼中的所有人员都进行了检查,然而似乎没有什么不妥。

不详的迹象,在第二天上午7点钟之后出现:一位OTE的客户来电,客户以数字化方式储存在OTE数以千计的碳排放配额,消失不见了。

这种在各国储存的注册表就如同一个后台办公室,全国所有的国有以及商业的ETS都在此持有,同时交易也都在此记录排序。

在一个小时之内,斯塔尼和他的同事认识到,“炸弹威胁”是精心策划的烟幕弹。电脑黑客用争夺来的时间,大摇大摆地窥探着OTE的注册信息,盗取碳排放配额。

随后,在任何人注意到之前,黑客们就可以在市场上公开出售配额,价值达数百万欧元。

“在惊悚影片里面钻石和现金会突然不见,这次发生的事件简直一模一样,就是资产形式不同。”捷克能源公司CEZ集团负责人斯沃博达表示,他的公司在此次黑客袭击碳市场事件中失去了市场价值约为1000万欧元的70万碳排放配额。

这次对OTE的盗窃行为,仅仅在过去三个月,横跨东欧和中欧碳排放交易系统中,对欧盟排放权运营商的六起攻击之一。

据估算,在布鲁塞尔当局被迫“拔下插头”,停止现货市场的碳排放权交易之前,黑客共盗走了价值超过5000万欧元的碳排放权。

早有前兆

尽管欧盟领导人表示碳交易系统运行成功,但是罪犯行为始终如影随形,其中有些是简单的,例如在匈牙利那些已经被使用的排放权又神秘地回到流通之中,同时也存在着其他更复杂的伎俩。

例如,就有几十人因在碳市场方面精心设计骗税而被捕;最常见一种涉及在一国购买排放权时,则不需要缴纳增值税,然而在出售时,则需要缴纳增值税。

然而骗税人员并未将钱交给税务机关,而是在赚足之后宣布破产或悄然失踪。国际刑警组织的结论是,碳市场骗局成本令政府在税收方面的损失高达50亿欧元。

这些技巧能够成为可能,部分是由于防范过于宽松。在有些国家,如丹麦,注册碳市场账户,比开银行账户还容易。

巴克莱资本等一些银行,则一直在向当局发出警示。他们担心在市场上的不可靠行为扩散,而在本行交易的时候做出限制,划分出可以与其交易的范围。

不过,当2010年1月,第一次排放权失窃案发生时,没有多少人关心这件事情。在德国,一位交易员受到了“钓鱼”攻击,最终判断是,他可能被虚假电子邮件将其登录信息等等钓走。

直到去年11月,一家瑞士水泥企业在罗马尼亚子公司报告说,有人偷了160万欧元的排放权。

“起初人们以为这又是一个钓鱼攻击,”曾经帮助欧盟委员会在布鲁塞尔建立排放权交易制度,现在供职于摩根士丹利的奥利维亚 哈特里奇表示,“我们很快就意识到,这些罪犯远远比(钓鱼)复杂。”

盗窃了上述160万欧元排放权之后,盗贼将其转入在列支敦士登和意大利的账户。就像是在寻找走失宠物一样,上述公司在互联网上把失踪的排放权序列号一一公布出来。

摩根士丹利开始要求,任何排放额都需要来自于原政府拍卖的法律保证, 而不是来自于第三方,巴克莱资本则决定放弃太过危险的现货市场。

“市场彼时大面积停止交易,”哈特里奇表示,“因为没有人能确定他们没有在同赃物进行交易。”

然而,不断出现的盗窃则越来越大胆。

1月10日,在捷克受到攻击一个星期前,黑客第一次设法直接打入一个国家登记表——奥地利的, 而不仅仅是一个账户持有人的电脑。

盗贼在当局设法冻结它之前,盗取了488141欧元碳排放额度,并且转入在列支敦士登和瑞典的账户。这次袭击终于让布鲁塞尔警觉起来。

欧盟委员会的气候行动总司长Delbeke,确信系统受到攻击不是由单个黑客所为,而是来源于有组织的犯罪集团。

在奥地利被攻击后,Delbeke建立了一个紧急小组,与各成员国联系,提供每小时更新的信息。

但由于欧盟并没有自己的调查权,欧盟官员只能向各成员国执法当局和国际刑警组织求助。

目前,斯沃博达表示大部分CEZ集团失踪的排放权已经被追踪,但目前的持有者与最初的盗窃已经毫无关系。当然,OTE认为其集团对损失也有些责任,但是这在法庭上难以界定,特别是在一个容纳了30个不同成员国法律的系统中。

“链条中的某个地方,”斯沃博达表示,“钱已经消失不见了。”

重开现货市场

欧盟委员会表示,一些国家的碳注册管理机构可能会保持数周的停业状态,这是因为其需要等待一些成员国完成安全状态报告。

当局也很快指出,很多公司都平安无事继续使用碳交易的期货合约。

然而,三个多星期后之后,由30个国家组成的系统中,已经重新开放营业的只有7家。交易商纷纷表示,现在市场四分五裂,充满了不信任。

欧盟气候变化专员康妮·赫泽高,坚持表示市场还没有失去信誉,维修工作也在掌握之中,“你不能说只是因为有人抢劫银行,银行系统就无法工作了。”

不过赫泽高也表示,欧盟委员会希望减缓碳市场的交易步伐,以使系统不容易受到网络窃贼的攻击。

欧盟认为,现货市场快速执行的运行方式,令罪犯得以在业主意识到之前,就将排放额转移到其他账户,随后套现。

某些情况下,在执法人员最终能够跟踪他们之前,被盗碳排放权额度在多个账户间转移。“我不是这个行业的专家,但我可以看到,如果我们有一个延时功能,那么可能系统作弊就不那么容易。”赫泽高表示。

不过交易员和欧洲政客可不理这一套解释,他们指责欧盟监管部门监管不力。

“这绝对是整个欧洲在减少排放量方面正确的政策,巴克莱资本排放交易主管路易斯·雷德肖表示。”令人沮丧的是,糟糕的执行方式让犯罪分子有机可乘。

目前,在市场重开之后交易商依然对市场疑虑重重,生怕被卷入被窃碳排放额度的交易之中。

目前,英国、法国和其他几个国家恢复了碳交易,不过在位于巴黎的BlueNext平台上,重开交易后的三小时内,没有达成一笔买卖。

在纽约,由JP摩根和高盛支持下的Green Exchange 碳交易市场仍然停止营业,当地官员表示,这可能要持续许多周,直到他们重新对制度感到有信心。

“我们认为现在仍然有许多悬而未决的问题。我们特别关注的是,奥地利政府并没有证实了(被盗)序列号码的完整清单。”美国Green Exchange碳交易市场董事总经理Hasselknippe表示。

1.4 俩19岁黑客入侵最高检网站获刑

晨报讯(记者 颜斐)两名19岁的青年侵入最高检网站后台,更改网页源代码为其他网站牟利。日前,朝阳法院对此案进行了宣判,因非法侵入计算机信息系统罪和非法控制计算机信息系统罪,两被告人分别获刑一年至一年半,分别处罚金2000元。

2010年3月至5月间,范东东伙同文超在其河南郑州的暂住地,利用计算机上互联网后,通过后门程序进入最高检反渎职侵权厅网站后台,修改网页源代码(在网站源文件上植入“黑链代码”),对网站主页进行修改,以提高其他网站在搜索引擎的排名,从而达到非法获利的目的。

此外,两人还通过后门程序侵入长沙质量技术监督局、青海质量监督总站、抚顺政务公开网、佛山市高明区档案局、句容市安全生产监督管理局、繁昌县文化广电新闻出版局(体育局)、楚雄州人大常委会等网站后台,修改网页源代码,添加黑链代码,对上述网站的主页进行修改,以提高其他网站在搜索引擎的排名,从而达到非法获利的目的。二被告人获利共计人民币6000元。

法院认为,二被告人为牟取私利,违反国家规定,侵入国家事务领域的计算机信息系统,并多次利用后门程序非法控制国家事务、国防建设和尖端科学技术领域以外的计算机信息系统,情节严重,其行为均已构成非法侵入计算机信息系统罪和非法控制计算机信息系统罪。

1.5 焦点访谈:网络扫黑保安全

中国网络电视台消息(焦点访谈):互联网和人们的生活越来越密切。比如说网上银行、网络购物,这些已经成为很多年轻人的消费习惯了。随着网上消费的流行,一些别有用心的人也瞄上了互联网,他们通过植入木马病毒程序,控制计算机,来窃取财物和个人信息。而这些行为,往往还会带来难以预料的危害。

黑客软件轻松攻入网络平台 后果不堪设想

樊口电排站位于湖北省鄂州市长江边,它的主要任务是将武汉、鄂州、黄石、咸宁四座城市3265平方公里的内涝积水排入长江。近两年,这个电排站已经利用互联网实现了办公自动化,然而在2010年3月23日,正值主汛期的关键时刻,电排站的网络办公平台却突然失控了。技术人员发现不仅网站无法打开,而且里面的数据也被修改了。

办公平台连接着四台运行机组,网站受到恶意攻击后,四台机组全部停机,随时都会发生不堪设想的后果。其中一个后果就是内涝无法排除。

鄂州市公安局网络安全监察支队的民警接到报案后,迅速赶到受害单位,民警们在电排站网站服务器上出现了许多来历不名的软件。鄂州市公安局网络安全监察支队副支队长黄斌认为,这些软件就是所谓的黑客传上去的。

通过分析,民警认为连接电排站运行机组的这台服务器已经受到了黑客的控制,通过大量的数据分析,警方锁定并抓获了犯罪嫌疑人萧某和张某。然而让办案民警赶到疑惑的是,嫌疑人非常年轻,受教育程度也不是很高,而他们用来实施攻击的这些工具软件程序究竟来自哪里呢?据犯罪嫌疑人张某交待,他们的这些软件程序都是从一些黑客论坛下载得来的。

黑客软件获取简单 操作容易 危害巨大

2010年5月至8月间,鄂州警方围绕电排站黑客软件的来源顺线追踪,远赴山东找到了提供黑客软件下载的黑客网站经营者卢某。卢某今年29岁,一年前他看到不少黑客网站生意不错,于是就联系到一些所谓网络高手编写软件及教程,开办起了一家黑客网站,短短半年时间就吸纳会员多达4万多人。据他交待,最初吸引人的技术就是,入侵网站、 盗号、控制别人电脑等技术。

记者试着找到了一家黑客网站,简单注册以后,真就很容易获取了一段教程和一个黑客软件,记者根据教程很快生成了一个木马,然后植入事先准备好的一台电脑,目标电脑马上受到了控制。这样通过远程控制软件,不仅可以控制电脑的屏幕、键盘的操作,还可以拷贝、修改数据等。

武汉大学计算机学院彭国军博士告诉记者,现在很多的黑客工具都是傻瓜式的工具、傻瓜化的操作,很容易上手。

生活无忧的鄂州市民吴先生平时喜欢上网玩游戏、聊天。可是有一天他遇到了一件蹊跷事,突然有个朋友找到他并要求还钱。这让吴先生很纳闷,后来当他登录QQ时,才搞清楚事情的原委。原来,有人在外地登录了他的QQ,并让他的朋友给寄4000元,而这个朋友真的寄了4000元钱。

像吴先生这样的遭遇在生活中并不少见,其实就是有人利用黑客软件,入侵控制电脑后,盗取帐户密码,冒充主人进行的诈骗。而像这类黑客软件大部分都来自黑客网站。记者通过搜索,半小时内搜出黑客网站近千家,名字也很直白,黑客基地、黑客防线、黑客武林等等。黑客网站里大多包含“远程、捉鸡、盗号、压力测试”等软件下载。专家介绍,这些软件大部分是用来捕获肉鸡的。据国家计算机病毒应急处理中心统计,2007年,我国接入互联网的计算机被植入木马程序的达到91.47%,换句话说,我国每10台接入互联网的计算机中,有8台曾经受到黑客控制,而被控制的电脑,通常就被称为肉鸡。

黑客捕获肉鸡后,除了对肉鸡及肉鸡主人直接侵害,还会将手上的肉鸡多次卖出。许多黑客网站上,都有买卖肉鸡的广告,一只肉鸡也就一毛钱左右。当收集的肉鸡到达一定数量,就会被组成僵尸网络,发动DDOS攻击,从而使电脑或服务器无法为用户提供正常服务。

湖北省鄂州市的这家网吧,原本生意不错,可在2010年5月,网络频频掉线,网速迟缓,网吧业主张女士刚开始还以为是电信的线路出了问题,可是越来越觉得不对劲,于是她赶紧找来电信部门进行检查。当电信部门告知她不是网络线路问题,而可能是受到黑客攻击时,张女士就报了警。后来经过鄂州市公安局网络安全监察支队民警的侦查发现,原来是另外一家网吧聘请黑客对张女士的网吧实施了网络攻击,而这正是一起典型的DDOS攻击。



注册黑客网站备案作假 监管存在漏洞

根据我国2009年刑法修正案相关规定:黑客攻击入侵控制或者提供传播黑客攻击软件的行为已涉嫌犯罪。既然是犯罪行为,为什么还有那么多的黑客网站制作和传播用于攻击入侵的黑客犯罪工具呢?

鄂州市公安局网络安全监察支队副支队长黄斌认为,这里面有着巨大的利益,它已经形成了一个比较完整的产业链条,这个链条上面的每个个体都有利益,这也是一个利益链条。

据警方介绍,目前绝大部分用来攻击入侵的黑客软件,来源于黑客网站。根据我国法律法规及工信部的相关规定,设立一家网站必须履行相应的备案手续,必须提供真实合法有效的备案资料。而这些黑客网站显然是不可能通过审批的,那目前互联网上如此多的黑客网站的备案又是如何通过审查的呢?

记者调查发现,原来建立一家黑客网站也并不是一件难事。行内人透露,很多非法网站都是通过网站代办公司网上办公完成备案的。这些非法网站都是把域名提供给代办公司,而办理备案所需的内容都是由代办公司提供的虚构信息,这样就可以把网站备案办理下来了。湖北鄂州警方查获的黑客网站的备案,就是通过这样的网站备案代理办成的。

备案是办了,可内容都是假的,许多网络犯罪案件追根查源,到了这里也都成了断头案。鄂州市公安局网络安全监察支队副支队长黄斌认为,互联网上有很多缺乏监管的空间,这正是网上黑客犯罪日益增多的重要原因。所以必须从源头上的治理。

黑客在虚拟世界中横行,助长着网络犯罪。看似虚拟的网络黑手,让人们付出的却是真实的代价。据了解,近年来公安机关受理的黑客攻击破坏案件数量每年增长均超过80%,严重侵害群众合法权益,危害国家信息网络安全。为此,去年公安部部署开展了集中打击黑客攻击破坏活动的专项行动。在行动中全国共破获黑客攻击破坏违法犯罪案件180起,抓获犯罪嫌疑人460余名,打掉14个涉嫌违法犯罪的黑客网站,打击网络犯罪的行动,仍在继续。

2. 本周关注病毒

2.1 病毒名称:Trojan.Clicker.Win32.Undef.qq(恶意导航站木马)
警惕程度 ★★★★

这是一个用VB程序编写,PCode的编译方式制作的木马病毒。病毒运行后会恶意篡改IE快捷方式,使其可以打开黑客指定网址的病毒程序。并且会实时检查用户IE浏览器的默认首页,如果发现为空白网址或常见导航网址后,就会直接篡改为黑客指定的恶意导航网站,为黑客带来大量黑色流量。

2.2 病毒名称:Trojan.Spy.Win32.Mnless.is(木马病毒)
警惕程度 ★★★

“云安全”系统共收到33387次用户上报。这是一个Rootkit病毒驱动,该驱动通过挂接键盘设备驱动获取用户键盘输入的信息,通常用来窃取用户输入的账号、密码,使网民蒙受损失。

2.3 病毒名称:Trojan.DL.Win32.Undef.svk(木马病毒)
警惕程度 ★★★

这是一个病毒下载器,病毒运行后链接黑客指定的病毒下载列表,随后根据这个下载地址列表下载很多流氓软件和病毒。

3. 安全漏洞公告

3.1 Linux Kernel验证"map_count"变量本地安全限制绕过漏洞

Linux Kernel验证"map_count"变量本地安全限制绕过漏洞

发布时间:

2011-02-22

漏洞号:

BUGTRAQ ID: 46492
CVE ID: CVE-2011-1010

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux Kernel验证"map_count"变量在实现上存在本地安全限制绕过漏洞,攻击者可利用此漏洞绕过安全限制执行未授权操作。

安全建议:

厂商补丁:

Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.kernel.org/

 

3.2 Linux Kernel "procfs"和"sysfs"文件本地安全限制绕过漏洞

Linux Kernel "procfs"和"sysfs"文件本地安全限制绕过漏洞

发布时间:

2011-02-22

漏洞号:

BUGTRAQ ID: 46485

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux Kernel的"procfs"和"sysfs"文件在实现上存在安全漏洞,恶意本地用户可利用此漏洞绕过某些安全限制。
此漏洞源于多个"procfs"和"sysfs"文件可以全局可写,可导致更改某些设置,写入某些硬件寄存器、NVRAM或安装某些固件。

安全建议:

厂商补丁:
Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kernel.org/

 

3.3 Oracle Passlogix v-GO Self-Service Password Reset未授权访问漏洞

Oracle Passlogix v-GO Self-Service Password Reset未授权访问漏洞

发布时间:

2011-02-21

漏洞号:

BUGTRAQ ID: 46452
CVE ID: 46452

漏洞描述:

Passlogix v-GO SSPR是向用户提供通过自动重置Windows密码快速、安全地访问其计算机的软件。
Oracle Passlogix v-GO Self-Service Password Reset在实现上存在未授权访问漏洞,攻击者利用此漏洞在目标系统中查看和执行任意文件。
过期的SSL证书会造成此问题,另外需要网络连接以欺骗路由器并将无效证书返回给客户端的中间人攻击,系统设置的更改(例如未来日期)不匹配证书都会造成此问题。

安全建议:

厂商补丁:
Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.oracle.com

 

3.4 ISC BIND 9 IXFR Transfer/DDNS Update远程拒绝服务漏洞

ISC BIND 9 IXFR Transfer/DDNS Update远程拒绝服务漏洞

发布时间:

2011-2-22

漏洞号:

BUGTRAQ ID: 46491
CVE ID: CVE-2011-0414

漏洞描述:

BIND是一个应用非常广泛的DNS协议的实现,由ISC负责维护,具体的开发由Nominum公司完成。
ISC BIND在实现上存在安全漏洞,攻击者可利用此漏洞造成受影响服务停止处理请求,拒绝服务合法用户。
在合法服务器处理IXFR传输或动态更新时,有一个窗口在IXFR/Update结合请求时出现造成死锁。此死锁可造成服务器停止处理所有请求。较高的请求率和更新率将增加此条件的可能性。

安全建议:

厂商补丁:
ISC
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.isc.org/

 

3.5 ClamAV "vba_read_project_strings()"双重释放内存破坏漏洞

ClamAV "vba_read_project_strings()"双重释放内存破坏漏洞

发布时间:

2011-2-21

漏洞号:

BUGTRAQ ID: 46470

漏洞描述:

Clam AntiVirus是Unix的GPL杀毒工具包,很多邮件网关产品都在使用。
ClamAV的"vba_read_project_strings()"函数在实现上存在双重释放内存破坏漏洞,攻击者可利用此漏洞造成拒绝服务或执行任意代码。
此漏洞源于libclamav/vba_extract.c中的"vba_read_project_strings()" 函数的双重释放错误,可通过特制的文件加以利用。

安全建议:

厂商补丁:
ClamAV
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.clamav.net/