当前位置: 安全纵横 > 安全公告

一周安全动态(2011年12月22日-2011年12月29日)

来源:安恒信息 日期:2011-12

2011年12月第四周(12.22-12.29)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 网传多家网站遭“黑客”攻击 网友提升密保强度

CSDN、多玩游戏网、百合网、开心网、世纪佳缘网、人人网……这两天,一场沸沸扬扬的网络“黑客”攻击波,将国内多家网站牵涉其中。传言称这些网站遭“暴库”(即通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地),涉及的用户资料达5000万户。一时间,虚拟世界风声鹤唳。

原本以为值得信赖的大型网站同样暴露出“不设防”,这让一些榕城网友如梦方醒。如何保护自身在虚拟世界中的安全,再次成为人们关注的话题。


(图片为CSDN网站遭黑客入侵后泄露出来的资料)

“黑客”来势汹汹 用户信息被泄露

“2011年12月,CSDN网站600万用户资料遭泄露,称已向公安机关报案。”22日,在百度百科关于CSDN(中国软件开发联盟)的词条解释中,这一信息已经赫然在列。事件的“元凶”,便是“黑客”。

那么,作为国内最大的开发者技术社区,CSDN遭“黑客”攻击一事是如何浮出水面的呢?据了解,本月21日下午,网络上曝出该网站遭“黑客”攻击一事,600万用户个人信息遭泄露。泄露的信息包括用户的登录名、密码及邮箱。泄漏出来的文件格式是.sql文件,得到该泄露文件的用户,只需用文本编辑软件打开,即可查看所有用户的信息。而且密码都是明文保存,并没有进行任何加密操作。

21日晚8时40分,CSDN在其官方网站上刊载“致CSDN会员的公开道歉信”,“我们非常抱歉,近日发生了CSDN用户数据库泄露事件,您的用户密码可能被公开”。

就网友关注的密码明文保存一事,公开信称,CSDN网站早期使用过明文密码,使用明文是因为和一个第三方chat程序整合验证带来的,2009年4月之前是明文,2009年4月之后是加密的,但部分明文密码未清理;2010年8月底,全部清理了明文密码。

据介绍,泄露出来的CSDN账号数据基本上是2010年9月之前的数据。目前,CSDN账号数据库已经进行多方面的安全加固,密码加密强度也加强了。

“黑客”的这一场攻击波,受害的并非只有CSDN。据网络消息,目前包括多玩游戏网、178、7k7k等专业游戏网站的用户资料被“黑客”泄露。甚至有传言称,包括人人网、开心网、天涯社区、世纪佳缘、百合网等大批社交网站会成为下一批目标,涉及的用户资料在5000万户以上。

22日下午,人人网的腾讯官方微博称:“根据CSDN网站的官方声明,CSDN的大量用户名和密码被曝光!如果您的人人网账号密码和CSDN或其他网站一致,建议您马上修改密码,以免账号被盗。”开心网的新浪官方微博称:“鉴于多家网站爆出用户资料被‘黑客’公布的消息,开心网建议广大用户:如果有网站用户名与密码被盗,请及时更改其他网站上的用户名和密码。”

大型网站不设防 网友很担心

“看到公开致歉信后,我才知道是明文保存密码。”得知CSDN部分用户密码的保存是通过明文保存,该网站注册会员之一、网友小蒋显得有些吃惊。

小蒋是IT行业人员,他说,CSDN从1999年发展至今,已经成为IT行业技术人员进行网络技术交流的平台,是一家大型网站,他是在2009年之前注册为会员的。令他万万没想到的是,这样一家“大型网站”居然采用明文保存用户的密码。

据介绍,按照行业惯例,数据库保存用户密码时,在非用户本人使用的情况下,应为乱码。

小蒋说,事件发生后,在网站的提示下,他已经提升了密码的强度。“设置只有自己才能解答的密保问题。”谈到如何保护个人在网站上的注册信息,小蒋说,用户能做的只有这一点,“关键是网站要想出办法,更好地保护我们的个人资料”。

“我现在最关心的是,支付宝的个人信息有没有遭到‘黑客’攻击。”小蒋说这话时,显得有些担忧。

小蒋说,寻找网站程序“漏洞”,取得权限,这是“黑客”进行攻击的必经之路。而漏洞的产生,存在多种原因,有可能是服务器管理人员粗心大意,系统出现的补丁未及时打上,也可能是网站运行系统的程序编写得不够严谨。

 

1.2 高校教师找黑客入侵海事局内网 炮制假船员证诈骗238万

楚天都市报讯 本报记者余皓 实习生李珍 通讯员叶军

一个是广东某高校老师,一个是上海某信息公司技术员,两人相互勾结攻破多地海事局外网,甚至一度入侵交通部海事局内网,篡改资料制造假船员证。

2006年6月至2010年9月,上百名船员上当受骗,而造假者和黑客则非法获利238万元。

黑客入侵交通部海事局内网的渠道,竟然是利用总部位于武汉的长江海事局两台服务器。在假证频频露馅后,长航警方立即锁定了两名嫌疑人。

贩卖假证的是广东某高校老师刘业军,黑客是来自上海的郭飞。二人先后攻破上海海事局、广东海事局外网网站,修改添加75名船员证书信息。入侵交通部海事局内网船员管理信息系统,修改添加38名假船员证书信息。

昨悉,江汉区法院一审以诈骗罪、破坏计算机信息系统罪对刘业军判刑十六年,以破坏计算机信息系统罪对郭飞判刑五年。据了解,该案系武汉首判的黑客非法入侵犯罪案。

造假证前花2万元测试

今年32岁的刘业军,案发前是广东一所高校教师,研究生文化程度。2006年初,刘业军因工作关系曾给湛江海事局培训船员。在接触多名福建平潭和浙江舟山船员的过程中,刘业军发现丙类船员适任证书十分紧俏。根据证书等级划分,取得丙类船员适任证书的船员,可在沿海航区航行。

不久,刘业军在船员论坛上看到一个帖子,发帖人自称可以搞到船员证书,且能在海事局网上验证。通过QQ,他认识了来自广东的发帖人“阿蒙”(另处),两人一拍即合后多次在广州见面。“阿蒙”开价每个船员证收费2万元,刘业军还价至1.5万元。事后,刘业军回到湛江,在网上给“阿蒙”发来两个船员资料。二三个月后,“阿蒙”发来一个网址,刘业军打开一看是上海海事局外网网站,上面果然能查到他发去的两个船员证书信息。事后,刘业军将2万元打入“阿蒙”账户。

投入2万元取得不错的效果,刘业军开始谋划造假获利。

办一个假证收了7万元

此后,刘业军找人私刻了广东海事局船员管理处、湛江海事局船员管理处等单位公章。随即他对外吹嘘可办理丙类船员适任证书,无需培训和考试,只要交钱即可。

刘业军还与若干代理人签订承诺书,保证办下的丙类船员适任证书是真证,且能从海事局网站上查到相关信息。

福建平潭县村民林某是受害人之一。2006年7月,刘业军拍着胸脯对林某称可以办船员证,但要8万元手续费和5000元报名费,林某当即递交资料和5000元。2007年8月,刘业军电话通知林某证已办好,网上可查到,并要求林某汇款4.5万元。

林某在网上果然查询到自己的升级船员资料信息,欣喜之余立马汇款4.5万元。直到2010年7月,林某按刘业军的要求再次汇款2万元后,才领到证书。

从此,刘业军办证的能力在很多船员中传开,慕名找他办证的人越来越多,他的“生意”迅速扩张。

老板黑客分赃不匀起内讧

从那后,刘业军和“阿蒙”联手为30余名船员办了假证,刘向“阿蒙”支付34万元。可见事情越做越大,“阿蒙”有些后怕。2008年底,“阿蒙”告诉刘业军,他其实也只是个中介人,真正的“黑客”叫郭飞。

现年24岁的郭飞大专文化,是上海一家信息技术公司技术人员。和郭飞接上头后,刘业军承诺每添加一名船员信息,支付1至2万元报酬。

郭飞利用其“黑客”技术,先后入侵上海海事局、广东海事局外网网站,修改添加刘业军提供的75名船员假证书信息,使假船员证信息能够在海事局外网网站上查询。

但仅在地方海事局外网上查询到信息还不够权威,刘业军、郭飞又密谋非法入侵交通部海事局内网的船员管理信息系统。2010年3月,郭飞入侵总部位于武汉的长江海事局两台服务器,再通过该服务器非法入侵交通部海事局内网船员管理信息系统数据库,修改添加了吴某等38名假船员证书信息。

合作期间,郭飞认为自己贡献大酬金少,要求提高分成遭拒,遂与刘业军起内讧。刘业军就私自找到给交通部海事局开发网站的山东某软件公司技术人员卢某,提出让其帮助修改七八十名船员信息,每修改一人付1.5万元。卢某当即拒绝。刘业军只好和郭飞继续合作。

至案发前,刘业军共向郭飞支付41万余元。

假证露馅两人先后落网

2008年起,相继有10余名船员持假证过海关,被海事部门查获。其中,许某等3名船员分别被辽宁营口、河北唐山海事部门予以行政处罚。事后,受骗船员有的要求刘业军退款,有的直接提起民事诉讼。

2010年7月,海事人员发现交通部海事局内部信息网络被非法侵入,遂让山东某软件公司清查。该公司发现几名船员信息有异,只有结果数据,没有过程数据。进一步调查发现,入侵者以长江海事局IP地址进行该项破坏活动。

长江海事局接到通知后立即清查这批假船员证信息,并向长航警方报案。2010年9月10日,刘业军在湛江被长航警方抓获。一个月后,郭飞在上海归案。

政府网站应加强物理隔离

这起“黑客”入侵案,再次暴露了部分政府网站安全防范意识薄弱,管理混乱无序,给网络安全敲响警钟。

据落网后的郭飞交待,很多海事部门网站没有进行“物理隔离”,且管理员密码是原始密码,通过服务器链接就可轻易入侵上级网站。

相关网络专家指出,所谓“物理隔离”是指内部网不直接或间接地连接公共网,这样做物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信线路免受自然灾害、人为破坏和搭线窃听攻击。此外,“物理隔离”也为政府内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。

武昌区政协委员、湖北九通盛律师事务所副主任刘贻荪律师昨称,政府网站不仅代表着政府的形象,也代表其公布的信息是权威的、动态的和透明的。这就要求政府网站维护管理人员,要以极强的责任心来管理和维护,不能有半点马虎。

1.3 2011十大互联网安全事故

据国外媒体报道,2011年邪恶的黑客们在银行、在线游戏网站、大学和医疗保险各个行业都引起了极大的混乱。通过伪装的病毒、木马和蠕虫软件,黑客们攻破了花旗集团和索尼PlayStation网站等的防御,窃取客户资料,诈骗金钱。而一些受意识形态驱使的极端分子则通过非法入侵网络的行为对旧金山地铁系统造成了严重的破坏。

Ponemon研究所认为,要完全修补好被攻击的安全漏洞并恢复公司名誉不止要花费至少1年的时间,还要花费上亿美元金钱。因此保护你的隐私,关注网络流量,电脑用户必须具备警戒心,要知道黑客永远不会消失。

10.Abonymous的复仇

今年8月,互联网激进组织Abonymous成功入侵旧金山地铁系统BART网站,公布了该网站数百个用户信息,与BART相关的网站都被篡改,各种精心设计的Anonymous黑客集团的标志出现在网站各处。该组织从BART数据库盗取的数据包括姓名、地址、电话号码和电子邮件帐户。

Abonymous称此次行动是对抗议警察开枪事件时BART关闭手机服务的报复及对示威者的支持。有批评家称BART关闭手机服务是违反言论自由及蔑视人权,并对Abonymous的这一行为表示默许,但BART官员称,关闭手机服务是防止示威者互相通知警察所在位置才不得已采取的必要手段。而根据地铁部门官员说,由于BART网站的系统与地铁运行系统是分开的,Abonymous的行为才未能影响到地铁运行。

9.健康网(Health Net)医疗记录消失

5月健康网发现网站存在安全漏洞,可能会影响270万保单持有人个人信息。问题是两个月后,该公司的IT系统管理者IBM告诉该公司数据中心的9个服务器驱动程序丢失。

这起事件是2009年5月以来的第二次伍德兰希尔斯事件后的首期医疗信息失窃事件,2009年5月的伍德兰希尔斯事件中,存有150万客户医疗和财务数据的便携式磁盘驱动器失踪。

8.美国威斯康星大学捕获病毒

威斯康星州大学密尔沃基大学8月份在服务器上发现病毒,7.5万学生和学校工作人员姓名和社会保障号被盗。据学校IT人员称受感染的服务器连接的电脑存有该大学软件管理部门的机密信息,此次黑客行动应该是以窃取研究文件为目的,而非盗取个人信息用于诈骗。学校发现病毒后已经立即关闭了服务器并联系当地联邦警察,随后采取了更严密的保全措施。

7.马萨诸塞州失业人员的额外担心

失业已经够惨了,如果自己的资料还被公诸于众是不是更惨?马萨诸塞州劳动和劳动力发展执行办公室5月时发现部门电脑感染病毒,黑客盗取了部分失业人员的姓名、地址和社会保障号。办公室发言人承认病毒刚侵入部门计算机系统不久就被发现,但计算机工程师未能采取措施彻底删除病毒。数据库损坏除了影响到1200名使用该机构电脑存档季度报告的雇主外,还感染了1500台该机构的失业人员办公室电脑。

6.黑客们摆了Vacationland Vendors一道

9月,街机和自动贩卖机供应商Vacationland Vendors宣布黑客从该公司系统窃取了信用卡和借记卡号码。隐私权资讯中心称4万人利益受损,黑客访问了2008年12月12日至2011年5月25日间这4万名用户的信用卡和借记卡交易。

Vacationland Vendors回应称此次事件的发生是由于安全漏洞,并聘请了安全顾问来帮助防止再受黑客攻击。此外还建议受害人通知发卡和信贷机构,防止欺诈事件发生。

5.新闻出版商基普林格的用户登上头条新闻

今年7月,基普林格公司向外宣布某黑客窃取了该公司14.2万客户的姓名、密码和信用卡号。该公司拖延了2个星期才不得不承认了这一事件的发生,却向客户解释道如此晚才通知客户是因为他们需要确认受损状况。总部设在华盛顿特区的该公司当时表示不确定是否有其它数据同时被窃,尽管用户的信用卡号都有加密,但为了保险起见建议用户换新卡。该公司认为这种程度的数据泄露是无法进行进一步的犯罪的。

4.世嘉带给用户的也不只是游戏和欢乐

6月,世嘉公司在线游戏网站受到攻击,130万用户个人信息外泄,世嘉被迫关闭了该服务。黑客盗走了用户的出生日期、邮件和账户密码,幸运的是没有信用卡号或其它支付数据被窃取。案件发生后,世嘉向网站用户表达了歉意并承诺加强网站安全。专家称,视频游戏公司因为存有大量的客户金融和个人数据,已成为黑客攻击的首选。

3.黑客使花旗集团蒙羞

花旗集团是2011年受黑客之害的几家公司之一。该银行6月份报道说黑客窃取了银行系统中21万卡持有人的姓名、账户号码和电子邮件地址信息,而其它的一些信息如出生日期和社会安全号码没有泄露。

尽管被盗数据有限,安全专家称仅凭这些数据已足够用于钓鱼式攻击。花旗集团没有此次违法操作活动发生的具体细节,不过基于此次袭击事件联邦存款保险公司和其他联邦监管机构重新考虑了银行业的安全并决心实施数据保护系统系统性改革。

2.Fidelity National公司1300万美元的教训

今年五月,Fidelity National Information Services报道说由于一些“未经授权的活动”,该公司损失了1300万美元。有媒体称是因为一些网络犯罪份子侵入该公司网络并进入了保存账号余额的中央数据库。

罪犯获得了22个合法的预付卡,将复制的副本带到了希腊、俄罗斯、西班牙、瑞典、克兰和英国,一方面通过渗透该公司在佛罗里达州渗透,总部设在佛罗里达州杰克逊维尔的公司系统增加卡内余额,另一方面同伙则利用副本在以上几个国家通过ATM机提取现金。至今罪犯尚未被逮捕。

1.索尼又是“第一”

索尼公司今年发生的安全事故绝对是其历史上难以洗刷的耻辱。今年四月,索尼娱乐PlayStation和Qriocity服务网站受到黑客攻击,导致7700万用户个人信息泄露,通过破解索尼数据库,黑客们窃取了数据库中的用户个人信息鉴别信息包括出生日期、邮件、家庭地址和登录信息。

不久后索尼还承认数据库中的1200个未加密的信用卡信息也很容易被读取。网站恢复后,索尼不得不要求网站用户重设密码,还遭到了数十人的集体起诉。为此索尼至少失损失了1.78亿美元。

 

1.4 2011年信息安全领域回顾

站在年关,回顾那些事2011年信息安全领域。我们会发现在2011年信息安全领域依然是险象环生的一年。无论是著名黑客组织luzsec和Anonymous的四处出击,还是RSA遭受了APT攻击,都让人触目惊心。在2011年,云计算、虚拟化、移动互联等新技术的蓬勃发展,在影响着整个IT领域的同时,也在影响着信息安全领域,也给信息安全厂商们带来新一轮的思考。

云计算带来的安全思考

云计算在中国的IT领域成了“时尚”的代名词,几乎达到了无云不谈,无云不会的程度,绝大部分厂商都表达了对云计算相关产品发布路线的热情。据Gartner在2010年底完成的全球范围内数千位CIO的调查,约半数的CIO预计在未来五年内将会通过云计算技术来运营应用和基础设施,而云安全则是云计算能否成功应用的关键。实际上,自云计算的概念提出以来,有关云计算的安全问题一直是被关注的重点。

从2010到2011年的很多报告显示,由于安全问题,众多的企业对云计算持谨慎态度,但对云安全的态度正在发生变化。在云计算的道路上,如何挪开安全问题的“绊脚石”,拨开“云安全”的迷雾,已经成为各方共同的关注点。随着云计算的不断发展和演进,信息安全企业开始了新一轮的战略调整。云计算环境是一个复杂的运算和信息流转环境,各个厂商及研究机构对于云计算、云安全都有自己的独到见解,这些观点都代表了各个领域的发展特性。有专家指出,云计算涉及领域和范围太广,并非几个厂商能够解决的,即便是超级厂商也无法解决所有问题。同样,云计算的安全性问题只靠单打独斗是不行的,需要业界联合起来,把云安全产业化,形成一个产业链条。

在2009年成立的云安全联盟CSA,在2011年获得了更加迅猛的发展,其企业成员数量已经超过100,包括Google、HP、Cisco、Intel、Microsoft、Oracle、Novell、AT&T、CA、McAfee、Trend、Symantec、NSFOCUS、3PAR等。毫无疑问,虽然安全依然是企业跨入云计算环境的首要担忧之一,但云计算给安全所带来的机遇,已经是产业和厂商的共识,而合作的必要性已经被业界所认可。

数据防泄漏成安全重心

通过对2011年所发生影响恶劣的安全事件分析,不难发现,这些事件中都聚焦到了敏感信息的泄漏。黑客窃取信息,意在牟利。由于金钱利益的驱动,非法地下交易市场、专业的攻击技术和专业化分工,使得企业面对的安全威胁日趋严峻。对于企业的信息安全来说,敏感信息和数据泄漏的危害是最大的。也正是因为这一点,才促进了2011年数据防泄漏市场的快速发展。
相关调查数据显示,68%的企业每年至少会发生6起敏感数据泄漏事件,更有20%的企业每年发生敏感数据丢失的次数达到22起甚至更多,而每条数据丢失导致的损失接近200美元。回顾今年发生的一系列信息安全事故,多数表现为敏感信息的泄漏。

经过多年的培育,在2011年的数据防泄漏市场,高、中、低档的市场划分已经成形。针对国内市场数据防泄漏的应用,在技术上存在着差异性,国外厂商更侧重数据内容过滤及传输安全,而国内的本土厂商则更擅长以数据加密为主的防御技术。

企业级移动终端安全前景广阔

2011年3月,当谷歌发现50个Android应用程序为恶意程序时,被迫从其Android Market中删除了这些应用程序。12月,谷歌又从其移动应用商店Android Market撤下22款被发现包含欺诈软件的应用。从谷歌的移动应用商店Android Market来看,针对智能终端的恶意软件有增无减。同时,美国多家主流移动运营商在用户的苹果、HTC、三星等手机中安装了Carrier IQ公司提供的软件收集用户手机的使用信息用于通信故障分析诊断以及系统优化。由于该软件默认运行并在后台记录大量手机用户使用信息,引起公众强烈关注和质疑。

曾有专家预言,移动互联网时代最可怕的问题将是安全问题,这一预言如今正在变为现实。在一份关于移动终端设备应用现状的调查中,大约有44%的受访者表示,他们的移动设备既用于个人生活,也用于商业用途。有81%的人会在公司不知情或没有权限的情况下访问企业内网,更有高达58%的人每天都会这样做。从报告中可以看出,大多数人都没有意识到,他们所使用的移动终端同样很容易让企业网络受到恶意软件的侵害,黑客的攻击,或者信息失窃等安全威胁。事实上,众多因移动设备接入或遗失导致的信息泄漏事件已经敲响了警钟。而且移动终端安全事件所造成的损失和影响也开始扩大到更大的范围。

在过去,人们提到移动终端的安全问题,往往会联想到360、金山、网秦等针对个人级的安全软件厂商。最近两年,赛门铁克、Sophos、瞻博网络、明朝万达等安全企业相继推出针对企业级移动终端安全解决方案。据最新的消息,国外一家企业级移动安全厂商Mobilelron获2000万美元融资。种种迹象表明,随着移动互联网的推进,移动应用产品日趋火爆,未来企业级移动安全的市场前景会更加广阔。

在云时代,除了企业IT架构发生了变化,信息产业也在发生着变化。而对信息安全产业来说,变化才刚刚开始!伴随着云时代不断涌现出的新技术,我们可以看到云安全、虚拟化安全、移动终端安全、APT攻击等新的热门关键字将成为2012年信息安全领域的主旋律。

11年重大安全事件

1、 当RSA执行主席Art Coviello在三月中旬宣布RSA受到攻击,SecurID令牌身份验证有关的信息被盗时,这仅仅是一切麻烦的开始。这个事故被认为是年度最大数据泄露事故。很明显,攻击者的目标是RSA客户信息。这个事故也使“高级可持续攻击(APT)”这个词开始被大家所熟知。

2、 3月份,一个多层次僵尸网络攻击了韩国计算机达10天之久,并且被证明是无法抵抗的顽固力量。随后,僵尸网络突然停下来了,恶意软件向僵尸机器发送了自杀命令,摧毁了文件,使机器无法启动。

3、 在4月份发生的“索尼被黑”事件,导致黑客从索尼在线PlayStation网络中窃取了7700万客户的信息,包括信用卡账号。这一黑客攻击事件导致索尼被迫关闭了该服务。索尼在5月份表示,攻击导致其损失了1.7亿美元。

4、 DigiNotar、Comodo等多家证书机构遭到攻击,攻击者得以伪造google、live、gmail、skype等多家知名网站证书,使互联网安全遭遇严重威胁,DigiNotar公司已经宣布破产。

5、 继去年Apache官网遭到黑客攻击之后,MySQL.com、Linux.com和Linux.org、Kernel.org,加上开源操作系统商业软件都受到恶意软件攻击。一名俄罗斯黑客声称以3000美元出售MySQL域名的根访问。

6、 6月份,花旗银行承认攻击者攻入其系统,并设法窃取约36万名感染客户的信用卡号码。花旗银行损失达到270万美元。

7、 8月份,新浪微博病毒大范围传播。类似XSS蠕虫2005年就攻击过知名社交网站MySpace,这次事件可以算是samy蠕虫在新浪的翻版。但随着web2.0技术的广泛应用,这种攻击的影响可能会加剧。

8、 美国多家主流移动运营商在用户的苹果、HTC、三星等手机中安装Carrier IQ公司提供的软件,收集用户手机的使用信息,用于通信故障分析诊断以及系统优化。由于该软件默认运行并在后台记录大量手机用户使用信息,引起公众强烈关注和质疑。

1.5 未来黑客或可开发电脑病毒感染人脑


美国加州的生物学家安德鲁·何塞尔认为细胞本身便是活体计算机,而DNA则是编程语言


病毒和细菌和其寄主之间存在化学联系,它们会向我们输送某些化学物质。何塞尔警告称,在未来理论上可以利用这种输送机制向我们的身体发送特定类型的化学物质从而实现对我们行为进行控制的目的

据英国每日邮报报道,“合成生物学”是一个新兴的边缘学科。我们现在已经能够对生物体进行基因改造,但是亿万富翁克莱格·温特(CraigVenter)去年首次创造出一个人造生命体,并给它取名“辛西娅”(Synthia),意为“合成的”。

但是在这一领域工作的专家对此感到忧虑,他们指出合成生物学的研究比自然界的生物进化速度领先数百万年,其中一些专家指出这种研究可能将面临失控的危险。

奇点大学的安德鲁·何塞尔(AndrewHessel)指出,这将有可能导致出现这样一个世界,那时黑客们将可以通过改造病毒和细菌并借此实现对人脑的控制。奇点大学是一所特殊的学校,由美国宇航局和谷歌公司共同出资设立,位于硅谷的中心地带。

何塞尔相信基因工程将是计算机领域的下一片战场。他说:“这是世界上最强大的技术之一。合成生物学——它是书写生命的方式。我支持这样一种观点:细胞本身便是活体计算机,而DNA则是编程语言。我希望看到实现生物编程并以此帮助解决全球面临的挑战,如此人类方能实现与自然界的可持续发展。”这一领域目前正进展迅速,并且在未来还将更加迅速,超过计算机技术的发展速度。

他预计我们在未来将迎来可以“打印”DNA,甚至进行解码。但是他也警告称这样的技术可能将导致病毒和细菌可以携带化学物质进入人的大脑,从而实现对人的思维的影响甚至控制。

比如病毒,有人或许会将病毒以疫苗之名注射入“寄主”体内,以便控制此人的行为。何塞尔警告说,我们必须开始考虑如何对抗此类新型威胁。

安全专家马克·古德曼(MarcGoodman)说:“合成生物学将导致新型的生物恐怖主义威胁。”他还指出,这种新型的生物恐怖主义威胁看起来就很像是上世纪80年代开始出现的计算机病毒威胁。目前还很少有人关注这种威胁,但是在未来很快它将变得越来越重要。

当亿万富翁温特在去年成功“创制”出生命时,他是通过用合成的DNA注入一个细菌细胞实现的。朱利安·萨瓦莱斯库(JulianSavulescu)是英国牛津大学伦理学教授。他说:“温特开启了人类历史上最重要的一扇大门,窥见了人类命运的未来。这种技术在未来将可能被用于制造可以想象的最恐怖的生物武器。重要的是要善用其有利的一面而避免这种负面的效应。”

而何塞尔对于这项技术的未来则总体上持乐观态度。作为一名科学家,何塞尔接受了输精管切除术,原因是他“从来不信任自然繁殖过程”。他说“我们将制造合成基因,人类基因。它将让人类的繁殖变得优雅。”《计算机世界》博客作者戴琳·斯托姆(DarleneStorm)说:“我知道很多人甚至不知道该如何保护好他们的电脑不受攻击,我很怀疑到了那个时候如果遭到思维劫持攻击时他们能否保护自己不被人控制。”

 

2. 本周关注病毒

2.1 Worm.Win32.FakeFolder.ar(蠕虫病毒)
警惕程度★★★

该病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

2.2 Trojan.DL.Win32.Undef.tki(木马病毒)
警惕程度★★★

病毒运行后,会释放病毒驱动程序,替换系统服务并结束杀毒软件。为进一步扩大传播范围,病毒会通过局域网和U盘进行传播。电脑中毒后还会被开设后门,成为黑客肉鸡,不断下载盗号木马。

2.3 Backdoor.Win32.Fednu.qi(后门病毒)
警惕程度★★★★

病毒运行后,首先会篡改IE浏览器的默认首页和搜索页,将其改为恶意网址导航,帮助黑客刷流量获利。随后,病毒会对系统的多项服务进行修改,并关闭Windows系统的防火墙功能,暗地收集本机的“mac地址、系统版本、计算机名”发送到黑客服务器,并开启后门功能,至此用户的电脑将完全暴露在黑客面前,如果是服务器中毒,企业机密资料将面临极大威胁。

 

3. 安全漏洞公告

3.1 phpMyAdmin ‘libraries/config/ConfigFile.class.php’跨站脚本漏洞

phpMyAdmin ‘libraries/config/ConfigFile.class.php’跨站脚本漏洞

发布时间:

2011-12-23

漏洞号:

CVE-2011-4782

漏洞描述:

phpMyAdmin是一个免费的WWW界面的mysql数据库管理工具。
phpMyAdmin 3.4.9之前的3.4.x版本的setup界面的libraries/config/ConfigFile.class.php中存在跨站脚本漏洞。远程攻击者可借助host参数注入任意web脚本或者HTML。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.phpmyadmin.net/home_page/downloads.php

 

3.2 phpMyAdmin ‘libraries/display_export.lib.php’多个跨站脚本漏洞

phpMyAdmin ‘libraries/display_export.lib.php’多个跨站脚本漏洞

发布时间:

2011-12-23

漏洞号:

CVE-2011-4780

漏洞描述:

phpMyAdmin是一个免费的WWW界面的mysql数据库管理工具。
phpMyAdmin 3.4.9之前的3.4.x版本的libraries/display_export.lib.php中存在多个跨站脚本漏洞。远程攻击者可借助特制的URL参数注入任意web脚本或者HTML,该参数与(1)server,(2) database和(3)table sections的输出面板有关。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.phpmyadmin.net/home_page/downloads.php

 

3.3 IBM Lotus Domino Notes RPC 身份验证处理拒绝服务漏洞

IBM Lotus Domino Notes RPC 身份验证处理拒绝服务漏洞

发布时间:

2011-12-23

漏洞号:

CVE-2011-1393

漏洞描述:

Lotus Domino是集电子邮件、文档数据库、快速应用开发技术以及Web技术为一体的电子邮件与群集平台。
IBM Lotus Domino在处理某些身份验证相关的RPC操作时存在错误,通过特制的报文可造成Domino服务器崩溃。

安全建议:

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.ers.ibm.com/

 

3.4 Linux Kernel "SG_IO IOCTL" SCSI请求本地权限提升漏洞

Linux Kernel "SG_IO IOCTL" SCSI请求本地权限提升漏洞

发布时间:

2011-12-23

漏洞号:

CVE-2011-4127

漏洞描述:

Host Linux系统允许在分区或LVM卷上执行SG_IO ioct1,并传递命令到下层块设备。对某些分区或LVM卷具有受限访问权限的本地攻击者可利用此漏洞绕过目标限制,通过特制的SCSI命令获取整个块设备的访问权。客户端操作系统用户可利用此漏洞获取Host系统或某些KVM环境中的其他Guest系统数据。

安全建议:

Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kernel.org/

 

3.5 JBoss Operations Network多个跨站脚本执行漏洞

JBoss Operations Network多个跨站脚本执行漏洞

发布时间:

2011-12-16

漏洞号:

CVE-2011-3206

漏洞描述:

JBoss Operations Network在JON管理接口的实现上存在多个跨站脚本执行漏洞,远程攻击者诱使用户浏览特制URL利用这些漏洞执行跨站脚本攻击,窃取Cookie身份验证凭证。

安全建议:

RedHat
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.redhat.com/apps/support/errata/index.html