当前位置: 安全纵横 > 安全公告

一周安全动态(2012年2月23日-2012年3月1日)

来源:安恒信息 日期:2012-2

2012年2月第四周(2.23-3.1)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 黑客瞄上电子邮箱 宁波30多家公司被骗1000余万

浙江在线2月23日讯外贸公司用电邮与国外客户联系做生意,无需电话,更不用见面,这种方式看上去便捷,不过也潜藏着一些危险。昨天,记者从宁波警方了解到,已经有黑客瞄上了外贸公司的电子邮箱,通过入侵电脑,盗取电子邮箱密码,获取国外客户信息,然后再冒充公司业务员实施诈骗。

去年以来,宁波已有30多家外贸公司被类似手法骗走1000多万元。

8万美金的货款汇到了马来西亚

小朱是鄞州区一家外贸公司的业务员,和国外客户谈业务一直都用电子邮件,付款、提货也都通过发电邮与客户沟通交流,一直以来没出什么事。

2月初,公司将一批货物分别发往波兰和保加利亚两家公司。随后,小朱给对方分别发了份电邮,催要款项。

没想到的是,他的邮箱被黑客盯上了。

黑客侵入邮箱后,看到这两条付款信息,马上伪造了一个相似的电子邮箱,用这个邮箱,向两家公司发了份邮件。在邮件中,黑客说,公司银行账户变更,需将货款汇至指定账户。

由于国外的两家公司也急需小朱公司提供单证取货,迅速将各自3万美金和5万美金的货款打到了黑客提供的银行账户。然后,他们又把汇款单等信息发回了小朱公司的邮箱。

小朱在电子邮箱里看到这些信息后,才知道遇到了骗子。一查,对方的货款都打到了马来西亚的一家银行。

已有30多家企业被骗走1000多万

小朱的遭遇不是个案,记者从宁波警方了解到,类似诈骗案去年年初就已经出现了,今年依然频频发生。

如,去年9月7日,宁波一电子公司与阿根廷一家公司的贸易邮箱被黑客盗取,电子公司损失6万多美金;去年10月2日,镇海一化工企业向伊朗公司供应塑料制品,黑客侵入邮箱,化工企业损失174720.00美元;去年4月26日,鄞州一家照明公司邮箱被盗用,案犯分别给公司的土耳其客户和西班牙客户发送了更改银行账号的邮件,总共骗走29802美金。

宁波警方初步统计,去年,宁波至少有30家外贸公司被这种手法骗走1000多万元。

宁波市公安局处理这类案件的王警官说,这类案子因为涉及到好几个国家,侦查难度大,到最后往往不了了之。

警方建议定期对电脑进行安全检查

对外贸公司来说,用电邮与国外客户联系,这是必不可少的工具。

那么,用电邮做生意如何防止被骗呢?

小徐在江北慈城一外贸公司上班,主要做海产品出口,他做外贸生意很多年了,一直用电邮办业务,从未出过意外。

小徐说,自己一般不用单位电脑,而是用自己的笔记本,为了携带方便,更是出于安全考虑。而最重要的是,电脑每天都要杀毒,清理木马,定期还要修改电子邮箱密码。

昨天,宁波警方也提醒外贸企业,要定期对电脑进行安全检查,涉及企业重要信息,要通过加密或邮寄正本的方式联系境外客户;与境外客户联系业务时最好在电子邮件的基础上再以传真、电话等方式加以确认,并与客户保持经常性联系,一旦发现被骗,立即报案并到银行冻结支付业务,以减少不必要的损失。

 

1.2 教师雇大学生黑客伪造海员证 获利238万

高校教师家中

搜出一堆假证

昨日,刘业军穿囚服被押解上庭。刘业军出生于1979年,曾是广东一所知名海洋高校的骨干青年教师,网上至今还能查询到他发表的多篇学术论文。

2010年7月30日,长江海事局网络技术人员发现:该局网站被黑客非法入侵,有人通过该局IP地址进入交通部海事局船员管理信息系统数据库,修改添加了船员假证信息。同年9月,刘业军被长航公安抓获。

警方从刘业军家中查获伪造的广东海事局船员管理处、湛江海事局船员管理处、广东海洋大学、广东海洋大学航海学院等多家单位印章19枚,搜出伪造的中华人民共和国海员船员适任证书27本、海员船员专业培训合格证书17本、船员服务簿14本。

大学生黑客

炫技入歧途

2006年,郭飞19岁,当时是某软件学院的在校大学生,善于挑战网络技术。刘业军承诺支付郭飞高额报酬,让他用黑客技术入侵交通部海事局网站修改数据库,添加船员假证信息。

从2006年底开始,郭飞先后入侵上海海事局、广东海事局外网网站,修改添加刘业军提供的75个假船员证书信息,使其在外网能查到。两人还入侵交通部海事局内网,修改船员管理信息系统。

2010年3月至案发,郭飞入侵长江海事局两台服务器,通过该服务器入侵交通部海事局内网船员管理信息系统数据库,修改添加38名假船员证书信息,获酬41万元。

郭飞昨供述,他入侵网站主要是为了挑战自己的技术,并获取报酬。

密码太原始

能轻易入侵

据郭飞交代,很多海事部门的网站都很容易入侵。这些网站的服务器后台管理员密码都是原始密码,并且从未修改;一些单位没有相关措施对内、外网进行物理隔离,这也是他能够入侵海事部门内网的重要原因。

主审法官昨借此案发出警示:在网站上存有大量重要信息的相关政府职能部门,作为掌握和发布权威资讯及信息主体的政府部门网站,一定要确保网络安全,严防因管理的疏漏给犯罪分子留下可乘之机。

主审法官介绍,这是我市审理的首例利用黑客技术入侵计算机信息系统实施诈骗犯罪的案件。刘业军一伙利用黑客手段,为制售假证骗取钱财的行为“披上高科技外衣”。

33岁的刘业军拥有研究生学历,原为广东一所海洋大学的青年教师。2006年起,刘业军找到当时还是大学生的黑客郭飞,先后侵入上海海事局、广东海事局外网,长江海事局服务器和交通部海事局内网船员管理信息系统,修改、添加船员虚假证书信息,为他人办理“有据可查”的假证。

四年中,他们以帮助办理真实有效的海船船员适任证书、船员服务簿、海船船员专业合格证书为由,骗取现金共计人民币238万元,涉案受害者65人。该案经长航公安侦破,昨在市中级人民法院开庭,这是我市审理的首例“破坏计算机信息系统罪”案。

【新闻链接】

破坏计算机信息系统罪

破坏计算机信息系统罪是指违反国家规定,对计算机信息系统功能或计算机信息系统中存储、处理或者传输的数据和应用程序进行破坏,或者故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。

刑法第二百八十六条规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

 

1.3 黑客组织Anonymous威胁要干掉整个互联网

著名黑客组织Anonymous一直对美国新的反盗版发案"SOPA"持强烈反对态度,不过这次他们玩得过火了。该组织最近威胁要干掉整个互联网以给 “SOPA法案,华尔街及黑心银行家,前者的保护伞政府”等一点颜色看看,如果代号名为"Operation Global Blackout"的行动成功,那么全世界将在3月31日陷入无法使用互联网的状态。

至于具体手段,Anonymous计划对所有13台DNS域名根服务器发起大规模DDoS行动,届时在浏览器中输入所有域名都将返回错误页面,使得不少用户届时将认为网络无法使用。

Anonymous称他们的行动只是给美国政府一个警告而不是计划彻底“杀死”互联网,但他们没有说明行动具体的持续时间,可能是几个小时也可能会是几天。

 

1.4 楼市信息安全十面埋伏

地产上市公司网址被恶意抢注,房地产网站频频被“黑”,小区业主资料被公开叫卖,楼市信息安全为何上演十面埋伏?

上海新梅官网之殇

近日,上市房企上海新梅的官方网被“黑”。在浏览器内输入上海新梅原官网域名后,出现的网站页面却是杭州一家色情按摩会所的链接。《东地产》记者从上海新梅方面了解到,该公司去年年底官网域名到期后未及时续费,计划推出的新官网暂未启用,导致域名在“空窗期”内被他人抢注。上海新梅董秘何婧向记者表示,大部分上市公司的网站建设都处于摸索阶段,技术比较薄弱,只能根据需要一步步升级。

然而,上海新梅的官网被“黑”并非个案。

房地产网站屡受黑客攻击

2011年年底,CSDN(微博)网站数据库遭黑客入侵,600万用户注册邮箱和密码被泄露。此后国内网站纷纷“沦陷”,人人网、天涯社区、百合网等众多知名网站数千万网友个人信息相继被泄露,其中不乏房产信息类网站,一时间网民人人自危。统计数据显示,近两年来已有1000多家与房地产相关的网站被挂马。黑客攻击成为目前房地产网站最大的不安全因素。

去年12月,昆山警方破获一起非法侵入计算机系统的案件,抓获违法犯罪嫌疑人蔡某。据悉,蔡某破解了“花桥生活网”的管理员邮箱、域名账号后,致使该网站瘫痪。“花桥生活网”是昆山花桥房产相关网站,经常登载当地一手、二手房交易信息。

1月中旬,闵行某小区业主陈先生发现小区在上海某房产网站的业主论坛上疑似遭到黑客攻击,陆续出现版主失权和维权被删情况,虽然这一异常现象迅速被网站管理员纠正,但黑客后续仍继续在利用盗来的版主管理密码删除帖子。一位论坛管理员告诉记者,目前上海一些大型网络房产论坛正成为最受黑客欢迎的“训练场”。

业主信息泄露已成产业链

房地产网站频繁被“黑”之外,业主信息泄露事件也在网络时代全面暴发。

记者在百度搜索栏中输入“上海业主名单”,结果发现在网上公开叫卖上海各个区域小区业主资料的比比皆是。在某名录网站的产品库中,记者找到了上海青浦一家家政服务公司提供的业主名录。记者以购买者身份拨通了“经销商”朱先生的电话,朱先生指出,他可以提供详细的小区业主名单,所有名录分为固定电话版和手机版,包括门牌号、业主姓名、联系方式等,准确率92%,售价约为1000元/份。

去年以来,上海连续发生多起泄露业主信息案,浦东东方城市花园、黄金豪园、菊园等多个小区业主详细信息在百度文库等网站挂出,不仅罗列了业主的通信地址和邮编,还包括了住宅电话以及相对应的业主名字。值得注意的是,这些信息大多来源于物业公司、售楼处及房产中介公司、通讯公司等途径。

沪上一位物业公司高管向《东地产》记者指出,个人信息网上泄密的背后是一条商业公司员工、信息倒卖者和需求者之间的利益链条。第一环,售楼处、房产中介等能够轻易接触到用户个人信息的部分工作人员为谋私利泄露信息;第二环,信息或被直接贩卖给需求者,或通过层层转手流落到业务员QQ群等半公开的网络空间,并且被一些用户挂到网上。第三环,商业网站为获取点击率,故意对名单不予删除,导致信息被广泛下载。

房地产信息安全任重道远

上海新梅网站域名被色情网站抢注,小区业主信息安全不设防,房地产业为何成为信息大盗们的乐土?

上海张江某信息技术公司网络工程师殷先生分析,房地产行业作为受关注度最高的大背景下,网民对信息更新很及时的地产类网站十分依赖,用户粘性和集中度都远超其他行业网站。近期被集中入侵并“挂马”的房产门户网站、租房信息网站、政府公积金网站、装修建材等等,涉及老百姓房产采购与投资的各个环节。对木马产业链来说,此类网站也是集中、快速传播木马的优质途径之一。

北京盈科(上海)律师事务所合伙人刘畅认为,相关法律的缺失导致房地产信息维权难,是信息盗窃者肆无忌惮的重要原因。以上海新梅为代表的大多数上市企业并不注重自身企业网络知识产权的保护,一旦公司网络域名或通用网址被他人恶意抢注或使用,再通过法律手段维权会付出很大成本。如果上海新梅能够举证证明杭州按摩会所的行为符合最高人民法院《关于审理涉及计算机网络域名民事纠纷案件适用法律若干问题的解释》第四条的相关规定,就可以向侵权行为地或者被告住所地的中级人民法院提起诉讼,保护自身权益。

“同样,业主可以起诉那些泄露他们个人信息的组织,追究相关方责任。但由于业主们受到的困扰够不上刑事诉讼,只能走民事调解,最多要求赔礼道歉或消除影响,想获得精神损失费等经济上的补偿基本上不可能。”刘畅律师补充解释。

链 接

有产者六条防“黑”攻略

一、线下防黑

1、尽量减少个人信息曝光机会。

2、对较多涉及个人信息的相关服务商,如物业及物业管理公司、酒店、银行等要选择有品牌和可依赖的企业。

3、如发现个人信息被泄漏,可及时报案,依法追究泄密方的责任。

二、线上防黑

1、网络上尽量避免本人身份证或者身份证复印件、家庭电话、家庭成员姓名、个人照片等信息的泄露。

2、博客、SNS社交网站等网络平台上要注意隐私保护。

3、电脑专家建议,使用电脑时,每个不同的地方用不同的密码,要尽量删除来历不明的邮件、文件、以及各种插件,安装防火墙,定期查杀木马病毒等。

 

1.5 部分银行网银体验机存在漏洞 黑客可借道入侵ATM机

如果说去年底的银行账户“泄密门”已被证实是谣言,这次安全专家发现的ATM机漏洞则已被银行确认,并紧急堵漏。
安全专家日前发现,两家商业银行的ATM机存在安全漏洞,可被黑客利用来侵入银行内网,套取用户资料和金钱等。目前该漏洞已经被银行确认,正在火速堵漏中。理财专家提醒,大额资金莫闲置,尽量不给不法分子有可乘之机。

入侵ATM机难度并不高

昨日,媒体联系了某安全专家王先生,他说,他们在北京分别对两家银行的网银体验机进行操作,发现均存在安全漏洞。

此次出现漏洞的两家银行ATM机均是基于Windows XP操作系统的,王先生说,这也是目前主流的ATM操作系统,另外还有Windows 2000和Linux操作系统。虽然出问题的ATM机屏蔽了Windows操作系统的快捷键、组合键和鼠标右键等,并保持自身程序始终置于前段和全屏,但是在“网银登录”页面使用Usbkey时候可以绕过限制系统去访问Windows系统磁盘及运行文件。

具体过程可以描述为,黑客将木马拷贝进入Usbkey,插入网银体验机,绕过限制后将木马植入ATM机系统,去盗窃访问该终端的账户信息。另外,某些网点的ATM可以访问内部网络,黑客利用漏洞可获取该机管理员权限,再对内网进行渗透攻击。王先生说,黑客一旦取得ATM本地文件夹的浏览权限,同样会通过提升权限的操作获得最高系统管理员权限,便会在机器上搞破坏,诸如植入木马、记录用户姓名、密码、手机等信息,更有甚者,直接进行转账。

安全专家说,入侵ATM机难度并不高,与入侵普通电脑相当,假如银行和ATM机厂商未能在系统上做必要的安全防护,那么,危险性就极高!

据《兰州晨报》报道,去年9月份,甘肃崔先生就是因为在“问题ATM”上取款,导致银行卡密码被盗,损失28万元。最终法庭判决银行对其进行了赔偿。

自我保护很重要

王先生说,两家银行出现漏洞的两台ATM机并非一般的自助终端,而是带有全键盘输入或手写输入功能的“高级取款机”。

记者发现,目前杭州很多银行均在营业网点开辟了“网银体验区”,客户可以自助使用该电脑,也可以将自己的U盾插入电脑进行转账汇款等操作,旁边的银行人员一般不会加以干涉。而在24小时自助服务银行区,则很少有开放式接口的自助终端。

ATM机系统存在安全漏洞,机器生产厂商是否有责任?记者昨日联系了主营ATM设备生产及相关系统软件的研发企业——广州御银科技股份有限公司。御银科技工作人员说,他们主要提供机器硬件设备,至于操作系统及安全软件主要由银行决定。

中行省分行的电子银行部负责人说,网银体验机的平台实际上就是一个外网,严格说是与银行内网隔离的。他猜测,可能有一些银行的上网体验机与内网没有做到完全隔离。

法律界人士指出,对ATM盗取资金这类案件,法院很难判定,因为很难认定是客户自己不小心泄露了密码还是ATM受到黑客攻击,因此,持卡人自我保护非常重要,比如大额资金莫闲置在账户里,可通过货币基金、通知存款等方式在保持流动性同时将资金高效利用起来,同时不给不法分子有可乘之机。此外,最好开通短信提示,一旦发生非本人取款的情况,尽快将银行卡挂失,以避免更大损失。

安恒专家提醒

近日媒体公布的某些银行ATM机存在安全隐患并非常见的自动ATM存取款机,而是银行的营业厅提供的台式电脑上有网银服务,建议广大用户不要轻易使用公共场合提供的网银电脑服务。同时安恒专家团队对国内部分银行的ATM存取款机进行检测,发现存在部分漏洞可以绕过操作界面对ATM机进行某些操控,建议各银行机构可以联系安恒信息进行正规全面的安全检测项目。

2. 本周关注病毒

2.1 病毒名称:Trojan.Win32.BHO.gdu(木马病毒)
警惕程度★★★

该病毒会关闭很多主流杀毒软件,并修改浏览器BHO,然后链接到黑客指定网站下载木马到本机运行。

2.2 病毒名称:Worm.Win32.FakeFolder.at(蠕虫病毒)
警惕程度★★★★

该病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

2.3 病毒名称:Trojan.Win32.FakeMS.zn(word文档伪装木马)
警惕程度★★★★

该变种木马是由delphi编译的一种极具欺骗性质的木马。该木马运行之后会释放以下文件:C:\WINDOWS\system32\kspoold.exe。将kspoold.exe作为服务加载,实现随系统启动的目的。紧接着,释放一个与木马源文件名称相同的doc文件,并删除木马源文件。木马还会查询注册表获取键盘布局类型,并开启后门连接远程控制服务器,用户计算机被黑客远程控制。

 

3. 安全漏洞公告

3.1 IBM solidDB输入验证漏洞

IBM solidDB输入验证漏洞

发布时间:

2012-02-22

漏洞号:

CVE-2011-4890

漏洞描述:

IBM solidDB是可实现电信级性能的关系数据库。
IBM solidDB FP9之前的6.5版本和FP1之前的7.0版本中的服务器中存在漏洞。远程认证用户可利用该漏洞借助含有涉及子查询ROWNUM条件的SELECT语句导致拒绝服务(守护进程崩溃)。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg27021052

 

3.2 IBM solidDB拒绝服务漏洞

IBM solidDB拒绝服务漏洞

发布时间:

2012-02-22

漏洞号:

CVE-2012-0200

漏洞描述:

IBM solidDB是可实现电信级性能的关系数据库。
IBM solidDB Interim Fix 6之前的6.5版本中的服务器中存在漏洞,该漏洞源于未正确初始化数据结构。远程认证用户可利用该漏洞借助含有冗余WHERE条件语句中的SELECT语句导致拒绝服务(守护进程崩溃)。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg27021052

 

3.3 PHP ‘filter_globals’ 任意代码执行漏洞

PHP ‘filter_globals’ 任意代码执行漏洞

发布时间:

2012-02-21

漏洞号:

 

漏洞描述:

PHP是一款免费开放源代码的WEB脚本语言包,可使用在Microsoft Windows、Linux和Unix操作系统下。
PHP中存在任意代码执行漏洞。攻击者可利用该漏洞在应用程序上下文中执行任意代码,攻击成功将操控应用程序,也可能操控底层计算机。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.php.net/

 

3.4 Linux Kernel epoll Subsystem “eventpoll.c”多个本地拒绝服务漏洞

Linux Kernel epoll Subsystem “eventpoll.c”多个本地拒绝服务漏洞

发布时间:

2012-02-21

漏洞号:

CVE ID: CVE-2011-1082,CVE-2011-1083

漏洞描述:

Linux Kernel是Linux操作系统的内核。
Linux Kernel 2.6.38之前版本的fs/eventpoll.c在epoll子系统的实现上存在本地拒绝服务安全漏洞,将epoll文件描述符放置在其他epoll数据结构中,没有检查已关闭的循环或深链接,攻击者可利用此漏洞造成拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.kernel.org/

 

3.5 WampServer "lang"参数跨站脚本执行漏洞

WampServer "lang"参数跨站脚本执行漏洞

发布时间:

2012-2-21

漏洞号:

CVE ID: CVE-2010-0700

漏洞描述:

WampServer是Windows Web开发环境,可用Apache2、PHP和MySQL数据库创建Web应用程序。
WampServer在实现上存在跨站脚本执行漏洞,攻击者可利用此漏洞执行任意脚本代码,窃取Cookie身份验证凭证。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.wampserver.com/en/