当前位置: 安全纵横 > 安全公告

一周安全动态(2012年3月15日-2012年3月22日)

来源:安恒信息 日期:2012-3

2012年3月第三周(3.15-3.22)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 大学生雇黑客非法入侵网站删帖 牟利数十万被抓

湖南籍大学生曹某毕业后一直没找到理想的工作,竟想到伙同他人在网上从事“危机公关”行业赚钱。据了解,从2010年年底到2011年年底,曹某伙同重庆籍吕某先后对国内多个大型知名网站、搜索网站、论坛实施入侵,共计删除帖子七百多条,删一条贴的报酬为1000至2000元。目前,海口警方赴湖南、重庆将吕某(男,25岁,重庆南川市人)、曹某(男,30岁,湖南怀化市人)分别抓获。

黑客袭击海南某论坛 警方跨省抓嫌犯

2011年3月开始,海南某资讯网络有限公司经营的某社区论坛遭“黑客”袭击。短短几个月时间,上百条信息被莫名删除。海口警方获悉此情况后,立刻展开了侦查。警方获悉,攻入该网站的是在重庆的用户。随后,海口警方迅速锁定了嫌犯吕某,并赶赴重庆将其抓获,后又赶赴湖南将吕某的上家曹某抓获。

经审讯,吕某、曹某对自己的犯罪事实供认不讳。据了解,2010年12月开始,犯罪嫌疑人曹某在互联网上从事删除各类帖子的网络公关工作,其加入大量网络公关的QQ群,在QQ群中承接国内各大知名网站的删帖业务。2011年1月份,曹某通过互联网百度贴吧认识居住于重庆市的犯罪嫌疑人吕某,得知吕某懂得黑客入侵技术,能够利用黑客手段获取网站数据库权限进行删帖,二人便合伙在互联网上通过黑客入侵的手段删除各网站论坛的帖子进行牟利。其方式为曹某通过QQ群接收各类删帖业务,交由吕某通过黑客手段进行删除,并将获利的酬金抽取部分后,以删除每个帖子1000至2000元不等的价格支付给吕某。

毕业找不到工作,大学生走上犯罪道路

有着大学文凭的曹某为何走上这条非法之路?曹某告诉记者,他虽然在大学学的并不是计算机专业,但其对电脑和网络十分痴迷。大学毕业之后,一直没有找到理想工作的他便想到了考公务员,就在平常上网搜寻公务员信息的过程中,曹某在几个QQ群里偶然发现了一些信息。曹某称,QQ群里有人想花钱找人删除一些负面的信息,而他觉得这是一条不错的生财之道。所以他就在一论坛上发帖,想找懂相关技术的人一起合作。不久,吕某看到帖子后就主动联系了他。曹某发现吕某确实技术“高超”,于是两人就展开了长期合作。

“朋友说这个比较赚钱,我正好有这个技术,没想到这是犯法的。”吕某告诉记者,之前,他经营着一家电脑维修店,平时喜欢研究电脑和网络,计算机技术相当了得。去年4月底,吕某的新婚妻子怀孕,需要有人照料,因此吕某将电脑维修店关门。没有了经济收入,吕某在一边照顾妻子的同时,一边想着通过自己所掌握的技术,在网上接点什么活赚钱养家,因此联系上曹某。

警方介绍,犯罪嫌疑人曹某、吕某通过非法手段入侵论坛,破坏论坛数据,删除论坛的帖子用于牟利,数量巨大,后果严重,其行为已触犯《中华人民共和国刑法》第二百八十六条,涉嫌破坏计算机信息系统罪,依据《中华人民共和国刑事诉讼法》第一百二十九条之规定,犯罪嫌疑人曹某、吕某将被依法追究刑事责任 。

 

1.2 消息称中国黑客入侵BAE网络

据《澳大利亚人报》报道, 据高级安全官员透露,中国间谍侵入了英国最大的防务公司BAE系统公司的电脑系统,试图窃取西方最新型战机有关设计、性能和电子系统等方面的详细资料。

消息源称,中国黑客利用BEA公司电脑的安全漏洞,窃取了大量有关F-35联合攻击战斗机项目的数据。据称,该项目耗资3000亿美元, 由多国参与研发,旨在为确保西方在未来数年里的空中优势。

这次黑客攻击已经引发该喷气式战机先进的雷达性能数据遭泄密的担忧。

自从三年前被首次曝光以来,情报部门对攻击细节一直讳莫如深。一位BAE高级主管在去年晚些时候参加一个网络安全专家私人宴会时透露了相关细节。

一位在场人士说:“这位BAE主管称18个月以来,中国对BAE系统公司进行了网络攻击并且获取了其中一款最新战斗机的(研发)计划。 ”

BAE方面称:“我们不对公司遭受网络攻击的传言发表任何评论。BAE公司的网络安全系统有能力侦查、阻止此类攻击。”

一位前美国官员上周匿名发表言论称,BAE公司联合攻击战斗机项目元素“几乎可以肯定”已经被入侵。

但是,该官员提醒说,武器开发包含很多方面,F-35项目中的一些资料虽已被中国黑客锁定为目标,但他们并不能够盗取所有资料,而只是其中的一部分。

中国驻伦敦大使馆发表声明称指责中国为攻击策源地的说法毫无根据。中国严惩一切形式的网络犯罪。

联合攻击战斗机资料被中国黑客窃取的谣言始于2009年美国媒体的报道。

 

1.3 钓鱼WIFI猖獗 免费网络小心黑客盗取银行卡密码

近日一位网友在微博上爆料,“钓鱼WiFi”猖獗,自己在星巴克免费上网时,网银账号被“钓鱼”了。“那个无线网络的账号就叫Starbucks2,不需要密码就能马上登录,当时还以为是星巴克免费提供的无线网络,便进行了网银支付等操作。后来竟然发现原网银的密码不能登录了,幸好账户内的资金不多。”

昨天记者咨询了浙大网新的一位IT工程师小张,他告诉记者,这个真的能做到。“无论你使用电脑、iPad、还是手机,只要通过WiFi上网,数据都有可能被控制这部WiFi设备的黑客电脑截获。黑客可以轻松盗取用户的银行卡密码,以及更多的个人信息。甚至还有黑客可能利用一些技术手段,盗取电脑、手机登录移动终端的权限,对用户终端进行远程控制,植入木马在用户终端里面。”

专家教你三招防范钓鱼

免费的午餐总是很诱人,但是来历不明的免费WiFi信号却不得不防。

昨天,记者体验了一些移动运营商和商家提供的无线网络信号后发现,完全不用输入密码或验证信息的很少。例如中国移动提供的CMCC无线网络,需要通过用户用手机号码进行注册,获取相应密码才能登录。而在一些咖啡馆、餐馆、酒店等公共场所里的WiFi信号一般都用商家的英文名或拼音来注册,用户需要问服务员索要密码才能登录。当然,也有一些需要通过验证,譬如在星巴克咖啡店,如果想使用免费WiFi,需要在找到信号后,用手机网页登录浏览器,输入手机号码获取验证码方可上网。

无线网络安全与否如何辨别?金山网络信息安全专家李铁军在接受记者采访时表示,黑客利用伪造WiFi网络盗取用户信息的非法行为自从有WiFi开始就存在了,但这些伪造的网络信号对于普通人来说想要识别有难度。

在李铁军看来,最安全可靠的方法就是来历不明的无线信号别蹭用。因为黑客可以利用一些工具对即时通信以及用户浏览网页进行抓包分析,以便获得自己想要的信息。另外还需提醒的是,千万别在公共场所的无线网络下进行网银支付、手机炒股等操作。如果万不得已要使用,那就选择移动运营商的网络。还有一点,有些手机的网络设置中,有WiFi自动连接的功能,只要有免费的WiFi就能自动连接。这些用户往往很容易就在“不知情”的情况下落入别人的圈套。因此用户最好把WiFi连接设置为手动,只有自己想用的时候才打开。这样才会相对比较安全。

 

1.4 英14岁电脑神童当黑客入侵母校遭开除

 

据《每日电讯报》、《每日邮报》、《每日镜报》3月12日报道,英国德文郡托特尼斯市的14岁男生阿龙 邦德堪称是一名计算机神童,他早在8岁时就成立了自己的网页公司,13岁时又为苹果公司的iPhone手机编写了多个游戏软件,成为“全欧最年轻的软件设计师”,去年更获美国苹果公司邀请出席苹果大会。但令人做梦也没想到的是,本应前途无限阿龙不久前竟然利用他的计算机天赋充当一名“黑客”,悄悄入侵他所就读的爱德华六世国王学院学校内部的计算机系统,并窃取了大量敏感资料!东窗事发后,颜面扫地的校方日前一怒之下宣布将阿龙开除出校。当昔日的“全欧最年轻的软件设计师竟沦为“黑客”并被学校开除的消息曝光后,立即在英国引发轩然大波 。

 

1.5 黑客攻击漏洞,让ATM机自动吐钱

在不少影视作品中,黑客利用信息漏洞甚至还可以让街边常见的银行ATM机自动吐出钞票。事实上,这并非不可实现。

在2010年的美国“BLACKHAT(黑帽子)”大会上,一名安全研究人员就演示了如何破解ATM机,并让机器自动吐钞票。

这听起来让人觉得不可思议。当然,能够掌握这样技术并登上“黑帽子”大会演讲的黑客数量少之又少。但这个案例却给了银行业敲响警钟。

安恒信息的专业技术人员表示,现在国内银行自助服务终端的应用现状确实问题多多,如设备品牌多、软件开发代理商多、运行平台多、软件版本多等,这也导致了自助服务软件较难维护,同时容易暴露高危性的风险漏洞,也比较容易出现恶意软件感染。

尽管目前不太可能出现让ATM机自动吐钱情况,但是安恒信息的安全研究人员发现目前银行的自助设备的上线和运维主要由第三方外包公司负责,第三方维护人员可以随意备份硬盘数据。由于维护人员和开发人员的安全意识不足,可能会导致自助系统遭到恶意的攻击,出现无法预知的异常情况。

安恒信息的安全研究人员举了个实例,在给省内某大型商业银行扫描漏洞和进行信息安全防护时,也曾经发现过无需外接设备,就能通过ATM机主机屏幕直接进入内网系统的漏洞。

经第三方数据统计分析,国内银行自助服务终端目前保有数量为40万台左右,不易于实质监控的特性,导致产生的不安全因素越来越多。这些令银行家们坐立不安的隐形漏洞和问题,通过安恒信息提供的修补和维护,很快得到了解决。

 

2. 本周关注病毒

2.1 病毒名称:Backdoor.Win32.Gpigeon2012.d(灰鸽子后门病毒)
警惕程度★★★

该病毒通过网络传播,病毒会偷窃用户隐私信息,还可能远程控制用户计算机,给用户计算机安全带来极大危害。

 

2.2 病毒名称:Trojan.PSW.Win32.QQPass.fkg(木马病毒)
警惕程度★★★★

该病毒运行后会在后台监视用户的输入,伺机窃取用户的QQ号码及密码,并发送给黑客。

 

2.3 病毒名称:Backdoor.Win32.PcClient.ypm(后门病毒)
警惕程度★★★★

该后门病毒具有比较高的隐藏性,黑客可以对中毒机器进行任意操作,包括监听对方键盘,当对方输入私密信息,比如银行账号、网游密码等会有泄露的可能。任意结束肉鸡电脑上的进程,上传下载文件,监控对方屏幕,录制对方摄像头信息捕捉到的画面和监听对方声音,泄露用户大量隐私信息。

 

3. 安全漏洞公告

3.1 Apple Safari < 5.1.4 for Windows 国际域名URI欺骗漏洞

Apple Safari < 5.1.4 for Windows 国际域名URI欺骗漏洞

发布时间:

2012-03-12

漏洞号:

CVE-2012-0584

漏洞描述:

Safari是苹果计算机的最新作业系统Mac OS X中的浏览器,使用了KDE的KHTML作为浏览器的运算核心
Apple Safari在处理IDN域中的特定字符时存在URI欺骗漏洞,攻击者可利用此漏洞欺骗用户信任虚假URI。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://support.apple.com/

 

3.2 VMware vCenter Chargeback Manager信息泄露和拒绝服务

VMware vCenter Chargeback Manager信息泄露和拒绝服务

发布时间:

2012-03-09

漏洞号:

CVE-2012-1472

漏洞描述:

VMware vCenter Chargeback Manager允许根据不同组织的流程和策略对成本模型进行自定义。
VMware vCenter Chargeback Manager处理XML API请求存在错误,可被利用从服务器下载文件或进行拒绝服务攻击。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.vmware.com/security/advisories/VMSA-2012-0002.html

 

3.3 Cisco ASA Syslog消息305006绝服务漏洞

Cisco ASA Syslog消息305006绝服务漏洞

发布时间:

2012-03-15

漏洞号:

CVE-2012-0355

漏洞描述:

Cisco Adaptive Security Appliance是一款自适应安全设备,可提供安全和VPN服务的模块。
特定syslog消息(message ID 305006)实现存在拒绝服务漏洞,如果需要生成这个syslog消息可导致Cisco ASA重载。攻击者可以发送特殊报文序列生成此类消息来利用此漏洞进行拒绝服务攻击。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接 :

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120314-asa

 

3.4 Cisco多个产品协议独立组播拒绝服务漏洞

Cisco多个产品协议独立组播拒绝服务漏洞

发布时间:

2012-03-14

漏洞号:

CVE ID:CVE-2012-0356

漏洞描述:

协议独立组播(Protocol Independent Multicast)是组播路由协议,它独立于任何IP路由协议。PIM可以利用使用中的任何单播路由协议,包括EIGRP,OSPF,BGP或静态路由,用于填充单播路由表。
PIM实现存在一个安全漏洞,当组播路由启用时处理特制PIM消息存在安全漏洞,允许使受影响设备重载。攻击者向受影响设备发送特制PIM消息可触发此漏洞。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120314-asa

 

3.5 Expat XML解析远程拒绝服务漏洞

Expat XML解析远程拒绝服务漏洞

发布时间:

2012-3-12

漏洞号:

CVE ID: CVE-2012-1147

漏洞描述:

expat是James Clark开发的开放源码面向事件的XML解析库。
expat存在多个拒绝服务攻击:
-readfilemap.c中存在一个资源泄露问题(CVE-2012-1147) 。
-poolGrow存在一个内存泄露问题(CVE-2012-1148) 。
-expat处理哈希表碰撞存在安全问题可导致拒绝服务攻击(CVE-2012-0876)。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://expat.sourceforge.net/