当前位置: 安全纵横 > 安全公告

一周安全动态(2012年3月29日-2012年4月5日)

来源:安恒信息 日期:2012-3

2012年4月第一周(3.29-4.05)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 黑客挑衅全世界3月31全球网络瘫痪?

近日,令世界网络行业闻风丧胆的著名黑客组织Anonymous公开表示,将会在2012年3月31日对全球13个DNS根服务器进行DDoS攻击,通过让根服务器过载的方法来瘫痪全球网络,籍此抗议美国SOPA/PIPA法案,以及对“为一己之力而置世界于饥饿的华尔街银行家资本家”进行抗议。



anonymous黑客组织

Anonymous已经列出了13个DNS根服务器的IP地址,表示要通过切断互联网,让人们无法使用域名解析服务使互联网瘫痪。Anonymous表示他们本意并不是要破坏互联网,只是想要暂时采取这种极端的方法来表达抗议。

面对不相信Anonymous可以切断互联网的观点,Anonymous表示他们拥有一个强大的DDoS工具来发起强力的DDoS攻击,让人们了解虽说互联网不能轻易攻破,但是他们完全有信心摧毁某些网站来引起人们对互联网安全的重视。

关于SOPA/PIPA法案

SOPA/PIPA法案是美国众议院及参议院提出的关于知识产权保护的两个重要法案。其中“SOPA”为《禁止网络盗版法》(Stop Online Piracy Act)的缩写,“PIPA”则是《保护知识产权法案》(Preventing Real Online Threats to Economic Crevativity and Theft of Intellectual Property Act of2011)的缩写。两个法案原意是要阻止有关美国外网站对版权的侵犯,但也引起了部分人的不满。

该法案的施行也会拥有全球性的影响,打个比方,华纳兄弟电影公司发现了在意大利某网站上有《黑暗骑士》的种子下载,他们就可以要求谷歌迅速在其搜索引擎中移除这个网站的所有内容,PayPal也会立即停止接受对该网站的一切支付行为,也就意味着此网站离关站不远了。

关于“Anonymous”



anonymous黑客组织

Anonymous是一个活跃于网络,关注公民抗命和网络爆红活动的黑客组织。它在2003年诞生于图片论坛4chan。该组织最初由于对科学教网站的攻击而受到关注。在维基解密的泄密事件中,该组织由于支持维基解密,攻击维基解密的“敌人”而成为关注焦点。

2012年2月1日,因欧盟支持反仿冒贸易协定(ACTA),国际黑客组织Anonymous开始入侵欧盟多家网站,其中包括欧洲议会(European Parliament)的网站。近日继戏弄FBI(美国联邦调查局)后,该组织又已经攻破CIA(美国中央情报局)网站,Anonymous发布信息称,已窃取阿拉巴马州警方和政府服务器数据,攻击墨西哥参议院和内务部网站,并已暴露墨西哥矿业商会的邮件地址,目的是抗议阿拉巴马州去年制定的House Bill 56移民法。

 

1.2 国防部网和中国军网月均遭受境外攻击8万余次

时间:2012年3月29日15:00

地点:国防部外事办公室

发布人:国防部新闻事务局副局长、国防部新闻发言人杨宇军上校

杨宇军:各位记者朋友,大家下午好。欢迎各位出席本月的国防部例行记者会,今天没有消息向大家发布,下面请提问。

记者:有境外媒体不时指责中国军队所支持的黑客组织对他国的高科技企业、武器生产商以及电网、金融等非军事领域设施进行攻击,并预测到2020年中国军队将具备切断外军通讯网,让卫星失灵等网络攻击的能力。中方对此有何评论?

杨宇军:网络攻击具有跨国性和匿名性等特点,在没有经过彻底调查、没有掌握确凿证据的情况下就对攻击源作出判断,是不专业的,也是不负责任的。

中国法律禁止黑客等任何破坏互联网安全的行为,中国政府对相关犯罪活动进行严厉打击。中国是黑客攻击的受害者,大量事实表明,中国信息网络在这方面深受其害。据不完全统计,2011年境外有将近4.7万个IP地址控制中国境内近890万台主机。今年1月至3月,根据IP地址显示,中国国防部网和中国军网每月平均遭受来自境外的攻击达8万余次。但是,我们从来没有以此为由指责其他国家。我们认为,妄加指责只会增加彼此的猜疑、破坏互信,不利于有关问题的解决。

当前,网络安全问题已经成为各国共同面临的综合性安全挑战。维护网络安全既是各国的共同利益,也是各国的共同责任。我们希望有关各方多做有利于增进互信、维护网络空间安全的事情。

 

1.3 香港黑客入侵案急剧上升 涉金融勒索个案占多数

据香港星岛日报报道,香港特区警务处处长曾伟雄27日透露,近期黑客急剧上升,由前年的一宗,增至去年的十宗以上,今年首3个月已多达10多宗,当中针对金融的黑客个案占大多数,更有多宗涉及勒索的非法行为。

曾伟雄27日透露,被捕的两名疑犯已保释,警方正等候计算机法证,及调查有没有其它攻击源头。曾伟雄表示香港的黑客犯罪个案急剧上升,由2010年仅得一宗,去年已升至11宗,但今年首3个月已有10多宗,其中“金融机构的黑客活动”占达10宗。

他又说:“以往的黑客主要炫耀自己在科技上的能力,自己有多聪明,但现在的黑客已牵涉非法的行为,包括勒索。”多宗金融机构的黑客案件,都有要求交付赎金。他强调警方自2000年已成立科技罪案组打击黑客,约有200人员,今年内会成立网络安全中心,加强香港防护工作。

 

1.4 电子证据写入新刑诉法 检察官与黑客过招不再被动

 


技术人员正在恢复硬盘数据

“新刑诉法第四十八条明确将电子证据作为刑事诉讼证据的种类之一,说明电子证据的效力和积极作用已经得到认可。无论犯罪嫌疑人多狡猾、作案手段多隐蔽,在现代检察技术面前都将无处遁形,这个信心我们是有的!”近日,面对来访的记者,上海市徐汇区检察院技术科干警陆渊神采飞扬地说。

陆渊的信心来自徐汇区检察院办理一起非法控制计算机信息系统犯罪案件的成功经验。

“傀儡机”恶意攻击服务器

犯罪嫌疑人向某是个20岁的无业青年,虽然只有初中文化,但却十分精通电脑技术。2010年,他通过运行黑客软件,非法侵入并远程操控了55台他人的计算机,并利用这55台“傀儡机”连续恶意对某知名网络游戏的服务器发动分布式拒绝服务攻击(以下简称“DDOS攻击”)。对该游戏服务器IP发送了大量的“icmp”或“syn”数据包,造成该服务器网络带宽被大量占用,进而堵塞网络通讯,导致被攻击的服务器网络中断、玩家掉线。同时,向某还注册了一个黑客网站,在网页上发布“出售傀儡机”、“DDOS攻击教程”、“黑客培训”等信息,从中牟利。

“网上管这叫‘炸房间’,我就是觉得这很光荣,很能满足自己的虚荣心。”向某对自己行为的解释令人啼笑皆非。原来,涉案网络游戏的玩家均以登录主页面左上角第一个房间(即100号房间)为荣,导致游戏过程中出现了利用DDOS攻击游戏服务器,致使网络中断,玩家掉线(俗称“炸房间”),然后争抢登录第一个房间的现象。向某为得到其他所谓“骨灰”级玩家的崇拜,在网络世界里炫耀本领,就苦学“炸房间”技术,然后对该游戏服务器实施攻击。

技术人员锁定电子证据

2010年11月,该案移送徐汇区检察院审查起诉。检察官发现侦查机关虽然以向某涉嫌破坏计算机信息系统罪移送审查起诉,但查获的向某电脑内能证明其犯罪的大量数据都已被删改,取证遭遇技术难题。

办案检察官几次提审,向某都自恃擅长电脑知识,对犯罪行为避重就轻,拒不供述真实的作案过程。该案两次移送审查起诉,又两次被退回补充侦查。由于涉案硬盘中的数据难以读取,案件迟迟达不到提起公诉的证据标准。

了解到公诉部门遭遇的难题,该院技术科主动提供帮助,尝试以技术手段恢复电子资料。陆渊等检察技术骨干与主诉检察官一起认真研究案情及相关材料。他们分析发现,要证实向某涉嫌破坏计算机信息系统罪,关键是要解决涉案硬盘的数据复原问题。经过专业取证和数据分析,他们锁定了该案的几个重点技术难题,如被木马程序控制的“傀儡机”IP地址名单、相关“DDOS攻击”程式以及犯罪嫌疑人建立黑客网站、黑客培训教程等内容。

多个基层院协同攻坚

“这起案件之所以最终能够把证据固定下来,还得益于一个良好的技术攻坚机制。该案由我院技术科提出请求,市检察院组织几个基层院的专家进行会诊,才最终圆满办结。”陆渊说。

为解决硬盘数据恢复的诸多难题,徐汇区检察院技术科在组织专业人员开展技术攻坚的同时,积极向上级检察院提出建议。后经上海市检察院技术处统一协调,虹口、卢湾两区检察院技术人员应邀前来协同作战。各家检察院的技术精英们集思广益,使用只读接口连接镜像硬盘,同时利用多种软件在电子取证工作站E-dec上对涉案硬盘中的备份数据进行提取分析,全面检查甄别,终于使涉案硬盘的证据复原工作获得突破。

2011年5月21日,该案提起公诉。法庭审理时,公诉人凭借电子证据辅证,使所有证据形成一个完整链条。在强有力的证据面前,向某不得不低下头。同年7月22日,法院支持了徐汇区检察院对向某犯罪事实及罪名的指控,判处向某有期徒刑八个月。

是“非法控制”还是“破坏”

“虽然案件顺利起诉,法院的判决也采纳我们的起诉意见,但围绕罪责刑是否一致,提起公诉前我们曾有过一番不小的争论。”据该案公诉人、徐汇区检察院公诉科主办检察官胡卓英介绍,在该院检委会会议上,针对此案的讨论相当激烈。委员们各抒己见,在向某是构成“非法控制计算机信息系统罪”还是“破坏计算机信息系统罪”上分歧明显。

案件办理过程中,向某一直声称55台“傀儡机”中有部分是与他人共享,存在被其他黑客重新控制的可能。胡卓英认为该辩解存在一定的合理性,因为凭现有技术手段无法完全排除这种可能性,这也是该类案件在证据上的天然缺陷。对此,检委会得出结论是,现有证据无法证实目标服务器所遭受的来自55个IP地址、共计731个小时的攻击均由向某实施,但根据从向某电脑硬盘上获取的证据,能够证实向某曾通过非法控制55台计算机向目标服务器发动过攻击。因此,将向某的行为认定为非法控制计算机信息系统罪更为准确、充分。

“随着信息时代的到来,各类电子产品越来越多地应用到人们的工作、生活中。这些电子产品所存的大量数据信息很少受客观因素影响,不易损毁,有着极强的证明力,是‘不会说谎的证据’。”陆渊告诉记者,近年来,电子证据被大量运用到办案中,上海市检察院开始大力推广一些新型检察技术手段,各基层检察院技术人员都陆续接受了规范、系统的相关培训。“2010年,我们共完成电子证据检验3件,到2011年这个数据就上升至8件。如今,检察技术部门已不再是只是帮忙修修电脑,而是名副其实的业务部门了。”陆渊说。

 

1.5 抓住黑客主义者不意味着网络就安全了

 

虽然很高兴能看到这些网络罪犯被绳之以法,但我认为在这日渐成长的黑客主义者(Hacktivist)现象背后,还有更大的问题存在。

首先,我在这里所看到的更重要的信息是,逮捕行动并不会延缓黑客主义者的攻击趋势,入侵和攻击事件还是会继续,实际上甚至可能会愈演愈烈。

为什么?因为他们可以这样做。

而问题是,入侵网络不应该是如此容易的事,不管是对黑客主义者或任何人都一样。

这些黑客主义者(绝大多数)都不是真正的“职业罪犯”。真正的专业网络犯罪分子仍然存在,在东欧和中国(还有其他地方),但他们不会将偷来的数据公开发布,更不会在微博上大张旗鼓宣传自己的行动。大多数情况下,我很怀疑执法单位是否能够准确地找到这些“职业罪犯”,更别说去逮捕、引渡和起诉了。

虽然大多数人都希望不法分子被捕,但如果想要通过这些行动来实现,我认为是不切实际的。事实上,这甚至不是正确的作法。

这里真正的问题是,全世界的企业组织对于信息安全的了解和认知都非常贫乏,操作上也没有达到安全标准,更不用说对自己的知识产权、个人可识别信息、控制系统、信用卡信息,以及其他有价值信息和系统方面都缺乏有效的管控机制。

当然我很高兴这些家伙被逮捕了,但我觉得有个更重要的事情不得不说,一般组织根本没有对他们的资产做好足够的保护工作。

对这个问题需要有更加全面的解决方案,我也不确定该从哪里开始,也许要从最根本处着手。组织们可以实施很多关于网络和数据保护的预防措施,借此改善他们的安全状况。这是一种需要持续进行的评估工作,并且需要通过OODA循环(观察,调整,决策,行动)来达到全面的安全实施。其实这也就是已经被广泛采用的利用实战演习来迈向“优化状况感知”。

我最喜欢OODA循环模型的一点是,它会让组织不断加强自身的安全状态,并加以观察、测量和调整。

虽然这听起来可能像是胡扯,但其实早在20年前就有网络安全专家主张了第一个已知的成功安全状态。以一个组织的角度而言,你需要做的第一件事就是要了解你的网络,适当地根据资产的内在价值加以隔离和保护,然后持续保护和监控网络流向,注意可疑或未经授权的连接。

这个概念非常复杂,我还可以继续用大量篇幅来探讨(也许最终会变成一本白皮书),但更重要的是,只要你连接到网络,就没有绝对的安全。你能做的是不断提高安全状态,保护你的资产,让你的组织安全防护更难被攻破。
逮捕黑客主义者并不能帮你做好这些工作。

 

2. 本周关注病毒

2.1 病毒名称:Trojan.Win32.Loader.bn(木马病毒)
警惕程度★★★

该病毒会修改系统文件,使其具有读取游戏账号密码、获取游戏密码截图的功能。遭病毒恶意修改的文件会与游戏一起运行,将盗取的游戏账号密码发送到黑客指定的服务器中。黑客通过贩卖窃取的账号信息获得大量利润。

 

2.2 病毒名称:Backdoor.Win32.Hupigon.ci(后门病毒)
警惕程度★★★

该病毒通过网络传播,病毒会偷窃用户隐私信息,还可能远程控制用户计算机,给用户计算机安全带来极大危害。

 

2.3 病毒名称:Backdoor.Win32.Undef.thq(后门病毒)
警惕程度★★★★

该病毒通过在内存中两级文件的释放发作,加入无用代码来实现免杀、躲避安全软件查杀。病毒采用替换的方式实现开机启动,并将自身放到字体文件夹中隐藏起来。病毒运行后,将获得用户电脑的计算机名、IP地址、安装的杀毒软件、防火墙等信息发送到黑客指定的服务器上。根据黑客的反馈,控制用户电脑实现黑客后门功能,例如,打开IE访问黑客指定网站、下载木马病毒、监视屏幕摄像头、查看电脑中的文件等,使用户电脑变成黑客肉鸡。

 

3. 安全漏洞公告

3.1 F5 FirePass SQL注入漏洞

F5 FirePass SQL注入漏洞

发布时间:

2012-03-29

漏洞号:

BUGTRAQ ID: 52653

漏洞描述:

F5 FirePass SSL VPN设备允许用户安全的连接到关键业务应用设备上。
F5在FirePass的实现上存在SQL注入漏洞,成功利用后可允许未验证的攻击者控制应用、访问或修改数据。

安全建议:

F5已经为此发布了一个安全公告(SOL13463)以及相应补丁:
SOL13463:FirePass SQL injection vulnerability
链接:
http://support.f5.com/kb/en-us/solutions/public/13000/400/sol13463.html

 

3.2 OpenSSL S/MIME标头处理空指针引用拒绝服务漏洞

OpenSSL S/MIME标头处理空指针引用拒绝服务漏洞

发布时间:

2012-03-29

漏洞号:

BUGTRAQ ID:52764
CVE ID: CVE-2012-1165

漏洞描述:

OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL在处理畸形S/MIME消息时在实现上存在远程拒绝服务漏洞,攻击者可利用此漏洞使受影响应用崩溃。

安全建议:

OpenSSL Project
---------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.openssl.org/

 

3.3 nginx 'ngx_cpystrn()'信息泄露漏洞

nginx 'ngx_cpystrn()'信息泄露漏洞

发布时间:

2012-03-29

漏洞号:

BUGTRAQ ID:52578
CVE ID: CVE-2012-1180

漏洞描述:

nginx是一款使用非常广泛的高性能web服务器。
nginx在处理上游服务器的畸形HTTP响应的实现上存在信息泄露漏洞,攻击者可利用此漏洞获取敏感信息。

安全建议:

Igor Sysoev
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://nginx.net/

 

3.4 Apache Struts2 'XSLTResult.java'远程任意文件上传漏洞

Apache Struts2 'XSLTResult.java'远程任意文件上传漏洞

发布时间:

2012-03-27

漏洞号:

BUGTRAQ ID:52702

漏洞描述:

Apache Struts是一款开发Java Web应用程序的开源Web应用框架。
Apache Struts在实现上存在安全漏洞,攻击者可利用此漏洞在网络服务器进程中运行上传的脚本代码,导致非法访问或权限提升。

安全建议:

Apache Group
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://httpd.apache.org/

 

3.5 PHP 5.3.9之前版本strtotime函数调用远程拒绝访问漏洞

PHP 5.3.9之前版本strtotime函数调用远程拒绝访问漏洞

发布时间:

2012-3-27

漏洞号:

BUGTRAQ ID:52043
CVE ID: CVE-2012-0789

漏洞描述:

PHP是一种在电脑上运行的脚本语言,主要用途是在于处理动态网页,包含了命令行运行接口或者产生图形用户界面程序。
PHP 5.3.9之前版本在时区功能的实现上存在内存泄露,php_date_parse_tzfile缓存没有正确处理多个strtotime函数调用,导致内存耗尽的拒绝服务。

安全建议:

PHP
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.php.net