当前位置: 安全纵横 > 安全公告

一周安全动态(2012年5月10日-2012年5月17日)

来源:安恒信息 日期:2012-5

2012年5月第三周(5.10-5.11)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 网络数据遭遇威胁 黑客可靠聆听键盘声盗密(图)

黑客可依靠聆听键盘声盗取秘密数据。

中新网5月4日电 据外媒报道,近来有些黑客仅需观察计算机的用电量,或聆听键盘发出的声音,便可发动攻击以及盗取秘密数据,即使保安最严密的计算机也未能幸免。

据报道,虽然过去10年杀毒软件推陈出新,但是“道高一尺,魔高一丈”,黑客也不断采取新手段盗取网络秘密数据或发动攻击。有的黑客能根据计算机在一定时间内的耗电量来对其数据进行分析与破解;甚至有的黑客能根据计算机键盘发出的声音来对电脑进行攻击,盗取秘密数据。

据悉,随着计算机云技术的运用,许多秘密数据面临的威胁越来越大,但目前科学家已经着手研发相关应用程序,应对黑客的挑战。

 

1.2 黑客公布5.5万笔Twitter用户帐号及密码

Twitter于声明中指出,黑客所公布的使用者账号或密码中,有超过2万笔是重复的,而且含有许多已被该站停权的垃圾账号,还有许多账号与密码是不相符等。

上周有黑客透过Pastebin网站公布了逾5.5万笔Twitter用户的账号与密码,但Twitter表示这当中有许多资料是无用的。

由于这批使用者名单实在是太长了,因此黑客在Pastebin上必须要分成五篇文章才贴得完。这群黑客宣称来自Anonymous黑客组织,而且已骇进Twitter的服务器。

Twitter则于声明中指出,该公司仍在调查这起资料外泄事件,不过,黑客所公布的使用者账号或密码中,有超过2万笔是重复的,而且含有许多已被该站停权的垃圾账号,还有许多账号与密码是不相符等。

即使此次外泄的信息质量不佳,但Twitter已通知受影响的使用者,同时鼓励那些担心自己账号被骇的用户立即修改账户密码。

 

1.3 医科毕业生成黑客窃取医院医药信息

正规医科大学毕业的陈某,经常装模作样地走进医院,但却从来不看病。找到医院的公用查询电脑后,他会悄悄拔下网络插头,通过无线路由器等设备,让自己携带的笔记本电脑,连上医院的“内网”。

之后,他再利用黑客程序,侵入医院的计算机信息系统。这一切,都是为了窃取医院的医药信息,转手高价卖给上家。昨天,温州鹿城区检察院透露,陈某因涉嫌非法获取计算机信息系统数据罪,已被依法批准逮捕。

窃取医药信息,每笔数据赚两万元左右

陈某,31岁,宁波人。2002年,他考上了浙江省中医药大学,毕业后,和上海一家医药公司签约,主要负责药品的宣传销售,收入还不错。

今年1月的一天,陈某偶然间在网上,通过QQ认识了一个网名叫“一一”(身份未明)的男子。

“一一”说,他需要医药信息。聊了一段时间,他俩在电话中达成了协议:“一一”为陈某提供侵入医院计算机信息系统的黑客程序,陈某每个月给“一一”提供一次医院数据,每笔数据的价格是两万元。

今年1月31日,陈某和“一一”一起来到温州,先后“光顾”了温州18家医院,成功窃取了多家医院的医药信息。当天,“一一”就给了陈某一张存了两万元的农行卡。

2月29日,陈某又开车来到温州,再次来到这18家医院,成功窃取了2月份的医药信息。陈某第一时间把这些信息传给了“一一”,当天,他又收到了2.5万元汇款。

“三顾医院”终于被抓

3月31日,陈某又行动了。当天下午2点多,陈某自己开车,先后跑到乐清医院等4家医院,顺利获得了想要的信息。

下一站,是温州市第二人民医院。陈某走到一楼急诊化验室旁,找到了一台供群众打印化验结果的电脑。

他熟练地将自己的电脑,和这台公用电脑连接了起来,窃取了该院的药品数据。然而,就在他合上电脑,准备闪人时,医院保安挡住了他。

原来,温州市第二人民医院信息科早就发现,有人分别在1月和2月,非法侵入了医院内部的计算机系统,窃取了医院的医药信息。案发时,该院3个月里共被盗约60万条信息。

该院保卫科工作人员查看了监控,发现了陈某和“一一”的行踪。

医药代表买到数据后,有的放矢推销药品

除了在温州作案,今年1月至3月,陈某还到绍兴和义乌等地的医院,窃取过医药信息。

窃取这些医药信息,到底有什么用呢?

陈某打了个比方,这些信息卖给上家后,他们可以破解这些数据,分析医院里每个科室里每个医生的用药情况。整理出来的数据,有可能转卖给相关医药公司或医药代表。而医药代表,根据这些数据,就可以有针对性地到这些医院推销药品。

检察机关介绍,这些数据或许还有其他用途,还要等案件进一步调查才能得知。

办案检察官介绍,陈某的行为,一方面泄露了医院的医药机密信息,损害了医院的利益,另一方面也造成医药行业的不正当竞争,破坏了公平合理的医药市场秩序。

陈某以牟利为目的,非法侵入计算机通信系统,获取医院医疗药品使用信息,非法获利4.5万元,情节特别严重,其行为已涉嫌非法获取计算机信息系统数据罪。

 

1.4 探索Anonymous黑客 研究人员面临重大挑战

更好的了解对手后,通常就可以进行更明智的防御并最终让数据更加安全,目前两位不露面的研究人员试图刺探Anonymous(匿名)黑客组织,了解那些怀有各种意图的人们之间的复杂关系。

更好的了解对手后,通常就可以进行更明智的防御并最终让数据更加安全,目前两位不露面的研究人员试图刺探Anonymous(匿名)黑客组织,了解那些怀有各种意图的人们之间的复杂关系。

这两位安全研究人员在上周举行的2012年波士顿会议(2012 SOURCE Boston Conference)的开幕主题演讲中表示,困难的不仅是描绘出Anonymous组织的构成,还要界定他们的活动。Akamai Technologies公司的安全情报总监Joshua Corman,和在Attrition.org网站上被称为Jericho的研究员Brian Martin,通过各种文件概述了他们的工作:他们试图知道那些称自称为Anonymous成员的目的。Corman说,这项研究的旨在揭开Anonymous黑客组织的神秘面纱,减少一些普遍存在的误解,警告安全行业——忽视该黑客组织制造的长期威胁将导致的严重后果。

“Anonymous像一面镜子反映了我们的疏忽,” Corman说道,“这些都是非常简单的攻击......它们向我们展示了我们是多么的不安全,以及其中一些是多么的闹剧。”

名为Anonymous的人们一直进行着一些攻击,包括分布式拒绝服务(DDoS)攻击,针对SQL注入的网站攻击,跨站点脚本(XSS)和其他常见的网站漏洞。而他们使用的技术相当简单,就是自动化工具,虽然技术相对简单,但他们已经成功地获得了媒体的关注,并在全球黑客运动中占有一定的分量。对一些企业来说,数据泄漏事件也被证明是要付出巨大代价的,且非常尴尬,比如索尼电影娱乐公司,福克斯广播公司,PBS公司和HBGary公司。但是,据Corman说,更为严重的是那些打着Anonymous运动幌子的网络犯罪分子们所进行的攻击。

在提到“Anonymous”这个名字时,Corman表示,“它更像是一个品牌,一个被借用的专利权,经常被任何人滥用。”对此,Corman说,“我更关心那些假的攻击和以 ‘Anonymou’之名窃取知识产权的伪装者。”

两位研究人员已经创建了一个名为“建立一个更好的Anonymous”的博客系列,其中概述了黑客组织如何克服其组织的问题,建立最终的游戏规则,从而变得更有效率,以更少的附带损害实现目标。该系列记录了专题小组关于Anonymous和Anonymous黑客活动的讨论,两个研究人员还参与了Anonymous黑客活动 Defcon 19(译者注:戒备状态 (DEFCON)是衡量美国军队活跃度和备战状态的等级。它描述进攻姿态的程度,以为参谋长联席会和联合司令部所用。)该系列的目标是以非对抗性方式更好的了解黑客运动,Corman补充道。

Anonymous黑客组织源于21世纪初的反安全(Antisec)运动。在报复针对维基百科及其创始人朱利安?阿桑奇的法律行动中,它声名大噪。它建立在报复的想法之上,Jericho说道。“Anonymous是反动的;你做不好,所以我们要惩罚你,”他说道。“如果他们开始将恐惧当作一种工具时,将会发生些什么呢?”

Jericho还是Risk Based Security公司非营利活动的总监,他表示,Anonymous黑客组织结构松散,它由那些对自己看不惯事情进行反击的人组成。它不是传统的组织,”Jericho说道,“它是一个元组或意识形态。”Jericho认为该组织与海盗的历史分析,或现代基督教的广袤群体(由各种信仰、道德信念,宽容底线组成)关系很大。

“Anonymous组织带来了一个巨大的灰色地带,”Jericho说,“有些人会在某天参与进来,但那不是最后一个。”

 

1.5 计算机网络攻击常见手法防范

许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。

(一)利用网络系统漏洞进行攻击

许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。
对于系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏忽而使他人有机可乘。

(二)通过电子邮件进行攻击

电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。

对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,Outlook等收信软件同样也能达到此目的。

(三)解密攻击

在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一重要手法。

取得密码也还有好几种方法,一种是对网络上的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。

但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又提了一道难题。这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。

另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置得比较简单,如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。

为了防止受到这种攻击的危害,用户在进行密码设置时一定要将其设置得复杂,也可使用多层密码,或者变换思路使用中文密码,并且不要以自己的生日和电话甚至用户名作为密码,因为一些密码破解软件可以让破解者输入与被破解用户相关的信息,如生日等,然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码,这样使其被破解的可能性又下降了不少。

 

2. 本周关注病毒

2.1 病毒名称:Trojan.Win32.KillAV.cxo(木马病毒)
警惕程度★★★

该病毒运行后试图关闭多种杀毒软件,访问黑客指定的网站,下载木马病毒到本地执行。病毒会遍历系统中的可移动存储设备(U盘、MP3、移动硬盘等),并向这些设备中写入自动运行的脚本,用户使用这些带毒设备后就会被感染。

 

2.2 病毒名称:Trojan.Win32.Fednu. ufg(木马病毒)
警惕程度★★★

该病毒运行后,会释放病毒驱动程序,替换系统服务并结束杀毒软件。为进一步扩大传播范围,病毒会通过局域网和U盘进行传播。电脑中毒后还会被开设后门,成为黑客肉鸡,不断下载盗号木马。

 

2.3 病毒名称:Trojan.PSW.Win32.OnlineGame.boc(木马病毒)
警惕程度★★★★

该病毒是一个网游盗号木马,该病毒运行后会通过键盘记录、读取游戏窗口信息和内存信息等方式盗取多种流行网络游戏的账户密码,对网游玩家威胁极大。

 

3. 安全漏洞公告

3.1 Apple Mac OS X CoreStorage信息泄露漏洞

Apple Mac OS X CoreStorage信息泄露漏洞

发布时间:

2012-05-10

漏洞号:

BUGTRAQ ID: 50109
CVE ID: CVE-2011-3212

漏洞描述:

OS X Lion Server 内含一组应用软件,可将任意一台Mac 变成功能强大的服务器。Mac OS是一套运行于苹果的Macintosh系列电脑上的操作系统。
Apple Mac OS X 10.7和10.7.1在实现上存在信息泄露漏洞,攻击者可利用此漏洞检索受影响计算机上的任意文件。

安全建议:

厂商补丁:
Apple
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://support.apple.com/

 

3.2 WebKit安全限制绕过漏洞

WebKit安全限制绕过漏洞

发布时间:

2012-05-09

漏洞号:

CVE ID: CVE-2012-0676

漏洞描述:

WebKit 是一个开源的浏览器引擎,与之相应的引擎有Gecko(Mozilla Firefox 等使用的排版引擎)和Trident(也称为MSHTML,IE 使用的排版引擎)。同时WebKit 也是苹果Mac OS X 系统引擎框架版本的名称,主要用于Safari,Dashboard,Mail 和其他一些Mac OS X 程序。
WebKit在实现上存在安全限制绕过漏洞,可允许特制的网站用任意值填充另一个网站,攻击者可利用此漏洞绕过安全限制。

安全建议:

厂商补丁:
WebKit Open Source Project
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://webkit.org/

 

3.3 Cisco Unified MeetingPlace跨站脚本执行和SQL注入漏洞

Cisco Unified MeetingPlace跨站脚本执行和SQL注入漏洞

发布时间:

2012-05-09

漏洞号:

CVE ID: CVE-2012-0337

漏洞描述:

Cisco Unified MeetingPlace会议解决方案允许组织承办集成语音、视频和web会议。
Cisco Unified MeetingPlace 7.1.2.6 (MR1)之前版本在实现上存在多个漏洞,可被恶意用户利用执行跨站脚本和SQL注入攻击。
1)某些输入没有正确过滤即返回给用户,可被利用在受影响站点的浏览器会话中执行任意HTML和脚本代码。
2)某些输入正确过滤即用在SQL查询中,可被利用在受影响站点的浏览器会话中执行任意HTML和脚本代码。

安全建议:

厂商补丁:
Cisco
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.cisco.com/warp/public/707/advisory.html

 

3.4 HP Performance Insight多个安全漏洞

HP Performance Insight多个安全漏洞

发布时间:

2012-05-09

漏洞号:

CVE ID: CVE-2012-2007,CVE-2012-2008,CVE-2012-2009

漏洞描述:

HP-UX、Linux、Solaris、Windows平台上的HP Performance Insight 5.3.x、5.41、5.41.001、5.41.002在实现上存在多个漏洞,可被恶意用户利用绕过某些安全限制并执行跨站脚本和SQL注入攻击。
1)某些未指定输入没有正确过滤即用在SQL查询中,可通过注入SQL代码操作某些SQL查询。
2)某些未指定输入没有正确过滤即返回给用户,可被利用执行任意HTML和脚本代码。
3)应用中的未指定错误可被利用获取未授权访问。

安全建议:

HP已经为此发布了一个安全公告(HPSBMU02775)以及相应补丁:
HPSBMU02775:SSRT100853 rev.1 - HP Performance Insight for Networks Running on HP-UX, Linux, Solaris, and Windows, Remote SQL Injection, Cross Site Scripting (XSS), Privilege Elevation
链接:http://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c03312417

 

3.5 SAP NetWeaver远程代码执行和拒绝服务漏洞

SAP NetWeaver远程代码执行和拒绝服务漏洞

发布时间:

2012-05-09

漏洞号:

BUGTRAQ ID: 53424 CVE ID: CVE-2011-1517,CVE-2012-2511,CVE-2012-2512,CVE-2012-2513,CVE-2012-2514

漏洞描述:

SAP NetWeaver是SAP的集成技术平台和自从SAP Business Suite以来的所有SAP应用的技术基础。
SAP NetWeaver在实现上存在多个安全漏洞,成功利用后可允许攻击者以当前用户权限执行任意代码或造成应用崩溃。

安全建议:

厂商补丁:
SAP
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.sap.com/platform/netweaver/index.epx