当前位置: 安全纵横 > 安全公告

一周安全动态(2012年8月30日-2012年9月6日)

来源:安恒信息 日期:2012-9

2012年9月第一周(8.30-9.6)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 信息资源也是国家的“领土”

2010年以来,“维基解密”网站陆续曝光了大量美国外交电报,“维基解密”事件是网络空间对现实社会安全的一种颠覆,是互联网络对传统安全的挑战。2011年,奥巴马政府公布的《网络空间国际战略》明确指出,网络空间是国家的重要资产和关键基础设施,有必要动用一切国家力量对其实施保护,以确保国家安全、经济繁荣和人民的福祉。该战略的正式出台,标志着全球信息化发展和信息安全进入了一个新的历史阶段。

中国互联网络信息中心(CNNIC)公开数据显示,截至2011年年底,中国网民规模达到5.13亿。互联网普及率较2010年提升4个百分点,达到38.3%。随着国家生产和人民生活日益依赖互联网,信息网络安全越来越关系到国家和个人的安危和福祉。而与此同时,我国目前的网络环境也不容乐观。2011年,国家计算机网络应急技术处理协调中心(CNCERT)抽样监测发现,境外有4.7万个 IP地址作为木马或僵尸网络控制服务器参与控制我国境内主机,其控制的境内主机数量由2010年的近500万增至近890万,呈大规模化趋势。境外黑客对境内1116个网站实施了网页篡改;境外11851个IP通过植入后门对境内10593个网站实施远程控制。粗略估算,这些恶意行为造成的直接经济损失至少在百亿级别。

2012年5月9日国务院常务会议讨论通过《关于大力推进信息化发展和切实保障信息安全的若干意见》,明确两方面信息安全工作重点:一是健全安全防护和管理。重要信息系统和基础信息网络要与安全防护设施同步规划、同步建设、同步运行,强化技术防范,严格安全管理,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。二是加快安全能力建设。完善网络与信息安全基础设施,加强信息安全应急等基础性工作,提高风险隐患和突发事件的发现、监测预警。

安全是一个宏观的概念,内容包罗万象,而信息系统的安全是安全的机芯。建设安全的信息系统是一项复杂的系统工程,因此,必须由国家主导,全局规划,统一标准,明确责任。目前,信息安全主管部门各自为政,职能交叉,各有各的标准,各唱各的调,好听不中用。必须加强信息安全管理组织架构的建设,明确责任划分。在国家层面,建立健全由高层领导负责、各相关部门负责人及内部专家组成的信息安全领导协调机构,理顺关系,增进部门间协同配合、优化资源配置、提高信息安全管理决策的有效性、科学性。明确办事机构,统一协调各部门的信息安全保障工作。

提高信息安全的保障能力要从基础抓起。现在我国在信息化建设过程中使用的核心产品和核心技术都被美国等西方国家所垄断。如果只有应用软件,没有基础硬件和软件做支撑,那么信息化系统安全方面就不可能做到自主可控,安全更是无根之木。

要改变这种受制于人的局面,就必须加速启动核心芯片和基础软件领域等重大科技专项,集中优势资源,持续创新,力争在上述领域取得突破,掌握一批核心技术,拥有一批自主知识产权,造就一批具有国际竞争力的信息安全企业和高附加值的国际著名品牌。操作系统、数据库等系统软件是信息系统的核心,是整个信息系统的基石,是国家战略必争的高新技术。实现电子政务需要自主产权,提高我国企业创新能力和市场竞争力更需要自主产权的支持,国家信息安全离不开自己的自主创新产品。

信息安全人才队伍的建设更是至关重要,可恰恰是我们的薄弱环节。虽然目前我国一些高校设置了信息安全学科,但它仅仅是二级学科,信息安全教学资源不够丰富,人才教育水平总体不高。中国信息安全测评中心是我国专门从事信息技术安全测试和风险评估的权威职能机构,也是国家信息安全保障体系中的重要基础设施之一。2002年起,测评中心整合社会力量积极开展信息安全人才培训,先后推出 CISP、CISM等认证培训。近十年来,面向国家部委和重要行业,累计培养各类信息安全人才六千余人。但目前仍然是部门行为,亟需国家政策支持。

完善我国信息安全法律体系也会对提升信息安全保障水平起到很大的支撑作用。要抓紧制定新的信息安全法律,规范网络空间主体的权利和义务,尤其在信息资源保护使用、信息资源和数据的跨国流动等方面加强立法,明确相关主体应当承担的法律责任和义务,逐步构建起信息安全立法框架。

提高信息安全保障能力,首要任务就是保障我国网络空间的国家的重要资产和关键基础设施安全。要做到有效防御就必须做到知己知彼,从基础抓起,确保我国的信息系统不被侵犯,国家的核心利益不受损失。

1.2 WebDAV曝目录写权限漏洞 网站源代码或遭泄露

近日,某安全检测平台发布紧急安全通告称,应用广泛的通信协议WebDAV存在目录写权限高危漏洞,攻击者可上传任意文本文件,并结合服务器解析漏洞达到上传WebShell的目的,最高可能导致源代码泄露。经安全检测的取样分析和研究,预估全国范围内接近60000 网站存在此漏洞,一旦黑客发动大规模攻击,大量网站将损失惨重。

据了解,WebDAV(Web-based Distributed Authoring and Versioning)是一种基于 HTTP 1.1协议的通信协议,一般用来发布和管理Web资源,包括Win2000/XP、IE、Office以及Dreamweaver均支持WebDAV,这也导致该漏洞波及范围较广。事实上,该WebDAV漏洞属于配置缺陷,于数年前就被曝光,但由于部分站长安全意识较为薄弱,所以该漏洞至今仍广泛存在。

经此安全检测平台分析,攻击者的目标为使用IIS服务器并启用WebDAV的网站,主要攻击方式为以下四种:

1. 直接上传文本格式木马文件

2. 修改网站原有文件(如CSS样式文件)实现挂马

3. 通过Move方法上传ASP格式的木马文件

4. 结合IIS6.0文件名解析漏洞,上传xxx.asp;aa.txt木马文件。

鉴于WebDAV漏洞的广泛影响和可能对网站造成的致命危害,此安全检测平台已第一时间向旗下用户发送了告警邮件,强烈建议网站管理员禁用WebDAV功能,并定期使用相关安全检测服务随时监控网站安全状态。

1.3 银行卡安全漏洞引关注 犯罪案件猖獗令人堪忧

千万元跨境银行卡诈骗案告破

近年来,银行卡的普及给我们的生活带来了便捷,中国银行业目前累积发卡已经超过了30亿张。但在另一方面,也有越来越多的犯罪黑手伸向这个领域,涉及银行卡的犯罪案件猖獗。今天我们就来关注与我们都息息相关银行卡,首先来看公安部门最近破获的一起涉案金额高达千万元的特大跨境银行卡诈骗案。

2012年4月,上海市警方在侦查中发现,某第三方支付平台上有一个终端机器在几天之内竟有5000余笔查询记录,就推断这背后很可能隐藏着一个克隆银行卡的犯罪团伙。

公安部经侦局巡视员张涛告诉记者,这种查询属于异常地查询,他的源头应该是窃取信息制造伪卡,就一路地追踪,从上海追到江西,然后追踪到云南,最后追到境外。

通过技侦手段,警方把罪案源头定位在毗邻我国边境线的缅甸境内小勐拉地区。7月1日凌晨,在公安部的统一指挥下,上海、江西、广东、云南和缅甸警方进行收网行动,成功缉捕犯罪团伙成员15名,缴获了伪卡、侧录装置、针孔摄像头、POS机、手机和U盾等作案工具及窃得的银行卡信息账本。

原来,这是一个由亲族邻里组成的江西余干籍银行卡诈骗团伙,主犯熊氏兄弟几年前就曾因银行卡犯罪被判刑。这次,他们在中缅边境的小勐拉发现,当地流通货币以人民币为主,但没有中国的银行和ATM机,使当地的赌客倍感取款不便,于是就有许多代客取款汇款的钱庄小店应运而生。看到有机可乘,熊某等人就辗转租来一台武汉某行业银行派发的POS机,在当地办起了一个名叫“宏运邮政”的地下钱庄。

开设钱庄只是幌子,他们在POS机上加装盗码器窃取顾客的银行卡磁条信息和密码,之后在老家江西余干将磁卡信息写入事先在广东买来的白卡上,再交由从事广告印刷业务的同案犯许某印制成外观与真卡无异的伪卡,并通过第三方支付平台、网上银行等方式查询余额,最后到ATM机上取款或到商场购买可以变现的贵重物品。

年立案超两万我国银行卡诈骗案件高发

记者在采访中注意到,这起案件的涉案人都来自同一个地域,彼此均为亲族关系,在实施犯罪过程中分工明确,极富效率,这是近两年来银行卡犯罪高发和屡打不尽的重要原因之一。

公安部经侦局巡视员张涛说:“有相当数量的犯罪嫌疑人来从事这种犯罪,那么我们管它叫庞大的犯罪群体。这个犯罪群体有一个特点就是以特定的籍贯地,家族式的犯罪团伙为职业性的犯罪团伙为骨干来延伸出的一个庞大的犯罪群体 。比如这次的银行卡的跨境的犯罪团伙就是其中一个典型的犯罪籍贯地。我们管它叫地缘性犯罪团伙。”

近三年来我国的银行卡诈骗案件处于高发状态,立案数目每年都在两万起以上。

张涛还告诉记者,以这些团伙为核心,延伸出了一个庞大的犯罪链,就是以真卡、假卡和机具形成三个圆,这三个圆是交叉的三个圆,分别延伸出三条支线,就是围绕着假卡往上走,是假卡的买卖,假卡的制造、信息的窃取、信息买卖,还有机具的制造,比如说侧录装置,窥视装置,这是一条线。真卡的骗领,主要是洗钱,当骗了钱之后,通过真卡瞬间提现。这里面呢,包括这个真卡的骗领,真卡的买卖,身份证的捡拾和买卖。

张涛曾经侦办过一个骗领银行卡的大案,犯罪嫌疑人以废品收购为掩护,在一个镇里收集到多达6万张身份证。之后,他就雇人携身份证到银行假冒身份办理银行卡,办完卡后他就四处兜售。有的是通过网上发布这个短信来卖,或者通过群发器发这个短信,一套连身份证、连、发票、连U盾一块卖给你。那么带U盾的300到500元,不带U盾100到200元,他自己交待卖出两万多张。办理银行卡业务时严格审核客户身份是银行方面应尽的职责,而这两个案件也说明,个别银行员工存在失职的问题。

涉外信用卡诈骗案增多

近年来,银行卡诈骗案件高发,而其中在中国境内发生的涉外信用卡诈骗案越来越多,这些案件或者有外籍人士参与,或者是犯罪链条的源头来自国外。

上海,中国的经济中心。近年来,这里发生的涉外银行卡诈骗案越来越多。 上海市公安局经侦总队一支队副支队长喻檬就告诉记者,这两年跨境的银行卡犯罪也特别突出,这次我们破获的510信用卡诈骗案就是犯罪嫌疑人从境外盗取的我们国内的公民的银行卡信息然后复制成伪卡。

据警方介绍,当前国内出现的使用境外信用卡伪卡诈骗的犯罪活动,主要有三种手法:一是使用伪卡在酒店、商场、娱乐场所等高消费场所消费;二是与不法商户相勾结,使用伪卡刷卡套现;三是犯罪嫌疑人以虚假身份注册一个个体经营店,再到银行申请安装POS机,然后用伪卡在该POS机刷卡套现,待被发觉,嫌犯就关店潜逃。

还有一个是直接通过网络直接通过网站去购买境外的银行卡信息 然后他同样的在国内复制成境外的伪卡 在一些大型的商场或者娱乐场所高档消费购买黄金等高价值的物品,因为境外的卡是没有密码的 所以他就直接可以刷卡消费。

在上海市经侦总队的伪卡鉴定中心的显微镜下,我们看到各式各样的伪造的境外信用卡露出了马脚。

VISA卡真卡的周围有一圈微缩文字,它代表一定的意义,然后我们看到假卡,由于技术原因,达不到这样的做工,文字都模糊了,质量比较差。

新闻链接:各国银行卡安全问题日趋严重

其实,近年来不但是我国的银行卡案件高发,世界各国都备受银行卡诈骗犯罪活动之害,造成的损失触目惊心。

世界各国的银行卡安全问题日趋严重:仅2005年,美国就有300万人因ATM机泄漏信息、借记卡诈骗而蒙受损失,总金额高达27.5亿美元。2005年6月,万事达国际信用卡公司宣布,由于信用卡数据处理中心的电脑网络被入侵,4000万张信用卡账号和有效日期等信息被盗,让全球为之震惊。而中国居民经常出游的旅游目的地泰国、马来西亚、印尼等国均是信用卡诈骗的高发地。

今年1月份在新加坡就发现了一个让人震惊的银行卡欺诈事件,就是在几个小时内星展银行损失了50万新币。这个事情一发生以后,在大街的人人心慌慌,很多人都不敢去取款,这个对银行来说是非常大的损失。

中国公安部已经连续五年在全国范围内对银行卡诈骗犯罪开展专项打击行动,也取得了丰硕的成果,但客观现实是,类似的犯罪案件数量却从每年1700多起发展到现在的每年两万多起,几乎是呈几何级数地增长。

银行卡犯罪网上蔓延 打击难度大

说起银行卡诈骗案件,人们往往会想到复制、盗刷、取款机等名词,可是记者从公安部了解到,近年来一种被称为“无卡犯罪”银行卡诈骗活动,正在网络上滋生蔓延。

公安部经侦局巡视员张涛告诉我们,现在有无卡犯罪,为什么要提卡字呢?因为他中间有卡的环节,有卡演变成不用卡,但是经过提现他要用卡,有卡演变成无卡,通过网上窃取,把你网上的所谓的无形的卡里的钱转移到我的账上去,然后再通过ATM机提现。

“无卡犯罪”之所以与卡有关,还在于它在网上侵害的对象都是真实存在的银行卡账户,犯罪分子用鼠标和键盘施展空空妙手,将账户中的财富劫掠一空,是名符其实的“网上飞贼”。

济南公安机关侦办的一个蒋海峰犯罪团伙,这个案件就是涉及到了很多80后的大学生犯罪团伙,也有正当的职业,高收入的职业。他的同伙不像别的彼此之间互相认识,他不是,到我们抓住之后,他的上游也是只知道一个网名,就是通过网上一个名叫黑卡的QQ群彼此联络。

这个团伙的核心成员蒋海峰,在网上从上家手里购买银行卡信息,然后指挥下家制造伪卡,去ATM机上盗刷套现,但是,他的所得仅为盗取金额的两成,其余八成都被多层上家给瓜分了。他就发现,我这个很不划算,我这个冒这么大的风险,我才得2成,那个上游的人告诉我,我也得2成,剩下的都给上家了。层层参与分成,不是说我卡、信息卖给你就没事儿了,你每刷一笔,我要提一笔钱,他有监控,通过监控看到你这个刷了多少钱,如果你不交钱,他卡立刻就给你作废了。

蒋海峰的上家们为什么要层层设置中间环节,而不是自己制作伪卡提现,获取最大利益呢?最主要的还是为了逃避打击。这种犯罪为什么打击难度大呢,就是你不把上下游都认定了,这个罪证固定了,你中间这个就不能用,上游下游,认定是中间这个罪,所以这些环节你要抓到其中一个人的话,罪都定不了。

网银支付有漏洞嫌疑人轻松套现

从这个案件我们可以看出,近年来网上支付业务的创新发展,也给有关方面带来新的监管打击难题。

网上购物、网上支付,确实给我们的生活带来极大的便利,但是也让各种各样的风险和陷阱需要我们去防范和应对。

中国人民银行前任支付和结算司司长陈静说:“大家知道钓鱼网站就是比如说是工商银行ICBC,这个网站是LCBC,英文字母很像,跟它一模一样,客户不小心,就上了一个虚假的某家银行的网站,这个网站让你输入卡号,你要输入密码,这样卡号全有了,所以他过了没多少分钟,就把银行卡的钱给盗取了。”

除了用钓鱼网站骗钱,还有一些在网上进行“无卡犯罪”的人,专找网络支付屏障的安全漏洞,以谋求不轨。去年上海市公安局就破获了一起利用互联网实施诈骗的银行卡案件,犯罪嫌疑人在实施整个犯罪的过程中基本上是全部呆在家里,就靠一台电脑就最终实施到了这个银行卡的诈骗。

上海人朱凯华发现银行卡可以用来进行网上支付,经过反复谋算,他策划出一个“空手套白狼”的计划。

第一步,他在网上购买了大批高档豪车的车主信息;然后,他找到一群在网上售卖银行卡信息的“卡贩子”,这些人大多数是银行系统的员工。从“卡贩子”手里,朱凯华买到了车主们的银行卡号和余额,以及本人职业、收入、住址、生日、电话、家人等隐私信息。第三步,他就利用网银的登陆对话框试探密码,结果其中有20%的车主的密码不幸被他猜中。

朱凯了解到,通过网上银行可以缴纳水电煤气费或电话费,而银行对此类业务是不提供短信通知的,于是他就在网上发布信息,称只要有人把钱打到他指定的账户上,他就可以以九折的价格代其代缴上述杂费,结果豪车车主们不知不觉成了为他人买单的冤大头,损失总计300多万元,而朱凯华则大发横财。

银行卡被克隆 95万不翼而飞

今年4月,福建泉州的商人茹先生突然发现,自己银行卡里的百万存款仅剩5万元了。当时他还怀疑是ATM机器出错了,第二天早上对账单一打出来发现是很大一件事,所以就赶到太原去报案。

经过查询,茹先生得知自己的银行卡在山西太原某商场消费了95万元购买黄金。可是,卡片一直没有离身,自己最近也没出门,怎么会发生这样的事呢?

经过侦破,警方在四川成都抓获了罗俊等犯罪嫌疑人。罗俊本是成都一个无业青年,有一次看到网上克隆银行卡发财的事,就怦然心动,尝试着和武汉一个卖家联络,花1万块钱买了设备,学了技术。之后,他就有目的地应聘成都一家高消费KTV的收银员职位。去年年底,事主茹先生到成都出差,在这家KTV款待客人,被罗俊盯上了。他拿着移动POSE机到包房请茹先生结账,偷看密码,并用复制器偷偷采录了卡上信息。

罗俊回家之后很快复制了茹先生的卡。为了掩人耳目,他长途奔袭到千里之外的山西太原化妆作案,在一家金店一次性买了价值95万元人民币的金条。不料,两个星期之后太原警方就在其交易黄金的时候人赃俱获。

银行卡技术落后存安全隐患

据有关专家介绍,要从根本上扫除克隆银行卡犯罪的现象,必须要将目前社会上正在广泛使用的银行磁条卡,升级为带有操作系统的芯片卡,目前,我国银行业正在推动这项升级工作,但进展缓慢,磁条卡升级改造工程已大大落后于亚太周边国家和地区,一定程度上导致银行卡诈骗犯罪的浊流涌向中国。

银行卡主要分为磁条卡和芯片卡两种,近年来,磁条银行卡越来越暴露出存储量小、保密性差、容易被复制的弱点。世界上许多国家和地区曾经遭受复制银行磁条卡的犯罪活动之害,不仅物质财产被侵害,甚至国家的名誉也被蒙上了污点。马来西亚以前就曾在磁条卡上栽过跟头。各国游客在赴马之前,都会被警告小心使用信用卡。但是,很多从马来西亚回国的人还是发现他们的信用卡被复制盗刷。

中国智能卡专业委员会理事长潘利华说:“以前马来西亚他用的磁条卡到全世界人家都不收,为什么呢?他假卡太多,给整个国家的威信都扫地了。一看这个卡片是马来西亚,刷都不刷,所以那次马哈蒂尔说一下子把6千万的全换掉了。”

相比磁条银行卡而言,带有独立CPU和操作系统的芯片银行卡具有独立运算、加解密和存储能力、抗攻击性强,安全性更高,可以有效防范金融犯罪。

金雅拓公司安全支付业务亚太地区高级副总裁童雪君告诉我们,磁条卡上面只有三道数据,其中只有两道主要在用,也就是说你的个人信息,发卡行的信息和卡的有效期,都在这两道数据里头,所以这个卡的复制是非常简单的,这个芯片卡它前面就像进入门有个锁,这个门是锁住的,你是不能随便进去的。

专家介绍说,芯片卡在进行交易的过程中,会多次和终端系统对话,彼此提交和验证密钥,而且每个密钥都是一次性的,不可被窃取复制。有人说,复制磁卡就像复制钥匙一样,齿形相符即可;而要复制芯片卡,就像重造一把密码锁,几乎是不可能完成的任务。

据中山达华智能科技公司常务副总经理娄亚华介绍,CPU芯片内部有双重的安全机制,第一重是芯片本身集成的加密算法模块,第二重则是CPU卡芯片特有的COS系统,COS可以为芯片设立多个独立的密码,密钥以目录为单位存放,每个目录下的秘钥之间相互独立,并且有防火墙功能。

正因如此,三大国际银行卡组织Europay、Master、VISA共同制定了由从磁条卡向智能IC卡转换的标准,引导各国银行卡系统升级改造,以防范犯罪风险。目前中国台湾地区、马来西亚、日本、韩国等已基本完成了升级,而且取得了立竿见影的效果,当地银行卡欺诈案件比率下降了90%以上。台湾、马来西亚原来都是磁条卡最泛滥的地方,那么现在如果他们都新变化了,那么黑社会肯定还得要最后再捞一把嘛,这样风险就集中到我们这边来了。

我国银行卡升级工作进展缓慢

在我国加紧推动由磁条卡向芯片卡升级已是刻不容缓,此举不但是为了防范金融风险,也是为了维护我国的国际信誉不受损害,但是,为什么我国的银行卡升级工作进展缓慢呢?

据专家介绍,中国的银行卡升级进程较慢,成本巨大是主要障碍。银行磁条卡的制造目前成本约1元/张,而IC卡的制造成本为20元/张,而要将目前正在使用的我超过30亿张的磁卡全部换成IC卡,仅此一项就将耗资600亿元人民币,据估算,包括POS机、ATM机和后台系统在内的全部升级改造费用将超过2000亿元人民币。

中国人民银行支付和结算司前司长陈静就说:“它的更换成本很高,银行要更换程序,要更换机具,包括自动取款机,自动POS机都必须带有IC卡甚至包括非接触IC卡的度卡物的东西,然后整个计算机出的程序也都更新,算下来这个成本不得了。所以说如果你采取一项措施,给它带来的效益或者它付出的成本来进行比较,这是很正常的一种现象,我们要审慎的实施。”

早在2003年,三个国际银行卡组织就宣布推行“风险转移政策”:如果欧洲区各商业银行在2005年前依旧发行磁条卡,那么一旦客户资金被盗刷,银行就需全部赔偿。而在中国,据业内人士统计,和银行坏账、骗贷等信用风险相比,国内由银行卡伪冒、盗刷行为造成的损失相对来说较少,加上经由法院判决的银行赔付案件并不多,一定程度上影响了各银行对银行卡升级的推进力度。因此有识之士呼吁:中国银行业眼光要放长远,不要被眼前的改造成本吓住。

金雅拓公司安全支付业务亚太地区高级副总裁童雪君告诉记者,我们做了这么多国家的芯片迁移,从银行角度来说,都觉得迁移是非常成功的,因为为什么?第一就是说安全,迁移后这个直接的影响就是安全,安全是绝对就提高了,有了安全,客户就会有忠诚度,客户才会放心地用卡去进行消费,这个带来的就是利益对银行是非常重要的,就是客户可以相信你的卡。

2015年我国将不再发行磁条卡

目前,央行已给出了中国银行业银行卡升级工程时间表,宣布自2015年1月1日起,中国将不再发行磁条卡,全部改发IC卡。不过,据业内专家估算,银行磁条卡真正在中国废止,至少还需十年的时间。那么在这期间一旦发生银行卡被盗刷,责任该如何认定呢?近几年类似的官司越来越多,比如开头所说的茹先生那起案件,当初在他发现卡内巨款被盗时,发卡银行却立刻推卸责任,说茹先生自己保管密码不善损失自担。难道银行卡被盗刷就都是储户的过错吗?

储户办理银行卡时,都会被要求在格式合同上签字,合同中有这样的条款:申请借记卡必须设定密码。凡使用密码进行的交易,发卡银行均视为持卡人本人所为。因持卡人保管不当而造成的损失,发卡银行不承担责任。

中国人民银行前任支付和结算司司长陈静说,持卡人有时候也感到很委屈,感到不是故意的,但是泄露了这个密码以后,到底是有意无意,就不是主要的了,你泄露是主要的那么造成损失,确实就是要自己承担了。

但也有法律专家指出,该条款建立在持卡人拿真卡交易的条件基础上,而如果是有人用假卡取款或刷卡消费,则前提条件不成立,就不能套用原来的合同。

最高人民法院也曾在2005年发布文件规定:“因银行储蓄卡密码被泄露,他人伪造银行储蓄卡骗取存款人银行存款,存款人依其与银行订立的储蓄合同提起民事诉讼的人民法院应当依法受理”。至于责任的划分,则要求法院根据事实情况、过错大小来核定。

此外,在谈到盗刷银行卡的法律责任划分时,除了银行和储户外,也不能忽略了一个重要的环节,那就是为克隆卡提供刷卡消费器具的商家。

在这起发生于成都和太原两地的克隆卡案件中,有两个商家牵涉其中。一个是犯罪嫌疑人罗俊所供职的那家KTV歌厅。

北京市律师协会消费者权益委员会主任邱宝昌说,在你歌厅里面,被你的工作人员去获取这个信息,这首先是犯罪分子要承担责任,另一方面,歌厅就是经营者,那要承担相应的责任,他是和发卡的单位共同承担连带责任,你们之间是谁赔的多,谁赔的少,你们可以互相追偿,但是你对消费者是共同赔偿。

法律专家认为,太原那家售卖给犯罪嫌疑人黄金的商场严格来说也应负担连带责任,因为那里的收银人员没有严格审核嫌疑人所持的明显有破绽的克隆卡,也没有认真核对卡主的签名就收单售货,事实上为盗刷的克隆卡从最后一道关口方向。

记者暗访克隆卡隐秘交易

银行卡还在身边,而里面95万元巨款竟然能转眼就不见了,银行卡是如何被克隆倒刷的呢?这背后隐藏着怎样见不得光的交易呢?央视记者对此进行了暗访调查。

搜索网络,有关出售银行卡复制器的小广告比比皆是,令人目不暇接。记者试着和福建泉州的一个卖家通过网络聊天接上了头。对方声称能够提供各种接口的磁卡采集器、读写器和软件,复制银行卡不在话下,还告诫记者学会了这项致富技术不要太贪心,更不要去刷克隆卡买黄金,因为最近已经有好几个人栽在这上面。当记者问他为什么自己不去刷克隆卡弄钱时,对方声称自己胆子比较小,怕被抓住,而卖复制器虽然挣得少,但比较安全。

几番讨价还价之后,双方商定售价为9500元,一周以后在泉州交易。到了约定时间,走进我们房间的是一个30多岁的男子。

原来,他是探路踩点的,待感觉没有什么风险,那名男子二次下楼,不久,就带着另一个同伙进门,手里提着复制设备。

卖家:这是复制器,摄像头,空白卡,软件。

记者:你这不是国产的吧?

卖家:进口的 你看一下全部是英文的,这个只要是银联的都一样的。东西是真的,绝对是保证你可以使用的,但是至于怎么做,还是你们自己的事,靠你们自己的头脑,每个人都有自己的能力。

记者:这干吗用的?

卖家:这就是读卡器

记者:什么意思?

卖家:这是采集的别人的银行卡信息。搞定。

记者:这个东西我随身带,是吧?

卖家:藏在袖子里面也可以,人家都这样用的。

记者:随身带?

卖家:夜店用,知道吧?

记者:夜店?

卖家:等客人喝晕了再用。

记者:这个是怎么用的?

卖家:装到提款机里面,密码到里面装的。

接下来,那名男子要给记者的电脑安装读写软件,但发现这款笔记本没有光驱无法读取光盘,于是就打电话给同伙求援,不久,对方通过网络远程操作完成了软件安装。据说,这是由国外黑客编写的高科技破解软件,全英文界面,是整套设备中最值钱的。

卖家:你一个人去试一下,确定可以的,我一步一步教你。

记者:行。

卖家:拿一张卡过来,这个箭头的方向,磁条朝这个边上,这儿有个记号,黑条朝那头,它显示OK,看到没有,这就是成功了。

那名男子将记者自己的中行卡在一个微型的读卡器上一刷,也就1秒钟,这张卡的所有信息就存到了读卡器上,之后又通过软件,复制到一张空白卡上,为了证明他可以随意读写银行卡,他又把中行卡的信息复制到记者带去的一张农行卡上。

卖家:你一个人去试一下。

记者:我把卡插上,输我的密码?

卖家:对呀。 记者到楼下的取款机把两张刚做好的克隆卡插进了ATM取款机,输入密码后都被验证通过,屏幕显示的卡号就是被复制的那张中行卡的卡号。

记者:东西我们试完了,没有问题的。

卖家:这个肯定的,我跟你说了,我们讲的是什么样,就怎么样。

回到房间,那名男子又通过电脑把那张农行卡的信息恢复回来。

卖家:这张卡拿来,再这样子刷一下擦除成功,这都测试好了,你那个卡是可以的,就OK。

记者又提出要买几张真卡,可以用来转移资金。

记者:卡怎么卖?

卖家:空白卡是吧?空白卡五块钱,我们有送二十张给你。

记者:不是空白,我说冒名卡。

卖家:冒名卡的话,一张要三百。网银的要六百。

记者:哪有那么贵,开玩笑。

卖家:我跟你讲现在你不懂,你就买一张身份证,一个卡只能开一次,肯开不了。到时候如果你确定要的话,我们电话给你。这种没事儿的,大家都是出来混,都是为了挣几块钱。

拿到售货款,两名男子走出了宾馆,打电话给向隐藏在幕后的老板通报情况。

银行卡因何容易被克隆

记者暗访的结果令人触目惊心,由银行印发的用做存取资金凭证的银行卡竟然和宾馆房卡一样可以被随意涂写、更改和复制,其安全性如何保障呢?那么,银行卡被克隆的原理究竟是什么呢?

这就是记者花万元高价买来的银行卡复制设备,一个小型采集器,一个较大的磁卡读写器,一个用来窥视密码的摄像头,以及若干张外表象商场积分卡一样的空白卡。

拿着这套设备,记者走访了北京中关村的电子市场,却发现这几样设备市场里都有卖,加在一起不过价格不超过三四百元,一般主要用于制作房卡、门禁卡、健身卡、积分卡等。

广东东信和平智能卡公司副总经理李志威告诉记者,这就是磁条读写的一个工具,那么读写器厂家一般会提供两样东西,一个就是接口的一个门道,第二个就是会提供一个驱动的程序,因为他复制也可能就是说复制几张,不是批量的,所以要开发这个软件的话,有一两年开发经验的工程师都可以做这样的工作,开发的门槛儿是比较低的,不需要非常高深的经验。

上海市公安局银行卡伪卡鉴定中心的专家为我们解开了银行卡之所以会被克隆的原因。其实,磁卡上的磁条和录音机磁带的工作原理相似,上面主要储存了银行卡的卡号、发卡银行代码等简单的信息,去ATM机上刷卡就相当于我们登陆邮箱时输入用户名,只要使用者输入密码就可以进入银行的计算机支付系统。

比如说这个磁条卡通过一般的读卡设备,就可以成功的读取他的第一磁道,第二磁道,第三磁道的信息,等于这个IC磁道是没有什么信息的我们可以看到这个第一磁道的信息主要包含主账号和卡面印刷的这个主账号是一致的,所以对于磁条卡来说 是不存在加密信息的,这种的读卡设备只要符合银行卡的标准都可以读取。

ATM机不安全银行管理存漏洞?

按照我国有关法律规定,商业银行有义务为储户提供安全的交易环境,保护其合法利益不受侵害。可近年来,在银行卡盗刷案件中,不法分子在无人值守的ATM提款机上安装侧录设备,窃取磁卡信息和密码的案件时却有发生。银行在管理上是否存在漏洞呢,本台记者对此进行了暗访。

为了暗中考察无人值守的ATM取款机的安全防护能力,也为了观察持卡人的安全用卡习惯,我们选择了北京市通州区的一处“24小时银行”进行测试。

晚18点钟,暗访组记者扮作取款人走到一台ATM机前,将一个微型摄像头装进了键盘盒内,然后留在四周暗中观察。在50分钟之内,先后有8位取款人来到这台ATM机前办理存取款业务,但是没有一个人仔细观察眼前的设施,更谈不上发现密码键盘盒里的机关,微型摄像头清晰地将他们每个人输入密码的画面记录了下来。18点50分,暗访组记者再次走入室内,将摄像头取下离开。

据我们观察,这处“24小时银行”门口有三个摄像头、室内有三个摄像头、四台ATM机上应该各有4个摄像头,但是,在我们到达到离开的一个多小时的时间里,没有任何安保人员出现阻止我们的行为。

1.4 Java 出现零时差漏洞 专家建议暂时禁用

目前多家资讯安全公司发布资讯安全通告表示,目前的Java含有未修补的漏洞,而且黑客已经在攻击中利用该漏洞,因此在甲骨文(Oracle)修补该漏洞之前,用户应该先禁用或解除安装Java。

首先披露此漏洞遭受攻击的资讯安全公司FireEye表示,他们发现ok.XXX4.net网站是此次攻击黑客所使用的主机,其IP位于中国境内。当用户受电子邮件等方式引导连结到该网站时,网页内含的Java程序能够跳脱Java的沙箱保护机制,下载安装恶意程序dropper(Dropper.MsPMs),该恶意程序的主控电脑则为hello.icon.pk,其IP位于新加坡。

专家指出,此漏洞导致的攻击方式与以往有很大的不同。以往的攻击通常会导致浏览器故障,因此用户可能会发现有问题,但该漏洞不会导致浏览器当机,能在用户毫无知觉的情境下安装恶意软体。

目前最新版本的Java(JDK/JRE version 1.7 update 6)均含有此漏洞,而且是Windows、OS X、Linux各平台版本都不例外,各资讯安全公司也发现,不管搭配哪个浏览器,都一样会遭入侵。之前的旧版Java则不确定会受此漏洞影响,不过旧版可能含有其他的问题,因此各资讯安全公司均认为用户不该降级使用旧版。

资讯安全公司DeepEnd及Secunia也指出,此波攻击的Java程序修改了Java的安全性管理规则,导致Java程序可以不受这些规则限制,可以为所欲为。

DeepEnd公司表示,从Oracle买下SUN取得Java以来,几乎不曾在每季定期更新之外推出安全更新,他们希望Oracle此次能够破例,因为下一次定期更新(10/16)还有一个半月的日期。

该公司也开发一个修补该漏洞的工具程序,可以阻止这个恶意Java程序执行,但如果不法之徒取得该程序,可能用来发展新一波的攻击,因此该工具仅提供给大批电脑且依赖Java运作的资讯管理人员使用。

目前发现的攻击事件都是针对Windows上的Java 7,但资讯安全顾问公司Accuvant已经证实同样的漏洞可以在OS X及Linux上进行攻击,因此这些系统的用户可能也需要停用或解除Java才能保护系统的安全。

上个月举办的黑帽大会中,专家曾指出因为Java具有跨平台的特性,因此Java的漏洞越来越受注目,Java漏洞往往很快就被加入攻击用的工具程序中。

1.5 RSA2012中国峰会结束 OWASP2012中国峰会11月到来

2012年11月3日,Web应用安全组织OWASP(开源Web应用安全项目)主办的“OWASP 2012中国峰会”在深圳博林诺富特酒店召开。本届峰会以“深度解读应用及业务安全”为主题,从多方面、多角度诠释基于因特网、无线电话网和物联网的应用、融合及业务方面的安全,并围绕应用及业务安全发展方向和威胁增长趋势等方面,进行深层次的探讨。

OWASP是一个由全球170个国家分会、3万多名会员和无数志愿者组成的全球性网络安全组织,其目的是协助个人、企业和机构发现和使用可信赖的设备和软件,为网络应用提供公正、实际、有成本效益的参考依据。OWASP是一个非营利组织,不附属于任何国家、企业或财团,其提供和开发的所有设施和文件都不受政治和商业因素的影响,因此OWASP发布的结果被许多国家立法、标准的制定和行业实务守则的撰写所引用参考:美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则;美国国防部美国国防信息系统局(DISA)、国家安全局/中央安全局、英国GovCERTUK、欧洲网络与信息安全局(ENISA)和网络与信息安全局(ENISA)等均公开宣称使用OWASP研究结果为标准;OWASP TOP 10还是IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考和国际信用卡数据安全技术PCI的主要参考标准。

近几年,OWASP峰会以及各国OWASP年会均取得了巨大的成功,推动数以百万的IT从业人员对应用安全的关注,并为各类企业的应用安全提供了明确的指引。OWASP中国分会致力于提高中国网络安全从业人员素质、推进中国安全相关行业的国际化、为国内安全从业人员介绍国内外优秀应用和产品,并为组织和个人提供开源的标准和技术参考, OWASP 2009、2010中国峰会和2011亚洲峰会均较好地实现了这个目的,而深受业界和安全从业人员的关注和赞扬。

本次峰会重点探讨融合应用安全热点,分享先进技术,发布目前主流应用评测结果,展示部分网络应用安全威胁及业务安全解决方案,共享国内外行业最前沿技术;此外,依然邀请政府、金融、互联网、教育、电信、能源、交通和等行业的CIO代表、国内外知名的应用安全专家、厂商代表参观指导,热烈欢迎广大网络安全爱好者、志愿者和从业人员莅临现场。

2 本周关注病毒

2.1 Trojan.Win32.Delf.zde(木马病毒) 警惕程度 ★★★

该病毒运行后关闭多种杀毒软件和安全工具,添加注册表启动项,最终会访问黑客指定网站下载大量病毒,给用户电脑安全带来隐患。

2.2 Trojan.Win32.StartPage.qhn(木马病毒) 警惕程度 ★★★

该病毒会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的,并且还会在后台下载安装流氓软件。

2.3 Trojan.Win32.Confuse.a(“变形注射器”木马病毒) 警惕程度 ★★★★

该病毒是一个经过变形、混淆的文件,其目的就是伪装成正常文件。从本质上分析,这是一个恶意文件注入器。病毒利用全局消息钩子注入指定文件到其他进程,启动宿主进程,并注入代码,同时修改EIP执行自己的代码,偷梁换柱,使用户认为是正常的进程;于此同时,该病毒同过修改注册表,将自身加载为开机启动项,被感染的电脑将偷偷运行恶意页面,同时从黑客指定网址下载大量其他病毒程序。

3 安全漏洞公告

3.1 IBM Rational AppScan / Rational Policy Tester多个漏洞

IBM Rational AppScan / Rational Policy Tester多个漏洞

发布时间:

2012-08-31

漏洞号:

CVE ID: CVE-2011-0013,CVE-2011-1184,CVE-2011-2204,CVE-2011-2526,CVE-2011-2729,CVE-2011-3190,CVE-2011-3389,CVE-2011-3516,CVE-2011-3521,CVE-2011-3544,CVE-2011-3545,CVE-2011-3546,CVE-2011-3547,CVE-2011-3548,CVE-2011-3549,CVE-2011-3550,CVE-2011-3551,CVE-2011-3552,CVE-2011-3553,CVE-2011-3554,CVE-2011-3555,CVE-2011-3556,CVE-2011-3557,CVE-2011-3558,CVE-2011-3560,CVE-2011-3561,CVE-2011-5062,CVE-2011-5063,CVE-2011-5064

漏洞描述:

IBM Rational AppScan是应用安全性软件。
IBM Rational AppScan Enterprise\IBM Rational AppScan Reporting Console 8.6.0.1之前版本\IBM Rational Policy Tester 8.5.0.2.之前版本在实现上存在多个漏洞,可被恶意用户利用泄露敏感信息、执行欺骗和XSS攻击、劫持用户会话、对DNS缓存投毒、操作某些数据、造成拒绝服务和控制受影响系统。
1) 使用函数变量时存在不明细节错误可被利用执行任意代码。
2)其他漏洞是由于绑定了有漏洞的版本的Apache Tomcat。

安全建议:

IBM已经为此发布了一个安全公告(swg21609004)以及相应补丁
swg21609004:Security Bulletin: Vulnerabilities in AppScan Enterprise and Policy Tester
链接: http://www-01.ibm.com/support/docview.wss?uid=swg21609004

3.2 IBM WebSphere Application Server管理员权限访问安全绕过漏洞

IBM WebSphere Application Server管理员权限访问安全绕过漏洞

发布时间:

2012-08-31

漏洞号:

CVE ID: CVE-2012-3325

漏洞描述:

IBM WebSphere Application Server (WAS)是由IBM遵照开放标准开发并发行的一种应用服务器。
IBM WebSphere Application Server 6.1.0.43、7.0.0.21-7.0.0.23、8.0.0.2-8.0.0.4、8.5.0.0在验证用户凭证时存在错误,可被利用以管理员身份访问应用。成功利用此漏洞需要应用PM44303的临时修复或包含PM44303的修复包。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.ers.ibm.com/

3.3 Oracle Java Runtime Environment远程代码执行漏洞

Oracle Java Runtime Environment远程代码执行漏洞

发布时间:

2012-08-31

漏洞号:

CVE ID: CVE-2012-3136

漏洞描述:

Sun Java Runtime Environment是一款为JAVA应用程序提供可靠的运行环境的解决方案。
Oracle JRE 1.6.0 Update 34和Oracle JRE 1.7.0 Update 6及之前版本的Beans子组件在实现上存在远程代码执行漏洞,远程未验证的攻击者可利用此漏洞以当前用户权限影响应用的机密性、完整性和可用性。

安全建议:

Oracle已经为此发布了一个安全公告(alert-cve-2012-4681-1835715)以及相应补丁: alert-cve-2012-4681-1835715:Oracle Security Alert for CVE-2012-4681
链接: http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html

3.4 Oracle Java Runtime Environment远程代码执行漏洞

Oracle Java Runtime Environment远程代码执行漏洞

发布时间:

2012-08-31

漏洞号:

CVE ID: CVE-2012-1682

漏洞描述:

Sun Java Runtime Environment是一款为JAVA应用程序提供可靠的运行环境的解决方案。
Oracle Java SE 7 Update 6及之前版本的Beans子组件在实现上存在不明细节漏洞,远程未验证的攻击者可利用此漏洞以当前用户权限影响应用的机密性、完整性和可用性。

安全建议:

Oracle已经为此发布了一个安全公告(alert-cve-2012-4681-1835715)以及相应补丁: alert-cve-2012-4681-1835715:Oracle Security Alert for CVE-2012-4681
链接: http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html

3.5 squidGuard长URL处理远程拒绝服务漏洞

squidGuard长URL处理远程拒绝服务漏洞

发布时间:

2012-08-31

漏洞号:

BUGTRAQ ID: 55291

漏洞描述:

squidGuard是Squid的过滤器、重定向器、访问控制器综合插件。
squidGuard 1.4及其他版本存在远程拒绝服务漏洞,当提交一个包含超长参数的URL时,可造成应用进入紧急模式,此模式下所有URL不受禁止,可能进一步造成拒绝服务。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.squidguard.org/