当前位置: 安全纵横 > 安全公告

一周安全动态(2012年9月13日-2012年9月20日)

来源:安恒信息 日期:2012-9

2012年9月第三周(9.13-9.20)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 互联网再曝信息“泄漏门” 斩断利益黑手迫在眉睫

互联网用户个人信息被泄露事件近期频发。大众点评网用户的账户余额被盗刷,8500万名安卓用户隐私遭遇泄露威胁,千万苹果移动终端用户资料被窃……如此种种,让去年泄密门事件的严重影响再被提起,也让时下的网络安全备受质疑。对此,还需要相关部门加大监管力度,电商企业强化技术规范,用户也应加强防范意识。

互联网泄密事件频频上演

互联网在给人们的生活带来诸多便利的同时,用户信息被泄露事件却是一波未平一波又起。

继此前当当网、京东商城、1号店遭遇数据泄密、用户账户信息被盗事件后,近期又一个国内电商企业“中枪”。日前有媒体报道称,消费者在大众点评网中的账户余额被盗刷,但与其账号绑定的手机号和邮箱均没有收到相关提示。此后,大众点评网证实了这一消息并发布公告提醒用户,要加强账号安全设置,避免使用和其他网站相同的账号和密码。

至于此次用户账号余额被盗的原因,大众点评网称,目前公司已经报警,初步怀疑是因为会员的账号和密码安全设置过低导致,但具体原因还要等技术部门进一步排查才能确定。而业内则普遍认为,这是去年12月爆发的CSDN“600万用户账号密码泄露”事件的余波。

其实,不仅是互联网,时下发展之势一日千里的移动互联网的安全形势也不容乐观。复旦大学公布的一项调研成果显示,目前市场上最热门的330个安卓应用程序中有58%存在泄露用户隐私的情况,即约8500万名安卓用户隐私遭到泄露威胁。对国内用户来说,更严重的情况是,今年第一季度安卓手机安全报告称,全球的安卓系统安全威胁中,中国大陆地区以26.7%的比例高居首位,其中以隐私信息窃取为目的的恶意软件高达24.3%,排在第一。

此外,最近一则关于苹果设备用户信息被窃取的消息也让“果粉”们十分担忧。黑客组织AntiSec日前在网上公布了一个数据库的链接,该数据库中包含100万名苹果用户的私人信息。该组织称,这只是他们窃取的1200万名iPhone和iPad用户数据的一部分,而这些数据均来自一名FBI特工的笔记本电脑。虽然FBI宣称从未收集过此类数据,因此不可能被黑客盗取,但此次事件再一次敲响了网络隐私信息保护的警钟。

“泄密门”背后存利益黑手

的确,基于互联网,电子商务让人们体会到快捷便利的网购生活,诸如微博、人人网、QQ空间等社交网络让用户之间的联系变得更加紧密,游戏、阅读、音乐等应用也充实了网民的生活……移动互联网时代的到来,让人们真正实现了随时随地互联互动。然而,频频出现的“泄密门”却让网民们在使用网络时变得越来越不安。那么,网络泄密事件究竟该归于何因呢?

首先来看两组数据。据全球企业安全公司Zecurion调查,2011年全球共登记信息泄露事件819起,总损失金额超过200亿美元,每起泄密事件造成的损失金额达到244.2万美元。另据此前国安部统计,我国63.6%的企业用户处于“高度风险”级别,每年因网络泄密导致的经济损失高达上百亿。从以上数据不难发现,泄密事件造成的最终后果,是网民遭遇经济损失,而大部分窃密者的直接目的也是为了获得经济利益。

“互联网飞速发展”与“信息安全投入和监管严重滞后”形成了鲜明对比,这是我国互联网安全问题频发的一个重要原因。对此,有业内人士称,“其实从登录互联网开始,我们的个人信息就暴露在外面了,个人和企业一样,都面临着高风险。而我国目前信息安全投资占整个IT投资的比重仅为1%左右,远落后于欧美国家8%至12%的水平,整体投入不足使得国内众多部门与企业的信息处于脆弱保护下。”

尽管泄密事件发生将对企业造成很大的危害和损失,但作为“受害者”,企业对于泄密事件仍要负很大的责任。从企业的角度来说,信息泄密基本上可分为外因和内因,除了黑客、木马病毒等外部因素需要靠企业升级自身在防御方面的技术之外,也不排除有些是由于内部员工不小心将资料外泄,甚至是“内鬼”刻意盗窃机密所致。

当然,在各种“泄密门”中,用户并非全无责任。有些时候,正是用户缺乏安全防范意识,才给了不法分子以可乘之机。

破解用户个人信息“裸奔”难题刻不容缓

找出原因后,对于网络泄密事件,最重要的还是需要监管部门、交易平台以及用户等多方联动,找到有效的解决措施并实行之。

首先也是最重要的,相关部门应该迅速补上信息安全监管不足这块短板,营造一个健康安全的互联网环境。监管包括立法和执法两个方面。面对层出不穷的互联网信息泄露事件,相关立法要跟进,这样才能让诸如“谁有权调阅用户资料”、“一旦发生泄密责任归属应该如何确定”等问题有据可依。此外,针对用户个人信息遭泄露、网络上的各种欺诈行为等的执法力度应不断加强。

其次,电商需强化技术规范,及时监测漏洞,并加强人员管理,防止信息泄露。目前针对信息泄露问题,多数相关企业的应对措施仍是提示用户修改密码。但这些措施大多用于补救,难以从根本上阻拦网络黑手,电商企业还应加强相关技术维护,力保用户个人信息安全。业内人士表示,信息和资金被盗后,普通用户取证费时费力,赔偿标准也难以确定,往往还要倒贴律师费,存在维权难的问题。对此,可以借鉴国外经验引入惩罚性赔偿,督促网站重视用户信息保护。

最后,普通网民也应提高警觉。上海睿虹企业咨询顾问刘佳伟认为,一些网购族习惯在多个网站使用同一注册邮箱和密码,这增加了其电商账户余额及代金券被挪用的风险。对此,用户可通过尽量在不同账户使用不同密码、加强密码复杂性、定期变更密码等举措来确保自己的个人信息安全。

1.2 网络安全与网络诚信论坛构建安全、可信的互联网

9月12日上午,由中国互联网协会主办的2012中国互联网大会“网络安全与网络诚信论坛”在北京国际会议中心举行。与会嘉宾围绕“践行社会责任,构建安全、可信的互联网”这一主题进行了深入探讨。论坛由中国互联网协会副秘书长石现升主持。

工业和信息化部通信保障局副局长熊四皓出席论坛并致辞。他指出,近年来网络钓鱼、仿冒网站、钓鱼短信等网络欺诈行为十分突出,网络诈骗犯罪行为猖獗,网上不良信息扩散、网络谣言传播等问题滋生蔓延,各种网络行为中所表现出来的诚信问题日益受到全社会的普遍关注,营造健康诚信的互联网网络环境面临着前所未有的压力和挑战。对于当前由于网络诚信缺失造成的网络安全问题,熊四皓副局长提出一要高度重视网络诚信的建设;二要加强网络信任体系建设,提高网络诚信水平;三要完善相关法律法规;四要加强行业自律。

随后,国家计算机网络应急技术处理协调中心副主任兼总工程师云晓春做主题报告,向参会者介绍了我国网络安全基本形势、特点和发展方向。

论坛期间,由奇虎360特别策划的“黄金30分”展示围绕网络安全的主题,从厂商和市场的角度勾勒了一幅我国网络安全产业的发展全景画卷。此外,安恒信息还在现场进行了“黑客攻防实战演示”,通过生动逼真的演示向在场观众展示了网络安全问题的严峻性和应对方法。

会上,银监会信息中心处长骆絮飞、奇虎360首席隐私官谭晓生、攀普科技副总裁宋嘉、支付宝安全策略经理励夏、安恒信息安全服务部总监刘志乐等嘉宾就“共同应对网络安全新挑战”的议题发表了主题演讲;围绕“如何共同推进网络诚信建设”这一话题,中网公司总经理刘志江、中国互联网协会反垃圾信息中心主任曾明发、北京千讯信通科技有限公司副总裁王学义与广大参会者分享了对网络诚信建设的思考和建议。

在论坛的最后,还隆重举行了2012年中国互联网企业信用等级评价授牌仪式,中国互联网协会业务部副主任冉晓燕、中国互联网协会企业信用等级评价中心主任卢咸开为企业代表授牌。希望广大企业再接再厉,从自身出发,共同为推动我国网络诚信体系建设添砖加瓦。

工业和信息化部通信保障局副局长熊四皓为论坛致辞

中国互联网协会副秘书长石现升主持论坛

2012年中国互联网企业信用等级评价授牌仪式

2012年中国互联网企业信用等级评价授牌仪式

2012年中国互联网企业信用等级评价授牌仪式

1.3 安恒信息:安全应渗透进整个研发流程

“安全不应该只在上线和运营维护阶段,真正的安全应该从需求开始。”在互联网大会的网络安全与网络诚信论坛上,安恒信息安全服务部总监刘志乐说道。

首先,刘志乐给互联网应用列出了一个生命周期,他认为一款应用往往要经历“需求——设计——开发——上线——运维——消亡”这样一个过程,而目前我们的安全基本都是在上线和运维两个步骤上做文章,却忽略了其他的发展阶段。刘志乐表示:“我们应该在需求和设计阶段加入Web安全建模分析、安全培训等步骤,在开发阶段再加入安全顾问,而在消亡的时候要及时总结,并为新产品做准备,这样才能形成一个完整的安全流程。”

而在接下来的特别策划中,刘志乐和4位技术人员则在现场为大家展示了一场惊心动魄的“Web安全攻防试验演习”。在攻击过程中,4名“黑客”各司其职,有步骤地进行寻找对象(可攻击网站)、踩点(端口扫描)、利用漏洞(sql注入)、成功入侵等行动,并在入侵后,迅速完成对于攻击网站的挂马、拖库、提权等工作,整个过程仅几分钟。

而在接下来的防守战役中,4名“黑客”变身安全专家,迅速对入侵进行应急响应,查看数据库、清除WebShell、“修补”服务器后门等行动有条不紊,最终行之有效地让一场来势汹汹的攻击化为无形。

1.4 苹果服务器攻破后 iCloud再次被黑客锁定

据国际商业时报网站报道,侵入贝宝、万事达和Visa信用卡网站的匿名黑客组织现已侵入了苹果的服务器,该匿名黑客组织最近实施了一系列有重大影响的入侵,该组织还支持维基解密网站。匿名黑客组织承认,它使用Twitter的在线技术调查攻入了苹果的服务器。黑客在微博上声称:“苹果云计算服务可能成为新的攻击目标,但不用担心我们忙于其他地方。”

黑客组织用了27个用户名和口令入侵了网站www.abs.apple.com。被黑的数据公布在该组织的文件共享网站上。

匿名黑客们一直在与最近解散的LulzSec小组密切合作。LulzSec小组因侵入索尼Playstation网络而成为新闻头条,它入侵的网站还有美国中情局、美国参议院、巴西政府和打击重大组织犯罪署(Soca)的网站。

虽然从数据泄露的角度看,黑客对苹果的攻击算不上什么大事,但他们盯住苹果这一事实的确令人不安。因为苹果网站拥有大量极其重要的数据,其中包括信用卡号码和苹果iTunes用户的详细个人信息。

由于苹果系统的高度影响力,业界一直认为苹果是黑客攻击的潜在目标。这次黑客攻击的时间耐人寻味,因为不久前苹果刚刚发布了它的云计算储存服务-iCloud。iClound可让用户以云计算方式储存音乐、应用程序、文档和日程。安全专家指出,苹果云计算是否成功,取决于用户是否愿意将自己的数据转移到苹果的服务器上,而此次黑客攻击使人增加了对苹果iCloud安全问题的担心。

1.5 域名注册商GoDaddy遭黑客攻击

域名城(domain.cn)9月11日消息,据悉,域名及网站主机服务提供商GoDaddy今日遭受著名黑客组织Anonymous的攻击,目前已有数百家网站受到影响。

笔者登陆GoDaddy后发现,其官方网站的首页上贴出了醒目的公告,在公告中,GoDaddy称网站以及部分用户确实受到影响,不过在凌晨2点43分开始逐渐恢复,并且提醒用户注意自己的数据信息、信用卡密码、地址等,GoDaddy将在未来24小时内提供一个额外的更新,以便于解决问题,并对客户的理解表示了感谢。

GoDaddy官网发布的通知

此次遭受攻击后,使用Godaddy进行域名解析的网站肯定都会遭受牵连,而据媒体透露,此次Godaddy被黑客组织盯上,源于其在2011年支持《禁止网络盗版法案》(SOPA)与《保护知识产权法案》(PIPA)。

Godaddy是世界第一大域名注册商,进军主机领域以后发展迅速,据多家监测机构显示,放置在Godaddy上的网站数量已经越居第一位。

2 本周关注病毒

2.1 Rootkit.Win32.Undef.cwg(木马病毒) 警惕程度 ★★★

病毒运行后会隐藏自身,会在电脑中开放端口并进行远程控制,下载大量木马到用户电脑中执行,盗取用户个人信息。

2.2 Dropper.Win32.Undef.cfm(木马病毒) 警惕程度 ★★★

该病毒通过网络传播,病毒会从黑客指定网站下载各种木马、病毒等恶意程序,给用户计算机安全带来威胁。

2.3 Trojan.Win32.ECode.yh(木马病毒) 警惕程度 ★★★★

木马运行后,首先将自身复制到IE文件夹内,同时改名为ie.exe以蒙蔽用户。木马会篡改注册表启动项,实现开机启动。当用户登陆QQ时,木马就会盗取用户的账号密码发送到黑客指定邮箱。此木马的另一个危害在于捆绑了灰鸽子黑客后门。该后门程序通过“显卡配置项,切勿禁止。禁止后导致无法正常上网”的提示文字欺骗用户,试图防止用户关闭其服务。服务启动后,用户的个人隐私、机密资料均暴露在黑客的掌控之下,十分危险。

3 安全漏洞公告

3.1 Siemens SIMATIC WinCC跨站请求伪造漏洞

Siemens SIMATIC WinCC跨站请求伪造漏洞

发布时间:

2012-09-11

漏洞号:

BUGTRAQ ID: 55493 CVE ID: CVE-2012-3028

漏洞描述:

WinCC flexible是用在一些机器或流程应用中的人机接口。
Siemens SIMATIC WinCC 7.0 SP3及之前版本存在跨站请求伪造攻击漏洞,在不验证请求的情况下,应用允许用户通过HTTP请求执行某些操作。

安全建议:

厂商补丁: Siemens
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.automation.siemens.com/mcms/automation/en/

3.2 IBM Java多个不明细节安全限制绕过漏洞

IBM Java多个不明细节安全限制绕过漏洞

发布时间:

2012-09-11

漏洞号:

BUGTRAQ ID: 55495

漏洞描述:

IBM Java是所有IBM计算平台上使用的应用开发Java编程语言。
IBM Java存在多个不明细节安全限制绕过漏洞,攻击者可利用这些漏洞绕过Java沙盒安全限制,在受影响系统上执行非法操作

安全建议:

厂商补丁: IBM
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.ers.ibm.com/

3.3 Oracle Java Virtual Machine (JVM)远程信息泄露漏洞

Oracle Java Virtual Machine (JVM)远程信息泄露漏洞

发布时间:

2012-09-11

漏洞号:

BUGTRAQ ID: 55501 CVE ID: CVE-2012-4416

漏洞描述:

Oracle Java Virtual Machine是可执行Java 字节码的虚拟机。
Oracle Java Virtual Machine (JVM) 存在安全漏洞,攻击者可利用此漏洞泄露敏感信息。

安全建议:

厂商补丁: Oracle
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.oracle.com/technetwork/topics/security/

3.4 MariaDB多个SQL注入漏洞

MariaDB多个SQL注入漏洞

发布时间:

2012-09-11

漏洞号:

BUGTRAQ ID: 55498 CVE ID: CVE-2012-4414

漏洞描述:

MariaDB基于事务的Maria存储引擎,替换了MySQL的MyISAM存储引擎,它使用了Percona的 XtraDB,InnoDB的变体,分支的开发者希望提供访问即将到来的MySQL 5.4 InnoDB性能。
MariaDB存在SQL注入漏洞,可导致控制应用、访问或修改数据、利用下层数据库中的其他漏洞。

安全建议:

厂商补丁: MariaDB
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://mariadb.org/

3.5 Honeywell HMIWeb Browser ActiveX 控件远程缓冲区溢出漏洞

Honeywell HMIWeb Browser ActiveX 控件远程缓冲区溢出漏洞

发布时间:

2012-09-07

漏洞号:

BUGTRAQ ID: 55465 CVE(CAN) ID: CVE-2012-0254

漏洞描述:

HMIWeb是基于Web的架构,支持人机接口、应用、业务数据的整合,提供完全整合的数据传输。
HSCDSPRenderDLL ActiveX控件存在错误,可被利用造成栈缓冲区溢出。

安全建议:

厂商补丁: Honeywell
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.security.honeywell.com/