当前位置: 安全纵横 > 安全公告

一周安全动态(2012年11月29日-2012年12月06日)

来源:安恒信息 日期:2012-12

2012年12月第一周(11.29-12.06)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 网络安全态势恶化 10月被植入后门网站激增70%

中国国家互联网应急中心(CNCERT)27日发布的数据显示,10月份中国境内被植入“后门”的网站有7366个,比9月份的4334个增长70%,10月份公共互联网安全态势较9月有所恶化。

此前中国信息安全专家接受采访时介绍,所谓“后门”,指的是黑客在特定系统或网站植入远程控制页面,从而能够通过该页面秘密远程控制网站服务器。

CNCERT数据显示,境内被植入后门的网站数量按地区分布排名前三位的分别是北京市、上海市和江苏省。值得注意的是,境内被植入后门的政府网站数量为380个,较上月的270个增长40.7%。

监测发现,境外9942个IP地址通过植入“后门”对境内6652个网站实施远程控制。其中,境外IP地址主要位于中国台湾、美国和中国香港等国家或地区。

仿冒页面数10月份也大幅增长。针对境内网站的仿冒页面数量为1.03万个,较上月的1375个大幅增长652.5%,绝大多数是仿冒中国金融机构和著名社会机构。

1.2 数据称中国信息安全在思科等美企面前形同虚设

审查思科

华为在美国遭遇壁垒,思科却在中国长驱直入——思科产品已经密布在中国各大行业信息系统的奇经八脉的关键节点。中国如何应对潜在的信息安全威胁?中国信息安全审查制度应如何建立?

◎本刊记者 孙宏超 | 文

被西方国家及媒体频频指责是安全威胁源的中国,目前正处于一个无形的网络安全阴影之下。

中国国家互联网应急中心抽样监测显示,2011年有近5万个境外IP地址作为木马或僵尸网络控制服务器,参与控制了我国境内近890万台主机,其中有超过99.4%的被控主机,源头在美国。而仿冒我国境内银行网站站点的IP也有将近四分之三来自美国。

这组触目惊心的数据,显示出中国网络安全的脆弱现状。中国的信息安全在以思科为代表的美国“八大金刚”(思科、IBM、Google、高通、英特尔、苹果、Oracle、微软)面前形同虚设。在绝大多数核心领域,这八家企业都占据了庞大的市场份额。一位在信息安全领域沉浸了20多年的专家称:“作为全球第二大经济体,中国几乎是赤身裸体地站在已经武装到牙齿的美国‘八大金刚’面前。”

多位信息安全专家向《中国经济和信息化》表示,在全球范围内,除美国在信息安全方面采用进攻型策略以外,其他国家都只能防守。而如何防范可能被插进体内的獠牙,国内相关部门应当拿出更多办法。

而本刊获得的数据显示,全球有超过九成的网络战发端于美国。而网络设备正是网络战必备的武器。

在此威胁下,已有中国大型央企觉醒。思科在中国的第二大客户中国联通,正在更换已经使用的思科网络设备。中国联通及江苏联通向本刊确认称,截至10月底,中国两大骨干网之一的China169骨干网江苏无锡节点核心集群路由器已搬迁完成,而被“扫地出门”的路由器正是思科的产品。江苏联通综合部部长向记者证实,此次搬迁是来自中国联通总部的统一安排,并不是江苏联通的决定。

中国联通还称,不排除有其他省级公司继续弃用思科产品。

这或许是这艘来自美国的通信领域航空母舰在中国第一次遭受挫折。在18年前,它驶入一片荒芜的中国通信海域大展拳脚,凭借强悍的技术实力与公关能力横行无阻。

也有专家呼吁,因为承担着振兴国家经济命脉的重任,以央企为代表的大型企业,应当率先警惕使用思科等产品带来的潜在安全威胁。

技术漏洞还是另有玄机?

美国与以色列曾经借助电脑蠕虫病毒令伊朗的核设施瘫痪——之所以该病毒具备如此威力,是因为几乎伊朗每台电脑都安装了微软的 Windows 系统。

在传统的四大战争空间之外,越来越多的国家将目光投向网络空间。美国总统奥巴马已经任命微软的前安全总管霍华德·施密特作为网络安全总指挥。五角大楼甚至成立了一个新的网络司令部,担任领导的是国家安全局局长基思·亚历山大将军,他的任务是保卫美国的军事网络和攻击他国的系统。

值得注意的是,美国大打信息战之后,在美国本土以质量牢靠著称的思科在中国开始问题频发。

资料显示,2005年7月12日,承载着超过200万用户的北京网通ADSL和LAN宽带网,突然同时大面积中断。根据事后统计,此次事故影响了至少20万北京网民。最初有消息将矛头指向网通员工操作失误,随后北京网通负责人公开澄清称此次事故主要原因是互联网路由器出现问题。而肇事的服务器,正是思科提供的设备。

这引发了行业大范围反思。在某门户网站的网络调查中,超过七成网民认为,我国电信部门在关键设备上如果过度使用国外产品将带来安全问题。

事故发生后,思科对外表态称此事件“不说明思科产品存在安全隐患”,更矢口否认思科控制了骨干网络,仅认为这是一起孤立事件。

但事实证明这起曾引发业界警醒的事件并非偶然。自2011年至今的两年时间内,全国各地因为思科“设备故障”引发的通信事故密集上演。2011年初,厦门电信城域网使用的思科设备经常出现下挂IPTV业务异常问题,平均每两周出现一次,故障很难定位。

与此前一样,思科一再辩称设备不存在问题。但经专家多次研究分析,确认思科设备出现错误,思科才被迫承认该设备存在“技术漏洞”,并直至2011年6月27日才提供了新的软件版本解决。

此外,上海联通、沈阳联通城域网及辽宁联通等都因为思科的某些设备出了问题而影响正常运行。

究竟是纯粹的技术漏洞,还是另有玄机?坊间莫衷一是。值得注意的是,即便是纯粹的技术问题,思科在国外的处理态度也与国内截然不同:2004年一个外国互联网聊天室中展示了思科公司主要网络设备操作系统的部分源代码。随后思科公开证实该源代码档案确实是属于思科所有,但至于是否因为网络遭外人入侵导致专属源代码外流,思科旋即对外界发表声明,称公司已全力调查源代码外泄一事。

本刊记者调查得知,在业界主流的通信设备操作系统中,思科的操作系统上存在着不安全的明文密码系统、低级的加密算法、协议设计方面的安全漏洞。以思科在我国应用非常广泛的成熟产品CISCO 7600业务路由器为例,某电信运营商由于业务发展需要进行扩容,在对设备进行版本升级时,工作人员发现,思科工程师在思科设备上配置了一个账号的密码后,用键盘就可以调出已配置的密码,而且该密码采用明文显示,根本没有安全性可言。

在明文密码外,密码后门更加受到运营商关注。因为这意味着整个系统和网络都可能处于他人的控制之下,其带来的后果不堪设想。

2010年,在信息安全领域颇具知名度的“黑帽安全技术大会”上,IBM互联网安全系统公司的研究人员发现,黑客可轻易地利用思科操作系统中的后门,在忘记密码的情况下,通过恢复系统的出厂配置进入操作系统,对路由器进行管理配置。在特殊模式下加载一个新的路由器软件大包,就可以改变路由器之前的功能。

如果这个新加载的软件大包被恶意篡改过,植入了新的软件程序或者逻辑炸弹,一旦系统重新启动,单台设备、整个网络、全网应用都将存在不可预知的安全风险。

断网、后门、明文密码,未来一旦战争爆发,使用了思科设备的中国几大核心领域的信息安全,将如纸糊一般脆弱。

思科把持中国信息系统中枢?

由于美国在软件上的绝对优势,美国政府能够决定所有软件如不设有木马程序则禁止出口。当计算机内出现具有“与美国开战”字样的文件或有其它外界的触发时,这些隐藏的程序就会被激活,其结果可以是格式化计算机硬盘或将用户电脑里的文件发给美国中央情报局。

——1997年,美国乔治·华盛顿大学网域空间政策研究所学者Reto E. Haeni《信息战导论》

与众多中国企业在美国遭到封杀形成鲜明对比的是,以思科为代表的美国“八大金刚”在华长驱直入,中国几乎丝毫不设防。在关系到国计民生的信息技术关键基础设施,也大多应用美国的技术和产品。这不得不引发对我国信息安全现状的反思和忧虑——在西亚北非的政局动荡中,谷歌等网络公司正在扮演非常重要的角色。

而在中国,此类企业的典型代表非思科莫属。

思科进入中国后发展顺风顺水,国内各级政府对思科几乎没有设置任何门槛,并且在很多方面可以享受超国民待遇。这让本就实力强大的思科如鱼得水。

目前思科在中国拥有员工超过4000人,分别从事销售、客户支持和服务、研发、业务流程运营和IT服务外包、思科融资及制造等工作。思科在中国设立了12个业务分支机构,并在上海建立了一个大型研发中心。

思科的旗帜已经插遍了国内几大领域的核心企业,其客户名单中包括中国国家金融数据通信骨干网、中国电信、中国联通、中石化、中国人民银行、北京市政府等众多央企及政府部门。

《中国经济和信息化》记者调查发现,中国骨干网络几乎被思科产品全面占据。中国电信163和中联通169承担了中国互联网80%以上的流量,思科占据了中国电信163骨干网络约73%的份额,把持了163骨干网所有的超级核心节点和绝大部分普通核心节点。从169网来看,思科占据了中国联通169骨干网约81%的份额。Internet骨干网络是公众因特网的核心,所有的数据都要经过骨干网进行转发,Internet骨干网络的安全性是电信行业的重中之重。

除电信行业外,思科在其他领域也处于垄断地位。据互联网实验室出具的数据显示,在金融行业,中国四大银行及各城市商业银行的数据中心全部采用思科设备,思科占有了金融行业70%以上的份额;在海关、公安、武警、工商、教育等政府机构,思科的份额超过了50%;在铁路系统,思科的份额约占60%;在民航,空中管制骨干网络全部为思科设备;在机场、码头和港口,思科占有超过60%以上的份额;在石油、制造、轻工和烟草等行业,思科的份额超过60%,甚至很多企业和机构只采用思科设备;在互联网行业,腾讯、阿里巴巴、百度、新浪等排名前20的互联网企业,思科设备占据了约60%份额,而在电视台及传媒行业,思科的份额更是达到了80%以上。

而在这长长的名单背后,思科的扩张仍在继续。互联网实验室创始人方兴东说:“思科把持着中国经济的神经中枢。有冲突出现时,中国没有丝毫的抵抗能力。”

思科之所以能如此快速扩张,得益于中国地方政府的“不设防”甚至是欢迎的态度。思科CEO钱伯斯在2007年11月宣布的对华160亿美元的投资正在发酵:它被拆解为与相关部门的若干备忘录、新的供应链体系、50家被投资公司和一支针对创业公司与小型公司的风险投资基金、250家新开设的思科网络学院,以及和成都的“智能城市框架协议”。

但多位安全专家也对《中国经济和信息化》表示,思科潜在的网络安全隐患,正在对中国政府公共事业、金融、石油化工和军工等敏感领域的安全造成威胁。这些潜在的安全隐患,一旦变成事实,将给中国国家安全带来不可想象的损害。

即便是有如此严重的安全隐患,思科仍能在中国众多关键领域获取如此多得市场份额,除了思科近20年来在中国的企业经营之外,另外一个原因则是中国相关法律法规还不够健全。

中欧陆家嘴国际金融研究院副院长刘胜军认为,由于GDP至上的发展思路,地方政府日益“公司化”,热衷于招商引资,大搞基础设施建设,甚至涉足投资等领域。显而易见跨国公司因为先天的优势能为地方政府提供其所需要的拉动GDP的必然动力,所以在招商引资时其难免会向跨国公司倾斜,甚至不计后果地给予更多的照顾。

中国工程院院士倪光南表示,在政府采购、公共采购上,现阶段可以参考的法律是2001年的《政府采购法》和《招标投标法》,但是两部法律对政府采购国产化产品的界定比较模糊。

倪光南认为,在过去的时间里,国内对网络安全问题重视的高度不够,这也造成了在基础设备采购上,思科在国家的系统,央企的系统中占了太多的份额。要约束思科,就要在公共采购时增强信息主权的意识,有效地保障信息主权。

一位不愿具名的行业人士分析,目前国内相关领域技术人才缺乏,一些工作人员并不是十分精通思科的设备以及软件,即使思科对中国的信息安全造成了损害,相关工作人员也只能像一个未带测速仪的交警一样,对这种超速行为浑然不觉。

该人士还从技术角度剖析了思科产品的危险系数。在思科网络产品中,其镜像功能(仅仅需要管理员就可以操作,没有任何政府管控)、合法监听(仅仅是用SNMP v3协议进行管理,而这个协议本身并不安全,政府机构无法了解这些功能是否被滥用)、DPI内容安全审计(无法区分流量统计分析和内容审计功能,SCE产品可以对包括电子邮件、语音RTP流、网页、文件等数据进行还原操作,在机要部门网络中一旦部署,能够非常方便地实现对机密信息的“窃取”)等功能,都是在没有政府授权的情况下就能够开启、配置、生效,因此,在关系到国计民生的关键部门,一旦选择思科的产品,几乎就等于选择了安全隐患。
方兴东则认为政府必须要出台真正有效的措施。他说:“必须要搞清楚思科的安全问题到底出在哪儿。”

在方兴东看来,对于安全性存在问题的设备,可采取的对策有两个,第一,应该限制使用;第二,逐步采取安全性高的产品进行代替。“中国经过十多年大力自主创新,国内厂商生产的设备,无论是技术、质量还是价格,基本可以替代思科。从产品替代性来看,国内很多厂商的产品可以替代思科产品。”

项立刚认为应该对思科进行一些合理的反制,他认为中国应尽快建立及完善信息安全审查制度。“最简单的办法就是政府多出台一些指导性的意见,比如不允许在骨干网以及涉及国家安全的重要领域采用国外产品等。” 他说,美国会将中国高技术值、高附加值的产品挡在国门之外,比较常见的办法为专利控制、反倾销和国家安全三种办法。

在制度上,方兴东则建议可以采用源代码托管和首席安全官制度。“首先可以采用的办法是源代码托管,很多国家在采用这种办法对信息安全方面进行监管。但在中国更方便借鉴的是首席安全官制度,在欧美很多国家的大企业都有这样一个职位,首席安全官既是公司的员工,也受国家安全部门直接管理,在涉及到安全领域的大量采购时他拥有一票否决权。国内的一些央企或者大型企业也有必要设立这样一个职位。”

后果几何?

国安局同电信公司和计算机公司有着极其亲密的关系,这种关系只有彼此高层中的少数人才知晓。

——《纽约时报》记者詹姆斯·里森在2006年出版的《国家战争》

思科正是一家和美国国安局有着极其亲密关系的电信公司。据公开资料显示,美国国会议员中有71位在思科公司中拥有比例不同的股份,他们中间的一些人不排除已经或将会影响思科公司的决策。

此外,思科公司还在去年成立了全球政策和政府事务部门,专门负责影响技术领域的政策和监管措施。思科公开的资料显示,该部门由前政府高官、立法者、议员、监管机构官员等组成,与政府部门关系密切,以通过影响政策制定来促进思科的商业利益。

在倪光南看来,思科绝不是唯一一个和政府密切合作的美国企业:“美国大量企业高管都是由美国西点军校培养出来的,有数据显示,仅仅是二战以后的美国金融界,西点军校就大概培养了1000个董事长,5000多个企业高管。”中国科学院研究生企业创新研究中心副主任吕本富则表示:“在美国的民用企业中,有很多高管来自美国空军,比如说麦克·纳马拉就是先从专业军人成为了福特公司的CEO,后来又成为了美国的国防部长。”

吕本富称,思科和美国政府走到一起,不仅有利于拓展自己的盈利空间,更能为政府获取网络用户信息提供诸多便利。由此展开,思科在美国能够为政府获取用户信息提供便利,那么思科在中国所涉及的政府公共事业、金融、石油化工乃至军工等敏感领域,其作用和角色不得不令人产生联想。

美国几乎是全世界最重视网络空间安全的国家。十多年来,美国先后制定了《美国爱国者法案》、《网络空间国际战略》、《网络空间可信身份标识国家战略》、《网络空间安全国家战略》、《网络情报共享与保护法》,并组建了网络战司令部等机构,作为独霸网络空间的保障。

需要警惕的是,早在2001年10月26日,美国就颁布了《美国爱国者法案》。根据法案的内容,警察机关有权搜索电话、电子邮件通讯、医疗、财务和其他种类的记录;减少对于美国本土情报单位的限制。

在此法案下,“八大金刚”或主动或被动地开始向美当局交付信息。谷歌就曾公开承认,已根据《美国爱国者法案》的规定,把欧洲资料中心的信息交给了美国情报机构。微软也坦承该法案可获取欧盟云端资料。

方兴东认为,这两家美国公司的表白,证明欧洲的资料已不安全。“可以进一步推想,在美国政府的某种理由之下,任何一家美国公司,不论是谷歌、微软还是思科,都可能无法保护有关的资料不受到检查。”

这或许跟美国在互联网领域一向的战略有关。方兴东对记者表示:“目前世界上绝大部分国家在互联网领域都是采用防御型的战略模式,只有美国一家是进攻型的。中国在互联网方面的实力应该参照德国、英国等国家,因为我们正处于有实力和有必要进行互联网防御的阶段。”

美国陆续发布的一系列战略和规划,大大加强了政府对网络公司和通信设备公司的管制。更令人担忧的是,美国共和党控制的众议院于2012年4月通过了《网络情报共享与保护法》。这项法案表面是防止网络攻击、保护网络安全,实际上绕开了隐私保护的相关条文,使政府能够在很大程度上触及全球电信与互联网用户(包括个人、商业机构与政府部门)的隐私,还可以掌握到商业秘密、国家机密。

思科是全球最大的路由器、交换机骨干网络设备制造商。方兴东说:“思科和谷歌、微软、高通等不同,思科主要的领地在网络基础设施领域,这是整个网络的命脉所在。”

而事实上,近几年美国“网络战”兴起,思科在其中就扮演了重要角色。2006年2月610日,美国进行了一场历史上规模最大的“网络风暴”网络战演习。演习由美国国土安全部指挥,美国国家安全委员会、国务院、国防部、司法部、财政部、国家安全局、联邦调查局、中央情报局等115 家政府部门参与,思科是演习的重要设计者之一。

从军事角度来看,在未来的信息化战场上,网络攻防成为一种重要的作战样式。在战争状态中,美国政府极有可能利用思科在全球部署的产品,利用思科对于网络设备、通信设备等的掌控与监控能力,对敌国实施致命打击。

信息安全研究者崔光耀认为,美国极有发动信息战的可能。他说:“全球最大黑客组织是匿名者黑客组织,实际上它的总部就设在美国,有5000多个成员。匿名者黑客组织就是在五月份发起对中国政府攻击的组织。我们是有确凿证据的。”

联想到思科发言人约翰·恩哈特曾经公开表示的将采用“更具竞争力的措施”来反击惠普、华为以及Juniper等竞争对手,再结合2010年、2011年思科的游说费用的走势,思科和美国政府的关系不言而喻。这种“关系”和思科在中国业务领域的宽泛,或许将成为中国网络安全的最大威胁。

截止付印,思科未对《中国经济和信息化》的采访申请作出有效回应。

1.3 上海:个人信息安全环境喜忧参半

由上海社会科学院信息研究所日前进行的一项关于上海市民个人信息安全状况调研显示,上海目前个人信息安全环境喜忧参半。

报告显示,超过八成的受访者对其个人信息安全能力持正面乐观评价。受访者具有较强的U盘安全使用意识和计算机病毒防护能力,并会对计算机重要业务文件和数据进行密码保护,会对计算机中的重要信息进行备份。超过八成的受访者认为官方或主流媒体的社会宣传、将信息安全融入义务教育体系有助于提高个人信息安全意识和能力。

但报告也同时显示,近六成的受访者没有接受过信息安全知识普及教育。六成受访者认为个人信息安全环境不太安全。97.4%的受访者表示曾经收到垃圾短信或者骚扰电话。身份证号码、联系方式和个人自然情况是最容易泄露的个人信息。商业机构、网络被认为是个人信息安全侵害的最主要的两个途径。

超过八成的受访者在遭遇个人信息安全侵害后选择不予理睬和自行解决。五成受访者不了解我国个人信息安全保护的法律法规。近九成的受访者只会偶尔关注或从来不关注信息安全知识。七成左右的受访者不具备正确设置密码的能力。个人信息安全侵害的总体损失程度不严重。

本次调研以问卷调查为主,对象涉及上海17个区县的1061个市民,涵盖上海市各行各业,包括学生、工人、商业服务业职工、私营企业主、自由职业者、企事业单位职工、专业技术人员、党政机关干部以及下岗失业人员(无业或待业)、进城务工者等。

长期从事国民信息安全素养研究的上海社会科学院信息研究所罗力博士建议,要有效解决个人信息安全问题,必须提高广大市民的个人信息安全素养,并打造全方位、立体化的个人信息安全环境,包括加紧立法、严格执法、强化社会监督和行业自律、加大信息安全普及教育力度、培养信息安全专业人才等,尤其是加快《个人信息保护法》等我国保护国民个人信息安全的系统性法律立法进程。

1.4 黑客入侵邮箱货款“不翼而飞” 今年已发生20余起

利用互联网黑客技术侵入外贸企业邮箱掌握业务往来,然后注册一个与企业邮箱相似的作案邮箱,通过修改汇款账号的方式,实施作案。今年年中,无锡市一家外贸企业在和客商交易过程中,外国客商5万多美元的货款被打入犯罪分子的指定账户。接到报案的无锡市公安局惠山分局展开调查。

据悉,该种作案手法从国外传入后,今年以来无锡城区已连续发生20余起同类案件,累计金额约45万美元。

受骗的这家无锡的外贸A公司和一家德国G公司有多年的贸易往来。

今年6月1日,A外贸公司发货给德国G公司,货款价值51515美元。6月底,该公司和G公司联系询问货款时,被告知货款已汇。原来,在6月3日德国公司收到A外贸公司邮件通知其账号改变,要求将货款打至上海银行某账户上,德国G公司很快将51515美元打至该账户。A公司在确认未收到货款的情况下,立即报警。经过两家公司核对,由于往来网邮被黑客入侵,导致银行账号被改动。

记者从惠山区公安局网安大队了解到,目前,那些动外贸企业邮箱的人主要都在境外,他们通过入侵、盗取与境外客商联系密切的中国外贸企业电子邮箱,趁双方进行贸易交往时,实施骗术。由于这些外贸公司的客户大多在国外,防范意识比较薄弱,再加上相互之间主要通过网络联系,骗子以此手法屡屡得手。

1.5 酒店也不安全 小偷从黑客获得灵感入室偷窃戴尔顾问笔记本

在今年的黑帽子大会上,24岁的Brocious就像世界证明了酒店门卡锁的安全隐患问题,并通过使用价格不到50美元的开源硬件即可在门锁上嵌入一个 DC接口,而且能在一秒之间就打开这道门。最近DELL的IT服务顾问Janet Wolf下榻在休斯敦的Hyatt hotel,当外出回来的时候发现笔记本和行李都被偷窃,初步怀疑是客房服务的人进入房间进行偷窃,但是随后客房经理检查了门禁卡的使用记录发现案发时间并未有服务员使用门禁钥匙。

在几天之后,根据Forbes的报道称Wolf和酒店经理发现她所住的房间门禁有使用数字工具的情况,随着案情的不断调查后将目标嫌疑人锁定为27岁的Allen Cook,Cook交代他使用了一个设备能够充分利用Onity(其业务涵盖了全球四五百万家酒店)门禁卡上的弱点,而这个工具就是从Brocious上受到启发学来的。

Brocious在美国纽约城酒店展示如何打开Onity门锁

1.6 三星打印机曝出安全漏洞

美国计算机紧急响应小组(US-CERT)周一发布报告称,三星制造的打印机存在一个后门管理员帐户,很可能被黑客非法利用。

报告称,该后门管理员帐户被硬编码在打印机固件中,可被黑客用于更改打印机配置,获取敏感信息,如设备和网络信息,或通过执行恶意代码发发动一步攻击等。

报告称,硬编码帐户无需验证,可以通过打印机的简单网络管理协议(以下简称“SNMP”)访问,甚至是在SNMP被禁用的情况下。

报告还指出,不仅三星品牌的打印机存在该后门管理员帐户,由三星制造的戴尔品牌打印机同样存在该问题。

三星对此表示道,2012年10月31日之后的产品不存在该问题。今年晚些时候,三星将推出一款补丁工具来解决该问题。

去年,哥伦比亚大学两名研究人员曾在惠普LaserJet打印机中发现严重安全漏洞,允许黑客完全控制打印机。

1.7 HTTP严格传输安全协议成互联网标准

一种能够帮助HTTPS网站更好地抵御各种类型攻击的Web安全政策机制已经作为互联网标准被批准和发布,但除了一些高知名度的网站的支持外,其他网站的部署率仍然很低。

HTTP严格传输安全协议(HSTS,Strict Transport Security)允许网站只接受通过HTTPS(安全HTTP)的连接,该协议的目的是防止黑客迫使用户通过HTTP连接或者滥用HTTPS部署中的错误来破坏内容完整性。

负责开发和推广互联网标准的互联网工程任务组(IETF)近日发布了HSTS规范作为正式标准文件RFC 6797。IETF的网络安全工作组自2010以来一直在研究该协议,该协议最初由Paypal的Jeff Hodges、卡内基梅隆大学的Collin Jackson和谷歌的Adam Barth作为草案提交。

HSTS防止所谓的混合内容问题影响HTTPS网站的安全性和完整性。当被嵌入到HTTPS网站脚本或者其他资源从第三方地点通过不安全连接加载时,就会出现混合内容问题,这可能是开发错误或者是故意的。

当浏览器加载不安全资源时,它会通过普通的HTTP发出请求,也可能会一起发送用户的会话cookie。攻击者可以使用网络嗅探技术来拦截这个请求,然后使用用户的cookie来攻击用户的账户。

HSTS机制还可以抵御中间人攻击,在这种攻击中,攻击者试图拦截用户到网站的连接,强制用户的浏览器访问该网站的HTTP版本,而不是HTTPS版本。这项技术被称为HTTPS或者SSL分离,并有很多工具可以自动执行。

当浏览器通过HTTPS连接到支持HSTS的网站时,该网站的严格传输安全协议将被保存(在指定的一段时间内)。从这个时候起,只要缓存的政策没有过期,浏览器都会拒绝启动与该网站的不安全连接。

HSTS政策通过HTTP响应表头域(被称为Strict-Transport-Security)来传输,相同的表头也可以用于更新政策。

安全公司Qualys工程主管Ivan Ristic表示,HSTS对于SSL来说是一件极好的事情,因为在它修复了18年前该协议最初设计时存在的一些错误,并且,它还根据web浏览器运行方式的改变而做出了调整。

例如,依赖于证书警告是一个大错误,因为用户养成了忽视和覆盖它们的习惯。在大多数情况下,这不是一个大问题,但即使是1%的情况,这也是危险的。

HSTS不依赖于证书警告。如果在HTTPS部署中检测到问题,浏览器会简单地拒绝连接,不会为用户提供机会来覆盖这个决定。

即使对于启用HSTS的网站,仍然存在很小的攻击机会,例如,当浏览器第一次访问网站,而没有为其保存HSTS政策时。在这种情况下,攻击者可以阻止它到达HTTPS版本的网站,而强迫使用HTTP连接。

为了解决这个问题,Chrome和Firefox等浏览器具有预加载流行网站列表,在默认情况下,这些网站将会强制执行HSTS。
根据SSL Pulse(监测世界上访问量最大网站的HTTPS部署情况的项目)像是,在前18万启用HTTPS的网站中,只有1700支持HSTS。

Ristic表示,出了整体HSTS部署率偏低外,一些网站仍然在支持存在执行问题的功能。

例如,一些只为HSTS政策指定很短的有效期(也被称为生存时间)。如果要确保HSTS的有效性,有效期至少应该要几天,如果无法达到几个月的话。

Ristic不认为HSTS成为正式互联网标准的事实一定能够推动部署率。网站经营者一直都很乐观,部署任何适用于他们的协议,而不管协议是否是标准。

“我认为HSTS的最大问题是教育,”Ristic表示,“人们需要了解到它的存在。”

目前支持HSTS的流行网站包括Paypal、Twitter和各种谷歌服务。Facebook正在为其网站部署始终开启的HTTPS,但仍然不支持HSTS。

2 本周关注病毒

2.1 Trojan.Win32.FakePic.mq(木马病毒)

警惕程度 ★★★

病毒运行后,通过篡改注册表实现开机自动启动,并利用系统进程svchost.exe加载使病毒运行。该病毒真正的危害在于,会释放“红狼后门”病毒,并且将其伪装成outlook。该后门对用户隐私危害极大,一旦中毒,黑客可掌握电脑中的全部信息,并且可以对用户电脑进行远程控制。

2.2 Trojan.Win32.Generic.12827FA8(木马下载器病毒)

警惕程度 ★★★

该病毒运行后关闭杀毒软件进程,修改hosts文件,并删除注册表中“安全模式”相关的项,使系统无法进入安全模式。除此之外该病毒还将连接黑客指定服务器,将大量恶意程序下载至用户电脑,中毒用户将面临隐私信息泄露和银行帐号被盗的威胁。

2.3 Trojan.Win32.Generic.12827FA8(木马下载器病毒)

警惕程度 ★★★★

该病毒运行后关闭杀毒软件进程,修改hosts文件,并删除注册表中“安全模式”相关的项,使系统无法进入安全模式。除此之外该病毒还将连接黑客指定服务器,将大量恶意程序下载至用户电脑,中毒用户将面临隐私信息泄露和银行帐号被盗的威胁。

3 安全漏洞公告

3.1 Apache Tomcat Slowloris工具拒绝服务漏洞

Apache Tomcat Slowloris工具拒绝服务漏洞

发布时间:

2012-11-29

漏洞号:

CVE(CAN) ID: CVE-2012-5568

漏洞描述:

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。Slowloris是低带宽拒绝服务攻击工具。
Apache Tomcat在实现上存在安全漏洞,远程攻击者可利用Slowloris工具造成拒绝服务攻击。

安全建议:

临时解决方法:
1. 通过server.xml内定义的连接器的connectionTimeout属性,配置一个合适的超时时间。
2. 配置防火墙相关设置
参考与该漏洞相类似的一个漏洞的防护方法的相关讨论,见
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2007-6750
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://jakarta.apache.org/tomcat/index.html

3.2 FreeBSD Linux兼容层本地权限提升漏洞

FreeBSD Linux兼容层本地权限提升漏洞

发布时间:

2012-11-26

漏洞号:

CVE(CAN) ID: CVE-2012-4576

漏洞描述:

FreeBSD是一种UNIX操作系统,是由经过BSD、386BSD和4.4BSD发展而来的Unix的一个重要分支。
FreeBSD通过一个可加载的核心模块/可选内核组件与Linux操作系统兼容。FreeBSD在处理某些Linux系统调用时存在编程错误,可造成在没有经过正确验证的情况下即访问某些内存位置,导致本地攻击者可以覆盖内核内存的某些位置,造成提权或造成系统崩溃。

安全建议:

临时解决方法:
# kldstat -m linuxelf 可以检查Linux二进制兼容层是否加载。

厂商补丁:
FreeBSD已经为此发布了一个安全公告(FreeBSD-SA-12:08.linux)以及相应补丁:
FreeBSD-SA-12:08.linux:Linux compatibility layer input validation error
CVE链接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4576
公告链接:
http://www.freebsd.org/security/advisories/FreeBSD-SA-12:08.linux.asc
补丁链接:
http://security.FreeBSD.org/patches/SA-12:08/linux.patch

3.3 Websense Proxy Filter 安全绕过漏洞

Websense Proxy Filter 安全绕过漏洞

发布时间:

2012-11-28

漏洞号:

CNNVD-201211-502

漏洞描述:

Websense是业界领先的Web安全和网页过滤解决方案。
Websense中存在安全绕过漏洞。攻击者利用该漏洞绕过URL限制进而访问未授权的网站。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.websense.com/

3.4 Java ‘MurmurHash’算法哈希冲突拒绝服务漏洞

Java ‘MurmurHash’算法哈希冲突拒绝服务漏洞

发布时间:

2012-11-28

漏洞号:

CVE ID: CVE-2012-5373

漏洞描述:

Java是由Sun Microsystems公司于1995年5月推出的Java程序设计语言和Java平台的总称。
Java中存在拒绝服务漏洞,该漏洞源于使用哈希函数基于‘MurmurHash2’算法,可预测哈希值冲突。攻击者利用该漏洞发送特制的字符串传送到受影响应用程序,使用这些字符串创建Hash对象(类似HTTP请求)。成功的利用可触发高CPU消耗,导致拒绝访问状态。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://openjdk.java.net/

3.5 Cisco WAG120N 多个远程命令执行漏洞

Cisco WAG120N 多个远程命令执行漏洞

发布时间:

2012-11-27

漏洞号:

CNNVD-201211-466

漏洞描述:

Cisco WAG120N中存在多个远程命令执行漏洞。远程攻击者利用这些漏洞执行任意命令或根访问权限,有助于完全控制受影响设备。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.cisco.com/