当前位置: 安全纵横 > 安全公告

一周安全动态(2012年12月27日-2013年1月3日)

来源:安恒信息 日期:2013-1

2013年1月第一周(12.27-1.3)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 全国人大常务委员会关于加强网络信息保护的决定

全国人民代表大会常务委员会关于加强网络信息保护的决定

(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)

为了保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益,特作如下决定:

一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。

任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。

二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。
网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。

三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。

四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。

五、网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。

六、网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。

七、任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。

八、公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。

九、任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向有关主管部门举报、控告;接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。

十、有关主管部门应当在各自职权范围内依法履行职责,采取技术措施和其他必要措施,防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。有关主管部门依法履行职责时,网络服务提供者应当予以配合,提供技术支持。

国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。

十一、对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。

十二、本决定自公布之日起施行。

1.2 证券期货业信息安全事件报告与调查处理办法发布

12月27日,中国证监会正式发布《证券期货业信息安全事件报告与调查处理办法》(以下简称《办法》),自2013年2月1日起施行。

《办法》对证券期货业信息安全事件的报告和调查处理工作进行了规范,对于有效处置信息安全事件,减少信息安全事件的发生,维护证券期货信息系统安全运行,保护投资者合法权益具有重要意义。《办法》包括总则、事件分级、事件报告、调查处理和附则,共五章三十二条,重点解决了三个问题。

一是划分了证券期货行业信息安全事件的等级。《办法》依据信息安全事件对投资者合法权益造成损害,或者对证券期货市场造成不良影响的程度,将行业信息安全事件区分为特别重大事件、重大事件、较大事件、一般事件4级。统一界定了交易所等市场核心机构,证券公司、期货公司和基金管理公司等经营机构发生信息安全事件的等级。信息安全事件的分级对于监管部门对信息安全事件的调查、处理、追究责任提供了依据。

二是明确了证券期货机构报告信息安全事件的义务。《办法》规定发生信息安全事件的机构应当及时、准确、完整地报告事件情况,不得迟报、谎报、瞒报或者漏报,明确提出了行业机构信息安全事件应急报告、事后总结报告的时限要求、报告路径和报告内容等。及时、准确地报告有利于监管部门督导有关行业机构快速、稳妥地处置信息安全事件,尽快恢复信息系统运行,最大限度地减少损失。

三是明确了信息安全事件责任认定的原则和采取处罚措施的具体情形。《办法》规定按照“尽职免责,失职有责”的原则进行事件责任认定,同时,按照事件责任和事件级别,明确了采取处罚措施的具体情形。监管部门将根据《办法》,督导有关机构查明信息安全事件的原因,追究事件责任,采取整改措施,消除风险隐患,对于发生重大及特别重大信息安全事件或者频繁发生信息安全事件的机构,监管部门还将采取责令定期报告等监督管理措施或对其进行现场检查。

《办法》发布后,证券期货业要严格按照《办法》的有关规定,更加规范地做好信息安全事件报告与调查处理工作,监管部门将持续督促行业机构加强信息系统的安全保障,防止发生信息安全事件损害投资者合法权益。

1.3 维护网络安全银行须加大信息科技投入

巨大的经济利益让黑客们纷纷将攻击目标锁定银行网站系统,给银行及客户带来了严重的网络安全威胁和直接经济损失。

记者杜金信息技术快速发展以及客户对高效便捷金融服务的迫切需求,带来了银行电子银行业务快速发展的机遇。“把业务搬到网上”成为银行业务发展的一大趋势,目前我国商业银行都在不断加快电子渠道建设,电子渠道的分流率也在逐步提高,部分银行网银替代率超过85%。

不过与此同时,电子银行的普及也带来了更多网络黑客的攻击,近年来,针对银行个人网银账户以及银行信息系统的网络攻击层出不穷并不断升级,如何保护信息系统的安全,已经成为每一家商业银行所面临的严峻问题,同时信息科技风险也正在成为监管部门加强监管的重点。

银行电子渠道依赖程度加深

随着互联网应用的发展,很多企业及个人都已经习惯于进行网络转账、支付等财务交易,这也促进了商业银行等金融机构将越来越多的业务搬到网络上进行。

在12月13日召开的2012中国电子银行年会上,中国金融认证中心总经理季小杰表示,中国电子银行业务连续三年呈增长态势,68%的用户使用网上银行替代了一半以上的柜台业务,部分银行网银替代率超过85%。中国金融认证中心发布的《2012中国电子银行调查报告》显示,40%的个人网银用户拥有多个网银账户,最近1年内的网银账户主动开通率为75%。

该报告统计数据显示,2012年全国个人网银用户比例为30.7%,较2011年增长3个百分点;40%的个人网银用户拥有多个网银账户。企业网银用户比例为53.2%,同比增长9个百分点。个人网银柜台业务替代率达56%,企业网银替代率为65.8%,网上银行用户数量在电子银行用户中依然占据主导地位。与此同时,电子银行在金融基础设施欠发达的地区有着更广阔的发展空间。调查显示,全国地级及以上城市城镇用户网银比例为30.7%,连续3年呈增长趋势。

业内人士表示,目前大型银行和小银行的最大差别在于网点的建设和区域经营的限制。但是,随着银行的业务都向网上转移,业务开展的渠道畅通了,大小银行间的这种优势对比和差距已经在减弱。实际上,加快电子银行业务发展已经成为银行的共同选择。

网络安全形势日益严峻

银行电子渠道替代率越来越高,给客户和银行自身带来方便的同时,安全风险也随之而来,巨大的经济利益让黑客们纷纷将攻击目标锁定银行网站系统,给银行及客户带来了严重的网络安全威胁和直接经济损失。在交易规模迅猛增长的背景下,堵住网上银行的安全管理漏洞不光成为公众最为关注和忧虑的问题,也已成为摆在各商业银行面前的一道棘手难题。

据有关媒体报道,如今,一种更为隐蔽的新型“李鬼”网银又现身网络,高仿建行等多家银行官网。据360安全中心监测,此类网银钓鱼攻击已经侵袭了多家知名银行。据了解,此类假网银页面大部分内容均链接到真实的网上银行,只有一处“网路银行贷款VIP”按钮指向钓鱼页面,诱骗用户输入姓名、身份证、银行账户、密码等敏感信息。

日前,在中国反钓鱼网站联盟年会上,中国互联网络信息中心发布的《2012年中国反钓鱼网站联盟工作报告》显示,截至2012年11月20日,联盟已累计认定并处理钓鱼网站有10.04万个,虽然2012年1~11月共处理24535个,较2011年同期下降33%,然而中国网络安全形势却依然不容乐观。

如今,像“双十一”,“双十二”这样的网民狂欢节,日益演变成电商和网购的打折促销盛宴,这样的日子,引来了大量想便宜淘东西的消费者,同时也使得钓鱼网站激增。中国反钓鱼网站联盟的最新信息显示,截至12月10日,该联盟当月已认定并处理钓鱼网站309个。“双十一”期间,该联盟认定并处理钓鱼网站1371个,约占当月处理总量的50%左右。

业内人士表示,目前针对银行的网络攻击也在升级,过去网络攻击的目的是要炫耀一下自身的黑客能力,而现在情况已经开始向经济利益获取和组织化形势发展。

“现在我们的金融交易大部分是通过银行的网络进行的,任何的一点流程缺陷或安全漏洞都可能导致客户信息泄露或不当运用,产生严重的声誉风险和法律风险,进而可能影响金融业的整体运行。”某股份制银行有关人士告诉记者。

信息安全投入仍有空间

近年来,我国银行业在推进信息化建设、建立健全信息安全保障体系、加快科技创新等方面经过不懈努力,取得了显著进展。但与此同时,银行业信息化工作仍面临核心技术受制于人、网络安全形势日益严峻、信息科技发展不平衡等问题。

在此背景下,业内人士认为,信息科技风险仍然是当前和未来较长时期内银行业的重要风险领域,也是银监会的重点监管领域。

今年8月,银监会正式设立银行业信息科技监管部,以加强银行业信息科技监管督导,维护银行业稳健运行。人民银行副行长李东荣11月28日在第九届银行业科技工作座谈会上也表示,银行业信息系统承载我国金融机构核心业务和金融服务,一个环节出现问题,就可能引发“多米诺骨牌”效应。

信息技术的安全运行和健康发展,已直接影响银行的稳健经营,甚至关乎银行声誉、金融安全和社会稳定。据有关媒体透露,到2011年底,255家重点银行机构共建设501个数据中心或机房,涉及总投入达698.7亿元,同比增长38.3%。其实从数据上看,银行近年来不断加大信息科技基础设施的投入的速度已经高过了其利润增长水平。同时,层次化、立体化的信息安全保障体系初步形成,为维护金融信息安全发挥了基础支撑作用。科技进步促进了银行业资产质量的不断提升,盈利能力、风险抵补能力持续增强。不过同时也有研究报告指出,尽管中国银行总资产不断增加,但中国金融业的IT服务支出只有美国的15%,具备进一步成长的空间。

在本月初举行的中国银行业信息科技风险管理2012年会上,银监会表示,面对日益严峻的网络安全形势,我国银行业将围绕自主可控、持续发展、科技创新三大战略加强信息科技建设。下一步,将在新形势下不断加强专业化监管能力建设,从监管和指导两方面推动银行业信息化工作强本固基、健康发展。

1.4 研究:医疗系统漏洞多 易成黑客攻击对象

近日有一家外国调查机构指出,医疗行业为了寻求更高效的治疗体系,越来越依赖于互联网。而这让大量医疗设备以及医疗系统成为了黑客攻击的主要对象。

黑客攻击

互联网安全研究人员指出,黑客的攻击将不仅仅使他们能够获取来自院方的病人信息,而且还可以发起具备破坏性的攻击,比如说关闭掉医院使用的医疗系统。

《华尔街时报》在过去一年的调查工作发现,医疗行业是美国所有系统中最脆弱的一个,其中一个原因则是医疗行业对待网络攻击的懈怠态度。较于金融、军事以及各大公司网络,医疗行业网络的被黑客攻击的机率的确少得多。不过,在近几个月内,美国国土安全局却表达了对医疗行业将可能会遭到黑客攻击的担忧。

目前存在于医疗系统中的漏洞将会致使病人的信息以及医疗信息受到严重威胁。日前,一支研究人员发现俄克拉荷马州的医疗处方电子医药箱系统使用的软件接口过于简单,以致于其可以非常轻易地被匿名用户侵入。

1.5 综合治理视野下的网络犯罪研究

网络技术的发展是一把双刃剑,它在造福人类的同时,也为网络犯罪大开方便之门。近些年,我国理论界和司法实务部门不断探索预防、控制和打击网络犯罪的对策方法,但摆在我们面前的挑战依然很多,特别是各种传统犯罪与网络犯罪相结合,对社会稳定的危害明显加剧。要从根本上预防和治理网络犯罪问题,就必须采取一套整体性的社会措施和政策。社会治安综合治理,是具有中国特色的解决社会治安问题的法宝。新形势下,将对网络犯罪的综合治理纳入到社会治安防控体系之中,与社会管理创新相衔接,可以使复杂的社会治安问题简单化。因此,从社会治安综合治理的视角来研究预防、控制和打击网络犯罪的对策,治标治本,更具战略意义。

第一,建立健全网络信息安全防范体系。通常情况下,网络安全问题主要表现在以下几个方面:有程序就有漏洞,且漏洞不断更新、应接不暇;黑客攻击方式快速更新,而安全工具的更新却显滞后;传统安全工具防护功能有限,环境的变化或使用不当也会影响防护效果等等。因此,加大对网络安全技术的投入和研发,建立一套完整的网络信息安全防范体系,特别是从政策上和法律上建立起一套具有中国特色的网络安全体系很有必要。基于此,可以采取配置高效防病毒系统、全方位发挥防火墙功能、采用入侵检测系统构建主动防御体系、建立网络安全维护和监测系统等多种方法,加强网络安全管理,形成一个综合性的、多层次的网络安全系统。

第二,完善刑事法律保障体系。网络安全问题涉及面广、综合性强,单一的技术防范较为被动。根治网络犯罪,加强法律特别是刑事法律的威慑势在必行。当前,我国有关网络犯罪的刑事立法相对零散、不成体系,不足以制衡网络犯罪,完善立法迫在眉睫。例如,网络空间犯罪行为的刑事管辖权问题亟须明确;刑法对单位实施的计算机犯罪未作规定;新修订的《刑事诉讼法》新增“电子数据”作为证据种类,但对电子数据的采信规则、采集程序未做具体规定;在刑罚种类上,刑法对计算机犯罪仅设有自由刑,而对于造成巨额经济损失的,理应科以财产刑;等等。

第三,争取全社会各部门通力合作。公安机关作为主管部门要与其他相关部门联手,加强对涉网单位的监管和对涉网违法犯罪的管控。一是争取信息产业界配合和支持,提高侦查技术,完善网络安全技术防范和控制措施。二是对互联网接入服务、信息服务单位和网吧开展清理,清除网上有害信息,严格落实“用户信息登记”等网络安全制度,从源头上控制网络犯罪发生。三是对网站开展网络舆情监管和控制,引导舆情走向。四是公安部门要会同文化、工商等部门适时部署联合执法专项整治行动,净化网络文化环境。五是互联网企业要加强自律,强化对网络谣言的甄别和拦截,遏制各类违法有害信息传播。

第四,培养“复合型”网络警察队伍。新时期的网络警察应当是“三合一”、“复合型”警察:拥有高端的网络技术能力、外事警察的外语能力和刑警的侦破能力。因此,对网警的知识结构要求较高,网警须经特殊教育和训练才能胜任。当前,网络更新速度非常快,网警要想保持技术的先进性,必须定时进行学习和培训。因此,建立完善的网警培训机制,加强网络管理队伍正规化、现代化建设,是网络警察工作机制的重要环节。

第五,加强网络安全的国际合作。网络犯罪无国界。近年来,通过网络实施跨国犯罪的行为与日俱增。治理网络犯罪,仅靠一国之力远远不够。在依靠国内法律预防和控制的同时,必需加大国际协作力度。一是积极参与制定反网络犯罪的国际条约。网络立法的国际一致性是网络犯罪无国界性的客观要求。不同的国家,基于社会制度、文化、法律等方面的不同,对网络犯罪行为有时会产生司法冲突,而国际条约可以弥补这方面的不足。二是建立网络犯罪国际监督机制。应成立相应机构专司国际监控职能,确保全球犯罪内做好网络犯罪的预防和控制。三是加强打击网络犯罪信息交流。信息网络是国际化的,在国际条约规范下加强国与国之间相关信息交流,对防控我国境内和跨国网络犯罪均具有非常重要的战略意义。

第六,规范网络文化导向。首先,坚持社会主义先进文化前进方向,牢牢把握网络思想文化的主旋律,积极宣传先进文化,弘扬社会正气;其次,提供优质的网络文化产品和服务,将博大精深的中华文化作为网络文化的重要源泉,提升网络文化品位,努力形成具有中国特色的网络文化品牌;再次,加强网上思想舆论阵地建设,紧紧围绕广大群众的精神文化需求,巩固发展积极健康向上的主流舆论,打造具有广泛影响的网上文化平台,创造文明健康的网上精神家园,掌握网络文化传播的主动权。最后,综合运用法律、行政、经济、技术等手段,采取行政监管、社会监督和媒体正面引导等方式,维护互联网信息传播秩序,引领网络文化健康发展。

党的十八大报告指出:“加强和改进网络内容建设,唱响网上主旋律。”目前,互联网已成为人们思想、信息、文化知识传播的重要渠道。如果健康有益的主流文化不去占领这块阵地,落后腐朽的思想文化必然会去占领。在社会治安综合治理视野下,要动员广大群众共同参与网络犯罪的预防和打击,发挥“群防群治”的作用,将网络违法犯罪控制在萌芽状态;要鼓励广大群众树立高度的文化自觉和文化自信,让网络为我所用,使防控网络犯罪成为人们的共同行动;要引导广大群众树立社会主义核心价值观,将价值导向转化为人们的价值取向和选择,推进网络的规范有序发展。

 

2 本周关注病毒

2.1 Trojan.Script.VBS.Dole.b(木马病毒)

警惕程度 ★★★

该病毒会在用户打开Excel的时候即执行病毒文件,然后自我复制到启动文件夹中,保证这个文件随时更新,并修改用户的文件,将恶意代码注入办公文档,严重影响Office性能和正常功能,甚至导致文档无法正常打开。同时该病毒会影响Office的运行速度,还会搜索Outlook程序按通讯簿,定时发送带毒邮件,扩大其传播范围,严重影响企业用户正常工作。

2.2 Trojan.Win32.Fednu.umi(木马病毒)

警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Dropper.Win32.Small.bns(后门病毒)

警惕程度 ★★★★

该病毒将恶意代码加密后放到内存执行,以规避杀毒软件对其进行静态扫描,该恶意代码将连接黑客指定的远程服务器,并接收远程服务器上发来的任意指令。中毒的电脑将被黑客完全掌握,硬盘上的任何数据都会成为黑客的囊中之物。

3 安全漏洞公告

3.1 IBM Tivoli NetView for z/OS本地权限提升漏洞

IBM Tivoli NetView for z/OS本地权限提升漏洞

发布时间:

2012-12-26

漏洞号:

CVE(CAN) ID: CVE-2012-5951

漏洞描述:

IBM Tivoli NetView是网络管理软件,可检测TCP/IP网络、显示网络拓扑结构、相关信息和管理事件以及SNMP陷阱、监控网络运行状况并收集性能数据。
IBM Tivoli NetView for z/OS 1.4, 5.1-5.4, 6.1存在安全漏洞,一般用户可具有NetView for z/OS上提权的安全设置,然后以该权限执行任意程序。

安全建议:

IBM已经为此发布了一个安全公告(swg21621163)以及相应补丁:
swg21621163:Security Bulletin: IBM Tivoli NetView for z/OS - Gain Permissions Vulnerability (CVE-2012-5951)
链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21621163

3.2 FreeSSHd freeSSHd.exe 远程身份验证绕过漏洞

FreeSSHd freeSSHd.exe 远程身份验证绕过漏洞

发布时间:

2012-12-26

漏洞号:

CVE(CAN) ID: CVE-2012-6066

漏洞描述:

freeSSHd是开源的SSH和SFTP服务器。
freeFTPd和其内置SFTP服务器存在身份验证绕过漏洞,在提供证书之前,打开SSH通道可绕过身份验证。未经身份验证的远程攻击者可利用此漏洞登录,而不提供任何证书,登录后,上传特制的文件可以系统权限执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://freesshd.com/

3.3 grep整数溢出堆缓冲区溢出漏洞

grep整数溢出堆缓冲区溢出漏洞

发布时间:

2012-12-26

漏洞号:

CVE(CAN) ID: CVE-2012-5667

漏洞描述:

grep是一个最初用于Unix操作系统的命令行工具,是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹配的行打印出来。
grep 2.11之前版本在读取较大行时存在整数溢出漏洞,如果本地用户在特定的数据文件内运行grep,此漏洞可导致grep崩溃或执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://git.savannah.gnu.org/cgit/grep.git/commit/?id=
4572ea4649d025e51463d48c2d06a1c66134cdb8

3.4 FreeType 2.4.11之前版本_bdf_parse_glyphs()越界写入漏洞

FreeType 2.4.11之前版本_bdf_parse_glyphs()越界写入漏洞

发布时间:

2012-12-26

漏洞号:

CVE(CAN) ID: CVE-2012-5670

漏洞描述:

FreeType是一个流行的字体函数库。
FreeType 2.4.11之前版本字体呈现引擎处理Glyph信息和相关BDF位图时存在堆缓冲区外写入漏洞,通过提供特制的BDF字体文件,使用了FreeType库的应用程序处理这些特制字体时,将导致应用崩溃或执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://git.savannah.gnu.org/cgit/freetype/freetype2.git/commit/?id=
7f2e4f4f553f6836be7683f66226afac3fa979b8

3.5 FreeType 2.4.11之前版本BDF解析_bdf_parse_glyphs()缓冲区越界读漏洞

FreeType 2.4.11之前版本BDF解析_bdf_parse_glyphs()缓冲区越界读漏洞

发布时间:

2012-12-26

漏洞号:

CVE(CAN) ID: CVE-2012-5669

漏洞描述:

FreeType是一个流行的字体函数库。
FreeType 2.4.11之前版本字体呈现引擎处理Glyph信息和相关BDF位图时,src/bdf/bdflib.c使用了不恰当的大小来检测'glyph_enc'而导致缓冲区越界读漏洞。攻击者通过提供特制的BDF字体文件,使用了FreeType库的应用程序处理恶意特制字体时将崩溃。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://git.savannah.gnu.org/cgit/freetype/freetype2.git/commit/?id=
07bdb6e289c7954e2a533039dc93c1c136099d2d