当前位置: 安全纵横 > 安全公告

一周安全动态(2013年1月10日-2013年1月17日)

来源:安恒信息 日期:2013-1

2013年1月第三周(1.10-1.17)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 如何让个人网络信息更安全

2012年12月28日,全国人大常委会通过了《关于加强网络信息保护的决定》(以下简称《决定》)。《决定》以法律的形式保护公民个人及法人的信息安全,确立了网络身份管理制度,明确网络服务提供者的义务和责任,并赋予政府主管部门必要的监管手段,重点解决了我国网络信息安全立法滞后的问题。

公民的个人信息保护是此次“决定”的重点,在全文12条规定中,有8条都是关于公民个人信息保护的内容。对于“决定”的出台,中国人民大学副校长、民法专家王利明认为至少有三点意义:一是保护个人隐私和生活安宁,保障公民和法人的合法权益。二是保护网络信息安全,维护国家安全和公共利益。三是规范网络活动,维护互联网的健康发展。

此外,在全国人大常委会办公厅去年12月28日召开的新闻发布会上,工业和信息化部通信保障局局长赵志国表示,做好网络管理工作要把握五大重点:一是制定有关用户电子信息保护、垃圾电子信息治理、手机用户身份管理的部门规章;二是进一步细化和完善涉及用户电子信息保护等方面的相关技术标准和行业规范;三是进一步加大监督检查力度,指导督促电信企业和互联网企业采取有效措施;四是鼓励和支持技术研发,提高用户电子信息安全水平;五是进一步畅通举报受理机制,鼓励公众对侵害用户电子信息安全、发送垃圾电子信息等网络违法行为进行投诉举报。与此同时,会同相关部门及时对此类违法行为依法进行处理。

一直以来,网络信息安全是伴随着互联网发展过程中,让人头痛的问题。有关个人信息在互联网中被泄露而让当事人遭受损失的事件常有发生。“你是怎么知道我的电话的”?当接到保险、理财产品推销或是类似的推广电话时,不少人都会发出这样的疑问。个人隐私在互联网上如何得到保护?收到垃圾短信怎么处理?个人信息安全受到侵害了该怎么办?

对信息收集者有更多约束

决定第二条:网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。

在日常生活中,注册网站过程中,要求提供姓名、电话、地址甚至身份证号码等个人信息的情况并不少见。而这个过程中就有可能对个人信息安全造成损害。根据中国互联网络信息中心发布的《2012年中国网民信息安全状况研究报告》,有84.8%的网民遇到过信息安全事件,总人数为4.56亿,平均每人遇到2.4类信息安全事件。“其实,不仅是账号和密码,几乎所有的信息都有被‘偷看’的价值和可能,比如你的地址、性别、年龄、收入、电话、单身与否、网购习惯和花销、上网浏览习惯、地理位置……”瑞星安全专家王占涛说。

据介绍,对于用户的账号、密码等私密信息可以通过病毒和木马等恶意程序从用户处直接窃取,或是攻击网站漏洞,窃取网站服务器上的数据库,直接窃取用户密码,还可以通过已泄露的密码去猜测其他网站的密码。此外,专家分析,个别网站由于内部员工行窃,也会出现用户数据泄露事故;而个别中小型非正规的招聘网站,也可能会出现出卖用户资料获利的情况。此外,用户上网行为的不谨慎,或是密码过于简单、易于破解等,也是信息泄露的原因。

对此,中国政法大学新闻传播学院兼职教授徐迅说:“《决定》对互联网个人信息保护有较大幅度的加强。对于网络服务提供商和在服务业务过程中涉及公民个人电子信息的一些企事业单位确认了明示义务,避免了相关单位非法收集、使用个人信息。”

处理垃圾短信有法可依

决定第七条:任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。

垃圾短信、垃圾邮件是几乎所有人都遇到过的问题。《2012年上半年中国垃圾短信状况报告》中的数据显示,今年上半年全国10亿手机用户实际遭受的垃圾短信总量在千亿条左右。此外,根据中国互联网络信息中心发布的《2012年中国网民信息安全状况研究报告》,有84.8%的网民遇到过信息安全事件,总人数为4.56亿,平均每人遇到2.4类信息安全事件,而垃圾短信和手机骚扰电话发生比例最高,分别有68.3%和56.5%的网民遇到过。 《2012年中国网民信息安全状况研究报告》称,对于个人信息泄露,绝大多数网民处于无助的状态,88.2%的网民在信息泄露后没有任何办法处理。

据公信部网站介绍,针对垃圾短信,三大电信基础运营商也一直在积极开展相关工作。中国电信于2012年3月在全国组织开展了端口类短信群发业务清理整顿行动,截至2012年4月上旬,累计复核客户76897家,关停24822家。中国移动2012年9月启用了专门用来治理垃圾短信的洛阳信息安全运营中心,这是我国首个由运营商建立的针对移动互联网信息安全的集中运营中心。试运行的前两个月,日均处理疑似不良信息约55万条。中国联通2012年上半年在全国31个省(区、市)已完成垃圾短信发端拦截系统建设,7个试点省完成了收端拦截系统建设。根据工业和信息化部统计数据显示,中国联通垃圾短信投诉量同比下降38.5%。

决定第八条规定,公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。

对此,中国联通产品创新部副总经理李明铎接受媒体采访时表示,此前,运营商只能对发送垃圾短信的用户采取关闭短信业务的措施,但对方仍可通过换号再次发送,犯罪的成本和门槛几乎为零。有了相关的法律,运营商就可以配合公安部门,对这些发送诈骗短信和骚扰电话的人依法采取处罚措施。

身份认证与管理 实名制更明确

决定第六条:网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。

这意味着,在使用微博、博客、BBS等提供信息发布的互联网服务时,用户必须实名注册。个人必须提供真实身份信息,实名制了,还安全吗?网络言论还自由吗?全国人大常委会法制工作委员会副主任李飞说,网络服务提供者对用户发布信息的网络身份管理,可以实行后台的身份管理办法,用户在发布信息时可以选择使用其他名称。

去年浙江台州公安机关破获了一个涉案金额500余万元的犯罪团伙。他们通过玩家电脑植入木马盗取游戏账号,然后将盗取来的账号放在网络交易平台上出售。警方分析,正是由于该案中犯罪嫌疑人租用的服务器不需要实名注册,且在第三方交易平台进行虚拟货币交易一般不需要实名认证,增加了公安机关的打击难度。

针对这些现象,《决定》规定,网络服务提供者为用户办理网站接入服务,或为用户提供信息发布等服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。

据新华社报道,“决定为国务院制定或修订有关行政法规提供了上位法的依据。”国务院法制办副主任袁曙宏表示,国务院法制办将积极会同有关部门对与决定有关的行政法规进行清理,对有些不一致、有冲突的地方,还要进一步加以衔接,同时抓紧制定相关配套法规。

据介绍,目前国务院已经制定了包括互联网信息服务管理办法在内的与互联网管理有关的行政法规9件、国务院有关部门制定了与互联网管理有关的部门规章10多件。

“实行网络身份管理,是许多国家的通行做法。许多国家都通过立法要求固定电话、手机等电信用户在办理入网手续时须提供身份证明。有关部门、地方和社会公众普遍要求通过立法完善这一制度。”李飞在接受媒体采访时解释说。

相关阅读

调研显示:个人信息泄露近八成源自内部作案

中国软件评测中心副主任高炽扬在接受“中国青年报”采访时曾指出,在调研中,我们发现近八成的个人信息泄露源自信息所有者的内部作案。但调研还发现,在内部泄露事件中,泄露主体大多是员工个人,而非相关机构。原因在于,对于某一机构而言,出售用户信息所获得的回报和因此造成的经济及名誉损失不成比例。大部分企业还是能够做好自律工作的。但对于某些个人员工而言,出售用户信息带来的收入确实可观。

这暴露了一个问题:正因作为信息管理者的相关机构并未有效履行自身职责,才使得技术和管理制度上存在漏洞,导致客户信息泄露。因此,如何弥补这些漏洞,才是相关机构应当反思的。

在近年调研中,我们发现作为信息的管理者,一些机构缺乏起码的防范意识。比如在其内部手机、电脑等电子设备的使用,应当严格限制;比如存贮个人信息电脑的安装位置要有所注意,不能屏幕直接冲外;比如用户信息在使用之后,应当做到及时彻底删除;比如应严格限制可能接触到用户信息的人群,等等。

目前,个人用户对信息保护的诉求很强烈,但保护意识普遍薄弱。比如复印身份证后,我们应当在四周写上“本身份证用于某某用途”,以防别人拿作他用。对于无用的个人信息,我们应当做到自行粉碎或将重要信息划去。在被要求填写住址、年龄、单位、身份证号等信息时,我们脑海中要有所警惕:我需要提供这些信息吗?比如在商场办会员卡,其实只需填写姓名就足够了,其他信息理应拒绝提供。

对个人而言,最为重要的信息包括身份、财产、位置三方面。还有,信息的加工和处理环节,个人用户无法参与和控制,但收集和删除环节则是我们可以改善的。

1.2 教育部信息网站存漏洞 部分学历恐被套号

“学信网”查询的部分信息,无法显示身份证号、照片等。 如果你是1991年至2001年毕业的大学生、研究生,名字又不复杂。要小心了,你的毕业证、学位证很有可能被“套号克隆”。

近来,网上出现一批打着办理“套号学历”的贩子,称可办理“克隆学历”,不仅是全国统一招生录取的正规学历,而且还能通过教育部指定的“中国高等教育学生信息网”查询。记者全程跟踪“套号学历”的办理流程,办理出来的“套号学历”经中国高等教育学生信息网查询,的确显示为真。

贩子伪造的高校学位证书,可以假乱真,通过“学信网”辨别。


教育部指定学历查询平台,被指存在漏洞。网络截图

贩子们表示,由于中国高等教育学生信息网存在致命的漏洞,才给了他们这些人可乘之机。

“承接全国学生信息网上可查询的各类学历套号,费用2000元,与真学历相同。”

2012年12月初,记者手机收到一条短信,不同于以往“办假学历”的短信,这条短信提到“套号学历”。

学历能“套号”

什么是“套号学历”?

记者联系到发短信的男子,他自称叫刘毅,从事这些业务已有两年。“所谓的套号学历,就是找一个跟你同名同姓的毕业生,克隆一模一样的毕业证、学位证,等于你不用上大学,跟你同名的人帮你上了大学。”

刘毅说,办理者姓名越简单越好,“比如姓山、查、上官、欧阳等少见的姓氏,就不容易套号。名字越简单,重名者越多,选择余地就越大。”

按照刘毅的说法,套号分三个环节,首先对同名毕业生进行查询选中合适的对象,然后解码获得毕业证编号,最后制作毕业证、学位证和学籍档案,“2000元办理费也可以分三次付款”。

记者在网上查询,存在很多办理“套号学历”的信息。这些学历贩子声称,他们办理出的全国统一招生录取的“套号学历”,具有同真学历完全一样的效力。

为探究“套号学历”的制作过程,记者提出让刘毅办理“套号学历”。

“只有在1967年至1977年之间出生的人才适合办。”刘毅略显神秘地说,他不愿解释原因,“交钱再告诉你”。

“致命”的漏洞

记者以1971年出生的“许丰”(化名)身份,办理“套号学历”。

12月3日,按照刘毅的要求,记者汇款400元查询费用。

一天后,刘毅发来查询到的6位名为“许丰”的毕业生信息。记者看到,毕业院校涉及中央财经大学、北京邮电大学等多所院校,形式包括普通全日制、成人函授、网络教育等,毕业时间从1999年到2008年,其中一个还是硕士学历。

这些信息涉及毕业生的身份证、照片、专业名称等,但都没有毕业证编号。

“毕业证编号最关键,如果谁都能查,我们还赚什么钱?我们有自己的渠道获知这些信息。”刘毅说。

刘毅推荐“套号”1999年毕业于湖北一家大学的“许丰”,“这个最适合”。

记者发现,这名“许丰”是6人中唯一没有照片、身份证信息的。

“在学信网的资料库里也没有这些信息,我们就钻这个致命的漏洞。”刘毅说。

“学信网”全称中国高等教育学生信息网,是教育部指定的电子政务平台。

该网站工作人员证实,2001年以前,中国所有高等院校毕业生的信息都没有在网上公布,现有“学信网”上的这部分信息,都是后来补加到网上的,“之前的信息本就不全,造成2001年之前的毕业生身份证信息和个人照片均缺失,现在即使想加也加不上了。”

“神秘”的解码

“只要2001年之前毕业的同名人,只要我们破解出毕业证编号,就可以炮制出套号学历。”刘毅说。

12月5日,记者再汇过去1000元的“解码费用”。

三天后,刘毅发来短信:“解码成功了!”

刘毅发来一串8位数的编号,“264***64”(证书编号),还有一张学信网上的查询截图。截图显示,这名“许丰”的查询结果有姓名、性别、毕业时间、学历类型、毕业院校、专业名称等内容,的确没有照片,出生日期和身份证号均为“*”号。

“这就是最完美的克隆学历,接下来你把剩下的600元汇给我,再把你的照片发过来,我给你寄毕业证、学位证和档案。”刘毅说。

记者从多家单位的人力资源部了解到,现在单位人力资源部检测求职者学历的真伪,唯一方法是靠从“学信网”查询,查询需要姓名和证书编号,如果查无数 据,或者查到的信息(身份证号、照片)与求职者不同,则说明是伪造的证书或者是套用他人的证书。但查询出的证书上,身份证、照片等相关信息缺失,则无法辨别。

“所以说,解码是最关键的环节,通过我们的渠道可以解码出证书编号,是最值钱的部分。”刘毅说。

无奈的查验

一周后,毕业证、学位证、档案快递到达,快递单上仅显示,寄件人地址在湖北武汉,没有更多信息。

“套号”的证书上,记者传过去的照片被进行了“年轻化处理”,就连证书的纸张本身,也被做成泛黄的陈旧感觉。

证书加盖有公章,包括湖北一家大学、湖北省高等教育自学考试委员会,还有当年这家大学校长的签名。

拿着这份“套号学历”,记者送去多家用人单位的人力资源部进行检测,人力资源部查询“学信网”后均表示,此学历为真。

“这就是套号学历的威力,我们要感谢这个漏洞。我不推荐你拿着这份学历去考公务员或者读研,但是找一般的工作,绝对不会有问题。”刘毅说,担心被套号的毕业生已考公务员或研究生,“这就有可能被查出来。”

刘毅表示,光2012年11月份,就接了约20单“套号学历”的生意。他发来的一张截图显示有11月帮多人制作过“套号学历”的账单。

按照每月20单生意计算,刘毅每月毛收入在4万元以上。

贩子背后是谁?

对于通过何种渠道进行同名筛选,拿到“学信网”的信息,特别是“最关键的”证书编码,刘毅总是三缄其口。

记者调查,个人在“学信网”上输入姓名、证书编号,并付费获得查询码后,能显示所查姓名对应的学历信息。单位人力资源部一般都有“学信网”查询账号,但允许输入姓名、证书编号,查询到的也为个人学历信息。

学信网的工作人员称,学籍的相关信息在他们的数据库中是保密的,不清楚学历贩子是如何查询到的,“数据库里面虽然有,但我们绝对不会对外提供查询方法。”

刘毅曾表示,“只要学信网这个漏洞一直存在,套号学历的生意就可以一直进行,直到1991年至2001年的毕业生全部退休为止。”

昨日,教育部高校学生司人员坦言,“2001年之前那么多的毕业生,历史的信息太长久,无法再补完了,工作量太大。”

这名人员介绍,1994年到2000年已是统一印制学历证书,已有防伪手段,“证书的纸透光看有水印,纸张上的油墨,用紫光灯照有荧光反应。证书的 边框,看起来像条线,但放大看之后,是由缩微字母组成”。对于2001年以前的学历,建议单位人力资源部门通过“学信网”查询后,最好再对证书进行防伪辨 别。

■ 律师说法

伪造学历涉嫌触犯刑法

北京博天律师事务所的律师王传巍表示,根据《刑法》规定,伪造公司、企业、事业单位、人民团体的印章的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利。

王传巍称,关于办理伪造、贩卖伪造的高等院校学历、学位证明的刑事案件,最高法和最高检曾出台一个司法解释,对伪造高等院校印章制作学历、学位证明 的行为,以伪造事业单位印章罪定罪处罚;明知是伪造高等院校印章制作的学历、学位证明而贩卖的,以伪造事业单位印章罪共犯论处。

1.3 思科产品存在严重安全漏洞,易受黑客攻击

哥伦比亚大学计算机科学教授塞尔瓦托·斯托福和计算机科学博士生Ang Cui在一项研究中发现,思科VoIP电话存在严重安全漏洞。Ang Cui亲自演示了将一段恶意代码插于到思科VoIP电话中,可以再任何地方窃取思科VoIP电话内容。

据国外媒体报道,哥伦比亚大学计算机科学教授塞尔瓦托·斯托福和计算机科学博士生Ang Cui在一项研究中发现,思科VoIP电话存在严重安全漏洞。Ang Cui亲自演示了将一段恶意代码插于到思科VoIP电话中,可以再任何地方窃取思科VoIP电话内容。思科VoIP电话广泛用应用于世界各地政府、银行和大型企业中。

Ang Cui表示,思科公司已经发布了一个补丁来修复这些漏洞,但这些修复是无效的。它并没有从根本上解决漏洞,我们已经对思科提出这些问题。

“我们不知道任何解决方案,解决了symbiote技术或改写固件的系统性与思科的IP电话固件的问题,但我们计划在即将举行的会议中表现出的symbiote保护思科IP电话。”Ang Cui称。

Ang Cui透露,他们特别关注在互联网上被广泛采用和联网与嵌入式系统,包括VoIP电话,路由器和打印机,他们的研究集中于开发新的先进的安全技术来保护这些系统。

1.4 云安全将成为2013年最具破坏性的技术

业务创新安全委员会是由来自世界各地的十九家企业的安全专业人士所组成,该委员会近日称:云计算将成为2013年最具破坏性的力量。在其信息安全报告中,该组织表示,很明显,许多歉意正在准备将更多的业务迁移到云服务。这一年甚至将会成为“关键任务应用程序和规范数据”转移到云计算之年。

该委员会在几年前成立,成员包括来自可口可乐、易趣网、联邦快递、EMC、富达投资公司、英特尔、强生公司和沃尔玛的安全专业人士。该委员会的报告说:“虽然供应商已然锁定了安全问题,而且业界也在越来越关注安全问题,云计算的安全问题仍然是企业部署和采用云计算的头号障碍。但与此同时,企业对于云计算的信任也在逐步增强。”

他们指出,即使监管机构开始就这一问题热身,例如荷兰银行已经于去年开始授权为云计算的采用开绿灯了。但就企业如何策划,并逐步过渡到云也存在着一些“差距”。报告指出,虽然企业的中层管理人员可能由于种种的业务因素支持云计算业务,但他们在协调和信任IT安全管理人员对于管理和安全方面的控制方面仍然存在一定的差距。

“企业的中层管理人员不想在安全方面利用自己的资源。”该报告直言不讳地指出。“他们可能有自己的时间表和预算;因为增加安全性不是他们的目标。”

报告强调,企业的IT安全团队今年应该努力与这些中层管理人员建立起良好的关系。实行定期会议并进行信息交流在过去几年中一直是一个很好办法,将企业高层管理人员的注意力吸引到对企业安全性质和网络威胁方面的关注方面运作良好。这些高管们现在很大程度上已经了解信息安全的优先级。但与中层管理者达成同样的默契与融洽,很可能是一个更大的挑战,报告说。

此外,云计算正迫使内部安全队超越内部控制,使他们必须想尽办法尽可能的从云供应商那里获得更多的控制权,而朝着这个方向走无疑需要更多的预算。

2013年其他破坏性因素预测还涉及到社会媒体相关的风险。报告建议说,风险不仅仅来自于企业员工在工作时浏览社交媒体,同时还源于员工们在自己的私人时间访问社交媒体。建议称,适当的培训将帮助企业员工掌握在社交媒体避免发表有关公司的敏感信息帖子的技巧,员工还需要了解犯罪分子是如何在社会媒体利用网络钓鱼似的犯罪行为进行旨在损害整个企业利益的。

1.5 2012全球十大网络安全话题回顾

即将过去的2012年可谓是网络安全的灾年,从银行到医院,从中情局局长到普通白领,没有企业和个人能够确保自己的信息和隐私安全。DDoS、社会 化钓鱼、APT、Android恶意软件正在成为网络犯罪集团乃至各国政府的最爱,信息安全的旧账未了,新威胁又不断涌现。以下是IT经理网精选出的有代表性的2012年十大网络安全话题:

10.1200万苹果设备ID泄露

今年9月,著名黑客组织“匿名者”(Anonymous)的分支 机构AntiSec 声称他 们掌握了超过1200万个苹果设备ID(包括用户姓名、手机号码、地址等信息)。AntiSec还以加密的方式在论坛中放出了100万个泄露的苹果设备唯 一设备识别符(Unique Device Identifiers,UDID),并发表声明称这些数据来自FBI探员Christopher K. Stangl 使用的一部戴尔 Vostro 笔记本。AntiSec 藉此抨击FBI 监视公民隐私,此事也引起全球范围内科技媒体的高度关注。对于AntiSec的指控,FBI迅速通过Twitter做出回应,矢口否认曾收集苹果用户信息。

最终,根据Intrepidus Group的信息安全顾问David Schuetz的深入调查,泄露的苹果设备信息的真正源头是佛罗里达州一家不知名的应用开发商“蓝蛙”(Blue Toad)。至于这些泄露的数据为什么会出现在FBI探员的电脑中,个中玄机不言自明(泄露的ID数据在黑客之间分享,难保某位黑客的真实身份不是FBI探员)。

为了帮助广大苹果电脑用户查询自己的设备是否在数据泄露名单中,TNW特地制作了一个查询工具,可点击这里使用。

9.VMware ESX服务器管理源代码泄露

今年四月,VMware承认一个ESX 服务器管理源代码文件被黑客发布到了网上,这为潜在的零日攻击打开了大门,同时IT经理们也担心还有其他代码文件也被泄露。果不其然,今年11月一位化名 “Stun”的黑客放出了其他源代码文件。两次源代码泄露事件的细节尚不为公众所知,难以评估造成的安全风险。不过目前通过升级软件用户可以规避代码泄露 产生的安全风险。

8.Mac电脑成为黑客目标

“我不需要杀毒软件,我用的是Mac!”这句话在2012年不再有效,今年Mac电脑中的Java漏洞—Flashback,导致超过50万台 Mac电脑被恶意软件感染。Flashback伪装成Adobe的Flash安装和升级程序,从被感染的Mac电脑中收集各种用户信息。作为第一个成功对 苹果电脑完成大范围攻击的恶意软件,Flashback彻底粉碎了苹果系统百毒不侵的神话。

7.微软粉碎僵尸网络

微软今年9月获得美国弗吉尼亚州地方法院授权,捣毁了Nitol僵尸网络控制中心,Nitol 是500多种恶意软件的“巢穴”,这些恶意软件与不安全的计算机销售供应链(盗版软件和水货电脑)组成一个犯罪产业链(编者按:Android水货手机目 前也存在类似的问题)。根据微软的研究,从不安全的供应链(例如水货笔记本电脑经销商和中关村的电脑商城)处购买的电脑中,超过20%被植入了恶意软件。 而这些病毒又能像传染病一样通过U盘和网络感染同事或者家人的电脑。Nitol僵尸网络就是通过这些途径不断传播扩规模。微软警告,从不安全的渠道购买电 脑和(盗版)软件都是非常不安全的。

6.北电遭中国黑客入侵

流年不利多年的电信设备巨头北电网络(Nortel Networks)今年二月爆出严重泄密事故。报道称来自中国的黑客入侵北电网络系统并窃走了几乎所有重要数据,包括技术文档、研发报告、商业计划和大量 员工邮件。与此前的黑客从管理层人员环节入手,获取了包括CEO在内的北电网络高管的7个密码,从高管个人信息突破的作案手法与HBGary Federal的信息泄露事件十分类似,唯一的区别是HBGary的首席执行官自身也是Rootkit安全技术高手(但依然被黑客的社交工程手法轻易搞 定)。

5.iCloud、亚马逊云计算爆出严重安全漏洞

连线杂志记者Mat Honan今年8月首次报道了iCloud和亚马逊公共云计算的重大安全隐患,这绝对是独家报道,因为Mat Honan本人就是这次云安全事件的受害者。黑客将Honan与iCloud同步的三个设备(MacBook、iPad和iPhone)上的数据同时清 除,还进入Honan的Gmail和Twitter账户(包括Gizimodo的Twitter官方账号),并在两个Twitter账号上发布了一系列种 族和同性恋言论。

黑客获得Honan亚马逊账户的方式简单到让人发指。黑客只需要知道目标账户的持有人姓名、电子邮件地址和收账地址,今天,网民的这些信息对于黑客来说简直唾手可得。

与亚马逊类似,iCloud目前也非常不安全(除非苹果提供类似Gmail的双重认证)。iCloud的唯一安全屏障就是密码,而获取密码的方法也 很简单:你只需要知道账户的邮件地址,然后打电话给苹果的技术支持,报上邮件地址和信用卡后四位数字。Honan用这个方法成功获得了连线杂志办公室多位 同事的iCloud账户密码。

此外,消费者也注意不要使用iCloud的“Find My Mac”功能,丢失MacBook笔记本电脑的概率很小,而丢失手机的可能性很大,“Find My Mac”功能可以远程擦除MacBook上的数据,这反而降低了MacBook数据的安全性。

4.银行、医院成网络安全重灾区

根据CRN的报道,2012年第一季度针对美国银行企业的DDoS攻击环比暴增80倍。与安全威胁的暴增形成反差的是美国银行企业在用户端安全技术方面的大幅落后——欧洲银行业在在线信息安全方面领先美国同行几十年, 欧洲银行已经普遍采用双重认证(Two-Factor Authentication),而美国才刚刚开始。美国的银行们依然在部署新安全技术与数据泄露成本之间权衡纠结。2012年的多起互联网用户数据泄露 事件表明,传统的用户名密码越来越不可靠,一些银行已经采取行动,在用户的智能手上启用硬件或软件令牌,以及一次性的动态密码。

与美国银行企业同病相怜,美国医疗行业也因为安全技术投资的滞后而面临前所未有的信息安全危机。根据美国国家标准协会2012年4月份发布的一份报告《受保护健康信息泄露的经济损失评估》显示:过去两年有高达1800万美国公民的个人健康信息被窃取。 人们不禁会问,医院和其他医疗机构为什么没有采取必要的信息安全措施来保护电子病历?答案是,医院的CIO通常认为安全技术投资的ROI很低,不愿投入。 但实际上随着医院信息化的深入开展,病人隐私信息的安全事故给医院将给医院带来财务、品牌、运营、法律和业务五个方面的巨大损失和麻烦。

3.LinkedIn账户密码泄露,MD5不再安全

2011年是互联网用户账户密码数据大泄露的一年(国内的CSDN,国外有Sony),大多是因为网站没有对用户数据采取必要的加密,但2012年 LinkedIn的用户账户密码泄露事件则暴露出MD5加密技术的不足。LinkedIn使用了MD5或者SHA-1加密的哈希密码,这在过去是标准的密 码保护方法,但在今天已经不够好了。如何弥补MD5加密技术的不足,更好地保护网站的用户数据?IT经理网的专栏作者Steve Mushero给出了解决方法。

容易被忽视的是,对LinkedIn的密码泄漏事件的调查还连带暴露出一个类似Path的用户隐私问题: 研究人员发现LinkedIn移动应用会不经用户允许悄悄从日历资料向外发送数据,其中包括密码和会议纪录,在用户毫不知情的情况下将数据传回 LinkedIn服务器。该消息披露后,LinkedIn表示将终止日历发送会议纪录数据。LinkedIn解释称日历同步功能是可选功能,可以关闭,此 外LinkedIn并未在服务器上存储任何用户隐私数据,而且对传输过程中的数据进行了加密。

2.针对Android智能手机的攻击首次超过PC

2012年Android智能手机已经占据智能手机市场75%的市场份额,在中国,Android手机的智能市场占有率更是超过9成,这样一个主流移动操作系统已经引起黑客和无良公司极大的兴趣。根据趋势科技的报告,Android手机恶意软件的数量近两年来也一直呈几何级数增长。根据英国信息安全公司Sophos发布的《2013安全威胁报告》,在澳大利亚和美国,针对Android 的恶意攻击的比率(Threat Exposure Rate, TER)甚至已经超过PC。(如下图)

上图并未给出中国市场的Android系统威胁数据,但是复旦大学计算机科学学院专家今年8月份发布的研究显示,目前国内安卓系统的应用程序泄露率过半,八成软件过度要求授权,非法收集用户隐私信息,包括手机通讯录、身份信息、地理位置信息、诸多账号信息以及邮件文件等数据。

根据安全管家行业分析报告,2012年上半年国内共发现手机恶意软件33930款,Android平台占据26580款,其中32%悄悄吞噬用户的 手机话费,12%瞄准用户的通讯录、照片、短信等个人信息。从第二季度开始,恶意推送广告的病毒开始蔓延,占当季新增手机病毒的45%。

对于个人消费者来说,水货Android手机正在成为恶意软件的温床,水货手机中的预装软件中存在大量的吸费软件、窃取个人信息的木马软件,以下安全建议针对中国消费者:

1 买到水货手机的第一步是立即重新刷回洁净的官方ROM,尽量不要试图破解手机获取Root权限,Root带来的安全风险大过所谓的自由度。

2 尽量使用官方电子市场,报告显示,在Android恶意软件数量呈几何级数增长的时候,官方电子市场的恶意软件数量却在大幅下降,显然Android官方电子市场的安全性相比第三方市场要高得多,而且这个差距还在不断拉大。

3 下载前先调查一下程序。主要包括两个方面,发行商的背景调查和程序的用户评价。

4 安装前留意程序请求的权限数量和范围。很多程序会请求一大堆权限,其中很多跟程序功能毫不相关,例如互联网访问权、个人信息(敏感日志数据)、SD卡删改、硬件控制、GPS等,这时候需要警惕了。

5 安装Android杀毒软件

1.史上最复杂的间谍软件——Flame

2012年5月份“一炮而红”的间谍软件——Flame迅速成为信息安全行业家喻户晓的名词。Flame有很多叫法,包括“Viper”和“Skywiper”等。该间谍软件最早在中东被发现,专家普遍认为该软件是针对伊朗设计的。Flame通过攻击微软Windows Update认证的MD5算法来实现攻击,与Stuxnet一起誉为史上最复杂的恶意软件。

根据纽约时报的报道,Flame并不是针对伊朗核设施的Stuxnet计划中的一部分,因为Flame的代码比较陈旧, 大约是5年前的代码。 根据Wired报道,知情的美国官员拒绝透露美国是否为Flame病毒的幕后推手。 (编者按:但是最近一些网络安全公司发现Flame和Stuxnet共享关键代码,这也许说明一些问题)

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.uml(木马病毒)

警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Worm.Win32.VobfusEx.h(蠕虫病毒)

警惕程度 ★★★

该病毒运行后,修改注册表,实现开机启动,同时该病毒还会自我复制到各磁盘的根目录下。用户电脑一旦中毒,就会访问黑客指定地址,病毒将进行自我更新,并收集用户配置信息,使电脑接受黑客的远程指令,严重威胁用户的隐私信息安全。

2.3 Trojan.Spy.Win32.Hijclpk.a(‘LPK劫持者’木马病毒)

警惕程度 ★★★★★

该病毒运行后,将在系统目录%SYSTEM%下施放一个盗号木马,并修改注册表,以实现开机自启动。同时,该病毒还会搜索所有含有exe文件的文件夹以及rar压缩文件,然后进行自我复制并将属性设置为隐藏,以便进行大范围传播。除此之外,该病毒还将感染部分html文件和js脚本,并向其源文件内添加恶意代码,使其指向黑客指定的挂马网站。最后,该病毒还将恶意代码注入windows进程中,以实现监听用户电脑的目的。用户一旦中毒,将“被下载”大量木马病毒,还要面临虚拟财产被盗、隐私信息泄露等威胁。

3 安全漏洞公告

3.1 Sybase Adaptive Server Enterprise (ASE)多个安全漏洞

Sybase Adaptive Server Enterprise (ASE)多个安全漏洞

发布时间:

2013-01-08

漏洞号:

BUGTRAQ ID: 57206

漏洞描述:

Sybase Adaptive Server Enterprise是关系型数据库管理系统。

Sybase Adaptive Server Enterprise (ASE)在实现上存在多个安全漏洞,本地用户可利用这些漏洞泄露敏感信息、提升权限、绕过安全限制、控制受影响系统、执行SQL注入攻击、操作某些数据、造成拒绝服务。
1、在创建代理表时存在错误,可被利用绕过某些安全限制。
2、通过Sybase Central的ASE插件创建表时存在错误,可被利用绕过某些安全限制。
3、某些输入没有正确过滤即被用在SQL查询中,通过注入任意SQL代码,可被利用操作SQL查询。
4、在处理安装日志文件时存在错误,可被利用泄露敏感信息。
5、未名细节错误可被利用造成栈缓冲区溢出并提升权限
6、未名细节错误可被利用造成拒绝服务
7、未名细节错误可被利用造成栈缓冲区溢出
8、未名细节错误可被利用造成破坏某些服务器端文件
9、未名细节错误可被利用造成执行任意Java代码

安全建议:

Sybase已经为此发布了一个安全公告(1099305)以及相应补丁:
1099305:Urgent from Sybase: Security vulnerabilities in Adaptive Server Enterprise (ASE)
链接:http://www.sybase.com/detail?id=1099305
补丁下载:http://downloads.sybase.com/

3.2 Cisco Prime LAN Management Solution虚拟设备远程命令执行漏洞

Cisco Prime LAN Management Solution虚拟设备远程命令执行漏洞

发布时间:

2013-01-08

漏洞号:

CVE(CAN) ID: CVE-2012-6392

漏洞描述:

CiscoWorks LAN Management Solution (LMS)是一套局域网管理套装,可简化配置、管理、监控和维护思科网络。
Cisco Prime LAN Management Solution (LMS) Virtual Appliance在实现上存在一个任意命令执行漏洞,此漏洞源于不正确验证发送到某TCP端口的身份认证和授权命令。一个未认证的攻击者可通过连接到受影响系统并发送任意命令利用此漏洞。仅Linux平台上的设备受到影响。

安全建议:

Cisco已经为此发布了一个安全公告(cisco-sa-20130109-lms)以及相应补丁:
cisco-sa-20130109-lms:Cisco Prime LAN Management Solution Command Execution Vulnerability
链接:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130109-lms

3.3 Ruby on Rails不安全查询生成漏洞

Ruby on Rails不安全查询生成漏洞

发布时间:

2013-01-08

漏洞号:

CVE(CAN) ID: CVE-2013-0155

漏洞描述:

Ruby on Rails简称RoR或Rails,是一个使用Ruby语言写的开源Web应用框架,它是严格按照MVC结构开发的。
Ruby on Rails结合JSON参数解析使用Active Record解释参数时,攻击者可以发送带有"IS NULL"的意外数据库查询或清空where语句。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.rubyonrails.com/

3.4 Microsoft .NET Framework Open Data Protocol "Replace()"拒绝服务漏洞

Microsoft .NET Framework Open Data Protocol "Replace()"拒绝服务漏洞

发布时间:

2013-01-07

漏洞号:

CVE(CAN) ID: CVE-2013-0005

漏洞描述:

.NET就是微软的用来实现XML,Web Services,SOA(面向服务的体系结构service-oriented architecture)和敏捷性的技术。.NET Framework是微软开发的软件框架,主要运行在Microsoft Windows上。
Microsoft .NET Framework的WCF "Replace()"函数在处理Open Data Protocol (OData)数据时存在错误,可被用来耗尽系统资源。

安全建议:

临时解决方法:
* 在防火墙阻止OData Web Application端口
* 连接IIS的客户端需要通过身份验证
厂商补丁:
Microsoft已经为此发布了一个安全公告(ms13-007)以及相应补丁:
http://www.microsoft.com/technet/security/bulletin/ms13-007.mspx