当前位置: 安全纵横 > 安全公告

一周安全动态(2013年4月11日-2013年4月18日)

来源:安恒信息 日期:2013-04

2013年4月第三周(4.11-4.18)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 无线路由器可成黑客“间谍” 使用要注意

随着wifi网络的流行,现在很多家庭都在使用无线路由器。不过,无线路由器有可能成为“间谍”。

销售人员说,TP-LINK 卖得比较多,用的人比较多,10个人差不多有7个用的都是TP的。

日前,国家信息安全漏洞共享平台发布消息,TP-LINK旗下的三款路由器存在漏洞。原来,这些路由器存在某个不需要授权认证的特定功能页面,就像一个没有锁的后门,黑客可轻松进入。

网络工程师瞿向雷说,控制了这个路由器之后,包括你上网访问网站的情况,比如说你聊天的记录,所有你在这个网络上的活动,都可以被记录下来,实际上都是可以被监控到的。

记者在市场上发现,目前问题产品仍在售卖。如何提高安全性,调查中记者也发现,不少市民在安装无线路由器时,都会习惯使用路由器默认的用户名和密码,这样更容易被黑客破解。

销售人员说,大部分人都不会改。

网络工程师瞿向雷说,首先家用路由器初始的管理密码,你一定要把它加上,不能用原厂默认的密码,第二个就是连接这个路由器的使用密码,也要进行一个高级加密,使用公共开放的wifi信号的时候,要注意尽量少用网银。

1.2 黑客用安卓软件控制商用飞机:攻击飞机或成可能

雨果·特索在会议上展示了控制飞机的软件

还在用手机切水果?他都准备拿来劫飞机了

德国网络安全顾问设计了一个安卓手机软件,通过该软件能控制商用飞机;但航空管理部门声明不用恐慌

你相信吗?只要在一个安卓系统手机上按下几个按钮,就能够劫持一架客机!11日,在阿姆斯特丹举行的“盒子里的黑客会议”上,来自德国的网络安全顾问雨果·特索向人们演示了如何通过一个智能手机应用软件,完全控制一架商用飞机。就此,欧洲航空局和美国联邦航空局不得不立即分别发表声明平息大众的恐慌,他们称商用飞机的电脑系统目前还从未被攻破过。

通过软件就能向飞机发号施令

我们已经见过不少支持安卓或ios设备控制的飞行器,但是这些飞行器通常体形都比较小,只适合娱乐使用;而在会议上展示的却是我们常坐的商用客机,中招的包括生产空中客车的泰雷兹公司、世界航空巨头霍尼韦尔公司和美国罗克韦尔·柯林斯公司的商用飞机。

今年30岁的雨果·特索是德国IT咨询公司N.Runs的网络安全研究员,在信息安全领域有超过11年的经验,同时他还是一名受过专业训练的商业飞行员,驾龄长达12年。他在“盒子里的黑客会议”上表示,经过4年的努力,他成功研发出一套名为“PlaneS-ploit”的应用软件,可以接管飞机上的电脑系统,并且不被安检发现。

特索表示,该软件能够破坏目前大多数飞机所使用的飞行管理系统(FMS)。据报道,特索研发的这套软件利用的是ACARS协议以及飞行管理软件中的漏洞。ACARS,即飞机通信寻址与报告系统。通过这个系统,地面站可以向FMS输送任何数据,包括天气数据、航班等。特索花费了3年时间,对接受ACARS信号的飞行导航软件进行逆向工程,找到了其中的漏洞。而通过漏洞,他可以向FMS发送自己的命令。

在“盒子里的黑客会议”上,特索展示了自己编写的Android软件。通过这个软件,他只要对手机的地图软件进行点击,就能够使模拟中的飞机转向。“ACARS根本没有安全机制。飞机无法知晓它所接受的信息是否真实”,特索说,“你可以用这个系统修改与飞机导航相关的任何东西”,特索告诉福布斯网站:“这包括许多可怕的事情”。

软件只在飞机自动飞行时有用

据《福布斯》报道,在试验中,特索使用了从eBay买来的FMS硬件,以及FMS训练模拟软件,而模拟软件的部分或全部代码与真实飞机是相同的。为飞机提供导航软件的霍尼韦尔公司证实,他们正在和特索所在的公司联系。霍尼韦尔公司的发言人斯科特说,特索使用的飞行管理系统是公开的PC模拟飞行训练软件,与验证过的飞行软件相比,它缺乏相应的保护机制,无法对抗恶意命令。特索发现的漏洞并不能真的在现实中攻击飞行的控制系统。

不过,德国IT咨询公司N.Runs的罗兰提出反对意见。他认为,特索发现的漏洞与PC模拟无关,而是现实飞机中存在的功能,“从我们的观点来看,它只需很小改动,就能用在现实之中”。

当然,即使黑客远程控制FMS系统,飞行员仍可以手动阻止恶意命令。特索表示,这项技术只能在飞机处于自动飞行状态时才能发挥作用,当飞行员手动恢复操控飞机后,他便无法继续操纵飞机。不过特索又说,黑客还能够搞些其他破坏,比如使座舱里的灯狂闪,或者让乘客的空气面具掉下来。

攻击模拟飞行系统不算数?

如果这个软件真的能够轻易操纵飞机无疑将是很危险的事情。对此,特索强调称,恐怖分子或是其他心怀不轨的人很难掌握这项技术,因为该技术要求很专业的航空及相关知识支持。他说,他已经和美国联邦航空管理局、欧洲航空安全局、受影响航空公司取得联系,以修补安全漏洞。

欧美航空局和相关飞机制造商则表示,这一漏洞仅存在于基于PC的ACARS软件的训练版,大众不必恐慌。而美国联邦航空局在声明中对漏洞表示了否定:“联邦航空局可以确认,这名德国信息科技咨询人士所描述的黑客技术,并不能带来飞行安全担忧,因为这种手段在实际飞行软件中不起作用。”欧洲航空安全局也发布声明称:“基于PC的训练版飞行管理系统与内嵌飞行管理系统软件存在很大差别。特别是,模拟飞行管理系统软件并不具有实际软件中的重写权限保护。”罗克韦尔柯林斯公司称:”今天认证的航空电子系统的设计和制造水平是复杂且安全的。特索所涉及的研究只是存在于虚拟机上,不与现实的飞行电子控制系统并不相同。“

攻击飞机其实真有可能

不过这些声明也并不能完全消除人们的担忧,因为还不清楚这一漏洞不起作用究竟是因为上面所说的是两款完全不同的系统,还是同一个系统里面的安全控制不同。如果是后者,就意味着这一漏洞是真的存在。

事实上安全工程师们多年来一直警告称,一些新兴的技术可以使飞机易受到黑客的攻击。2011年9月,美国空军在俄亥俄州的技术研究帕特森空军基地发现未加密的GPS定位雷达ADS-B可能受到黑客的攻击,飞行员可能收到恶意指令认为周边有“根本不存在的飞机”,从而采取避让的举措,而这将会让飞机发生碰撞造成难以弥补的后果。李凌编译自《福布斯》、《新科学家》等。

1.3 我国拟出新规保护个人信息网络安全

这份发布在工信部官网上的《电信和互联网用户个人信息保护规定(征求意见稿)》http://www.gov.cn/gzdt/2013-04/11/content_2375430.htm ,自4月10日开始向社会公开征求意见,直至5月15日。刘俊海称,新规及时回应了当前中国民众,特别是互联网用户对个人信息屡遭泄露的担忧。

在当前中国社会生活中,侵害个人信息的行为日渐多发,甚至衍生出倒卖个人信息的产业链。此前,中央电视台“3.15晚会”曾曝光,多家互联网广告营销公司涉嫌通过cookies等方式,侵犯用户的个人隐私信息;网易等部分网站也被指在这一过程中起到助推作用,并且还涉嫌侵犯网易邮箱用户的隐私,一时舆论哗然。

正在征求意见的这项新规规定,电信业务经营者、互联网信息服务提供者不得出售或者非法向他人提供用户真实身份信息,否则可以处1万元以上3万元以下罚款;构成犯罪的,依法追究刑事责任。

规定明确,用户信息是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的能够单独或者与其他信息结合识别用户的信息,包括用户姓名、出生日期、身份证件号码、住址等身份信息以及用户使用服务的号码、账号、时间、地点等日志信息。

刘俊海指出,新规有利于净化市场环境,为我国电子商务和互联网产业的进一步发展奠定法律基础。他也呼吁第三方用户平台及相关互联网公司加强自律监管。

刘俊海强调,随着中国社会信息化进展的推进,未来应该在部委规章的基础上,出台一部《公民个人信息保护法》,完善中国个人信息保护的法律体系。(宗欣)

新闻背景

日前,国家工业和信息化部发布关于《电信和互联网用户个人信息保护规定(征求意见稿)》、《电话用户真实身份信息登记规定(征求意见稿)》公开征求意见的通知。根据《规定》,电信业务经营者、管理机构及工作人员不得出售或者非法向他人提供电话用户真实身份信息,否则可以处1万元以上3万元以下罚款,构成犯罪的,依法追究刑事责任。

《规定》要求,电信业务经营者及其工作人员对在提供服务过程中登记的用户真实身份信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供,不得用于提供服务之外的目的。电信管理机构及其工作人员对在实施监督检查过程中知悉的电话用户真实身份信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。

《规定》表示,电信业务经营者违反相关规定,以及不配合电信管理机构依照本规定开展的监督检查的,由电信管理机构依据职权责令限期改正,予以警告,可以并处1万元以上3万元以下罚款。

1.4 朝鲜5家新闻和宣传网站“太阳节”遭黑

国际电脑“黑客”团体“匿名者”16日宣布,为破坏朝鲜前一天庆祝“太阳节”,攻击5家朝鲜新闻和宣传网站并致其瘫痪。
“匿名者”说,这一团体15日“太阳节”暨朝鲜已故国家主席金日成诞辰101周年当天攻击5家朝鲜网站,包括朝鲜对韩国宣传网站“民族团结网”(又译“我们民族之间”)、英语新闻网站“民族同心”和“白头山—汉拿山网”。

一名“匿名者”韩国分支成员先前在微博客网站“推特”上留言,说朝鲜网络系统崩溃的日子将近。

“匿名者”本月早些时候声称“击溃”多家朝鲜网站,抗议朝鲜试图制造核武器。

韩国《中央日报》报道,“匿名者”成员4日声称入侵“民族团结网”,公开大约1.5万名会员信息。从电子邮箱地址判断,其中大约2000名会员来自韩国国内。

韩国情报机构国家情报院5日启动调查,以确认这些账号的所有者是否违反禁止从事亲朝活动的法律。韩国媒体报道,一些电子邮箱并不存在,一些电子邮箱的主人说他们根本不知道自己是“民族团结网”会员。

1.5 企业如何应对数据安全危机

电商的迅猛发展也让这颗招风的大树引来无数攻击,如何保障支付的安全、如何保护用户信息不遭泄露,这些声音都质疑着电子商务的发展。几日前,支付宝被爆出网购账号、金额等信息,电子商务企业该如何对监管好这些信息,上好安全必修课,也成为电商在发展中不可回避的首要问题。而作为与电商关系越来越紧密的各种规模的企业,该如何处理好由于电商泄密带来的一些列问题,也成了企业处于信息时代一系列数据安全问题中的重点。

泄密消息网络疯传 电商网紧急回应

众多网友在微博上发布支付宝泄露客户网购账号、金额等信息的截图,在网络上引发轩然大波。网友称,只要在谷歌搜特定关键字符,就可以查到大量支付宝转账信息,包括付(收)款账户、金额,甚至是付(收)款人姓名、电话和地址。

支付宝随后发表声明,承认的确存在类似漏洞,但被泄露信息不含真实姓名、密码等重要隐私,而对于此事原因,支付宝经初步调查认为,疑似有极少用户将付款结果页面分享到公共区域,造成搜索引擎可爬取。之后,支付宝再次发布声明,称已对部分页面进行连夜修改。

电商泄密问题已成国家关注的信息安全问题

可以看到电子商务浪潮汹涌,与此相关的安全事件也层出不穷。“泄露”、“建议”、“软件”和“病毒”等词汇的频频出现表明,网络安全如今依然让人神经紧绷,不敢有丝毫懈怠。不仅是消费者对确保个人信息安全没有把握,各类企业也在寻求能够抵御黑客的“护身符”。网站漏洞扫描是最基本的防御措施,不过,要切记,诸如防火墙和 Web 应用程序保护这类基本的安全协议的东西也成为安全锦囊中的必备法宝。

国家网络与信息安全信息通报中心数据显示,2012年欺诈网站超过50万个,同比增长近一倍,网络账户监管存在客观难题。但专家认为,账户泄露频发也反映了线上支付的技术及服务缺失。截至目前,针对泄密问题,多数电商的应对措施仍主要是提示用户修改密码,也有一些电商推出涉及余额、礼品卡的支付密码,除了登录密码外,用户确认划款时需输入新密码确认。这些措施大多是用于补救,而难以从根本上阻拦网络黑手。

专家指出,身份信息窃贼队伍日渐庞大,消费者对网购的担心并未随着网购的普及而降低。而商家获得的信任标识有助于提高网购的安全性,并带给消费者更多的安全感。以图标或徽标的形式在网站上呈现的信任标识或安全印章证明商家是合法经营,并且遵守相关的安全或隐私法规。随着网购受到越来越多消费者的青睐,移动商务的发展也是蒸蒸日上。无论是通过移动网站还是使用本机App 进行购物,智能手机的普及对购物方式有着巨大影响。与移动商务相关的流行词汇有力的说明了这个观点,但同时也表明了所存在的安全隐患。与电子商务网站一样,用相同方法为移动商务提供保护至关重要,尤其是这种平台在持续扩展。

信息安全风暴中的企业必须找到针对性的数据安全产品

对于想要好好利用的信息时代电商网络的企业来说,解决电商泄密的问题,同时保护好自己的数据安全是他们确保自己的企业在这个时代健康发展的最终保障。而要面对种类越来越多的信息安全威胁,采用具有针对性的数据安全产品是最好的选择。而作为竞争最激烈的小型企业来说选对安全产品是他们发展的关键。

按规模,我们常常把企业划分大、中、小。其中小型企业业务范围和经济实力不如前两者,但是其巨大的发展潜力和灵活的市场规划,使它能在与其他企业的竞争中占得先机。信息时代,大中小型企业都面临巨大的数据安全考验,这是由于时代不断被数字化,信息化的缘故。由于为了适应互联网的发展,生活中许多的元素都被数字化,这样有利于信息的传递和交互。正是这种信息的高度交流和共享使得人们朝信息时代一步步迈进。作为社会重要一部分,企业自然也不断的被信息化,数字化。

信息化,数字化最大的安全威胁就是来自那些被信息化和数字化的数据本身,由于信息的价值正不断被拉高,使得企业的核心数据正被越来越多的不法分子盯上。同时由于互联网和IT技术的关系,这些被数据化的信息的安全也正遭受各种威胁。

 

2 本周关注病毒

2.1 Trojan.FakeWord.b(‘Word伪装者’木马病毒)警惕程度 ★★

该病毒通过伪装成Word文档欺骗用户,病毒运行后会修改注册表,以实现开机自启动。同时病毒会打开名为Schedule的服务,通过对比参数的方式判断病毒运行方式,并释放Skype盗号软件。一旦截取到相关信息,病毒会将用户的Skype帐号及密码发送至黑客指定地址,中毒电脑将面临账号被盗及隐私信息被窃等风险。

2.2 Trojan.Win32.Fednu.unj(木马病毒)警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Trojan.Win32.Generic.144EE02D(病毒下载器 木马病毒)警惕程度 ★★★★

该病毒一款国内知名的视频播放软件中的DLL文件替换为恶意DLL,以规避安全软件的查杀。当安装程序加载恶意DLL后,病毒将远程连接黑客指定服务器,下载并运行后门病毒,等待黑客发出指令。同时,该病毒还将修改注册表,实现开机自启动,并将本地数据上传至黑客指定地址,中毒电脑将面临隐私信息泄露等一袭列问题。

 

3 安全漏洞公告

3.1 Oracle MySQL Server Server Locking子组件拒绝服务漏洞

Oracle MySQL Server Server Locking子组件拒绝服务漏洞

发布时间:

2013-04-16

信息来源:

BUGTRAQ ID: 59237
CVE(CAN) ID: CVE-2013-1506

漏洞描述:

Oracle MySQL Server是一个轻量的关系型数据库系统。
Oracle MySQL Server 5.6.17及更早版本、5.5.29及更早版本、5.6.10及更早版本存在远程安全漏洞,可通过'MySQL Protocol'协议利用此漏洞。'Server Locking'子组件受到影响。通过身份验证的远程攻击者可利用此漏洞进行攻击从而影响MySQL Server的可用性。

安全建议:

Oracle已经为此发布了一个安全公告(cpuapr2013-1899555)以及相应补丁:
cpuapr2013-1899555:Oracle Critical Patch Update Advisory - April 2013
链接:
http://www.oracle.com/technetwork/topics/security/cpuapr2013-1899555.html

3.2 Oracle MySQL Server Server XML子组件拒绝服务漏洞

Oracle MySQL Server Server XML子组件拒绝服务漏洞

发布时间:

2013-04-16

漏洞号:

BUGTRAQ ID: 59222
CVE(CAN) ID: CVE-2013-5614

漏洞描述:

Oracle MySQL Server是一个轻量的关系型数据库系统。
Oracle MySQL Server 5.5.29及更早版本存在远程安全漏洞,可通过'MySQL Protocol'协议利用此漏洞。'Server XML'子组件受到影响。经过身份验证的远程攻击者可利用此漏洞进行攻击从而影响MySQL Server的可用性。

安全建议:

Oracle已经为此发布了一个安全公告(cpuapr2013-1899555)以及相应补丁:
cpuapr2013-1899555:Oracle Critical Patch Update Advisory - April 2013
链接:
http://www.oracle.com/technetwork/topics/security/cpuapr2013-1899555.html

3.3 Oracle MySQL Server拒绝服务漏洞

Oracle MySQL Server拒绝服务漏洞

发布时间:

2013-04-16

漏洞号:

BUGTRAQ ID: 59173
CVE(CAN) ID: CVE-2013-2395

漏洞描述:

Oracle MySQL Server是一个轻量的关系型数据库系统。
Oracle MySQL Server 5.6.10及更早版本存在远程安全漏洞,可通过'MySQL Protocol'协议利用此漏洞。'Data Manipulation Language'子组件受到影响。通过身份验证的远程攻击者可利用此漏洞进行攻击从而影响MySQL Server的可用性。

安全建议:

Oracle已经为此发布了一个安全公告(cpuapr2013-1899555)以及相应补丁:
cpuapr2013-1899555:Oracle Critical Patch Update Advisory - April 2013
链接:
http://www.oracle.com/technetwork/topics/security/cpuapr2013-1899555.html

3.4 Oracle MySQL Server Server Install子组件漏洞

Oracle MySQL Server Server Install子组件漏洞

发布时间:

2013-04-16

漏洞号:

BUGTRAQ ID: 59242
CVE(CAN) ID: CVE-2013-2391

漏洞描述:

Oracle MySQL Server是一个轻量的关系型数据库系统。
Oracle MySQL Server 5.6.10及更早版本、5.1.68及更早版本、5.5.30 及更早版本存在远程安全漏洞,可通过'MySQL Protocol'协议利用此漏洞。'Server Install'子组件受到影响。通过身份验证的本地攻击者可利用此漏洞进行攻击从而影响MySQL Server的完整性、机密性。

安全建议:

Oracle已经为此发布了一个安全公告(cpuapr2013-1899555)以及相应补丁:
cpuapr2013-1899555:Oracle Critical Patch Update Advisory - April 2013
链接:
http://www.oracle.com/technetwork/topics/security/cpuapr2013-1899555.html

3.5 Oracle MySQL Server Server Types子组件拒绝服务漏洞

Oracle MySQL Server Server Types子组件拒绝服务漏洞

发布时间:

2013-04-16

漏洞号:

BUGTRAQ ID: 59223
CVE(CAN) ID: CVE-2013-1548

漏洞描述:

Oracle MySQL Server是一个轻量的关系型数据库系统。
Oracle MySQL Server 5.1.63及更早版本存在远程安全漏洞,可通过'MySQL Protocol'协议利用此漏洞。'Server Types'子组件受到影响。经过身份验证的远程攻击者可利用此漏洞进行攻击从而影响MySQL Server的可用性。

安全建议:

Oracle已经为此发布了一个安全公告(cpuapr2013-1899555)以及相应补丁:
cpuapr2013-1899555:Oracle Critical Patch Update Advisory - April 2013
链接:
http://www.oracle.com/technetwork/topics/security/cpuapr2013-1899555.html