当前位置: 安全纵横 > 安全公告

一周安全动态(2013年5月09日-2013年5月16日)

来源:安恒信息 日期:2013-05

2013年5月第二周(5.09-5.16)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 关于“大数据”的五大误解

美国《外交政策》杂志网站5月9日刊登微软研究院首席研究员、麻省理工学院公民媒体中心客座教授凯特·克劳福德的一篇文章,文章说,“大数据”是当前的时髦术语,是技术界用来解决世界上最难处理的问题的全能办法。

文章说,这个术语一般用来描述对海量信息进行分析,从而发现规律、收集有价值的见解和预言复杂问题答案的技巧与科学。它也许听起来有些乏味,但是从制止恐怖分子,到消除贫困,到拯救地球,对于大数据的鼓吹者来说,没有什么问题是解决不了的。

维克托·梅耶—舍恩伯格和肯尼思·丘基尔在有着朴素书名的《大数据:一次将改变我们生活、工作和思考方式的革命》一书中欢呼道:“对社会的好处将是无穷无尽的,因为大数据在一定程度上将解决迫在眉睫的全球问题,如处理气候变化、根除疾病以及促进善政和经济发展等。”

只要有足够多的数据可以处理——不管是iPhone上的数据、杂货店购物状况、在线约会网站个人简介或者是整个国家的匿名健康记录,利用对这些原始数据进行解码的计算能力,人们可以获得数不胜数的有价值的见解。甚至连奥巴马政府也已经赶上了这股潮流,并在5月9日向企业家、研究人员和公众“破天荒”发布了大量“以前难以获取或难以管理的数据”。

然而,文章说,大数据真的完全像人们吹嘘的那样吗?人们能相信众多的1和0将能揭示人类行为的隐秘世界吗?以下是作者对所谓大数据理论的思索。

1.“有了足够的数据,数字就可以自己说话”

文章说,没门儿。大数据的鼓吹者希望人们相信,在一行行的代码和庞大数据库的背后存在着有关人类行为模式的客观、普遍的有价值的见解,不管是消费者的支出规律、犯罪或恐怖主义行动、健康习惯,还是雇员的生产效率。但是许多大数据的传道者不愿正视其不足。数字无法自己说话,而数据集——不管它们具有什么样的规模——仍然是人类设计的产物。大数据的工具——例如Apache Hadoop软件框架——并不能使人们摆脱曲解、隔阂和错误的成见。当大数据试图反映人们所生活的社会化世界时,这些因素变得尤其重要,而人们却常常会傻乎乎地认为这些结果总是要比人为的意见来得客观些。偏见和盲区存在于大数据中,就像它们存在于个人的感觉和经验中一样。不过存在一种值得怀疑的信条,即认为数据总是越大越好,而相关性也等同于因果关系。

例如,社交媒体是大数据分析的一个普遍的信息源,那里无疑有许多信息可以挖掘。人们被告知,推特网的数据显示人们在离家越远的时候越快乐,而且在9日晚上最为沮丧。但是存在许多理由对这些数据的含义提出质疑。首先,从皮尤研究中心获悉,美国上网的成年人中只有16%使用推特网,因而他们绝对不是一个具有代表性的样本——与整体人口相比,他们中年轻人和城市人的比例偏多。此外,许多推特账号是被称作“机器人”程序的自动程序、虚假账号或是“半机器人”系统(即得到机器人程序辅助的人为控制账号)。最近的估计显示,可能存在多达2000万个虚假账号。因此就算人们要想踏入有关如何评估推特网用户情绪的方法论雷场之前,先问一下这些情绪究竟是来自真人,还是来自自动化算法系统。

2.“大数据将使我们的城市变得更加智能和高效”

文章指出,在一定程度上是的。大数据可以提供帮助改善城市的宝贵见识,但是它对人们的帮助仅此而已。因为数据在生成或采集的过程并不都是平等的,大数据集存在“信号问题”——即某些民众和社区被忽略或未得到充分代表,这被称为数据黑暗地带或阴影区域。因此大数据在城市规划中的应用在很大程度上取决于市政官员对数据及其局限性的了解。

例如,波士顿的Street Bump应用程序是一个比较聪明的以低成本收集信息的途径。该程序从开车经过路面坑洼处的驾驶员的智能手机上收集数据。更多类似的应用正在出现。但是如果城市开始依靠仅来自智能手机用户的信息,那么这些市民只是一个自我选择样本——它必然导致拥有较少智能手机用户的社区的数据缺失,这样的社区人群通常包括了年老和不那么富有的市民。尽管波士顿的新城市机械办公室作出了多项努力来弥补这些潜在的数据缺陷,但不那么负责的公共官员可能会遗漏这些补救措施,最终会得到不均衡的数据,从而进一步加剧已有的社会不公。人们只要回顾一下曾经过高估计了年度流感发病率的2012年“谷歌流感趋势”,就可以认识到依赖有缺陷的大数据可能给公共服务及公共政策造成的影响。

文章说,在网上公开政府部门数据的“开放政府”计划——如Data.gov网站及“白宫开放政府计划”——也存在同样的情况。更多的数据未必会改善政府的任何功能,包括透明度和问责,除非存在可以使公众和公共机构保持接触的机制,更不用说促进政府解释数据并以足够的资源作出反应的能力。所有这些都非易事。事实上,人们身边还没有很多技能高超的数据科学家。各大学目前正在争相定义这一领域、制订教程和满足市场需求。

3.“大数据对不同的社会群体不会厚此薄彼”

文章称,几乎不是这样。对大数据所号称的客观性的另一个期待是对于少数群体的歧视将会减少,因为原始数据总是不含社会偏见的,这使得分析可以在整体水平上进行,从而避免基于群体的歧视。然而,由于大数据能够作出有关群体不同行为方式的论断,它们的使用通常恰恰就是为了实现一个目的——即把不同的个体归入不同的群体中。例如,最近有一篇论文指出科学家听任自己的种族偏见影响有关基因组的大数据研究。

文章认为,大数据有可能被用来搞价格歧视,从而引发严重的民权担忧。这种做法在历史上曾被称为“划红线”。最近,剑桥大学对脸谱网5.8万个“喜欢”标注进行的大数据研究被用来预测用户极其敏感的个人信息,如性取向、种族、宗教和政治观点、性格特征、智力水平、快乐与否、成瘾药物使用、父母婚姻状况、年龄及性别等。记者汤姆·福尔姆斯基这样评价该项研究:“此类容易获得的高度敏感信息可能会被雇主、房东、政府部门、教育机构及私营组织用来对个人实施歧视和惩罚。而人们没有任何抗争的手段。”

文章说,最后考虑一下在执法方面的影响。从华盛顿到特拉华州的纽卡斯尔县,警方正在求助于大数据的“预测性警事”模型,希望能够为悬案的侦破提供线索,甚至可以帮助预防未来的犯罪。不过,让警方把工作专注于大数据所发现的特定“热点”,存在着强化警方对声誉不佳的社会群体的怀疑以及使差别化执法成为制度的危险。正如某位警察局局长撰文指出的,尽管预测性警事登记系统不考虑种族和性别等因素,但是如果没有对差别化影响的考虑,使用这种系统的实际结果可能“会导致警方与社区关系恶化,让公众产生司法程序缺失的感觉,引发种族歧视指控,并使警方的合法性受到威胁”。

4.“大数据是匿名的,因此它不会侵犯我们的隐私”

文章说,这个观点大错特错。尽管许多大数据的提供者尽力消除以人类为对象的数据集中的个体身份,但身份重新被确认的风险仍然很大。蜂窝电话数据看起来也许相当匿名,但是最近对欧洲150万手机用户的数据集进行的研究表明,只需要4项参照因素就足以挨个确认其中95%的人员的身份。研究人员指出,人们在城市中走过的路径存在唯一性,而鉴于利用大量公共数据集可以推断很多信息,这使个人隐私成为“日益严重的担忧”。

但是大数据的隐私问题远远超出了常规的身份确认风险的范畴。目前被出售给分析公司的医疗数据有可能被用来追查到你的身份。关于个性化医疗有很多谈论,人们的希望是将来可以针对个人研制药物和其他疗法,就好像这些药物和疗法是利用患者自己的DNA制作出来的。就提高医学的功效而言,这是个美妙的前景,但这本质上依赖于分子和基因水平上的个人身份确认,这种信息一旦被不当使用或泄露就会带来很大的风险。尽管像RunKeeper和Nike+等个人健康数据收集应用得到了迅速发展,但在实践中用大数据改善医疗服务仍然还只是一种愿望,而不是现实。

文章指出,高度个人化的大数据集将成为黑客或泄露者觊觎的主要目标。维基揭秘网一直处在近年几起最严重的大数据泄密事件的中心。正如人们从英国离岸金融业大规模数据泄露事件中看到的,与其他所有人一样,世界上最富有的1%人口的个人信息也极易遭到公开。

5.“大数据是科学的未来”

文章说,部分正确,但它还需要一些成长。大数据为科学提供了新的途径。人们只需看一下希格斯玻色子的发现,它是历史上最大规模网格计算项目的产物。在该项目中,欧洲核子研究中心利用Hadoop分布式文件系统对所有数据进行管理。但是除非认识到并着手解决大数据在反映人类生活方面的某些内在不足,否则人们可能会依据错误的成见作出重大的公共政策和商业决定。

为了解决这个问题,数据科学家正在开始与社会科学家协作。随着时间的推移,这将意味着找到把大数据策略和小数据研究相结合的新途径。这将远远超越广告业或市场营销业采用的做法,如中心小组或A/B测试(即向用户展示两个版本的设计或结果,以确定哪一个版本的效果更好)。确切地说,新的混合式方法将会询问人们做某些事情的原因,而不只是统计某件事情发生的频率。这意味着在信息检索和机器学习之外,还将利用社会学分析和关于人种学的深刻认识。

技术企业很早就意识到社会科学家可以帮助它们更加深刻地认识人们与其产品发生关系的方式和原因,如施乐公司研究中心就曾聘请了具有开拓精神的人类学家露西·萨奇曼。下一阶段将是进一步丰富计算机科学家、统计学家及众多门类的社会科学家之间的协作——不仅是为了检验各自的研究成果,而且还要以更加严格的态度提出截然不同的各类问题。

考虑到每天有大量关于人们的信息——包括脸谱网点击情况、全球定位系统(GPS)数据、医疗处方和Netflix预订列表——被收集起来,人们迟早要决定把这样的信息托付给什么人,以及用它们来实现什么样的目的。人们无法回避这样的事实,即数据绝不是中立的,它很难保持匿名。但是人们可以利用跨越不同领域的专业知识,从而更好地辨别偏见、缺陷和成见,正视隐私和公正将面临的新挑战。

1.2 路透社报告称美国政府是“0day”漏洞最大的买家

在利用0day漏洞去展开网络攻击,中国不是唯一的“恶魔”。根据路透社的报告,在一个蓬勃发展的由黑客和安全公司开发和销售入侵工具的灰色市场,美国政府是“0day”漏洞最大的买家。

一些安全专家质疑五角大楼的报告。在报告里,对由美国发起的网络间谍行为只字未提。但是,美国每年都会花费数十亿美金来“打造网络防御工事和发展越来越复杂的网络战武器”。国家安全局将军Keith Alexander在国会听证会上说,“美国正在建立十数个进攻团队,如果必要,这些团队会对其他国家的网络系统展开攻击。”路透社补充到,“美国国家安全局和国防部在获取商业系统漏洞的工作上投入了巨大的成本,不断尝试利用这些漏洞的方式。”

一名不愿透露姓名与美政府签订防护合同的人员称:“我的工作就是拿着一个存有25个0day漏洞的USB key,时刻准备着干活。”路透社称,“私营公司雇佣了专业技术人员和开发人员来发现漏洞,开发利用漏洞的代码,之后拿到市场上去卖。这些0day漏洞起价5万美金。影响漏洞价格的因素包括漏洞所利用的商业系统的装机量以及漏洞能在多长时间内不被公开。”

厂商在一些秘密的场合向执法和情报部门提供了各种各样的间谍工具。Vupen是一家向政府提供0day工具的著名公司。最近,该公司派遣12名致力于某项攻击技术的研究人员参加了“Advanced Heap Manipulation in Windows 8”会议。美国政府也有数名人员参会,至于这项技术是否被用来入侵其它国家政府系统就不得而知了。

ReVuln是一家新加入的玩家。他们关注于对工业控制系统漏洞的发现和利用。

“当我们问他们一旦发起攻击会造成大量的破坏甚至人员伤亡的时候,”路透社称,“他们说,这事别问我们,问那些导致漏洞存在的生产厂商。我们不卖武器,我们卖的是信息”。

路透社对美国政府这种对漏洞选择利用而不是公开它们的行为发出警告,称可能导致“不可预料的后果”。美国政府这么做很可能会“搬起石头砸自己的脚”。路透社举了个例子。Duqu是美国政府专门针对伊朗开发的恶意程序。Duqu之后被网络犯罪分子拷贝,开发了漏洞利用包(Blackhole和Cool)。根据F-Secure的报告,尽管微软已经发布了补丁,黑客仍旧入侵了美国1.6%的计算机,在美国之外,这个比例可能更高。

路透社提到了一份大型承包商的(漏洞)产品目录。里面包含把iPhone变成窃听设备的软件,以及可以通过安装到打印机等设备上并通过无线传送到临近计算机系统里的恶意软件。

一些批评家称,美国在“震网”事件之后再没有资格指责别人了。McAee称美国是全球僵尸网络的老窝。PressTV报道,德国电信透露对其网络的攻击主要来自美国。

路透社的报告–“U.S. cyberwar strategy stokes fear of blowback”很有意思,值得一读。

1.3 黑客网络战台湾渐居上风 菲律宾黑客讨饶

中国台湾网5月16日消息据台湾“今日新闻网”报道,台湾渔民事件致使一场台湾黑客和菲律宾网络高手之间的对决悄然展开,台湾专业黑客近日发挥团结的力量,攻击菲律宾多个机关的网页,致使这些网页全面瘫痪,即使经紧急修复,仍有约1/3数量的网页呈瘫痪状态。

据指出,台湾黑客瘫痪菲网络利用的是置换网页手法,菲律宾黑客组织“PIN0YV3NDETTA”、“XL3gi0nHackers”不甘处于下风,反击台湾部分民间企业及事务部门的网站,11、12日两日多个网站受害,但就结果来看,台湾黑客造成的破坏要大得多。

台湾黑客组织攻击多个菲律宾网站,菲律宾骇客眼见不敌,传出已经以组织名义在脸书上求饶,表示“请别再让我们难堪了”。不过,台湾黑客已言明,如菲律宾总统不道歉,他们将执行新一波攻击行动,并持续攻击至道歉为止。

信息安全专家分析,如台湾黑客策划木马程序攻击,菲律宾网络将陷入巨大危机,瘫痪情形可能将比现在更加严重。(中国台湾网李帅)

1.4 美国国家安全局的特工培训手册:怎么当谷歌黑客

美国国家安全局最近解密了一份名为《揭秘网络:互联网调查入门》的特工培训手册,介绍了怎么用公开搜索引擎,查找几乎肯定不打算向公众发布的信息。

财富中文网写道,美国国家安全局最近解密了一份名为《揭秘网络:互联网调查入门》的特工培训手册,介绍了怎么用公开搜索引擎,查找几乎肯定不打算向公众发布的信息。

手册中的“谷歌黑客”(Google Hacking)一章迅速发了公众的效法。不过作者强调说:“我要介绍的方法没有一样是违法的,也不存在获取未经授权数据的问题,”

手册全文可点击这里,但其中尤以下面三项黑客技巧最受关注。另外……唉,同学们各自当心。

1.搜索密码:作者建议使用下面的搜索条件来搜索可能包含登陆信息的俄罗斯电子数据表格:“filetype:xls site:ru login”(文件类型:xls 网址:ru login)。文件类型是为了告诉搜索引擎寻找微软(Microsoft)的电子数据表格,网址则限定俄罗斯域名,使用login是因为美国以外的地区也往往用英语表达“login(登陆名)”和“password(密码)”。

2.搜索机密电子表格:搜索条件类似“filetype:xls site:za confidential”(文件类型:xls 网址:za 机密)将搜寻出意外公布的机密电子表格,例子中的国家是巴西。

3.搜索设置错误的网络服务器:这份手册称:“那些所含目录原本不应显示在互联网上的”网络服务器“往往能给谷歌搜索黑客提供丰富的信息”。要找到这样的网络服务器,这本书建议使用下面的条件:“—intitle: ‘index of’ site:kr password”(-标题中:“指向” 网址:kr 密码)。

1.5 “黑客”为圆兰大梦入侵官网求关注 江西高中生称无恶意并忏悔

“尊敬的兰州大学老师领导,我本次并非恶意……”5月13日,有网友微博爆料称,有一名自称是江西上饶的高中生为了让自己能被心仪的兰州大学录取,竟侵入兰州大学宣传部的网页留言,而且这位留言者自称已经不是第一次侵入兰州大学相关网页了。

据了解,这位入侵兰大宣传部网页的“黑客”系江西上饶16岁高中生。他入侵兰大宣传部网页后,在其理论园地板块写了12条以“尊敬的兰大领导老师,你们好”为题的短文,短文开宗就表明了自己入侵并没有恶意,此后短文中还表扬了兰大的网络维护技术,并表明自己很羡慕,恳求兰大可以给自己一个学习的机会,让自己为中国网络安全贡献自己的力量,还留下了自己的号码供老师联系。同时这位入侵的“黑客”还表明自己之前也曾入侵过兰大校园网。

随后,记者根据微博以及爆料者等多方渠道和这名“黑客”取得联系。据其介绍,自己姓赵,一直有上兰州大学的梦想,入侵兰大党委宣传部网站,只为吸引校方注意。自己由于以前中考失利过,今年要高考了,怕考不上心仪的兰州大学,就想出了通过入侵学校官方网站引起校方注意的办法,并非是恶意入侵。

同时,这位学生再三表示,他已经接到不少媒体和老师的电话告知他入侵正式机构官方网站可能已经触犯法律,这也让他为自己的举动感到后悔,自己入侵兰大官网正如当时留言所说,并没有恶意。对于自己的错误行为对兰州大学造成的困扰,他表示深深的歉意。

随后,针对网页被入侵一事,记者电话采访了兰大党委宣传部相关负责人,一位不愿透露姓名的工作人员表示自己知道有这回事,但后续具体如何处理,这位工作人员却不愿多谈。

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.unr(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Win32.Fednu.unq(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Backdoor.Win32.Fednu.rr(‘Fednu’后门病毒)

警惕程度 ★★★★

该病毒伪装成游戏程序,引诱用户下载并运行。病毒运行后,借助游戏程序加载恶意dll文件dunzip32.dll,该文件通过简单解密将得到一后门dll,并借助该dll向用户电脑安装一款国际知名的后门程序。安装成功后,病毒会后台连接黑客指定地址,监控电脑桌面、键盘动作、网络通信情况和摄像头,并等待黑客的进一步命令。中毒电脑将面临隐私信息泄露、虚拟帐号网银账密被盗等威胁。

 

3 安全漏洞公告

3.1 Microsoft Windows 'HTTP.sys'远程拒绝服务漏洞

Microsoft Windows 'HTTP.sys'远程拒绝服务漏洞

发布时间:

2013-05-15

信息来源:

BUGTRAQ ID: 59784
CVE(CAN) ID: CVE-2013-1305

漏洞描述:

Microsoft Windows是微软公司推出的一系列操作系统。
当 HTTP 协议堆栈 (HTTP.sys) 不正确地处理恶意 HTTP 标头时,Windows Server 2012 和 Windows 8 中存在一个拒绝服务漏洞。成功利用此漏洞的攻击者可能通过向受影响的 Windows 服务器或客户端发送特制 HTTP 标头在 HTTP 协议堆栈中触发一个无限循环。

安全建议:

Microsoft已经为此发布了一个安全公告(MS13-039)以及相应补丁:
MS13-039:Vulnerability in HTTP.sys Could Allow Denial of Service (2829254)
链接:
http://technet.microsoft.com/security/bulletin/MS13-039

3.2 Microsoft .NET Framework XML数字签名安全限制绕过漏洞

Microsoft .NET Framework XML数字签名安全限制绕过漏洞

发布时间:

2013-05-15

漏洞号:

BUGTRAQ ID: 59789
CVE(CAN) ID: CVE-2013-1336

漏洞描述:

.NET就是微软的用来实现XML,Web Services,SOA(面向服务的体系结构service-oriented architecture)和敏捷性的技术。.NET Framework是微软开发的软件框架,主要运行在Microsoft Windows上。
当 Microsoft .NET Framework 无法正确验证特制 XML 文件的签名时存在一个欺骗漏洞。成功利用此漏洞的攻击者可能会修改 XML 文件的内容,而不会使与文件相关联的签名无效。

安全建议:

Microsoft已经为此发布了一个安全公告(MS13-040)以及相应补丁:
MS13-040:Vulnerabilities in .NET Framework Could Allow Spoofing (2836440)
链接:
http://technet.microsoft.com/security/bulletin/MS13-040

3.3 Microsoft .NET Framework 身份验证绕过漏洞

Microsoft .NET Framework 身份验证绕过漏洞

发布时间:

2013-05-15

漏洞号:

BUGTRAQ ID: 59790
CVE(CAN) ID: CVE-2013-1337

漏洞描述:

.NET就是微软的用来实现XML,Web Services,SOA(面向服务的体系结构service-oriented architecture)和敏捷性的技术。.NET Framework是微软开发的软件框架,主要运行在Microsoft Windows上。
当设置自定义 WCF 终结点身份验证时,Microsoft .NET Framework 不正确地创建身份验证策略,存在一个安全功能绕过漏洞。成功利用此漏洞的攻击者能够像经过身份验证的用户那样访问终结点功能,这样使攻击者能够窃取信息或在经过身份验证的用户的上下文中执行任何操作。

安全建议:

Microsoft已经为此发布了一个安全公告(MS13-040)以及相应补丁:
MS13-040:Vulnerabilities in .NET Framework Could Allow Spoofing (2836440)
链接:
http://technet.microsoft.com/security/bulletin/MS13-040

3.4 Apache HTTP Server日志内终端转义序列命令注入漏洞

Apache HTTP Server日志内终端转义序列命令注入漏洞

发布时间:

2013-05-14

漏洞号:

BUGTRAQ ID: 59826
CVE(CAN) ID: CVE-2013-1862

漏洞描述:

Apache HTTP Server是开源HTTP服务器。
Apache HTTP Server mod_rewrite向日志文件写入数据时,没有过滤不能打印的字符。如果 mod_rewrite 使用了指令RewriteLog,远程攻击者可利用此漏洞向日志文件写入终端转义序列。如果HTTP请求包含终端模拟器的转义序列,此漏洞也可造成任意命令执行。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://httpd.apache.org/
http://people.apache.org/~jorton/mod_rewrite-CVE-2013-1862.patch

3.5 Nginx proxy_pass模块远程安全漏洞

Nginx proxy_pass模块远程安全漏洞

发布时间:

2013-05-14

漏洞号:

BUGTRAQ ID: 59824
CVE(CAN) ID: CVE-2013-2070

漏洞描述:

Nginx是HTTP及反向代理服务器,同时也用作邮件代理服务器,由Igor Sysoev编写。
Nginx 1.1.4 proxy_pass模块存在远程缓冲区溢出安全漏洞。如果HTTP后端返回特制的响应,proxy_pass模块会将工作进程内存返回给客户端。攻击者可利用此漏洞造成拒绝服务,也可以获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://nginx.org/en/download.html
http://nginx.org/download/nginx-1.2.9.tar.gz
http://nginx.org/download/nginx-1.2.9.zip