当前位置: 安全纵横 > 安全公告

一周安全动态(2013年6月06日-2013年6月13日)

来源:安恒信息 日期:2013-06

2013年6月第二周(6.06-6.13)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 前CIA雇员揭露美国政府秘密监视计划

俄新社6月10日报道,29岁的CIA前技术助理斯诺登(Edward Snowden)近期揭露了有关美国政府的秘密监视计划,在过去4年里,斯诺登以外部雇员的身份为美国国安局服务。

报道称,在泄露奥巴马政府秘密监控美国民众手机通话记录的消息后,斯诺登主动要求公布其身份。他表示,从向公众泄露美国政府监控行动的那一刻起,他便决定不做匿名线人。他称,他无益隐瞒身份,因为他知道政府的行为是错误的。

在向《卫报》提供的泄密文件中,斯诺登称,他知道他可能因泄露监控行动受到“迫害”,但他对泄露联邦法律不负责任授权监控行动表示满意。除了自愿泄露身份外,他再三强调,他不愿意成为媒体报道的焦点,他称,媒体应该聚焦奥巴马政府的所作所为。斯诺登表示,他不怕身份曝光的,他知道媒体喜欢把政治辩论政治化,奥巴马政府将把他妖魔化。斯诺登称,他希望他泄露的信息能在美国国内乃至全球引发讨论。

谈到他目前的生活时,斯诺克称,他有一个非常舒适的生活。他和女朋友住在夏威夷,有一份约20万年薪的工作。但他愿意牺牲这一切,因为奥巴马政府侵犯民众隐私、网络自由以及基本自由的行为让他良心不安。

斯诺登称,他准备寻求在任何一个他认为有着言论自由和拥有广泛隐私权的国家寻求避难。

美国情报官员表示,国家安全局已经要求对该局一个高度保密的秘密监视计划被泄露一事进行刑事调查。高度保密的美国国家安全局要求进行调查的内容范畴还不清楚,但是国家情报总监克拉珀(James Clapper)的发言人表示,已经提交了一份犯罪报告。这份报告送交司法部,司法部将决定是否授权进行调查。公诉人没有接受所有的请求,但是他们已经促成了奥巴马执政以来进行的一系列高调的泄密调查。

FBI也已造访斯诺顿的爸爸—52岁的朗尼斯诺顿和后妈—48岁的凯伦斯诺顿,目前斯诺顿的父母尚在“消化”自己的孩子就是泄密者的事实,并拒绝对此作出评论。斯诺顿说:“我没指望能回家,为了将真相公布于众,他愿意作出牺牲,他唯一担心的是他的家人为因此受到伤害,为此他彻夜难眠”。

The Mira Hotel已经证实斯诺登曾下榻过他们的酒店,不过他已经在周一早些时候退房。

CNN报道,美国国安局泄密者斯诺登成为各方焦点,其做法也引发有关政府透明度VS保护公众的反恐政策的激烈争论。数十个Facebook网页支持或谴责他。有人称他是英雄,也有人唾骂其为叛徒。斯诺登承认羡慕向维基解密网站泄密的士兵曼宁,但称他与曼宁不同。

【维基解密网站创始人阿桑奇赞扬美国安局泄密者为英雄】

卫报报道,维基解密网站创始人阿桑奇称赞美国国安局泄密者斯诺登是个英雄,曝光了10年来最重大国家监控事件之一。他称,国家和科技公司滥用监控的问题是他长期反对的行为之一,很高兴看到这种具体而确凿的证据。

【3万多人在白宫网站上签名请愿 请求特赦美国安局泄密者】

路透社报道,截止到10日晚间,已经有3万多人在白宫请愿网站上签名,请求特赦国安局泄密者斯诺登。请愿发起者PM写道:“斯诺登是国家英雄,应该立即对其发出完全自由的特赦。”如果到7月9日前签名达10万个,白宫届时必须给出回复。

1.2 斯诺登爆料称美国政府入侵中国网络多年

斯诺登爆料称,美国政府随时可以读取任何人的电邮,令包括谷歌在内的网络巨头致函美国政府自清,他还称美国政府已入侵中国大陆与香港特区的网络多年。白宫在12号以调查仍在进行为由,对以上诸项不予回应。

斯诺登公布证据,表示美国政府网络入侵中国网络至少有四年时间,美国政府黑客攻击的目标达到上百个,其中还包括学校。黑客的方式通常是透过入侵巨型的路由器,然后一举入侵成千上万的电脑,无需一一入侵个别电脑。

另一方面,斯诺登也说,美国政府随时可以读取任何人的电邮。美国网络公司巨头谷歌、微软、脸书为了避免网络使用者恐慌,进而影响名誉与生意,纷纷与美国政府的监控计划划清界限。除表明斯诺登说法不实以外,谷歌还致函美国司法部,要求美国政府公开密令,并公布政府究竟从谷歌获得了哪些资讯。对此,白宫当天表示,已看过相关信件,了解这些企业的关切,但再次表明,由于事件仍在调查阶段,所以不方便评论,但强调美国政府的做法合乎美国法律规定。

1.3 网络隐私忧虑不解除 大数据行业难成气候

《纽约时报》印刷版周一发表文章称,持续发酵的美国政府监视民众事件引发人们对网络隐私安全的高度关切,这将对以数据为驱动力的科技行业造成负面影响。

以下为文章概要:

梦想家、智者以及怀揣奇思妙想的人合力打造了互联网,他们希望互联网成为解放和知识的工具。上周,随着美国政府利用互联网监视和追踪民众的消息浮出水面,这使得互联网履行其最初使命的前景看似暗淡。

这一事件的出现对于建立在互联网科技之上的硅谷而言多多少少有些挫败感。

已退休的斯坦福大学计算机科学家莱斯 欧内斯特(Les Earnest)认为:“以互联网为研究对象的大多数人都因其被滥用而苦恼。一开始,我们担心政府进行控制。现在好了,我们的政府还是找到了介入的手段。”

科技世界总是努力与华盛顿保持一定的距离。企业家总是抱怨,监管扼杀创新。政府官员不应该插手他们不了解的事务,而硅谷所进行的一切活动似乎都是他们不应该管的。

网络隐私安全令人担忧

第一件让人疑惑的事就是,包括微软、谷歌、雅虎、苹果以及Facebook等行业领先企业怎样使得美国国家安全局(National Security Agency)轻松获得他们的数据。目前,唯一对政府说不的就只有Twitter。

这些公司直接否认了与美国政府在“Prism”监控项目上开展合作。不过,他们貌似并不急着阐释间接配合的情况以及他们心中的底线所在。

硅谷的企业家公开敦促有关方面披露更多细节。

iPad新闻视频应用Watchup联合创始人阿德里亚诺 法拉诺(Adriano Farano)说:“硅谷消费类公司的成功所建立的基础不仅是他们产品给用户带来的价值,还有他们之间建立起来的某种程度的信任。在硅谷最重要的就是我们整个生态系统的信用。”

硅谷的生态系统因个人数据而繁荣。而收集电邮、视频、音频以及通过互联网其他形式储存的数据的“Prism”项目曝光之时,恰是网络隐私安全被人们质疑的敏感时刻。

谷歌眼镜等新技术总将人们推向未知的新领域,而这一领域完全超出了民众的掌控。从已经根基牢固的科技大佬到初创型企业,科技公司都在酝酿计划搜集最私密的数据以期通过这些数据销售产品。

普渡大学计算机科学家克里斯托弗 克利夫顿(Christopher Clifton)说:“我们一直在推动政府保护我们。与此同时,我们也忙于将各种信息暴露在外人的目光之下。事实上,一些数据确实会被暴露,这种事情可能会令人不舒服,但也不要太惊讶。”

我不是英雄

显然,这样的令人不舒服的境遇令某些人不再沉默。据报道,此次向《卫报》披露美国政府监视民众文件的爱德华 斯诺登(Edward Snowden)系美国中央情报局前雇员。斯诺登在接受《卫报》采访时说,“互联网是人类历史上最重要的发明,但它的价值却被永无休止的监管行为所破 坏。”

斯诺登还说:“我并不视自己为英雄。因为我所做的事情关乎自己的利益。我不想生活在一个没有隐私的世界,这将无法推动知识的探索和创新。”

美国总统奥巴马则试图降低这场风波的影响力。他说,Prism的目标仅为外国国籍持有者,为了安全值得放弃一些隐私。
曾在上世纪60年代互联网形成过程中扮演重要角色的鲍勃 泰勒(Bob Taylor)认为,奥巴马的表态是一个危险的声明。泰勒说:“政府本应该告诉其正在开展的工作。这一举动揭开了更深层次的问题,我们不再掌控政府。”

而对于华盛顿没有什么好感的一些科技界名人则认为,Prism项目可能被用作私人武器。

以太网之父鲍勃 麦特卡夫(Bob Metcalfe)就在Twitter表示,他更加担心奥巴马政权利用这个项目来打压政治反对势力。

不过,即使硅谷已经认识到个人数据通过其他非正式的途径被人滥用的现实,但要改变这一状况还有一段很长的路要走。

就连大型计算机制造商都向政府出售其系统,更更不用说各类型的初创企业贩卖个人信息。一些试图与政府划清界限的企业可能会影响其公司发展前景或是利润,因此他们则更加擅长游说工作。

你没有隐私

早在1999年,Sun Microsystems前CEO斯科特 麦克尼利(Scott McNealy)就说过:“你没有隐私,忘记这事吧”。

麦克尼利现在还没有收回这句话的意思,但他也表示出与麦特卡夫相同的观点,那就是担新政府滥用私人数据。麦克尼利说:“你会害怕AT&T拥有你的数据?或是谷歌?他们都是隐私的实体公司。AT&T不能伤害我,但杰里 布朗和奥巴马可以。”麦克尼利一直批评加州政府以及州长杰里 布朗。麦克尼利称,他的纳税情况每年都被审计。

云存储服务商Box公司创始人亚伦 莱维(Aaron Levie)在Twitter上调侃“Prism”项目称:“美国国家安全局的这个想法简直就是30个初创企业合力完成的,我们弱爆了。”

这个笑话虽然有趣,但反映的是事实,或许政府和硅谷对数据的兴趣并不存在实质的冲突。莱维认为,最重要的是要实现透明化以及知晓数据使用情况,政府和科技行业需要共同合作创造一种更好的模式。

与此同时,一些科技界领袖也提出保护网络隐私的好办法,就是“低调”。在硅谷闯荡30余年的企业家戈登 尤班克斯(Gordon Eubanks)认为,支持安全和支持隐私的两方都有说得过去的地方,在争执最终解决之前,他建议:“我对放在网上的信息很小心。我从不在网上发布关于住址、家庭以及宠物的任何信息。就连点‘赞’的时候都很小心。”

1.4 美媒:美黑客军团深潜中国网络15年

位于美国马里兰州的国家安全局大楼。据称长期对中国进行黑客攻击的“获取特定情报行动办公室(TAO)”即藏身于此。(资料图片)

美国《外交政策》双月刊网站6月10日刊登题为《美国国家安全局里的绝密中国黑客小组》一文。文章称,美国总统奥巴马拥有一支自己的黑客军团,而这支军团已经深深潜入了中国的网络。

文章说,事实证明,中国政府的指控本质上是对的。根据一些秘密消息来源,隶属于美国政府庞大的电子窃听组织国家安全局下属的一个高度机密、名为“获取特定情报行动办公室(TAO)”的部门,已经成功入侵中国电脑和通信系统近15年时间,并且获取了一些关于中国境内正在发生的事情的最优质、最可靠的情报。

文章称,藏身于马里兰州米德堡的美国国家安全局总部大楼之内,TAO的办公室与其他部门隔离开来,对于国安局的很多工作人员来说,这个机构也是一个谜。因为TAO业务的极端敏感性,只有寥寥数位国安局高级官员对关于TAO的信息享有完全知情权。而且要进入该部门的工作区需要经过特别安检。通向超现代的控制中心的大门由荷枪实弹的警卫把守,只有在数字键盘准确输入六位密码才能顺利通过一道威严的钢制门,此外还有一个视网膜扫描器确保只有经过特别甄别的人才能通过这道门。

接受采访的前美国国安局官员称,TAO的任务很简单。通过秘密入侵计算机和通信系统,破译密码,破坏保护目标计算机的安全系统,盗取存储在电脑硬盘中的数据,然后复制目标邮件和短信系统中的所有信息和通过的数据流量,来获取关于境外目标的情报。国安局用以描述这一系列行动的技术术语是“计算机网络刺探”。TAO还负责搜集情报,以便一旦总统下令,美国就有实力发动一场网络袭击来破坏外国的计算机和通信系统。美国网络司令部负责发动类似的网络袭击,其总部位于米德堡,负责人是国家安全局长基斯·亚历山大上将。

据消息人士称,2013年4月罗伯特·乔伊斯开始执掌TAO,他之前是美国国安局信息保障理事会(负责保护美国政府的通信和计算机系统)副会长。TAO目前是国安局庞大的信号情报理事会中最大、并且可以说是最重要的组成部分,包括1000多名军队和民间计算机黑客、情报分析人士、目标专家、电脑软硬件设计人员以及电气工程师。

文章说,自1997年创建以来,TAO已经赢得了一个为美国情报界提供一些最好的情报的“美名”,这些情报不仅关于中国,还包括外国恐怖组织、外国政府针对美国开展的间谍活动、全球范围内弹道导弹和大规模杀伤性武器的研发活动以及全世界最新的政治、军事和经济进展。到2009年1月奥巴马成为美国总统的时候,TAO在某种意义上已经近似于美国情报圈的“后起之秀”。一名前美国国安局官员当时是这样描述TAO的:“这个机构已经自成产业了。他们能到情报界别人去不了的地方,弄到别人弄不到的东西。”

文章指出,鉴于其异乎寻常的工作性质和政治敏感性,TAO一直是一个“锁在深闺人未识”的话题并不出奇。关于TAO的一切都被列为头号机密,甚至在本身就高度机密的国安局内部也是如此。在过去十年,这个名字仅在出版物中出现过几次,少数几个敢于探询这个机构的记者都被高级情报官员礼貌而又坚决地警告过:不要报道这个机构的工作,以免影响其正在开展的业务。

问题是,现在TAO已经变得如此庞大,而且搜集到如此多有价值的情报,事实上其早已无可遁形。中国政府肯定对TAO的活动有所察觉。中国互联网协会秘书长黄澄清有关“海量数据”的声明显然是北京准备公布这一数据的隐含威胁。正如每一位下了重注的扑克牌玩家都知道,当对手知道你手中有什么牌的时候,就只能靠碰运气了。

1.5 中国将打造世界最快超级计算机

据美国《华尔街日报》报道,尽管面临美国、日本等国家的激烈竞争,但中国很快就将夺回“世界运算速度最快的超级计算机”的宝座并保持相当一段时间。

报道称,中国国防科技大学日前向来访的科学家透露,中国一台超级计算机的初次测试结果显示,它有可能在定于本月晚些时候公布的最新一期全球超级计算机500强排行榜上位列第一。

2010年中国“天河1号”超级计算机成为世界运算速度最快的计算机。但在2011年“天河1号”被日本超级计算机“京”超越。目前美国田纳西州橡树岭国家实验室的一台代号“泰坦”的超级计算机占据这一宝座。根据上周亲眼看到中国新一代超级计算机的美国计算机专家唐加拉说,中国开发的新系统叫做“天河2号”,使用来自英特尔的两种不同电脑芯片以及部分国产的电路系统。唐加拉在橡树岭国家实验室工作,他说,“天河2号”理论性能峰值是每秒运算54.9千万亿次,在Linpack标准测试中可达到30.65千万亿次,相比之下,橡树岭实验室的系统运算速度为17.59千万亿次。

报道认为,超级计算机主要被各国政府用于武器设计和情报收集等目的,它们一向被视为国家竞争力的象征,世界运算速度最快的超级计算机的宝座近年来一直被美国、中国和日本这三个国家交替占据。

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.uol(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Win32.Fednu.umt(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Trojan.Win32.Fednu.uom(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

 

3 安全漏洞公告

3.1 PHP quoted_printable_encode()堆缓冲区溢出漏洞

PHP quoted_printable_encode()堆缓冲区溢出漏洞

发布时间:

2013-06-07

信息来源:

BUGTRAQ ID: 60411
CVE(CAN) ID: CVE-2013-2110

漏洞描述:

PHP 是一种 HTML 内嵌式的语言。
PHP 5.4.16、5.3.26在quoted_printable_encode()的实现上存在远程堆缓冲区溢出安全漏洞,攻击者可利用此漏洞在受影响应用中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net
https://github.com/php/php-src/commit/93e0d78ec655f59ebfa82b2c6f8486c43651c1d0

3.2 Apache StrutsOGNL表达式注入漏洞

Apache StrutsOGNL表达式注入漏洞

发布时间:

2013-06-05

漏洞号:

BUGTRAQ ID: 60345
CVE(CAN) ID: CVE-2013-2135

漏洞描述:

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。
Apache Struts 2.0.0-2.3.14.3存在远程OGNL表达式注入漏洞,远程攻击者可利用此漏洞操作服务器端对象并在受影响应用上下文中执行任意命令。此漏洞源于如果同时使用了$和%开放字符,在 TextParseUtil.translateVariables双重评估OGNL表达式时存在的错误。

安全建议:

Apache Group已经为此发布了一个安全公告(s2-015)以及相应补丁:
s2-015:S2-015
链接:
http://struts.apache.org/development/2.x/docs/s2-015.html


补丁下载:
http://struts.apache.org/download.cgi#struts23143

3.3 MongoDB 空指针引用拒绝服务漏洞

MongoDB 空指针引用拒绝服务漏洞

发布时间:

2013-06-05

漏洞号:

BUGTRAQ ID: 60346
CVE(CAN) ID: CVE-2013-2134

漏洞描述:

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。
Apache Struts 2.0.0-2.3.14.3存在远程OGNL表达式注入漏洞,远程攻击者可利用此漏洞操作服务器端对象并在受影响应用上下文中执行任意命令。此漏洞源于通配符匹配错误。

安全建议:

Apache Group已经为此发布了一个安全公告(s2-015)以及相应补丁:
s2-015:S2-015
链接:
http://struts.apache.org/development/2.x/docs/s2-015.html


补丁下载:
http://struts.apache.org/download.cgi#struts23143

3.4 Microsoft Internet Explorer XML 文件处理信息泄露漏洞

Microsoft Internet Explorer XML 文件处理信息泄露漏洞

发布时间:

2013-06-05

漏洞号:

BUGTRAQ ID: 60421

漏洞描述:

Windows Internet Explorer,简称MSIE,是微软公司推出的一款网页浏览器。
Internet Explorer 6, 7, 8, 9在处理特制XML文件时存在信息泄露漏洞,目前细节未知。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.microsoft.com/windows/ie/default.asp

3.5 IBM AIX IPv6报文处理远程拒绝服务漏洞

IBM AIX IPv6报文处理远程拒绝服务漏洞

发布时间:

2013-06-05

漏洞号:

BUGTRAQ ID: 60348
CVE(CAN) ID: CVE-2013-3035

漏洞描述:

AIX是一个基于开放标准的UNIX操作系统,为用户提供企业信息技术基础架构。
IBM AIX 6.1、7.1存在远程拒绝服务漏洞,攻击者可利用此漏洞造成拒绝服务。如果向配置了IPv6地址的AIX机器发送特定格式的畸形IPv6报文,那么该机器处理此报文时会挂起。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/
ftp://aix.software.ibm.com/aix/efixes/security
http://www.ibm.com/eserver/support/fixes/fixcentral/main/pseries/aix