当前位置: 安全纵横 > 安全公告

一周安全动态(2013年6月13日-2013年6月20日)

来源:安恒信息 日期:2013-06

2013年6月第三周(6.13-6.20)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 OWASP发布2013年十大WEB应用安全风险

日前,开放Web应用安全项目(OWASP)公布了2013年十大最关键的Web应用安全风险,该列表从2010年开始更新,今年“Broken Authentication and Session Management”排到了第二的位置,同时“Injection”仍然保留在首位。

OWASP TOP 10 2013
1、Injection (1)
2、Broken Authentication and Session Management (3)
3、Cross-Site Scripting (XSS) (2)
4、Insecure Direct Object References (4)
5、Security Misconfiguration (6)
6、Sensitive Data Exposure (7/9)
7、Missing Function Level Access Control (8)
8、Cross-Site Request Forgery (CSRF) (5)
9、Using Known Vulnerable Components (-)
10、Unvalidated Redirects and Forwards (10)
附 OWASP TOP 10 2010
Injection
Cross-Site Scripting (XSS)
Broken Authentication and Session Management
Insecure Direct Object References
Cross-Site Request Forgery (CSRF)
Security Misconfiguration
Insecure Cryptographic Storage
Failure to Restrict URL Access
Insufficient Transport Layer Protection
Unvalidated Redirects and Forwards

1.2 “熊猫烧香”病毒制造者将再次被诉

随着第3名主要犯罪嫌疑人雷某的落网,一个覆盖全国多省市、参赌人员上万人、涉案金额上亿元的特大网络赌博团伙,近日被浙江省丽水市公安局摧毁。令警方惊讶的是,此案中的3名主要犯罪嫌疑人,竟是曾震惊全国的“熊猫烧香”计算机病毒制造传播案的主犯。

2011年5月,浙江省丽水市公安局开发区分局在工作中获取一条重要线索,丽水经济开发区的腾翔网络科技有限公司,涉嫌通过网络购买流量,攻击多家棋牌类游戏网站的服务器。通过侦查,丽水警方发现,网络公司的参与经营者张某、李某正是2006年震惊全国的“熊猫烧香”计算机病毒的主要制造者。

原来,张某等人刑满释放后结识了徐某,两人成立了网络公司,靠开发出售棋牌类游戏盈利。在张某的邀请下,“熊猫烧香”病毒的另一主要制造者李某在刑满出狱后,以技术入股的形式加入。

通过线下调查和网上调查相结合,警方发现该公司登记的工作人员有四五十人之多,不但组织严密、分工细致,而且机构健全,该公司涉嫌利用棋牌游戏在网上开设赌场,且涉案金额十分巨大。浙江省公安厅、丽水市公安局高度重视此案。2012年5月,该案件被列为公安部督办案件。

经过近一年半时间的侦查,2012年12月底,在获悉案件的主要犯罪嫌疑人现身丽水后,丽水警方决定在2013年1月1日实施抓捕。2013年元旦凌晨,当人们还沉浸在睡梦当中时,丽水市公安局抽调100多名干警奔赴重庆、杭州、衢州、丽水莲都、云和及丽水经济开发区,对犯罪嫌疑人实施抓捕。当天,主要嫌疑人李某、张某落网。与此同时,其他抓捕组也相继抓获20余人。随后的半年时间里,丽水警方继续追击,截至6月15日,共抓获涉案犯罪嫌疑人30多人,这批犯罪嫌疑人将于近日被移送起诉。

1.3 传美情报局与数千公司互通数据:微软谷歌均参与

彭博社近期发表署名迈克尔·莱利(Michael Riley)的文章称,美国NSA、CIA和FBI等情报机构与美国数千家私有企业保持着紧密的合作关系,它们会从这些企业获得敏感情报,同时也会向合作企业提供机密信息。以下是文章全文:

据四位熟悉内幕的消息人士称,成千上万家科技、金融和制造领域的公司与美国国家安全机构合作紧密,它们向后者提供敏感信息,作为回报它们会获得后者提供的机密情报。

这些项目的参与公司都是可信赖的合作伙伴,它们的所作所为远远超出在美国国家安全局(NSA)从事电脑技术员工作的爱德华·斯诺登(Edward Snowden)所披露出来的那些内容。自从斯诺登本月披露NSA收集数百万美国居民的电话记录以及与谷歌等互联网企业合作监控外国人的计算机通信信息以 来,那些涉事的私有企业受到了公众密切的关注。

上述四位消息人士称,除了用户的私人通信信息外,许多互联网和通信公司自觉自愿地为美国情报组织提供额外的数据,例如设备规格。

软硬件制造商、银行、互联网安全服务商、卫星通信公司以及其它许多公司也参与了美国政府的这些项目。某些时候,这些项目所收集的信息不仅仅是出于自我保护,还被用来作为攻击手段,侵入竞争对手的计算机系统。

据上述四位消息人士中一位曾在美国政府及其合作企业都工作过的人透露,除NSA外,美国中央情报局(CIA)、联邦调查局(FBI)以及美国军方的情报机构也与上述公司保持合作,收集那些普通人看起来无害,但在美国情报人员或网络战部队看来非常有用的信息。

微软漏洞

据两位熟悉内幕的人士称,世界上最大的软件公司微软会向情报机构提前提供操作系统的漏洞信息,之后再发布修复补丁。这些信息可被用来保护美国政府的计算机,以及用来访问恐怖分子或军事对手的电脑系统。

据两位美国官员透露,微软等软件公司、互联网和安全企业提前提供的这些信息可以帮助政府好好利用这些出售到海外的软件的脆弱性。这两位不愿具名的消息人士表示,微软没有问、也不可能被告知政府将如何使用这些信息。

微软一位发言人弗兰克·肖(Frank Shaw)表示,微软会向多个合作机构提前提供漏洞信息,目的是让政府能够“尽早启动”风险评估和减少灾难带来的损失。

乐意合作

上述四位消息人士之一透露,一些美国通信公司非常愿意向情报机构提供访问海外基础设施和通信数据的权利。而在美国本土,这样事情必须得到法官的批准才能进 行。在美国“外国情报监视法”(Foreign Intelligence Surveillance Act)的庇佑下,美国的通信公司可以不经监管,自愿地向情报机构提供信息。

情报机构和私有企业之间展开的这类广泛合作是非法的,它存在于 人们生活的方方面面,但只有很少一部分律师、企业主和间谍人员才会审慎地看待这个问题。一位熟悉情报机构和公司间协议内容的消息人士称,私有企业的高管们 乐于与政府合作,博得协助国防的美名,同时公司本身也会从中获益。

一位熟悉流程的人士表示,大多数协议都属于高度机密,公司只有少数高层能够访问这些信息。很多时候,这样的机密信息只有企业的CEO和间谍机构的负责人知晓,其他人根本无从得知。

“感谢他们”

曾先后担任NSA和CIA一把手的迈克尔·海登(Michael Hayden)这样描述与合作公司间的关系:“如果我是情报机构负责与合作企业接洽的主管,当我的伙伴向我提供了对公共防卫非常有价值的信息时,我要以我 的方式感谢他们,让他们意识到自己的所作所为的必要性和有用性。”

海登补充道:“作为公司负责人你有义务做这样的事,很少有人会置身事外。”

根据斯诺登披露的一张幻灯片显示,美国互联网公司与NSA“特别来源行动”(Special Source Operations)小组之间有一个命名为Prism(棱镜)的秘密计划,该计划专门收集海外侦查目标的电子邮件、视频以及其它数据信息。每家互联网企 业监控的数据不同,具体类别由一个秘密的评委会决定。

由于全球的信息呈现爆炸式增长,以及更多地通过由美国公司提供的交换机/路由器、线缆及其它网络设备传输,美国情报机构越来越依赖与私有企业间的这种合作关系。

设备规格

除了私人通信外,支撑互联网运行的设备的规格信息也在美国政府及其合作企业的收集之列。理论上,这些设备规格信息与私人通信信息之间没多大联系,不属于情报机构关心的范畴。但是,这些信息对企业、美国执法官员和军方很重要。

接洽官员

如果必要,与情报机构合作的公司高管,会被授予可以免除因转移数据而遭受的民事诉讼的豁免权。情报机构还会定期向公司接洽人更新他们将如何使用收集到的数据信息。

上述四位熟悉内幕的消息人士之一称,英特尔旗下从事互联网安全软件业务的McAfee部门,会定期与NSA、FBI以及CIA合作。McAfee是美国情报机构一个非常有价值的合作伙伴,因为它生产的互联网软件可以掌握大量的恶意互联网流量,包括来自外国的间谍行动等。

该消息人士表示,美国情报机构与McAfee的合作过程可能是:先与McAfee CEO接洽,后者会指派特别的员工来负责向调查员提供数据。他还表示,美国公众如果得知政府居然要寻求这么多帮助,一定会大吃一惊。McAfee的防火墙 可以收集使用正版服务器从事间谍活动的数据,从而找出攻击发起的位置。此外,McAfee还熟知全球信息网络的体系结构,这些信息对合作情报机构非常有用。

企业高管获关照

McAfee全球首席技术执行官迈克尔·菲(Michael Fey)表示,McAfee的数据和相关分析并不涉及个人信息。他在一份声明中写道:“我们不与政府机构合作伙伴分享任何类型的个人信息。McAfee的任务是向政府机构提供安全技术、教育信息和威胁情报。这种情报包括有关新威胁、网络攻击模式、矢量活动的趋势数据,以及对软件系统漏洞和黑客组织活动真实 性的分析。”

上述知情人士透露,作为交换,美国安全机构会给予合作企业高管特别关照和相关信息,以维持这种合作关系。有时候,合作企业还会提前获得相关威胁的警告,这些威胁可能会影响他们的营收,如大规模网络攻击以及幕后操纵者等信息。

据一位熟悉美国政府调查的知情人士透露,2010年,在谷歌遭受中国黑客攻击后,谷歌联合创始人塞吉·布林(Sergey Brin)获得了一份高度机密的政府情报,称此次攻击的主使是中国军方下属秘密机构。根据斯诺登透露的信息,作为全球第一大搜索引擎,谷歌当时已经参与 “棱镜”计划一年有余。

谷歌CEO拉里·佩奇(Larry Page)本月7日在一份博文中写道,在斯诺登曝料之前,他从未听说过“棱镜”计划,而谷歌并不允许美国政府直接接入其服务器,或是数据中心的“后门”系统。佩奇称,谷歌只有在不违反法律的情况下,才向政府提供用户数据。谷歌发言人莱斯利·米勒(Leslie Miller)暂未对这一报道发表评论。

搜集设备元数据

斯诺登提供的信息还曝光了一个名为的“Blarney”秘密计划。根据《华盛顿邮报》对“Blarney”计划的描述,美国安全机构会搜集一些电脑和设备的元数据(Metadata),这些电脑和设备被用于通过主数据线路发送电子邮件,浏览互联网信息。

全球数以百万计的设备都在使用元数据,而美国情报机构则可以利用此类信息,向这些电脑或手机进行渗透,对用户实施监控。元数据还包括操作系统、浏览器和 Java软件版本。澳大利亚大型电信运营商Telstra Corp前首席信息官格伦·奇斯霍尔姆(Glenn Chisholm)说:“这是一种具有高度进攻性的数据”。他这样讲,其实是在与保护而非渗透电脑的防御性信息做对比。

据《华盛顿邮报》报道,斯诺登称“Blarney”计划的目标是“接入和获取外国情报”。目前尚不清楚美国互联网服务提供商是否按照“Blarney”计划,向NSA提供了用户信息,如果确有此事,他们是否得到了法官批准。

NSA前法律总顾问斯图尔特·贝克(Stewart Baker)表示,如果元数据涉及两台碰巧穿越美国光缆的境外电脑之间的通讯,“那么相比正在逐一筛查的通信,前者并不需要太多的法律监督就可以获取。”

跟不上科技潮流

雅各布·奥尔库特(Jacob Olcott)表示,负责监督美国情报机关的议员们,或许并不清楚NSA所搜集的部分元数据的重要性。奥尔库特是美国参议院商业委员会主席约翰·洛克菲勒 (John D. Rockefeller IV)的前任网络安全顾问,现为安全风险管理公司Good Harbor Security Risk Management高层。

他说:“这使得议员对此类问题的监察变得非常困难。现如今,科技和技术政策瞬息万变,大多数民选议员及其助手的 背景和专长已经无法跟上这种潮流。”知情人士透露,虽然美国情报机构会向合作企业提供颇具吸引力的奖励,但许多高管参与此类计划主要是出于爱国情操,或是 觉得他们是在保护国家安全。

美国电信运营商、互联网公司、电力公司和其他企业,向美国情报机构提供了他们系统的基础架构或相关设备的细节,以便情报机构可以分析潜在漏洞。美国加州数据安全公司Cylance首席安全官奇斯霍尔姆说:“政府想要知道国家重要基础设施的情况,这是自然而然的举动。”

不承担法律责任

即便是一些高度防御性系统,也会给用户隐私带来预想不到的后果。“Einstein 3”是最早由NSA制订的一个投入巨大的计划,旨在保护政府系统免遭黑客攻击。目前,该项目已经公诸于众,目前正处于安装阶段,它将会对每年发送至政府电脑的数十亿封电子邮件进行仔细分析,以确定它们是否包含间谍工具或恶意软件。据知情人士透露,在某些情况下,“Einstein 3”计划还可能使电子邮件的私密内容曝光。

据悉,在AT&T、Verizon Communications、Sprint Nextel、Level 3 Communications、CenturyLink等美国五家知名互联网同意在其网络中安装“Einstein 3”系统之前,有几家还要求政府必须保证,他们不会因违反美国反窃听法律而承担责任,结果他们收到了一封有美国总检察长亲笔签名的书信,信中称曝光此类信 息并不符合美国法律对窃听的定义,同时给予这些公司以民事诉讼的豁免权。

AT&T发言人马克·西格尔(Mark Siegel)和Verizon发言人爱德华·麦克法登(Edward McFadden)均对这一报道不愿置评,而Sprint发言人斯科特·斯洛特(Scott Sloat)和Level 3发言人莫妮卡·马丁尼斯(Monica Martinez)则暂未对此发表评论。

Centurylink发言人琳达·约翰逊(Linda Johnson)表示,该公司参与了“网络安全增强服务”(Enhanced Cybersecurity Services)和“入侵预防安全服务”(Intrusion Prevention Security Services)等两个计划,后者还包括“Einstein 3”项目。这两个计划都由美国国土安全部直接负责。她说,除此之外,“Centurylink不会对国家安全相关事宜发表评论。”

1.4 FDA:医疗设备将成黑客易攻陷目标

近日,美国食物与药品管理局(FDA)向医疗行业发出警告,提醒该行业要时刻警惕其所使用的医疗设备的安全问题,它们将很有可能成为黑客的攻击对象。FDA号召医疗设备生厂商应该为其生产的设备提供适合的安全防护措施,并建议他们提交相应的安全计划书作为FDA合格认证的一部分。

FDA的一位官员告诉《华尔街日报》,虽然到目前为止还没有发现因医疗设备被攻击引起的伤亡事件,但是他们已经发现了上百台医疗设备已经被恶意软件感染。Ars Technica援引另外一位FAD官员的话,“可以这么说,现在大部分的医疗设备生产商都受到了(恶意软件)的影响。”不过幸运的是,感染大多数医院的病毒都是比较传统的,比如Conficker。

FDA向医疗设备生厂商和医院方面提出的建议无非就是以下几点:修改设备密码、检测网络使用情况、实时更新软件。
不过,FDA的这一愿意似乎不大可能在近期实现。现在,很多大型医疗设备生产商都对网络安全问题避而不谈,更别说是着手去解决了。

1.5 信息安全思考:抹去线上痕迹,以前难现在更难

6月16日消息,爱德华·斯诺登公开了美国国安局监控电子通讯的内幕,美国民众也可以开始真正地思考,他们是否愿意为了避免恐怖攻击而接受这种程度的监控。政府该有多大的权限?这个问题值得讨论。如果我们想安全通信,抹去在线痕迹,又有多难?不管有多难,肯定比过去更难了。

政府知道的比Google少?

有几件值得思考的事要提一提。

首先,从Gmail推出开始,Google的服务器就一直在阅读用户的电子邮件,并借此提供合适的广告和拦阻垃圾信件。微软、Yahoo等重要搜索及电子邮件服务提供商也都在做类似的事情。

想象一下,如果你在看巴基斯坦的斩首影片,接着又写信给你的哥哥,告诉他你已经取得组装所需的大部分材料,只差一个价格合理的压力锅(译注:压力锅可以用来制作土制炸弹),你能接受Google依照你的观看习惯和电子邮件内容,给你一则低价压力锅的广告吗?

再来就是关键问题:Google依照对你的了解而播送压力锅广告,但Google可不可以在政府要求提供相关信息之时不交给政府?这个问题并不简单,许多事情对私人企业来说合法,但政府却不能做;或许这该是其中之一。

又或许我们可以接受Google依照用户信息播放广告,但得在取得使用者同意之后,才能将这类信息交给企业或政府等第三方单位。但这种要求使用者同意以保护隐私的手段通常没有太大效果;使用者大多都会按下“好”,让这种隐私保护变得完全不重要。

真正的问题并非没有法律架构可以阻止政府侵犯我们的在线隐私,而是根本没有法律架构可以避免任何人侵犯我们的在线隐私。如果没有法律和规范避免私人企业伤害在线隐私权,想避免政府侵害在线隐私亦有如天方夜谭。

抹去数字足迹的三个挑战

那么,我们是否能从网上抹去自己的数字足迹呢?

国外机构Tactical Technology Collective(以下简称TTC)主要帮助记者、活动份子避开在线监控。TTC联合创始人斯蒂芬妮-汉基(Stephanie Hankey)指出:“很难说服人们接受与自己有关的监控。”

一直以来,抗议者就挖空心思隐藏通信,但电脑现在开始对日常活动进行监控了。要想隐藏面临3个挑战:

首先,在通信传输过程中禁止嗅探。欧洲大学研究院互联网专家本-瓦格纳(Ben Wagner)警告说,未加密的邮箱像明信片一样公开。Pretty Good Privacy (PGP)软件可以阻止此类窥探。

其次,阻止“幽灵”从数据存储处获取数据。要做到这点就必须退出一些服务,如社交网、搜索引擎,或者寻找一些替代源,它们的数据无法被获取。你得自己架一台服务器收发邮件,用免费软件,你的所有设备都不能安装有所有权的操作系统。

第三,有的系统会纪录你的通讯,你得避开它。斯蒂芬妮-汉基说:“使用移动通讯是最糟糕的事。”电信公司保留通话记录难以躲避,互联网用户要安全一些。类似Tor等免费软件可以通过更精明地路由请求隐藏身份。

但是要长期保持隐蔽并不容易,你的联系人可能不聪明,会将你暴露出来。一些技术本身也会提供简单的方法让你保护自己,比如Chrome浏览器,它会提供一个基本的隐私模式,告诉用户:“小心你背后的人”。

斯蒂芬妮-汉基认为用法律保护隐私更好,她希望欧洲和其它地区为美国的“数字垄断”寻找替代选择。而瓦格纳则警告说:“可能一些东西根本不应该放在线上。”

 

2 本周关注病毒

2.1 Trojan.PSW.Win32.AliPay.pm(木马病毒)

警惕程度 ★★

该病毒运行后,会查找并结束网购软件的安全进程和微软更新进程。病毒通过创建傀儡进程,运行恶意文件,从而篡改支付订单。中毒电脑将在用户毫无察觉的情况下,购买电话充值卡,并将卡号和密码发送至黑客指定服务器。

2.2 Trojan.Win32.Fednu.uox(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Backdoor.Win32.DarkWhite.a(‘黑白后门’病毒)

警惕程度 ★★★★

该病毒伪装成游戏安装包引诱用户下载。病毒首先利用安装程序加载恶意DLL文件,并通过该DLL文件运行另一拥有正规数字签名的恶意程序。最终,病毒将在后台连接远程服务器,上传用户电脑中的信息。

 

3 安全漏洞公告

3.1 Apache Santuario XML Security for C++ XML签名拒绝服务漏洞

Apache Santuario XML Security for C++ XML签名拒绝服务漏洞

发布时间:

2013-06-18

信息来源:

BUGTRAQ ID: 60595
CVE(CAN) ID: CVE-2013-2155

漏洞描述:

Apache Santuario是实现XML的主要安全标准。
Apache Santuario XML Security for C++ 1.7.1之前版本在处理HMAC签名时存在拒绝服务和哈希长度绕过漏洞,可导致拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://svn.apache.org/viewvc?view=revision&revision=1493960

3.2 Apache Santuario XML Security for C++ 远程栈缓冲区溢出漏洞

Apache Santuario XML Security for C++ 远程栈缓冲区溢出漏洞

发布时间:

2013-06-18

漏洞号:

BUGTRAQ ID: 60594
CVE(CAN) ID: CVE-2013-2154

漏洞描述:

Apache Santuario是实现XML的主要安全标准。
Apache Santuario XML Security for C++ 1.7.1之前版本在操作XML Signature Reference处理代码中的畸形XPointer表达式时存在栈溢出漏洞,可导致任意代码执行。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://svn.apache.org/viewvc?view=revision&revision=r1493959

3.3 IBM Data Studio 目录遍历漏洞

IBM Data Studio 目录遍历漏洞

发布时间:

2013-06-11

漏洞号:

BUGTRAQ ID: 60508
CVE(CAN) ID: CVE-2013-2981

漏洞描述:

IBM Data Studio是IBM DB2数据库开发和管理的集中式模块化环境。
IBM Data Studio 3.1、3.1.1存在目录遍历漏洞,成功利用后可使攻击者访问任意系统文件。如果用户已经登录到Web应用并且服务器进程是由操作系统凭证启动的,该凭证对任意文件具有读权限,则攻击者可成功利用此漏洞。但是此漏洞不影响Data Studio Web Console进程本身及所监控的数据库,恶意攻击者应该可以访问Data Studio Web Console安装位置以外的敏感文件。

安全建议:

IBM已经为此发布了一个安全公告(21638734)以及相应补丁:
21638734:IBM Data Studio Web Console is susceptible to a “Directory Traversal Arbitrary File Download” vulnerability.
链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21638734
补丁下载:
http://www.ibm.com/developerworks/downloads/im/data/

3.4 Oracle Java SE远程信息泄露安全漏洞

Oracle Java SE远程信息泄露安全漏洞

发布时间:

2013-06-18

漏洞号:

BUGTRAQ ID: 60622
CVE(CAN) ID: CVE-2013-2449

漏洞描述:

Java SE 是基于JDK和JRE的Java平台标准版的简称,用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。
Oracle Java SE在Java Runtime Environment的实现上存在远程信息泄露安全漏洞,此漏洞可通过多个协议加以利用,影响“Libraries”子组件,受影响版本包括:7 Update 21及之前版本。

安全建议:

Oracle已经为此发布了一个安全公告(javacpujun2013-1899847)以及相应补丁:
javacpujun2013-1899847:Oracle Java SE Critical Patch Update Advisory - June 2013
链接:
http://www.oracle.com/technetwork/topics/security/javacpujun2013-1899847.html
补丁下载:
开发人员最新版本Oracle Java SE下载:
http://www.oracle.com/technetwork/java/javase/downloads/index.html
Windows和Mac OS X平台上的用户可利用自动更新下载最新版本:
http://www.java.com/en/download/help/5000020700.xml
用浏览器运行Java SE的用户最新版本下载位置:http://java.com/

3.5 ECshop历史补丁新后门漏洞

ECshop历史补丁新后门漏洞

发布时间:

2013-06-05

漏洞号:

 

漏洞描述:

ECSHOP是开源的网店系统。
ECSHOP 273utf8_patch006历史补丁文件包由于被篡改了\admin\privilege.php,在实现上存在恶意后门,可导致敏感信息泄露。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ecshop.com/
http://bbs.ecshop.com/thread-1130889-1-1.html