当前位置: 安全纵横 > 安全公告

一周安全动态(2014年07月14日-2014年08月21日)

来源:安恒信息 日期:2014-08

2014年08月第三周(07.14-08.21)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 间谍软件商被黑 40GB源码泄露

上周,有黑客声称入侵了Gamma Group的内网,获取了多达40GB的内部文档和恶意程序源代码。其中就包括了finfisher的代码及文档。finfisher是一个由政府和执法部门出于监视目的而使用的间谍软件。Gamma Group是一家专门给政府和执法机构提供间谍软件的欧洲公司。

黑客获得的这些文档及源代码已经被做成种子文件共享。其中的FinFly Web源代码也被公布在Github源码分享网站上面。

据搜狐IT了解,在这些泄露文档中,Gamma Group为客户提供了一份安全检测报告,finfisher软件可以绕过国际顶级的35家防病毒软件的检测。这也意味着电脑或手机中即使被置入finfisher间谍软件,用户也无法察觉。

国际知名白帽黑客Rik Ferguson对搜狐IT确认了以上信息。据称,这些间谍软件的源代码被泄露后,很可以会被黑客用来做恶意用途,近期可能会爆发较大规模的信息安全事 件。目前通过网络获取恶意程序的成本越来越低,犯罪集团一般不会再去自己写代码,而是直接从网上找黑客或源代码用于犯罪。

Rik同时表示,大多数普通用户并不懂技术,他们对安全和手机硬件本身也不感兴趣。从用户端加强安全意识的教育并不是一个好方法。他建议安全厂商加强与手机、PC终端厂商及电信运营商的合作,从源头提升设备的安全性。
Gamma Group公司对于此次泄露事件不予置评。

1.2 韩国黑客凶猛:七成国民信息被卖

韩国警方经调查发现,15岁~65岁的韩国国民有七成以上人的个人信息已经泄露并被廉价卖出。这一结果在韩国社会引发不小的震惊。韩国全罗南道警察局21日宣布,金某等人2011年8月至2013年3月期间共盗取并出售了2.2亿条的个人信息,除去被重复出售的情况,共有2700万人的个人信息遭到泄露,占15岁~65岁韩国人口(共3700万人)的72%。

调查结果表明,这些被泄露的个人信息中有1.2亿条仅涉及姓名和居民身份证号码,1亿条涉及姓名、电话号、地址、账户名、密码、银行账号和电子邮箱地址等,还有1000余条涉及姓名、居民身份证号、身份证颁发日期、驾照号等等。

报道称,这些信息多数由黑客盗取自人们在游戏网站、电影票网站、下载铃声网站填写的注册信息,黑客们只要获取1条注册信息,就可通过黑客软件追踪到相同用户名在其他网站的注册信息。这些信息被盗取后最低时每条仅以1韩元(约合人民币0.006元)卖出,而高级一些的信息则可买到2万韩元(约合人民币120元)。

警察透露,此次发现的被泄个人信息或由金某和一位中国黑客联手盗取,目前金某等10人涉嫌违反《个人信息保护法》,将陆续接受警方调查。韩国警方提醒国民,使用不同网站时最好以不同的用户名进行注册,以防个人信息被恶意盗用。

1.3 不仅美国有棱镜门 英国情报部门扫描32国端口

在棱镜门丑闻中,美国国安局等情报部门对各国公民乃至政要的通信进行监听的丑闻被曝光。实际上,英国、加拿大等其他西方国家的情报部门,也在对他国通过互联网手段进行安全扫描,以求发现可以利用的漏洞或是“肉鸡”(隐藏攻击者身份、代为发起攻击的电脑。)据德国科技新闻网站Heise近日报道,英国情报部门GCHQ,曾经在2009年,启动一项名为“Hacienda”的情报收集计划,并对至少27个国家电脑系统进行了端口扫描。

互联网基于TCP/IP协议,所有的访问请求和答复,均通过一个个TCP端口来实现,这个端口相当于联网电脑和服务器的“眼睛耳朵或嘴巴”。

在安全行业,无论是不良黑客,还是信息安全公司,都时常会对客户电脑或服务器进行端口扫描,以便发现是否有漏洞存在。

据透露,GCHQ曾经将上述安全行业使用的手段,用于针对其他国家的情报采集。

其中一份文件显示,27个国家联网电脑的端口进行了完整的扫描,而其他5个国家,则完成了部分扫描。

据称,英国情报机构所扫描的通信协议端口,涉及SSH加密协议、用于远程网络管理的SNMP协议等。

据报道,英国情报机构将通过大规模端口扫描获得的漏洞信息和情报,分享给了美国、加拿大、澳大利亚和新西兰的情报部门。其中,这些情报部门一般使用一种名为“Mailorder”的安全加密手段,传输情报内容。

Heise网站还披露了加拿大情报部门CSEC的另外一个计划“Landmark”。

这个计划的目的,是寻找到所谓的“行动中继箱”(ORB,类似于国内所称的“肉鸡”)。

这些ORB,其实是被攻击者攻破、控制的联网电脑系统,被植入了攻击程序。在特定时间,攻击者将会利用“肉鸡”对目标服务器发动攻击,而被攻击者将无法调查出黑客的真实身份和地理位置。

上述德国网站透露,仅仅在2010年2月的一次训练中,加拿大情报部门的八个“网络漏洞利用分析小组”(每组三个人),发现了3000台“肉鸡”电脑,可以在日后被CSCE所利用。

Heise网站的一位撰稿人格罗瑟夫(ChristianGrothoff)表示,西方的情报机构从技术上实施以上计划,这并不出乎意料。然而,这些情报机构攻击的是普通百姓的系统,此外还在他们的电脑上安装恶意软件,对其他更多的系统发动攻击,这种行为毫无理由、令人震惊。

格罗瑟夫效力于德国慕尼黑理工大学,他领导的团队,开发出了增强联网电脑和服务器安全性的技术“TCPStealth”。这种技术,相当于对通信双方的电脑和服务器端,增加了一次密码验证。

格罗瑟夫举例说,比如一些服务器和路由器,由管理员通过远程进行管理,管理员不希望外部能够访问管理端口,于是可以面向获得授权的管理员小组,提供密码口令认证。

即使攻击者能够和目标服务器建立连接,但是如果口令不正确,双方将无法通行。

1.4 另一个斯诺登泄露了什么机密

斯诺登之后,美国又现泄密者。据CNN8月5日报道,有华盛顿官员透露,美国政府确认存在另一名“泄密者”。当天,美国独立新闻网站The Intercept披露了一份来自美国国家安全局的文件,我们来看看,这一次泄露了什么机密。

恐怖分子嫌疑人名单:近半数人和任何恐怖组织无关

据The Intercept报道,截至2013年8月,有68万人列于美国政府的“恐怖分子监控数据库”(Terrorist Screening Database)中。该数据库是一个已确定或有嫌疑的恐怖分子名单,除了美国情报组织和军方外,和美国地方执法机构、私人承包商和外国政府也共享信息。

该数据库中,超过40%的人无法查明属于哪一个恐怖组织,近1/3的人被怀疑与基地组织、塔利班、哈马斯和真主党有关系。这其中只有5000人是美国人,2900人为女性。

根据The Intercept发布的政府监控守则,政府若要秘密将某人添加至监控名单,并不需要提供充足的事实证据,只需满足一个模棱两可的“合理怀疑”标准。

在美国城市中,被监控人数最多的城市依次是纽约、密歇根州的迪尔伯恩、休斯顿、圣地亚哥和芝加哥。值得注意的是,迪尔伯恩比其他四座城市都小得多,但是居民中拥有全美占比最大(40%)的阿拉伯后裔。

美国中央情报局利用名为“Hydra”的计算机程序,秘密登陆其他国家维护的数据库,从中提取信息,添加至本国恐怖分子监控数据库中。

上述监控数据库中的人,往往都是从一个名为“恐怖分子身份数据集市”(Terrorist Identities Datamart Environment)的更大名单中筛选出来的,入选这个身份数据库的标准更低。据The Intercept掌握的文件,到2013年8月,加上恐怖分子监控数据库中的名单,有近百万人位列其中,比四年前翻了一倍。

禁飞黑名单:玻利维亚总统也在其中

The Intercept还披露,奥巴马政府主持了一个前所未有的恐怖分子监控系统。自执政以来,奥巴马将禁飞名单翻了十番,达到历史最高的4.7万人。

2006年,美国CBS电视台曝光了一个禁飞名单,长达414页,包括4.4万人,甚至玻利维亚总统埃沃·莫拉莱斯和黎巴嫩议会领袖也跻身其中。在公众的强烈抗议下,政府不得不在2009年将这一数据砍至4千。

2010 年,经历了所谓的“内裤炸弹”炸机未遂案后,奥巴马降低了入选禁飞名单的门槛。效果立见。从这一年起,国家反恐中心“新建了超过43万涉恐人员记录”。至 今,每天都有240个“恐怖分子”提名候选人在处理中。提名最为踊跃的机构为中央情报局、国防情报局、国家安全局和联邦调查局。

“这些机构视恐怖主义为王牌,他们知道,四处晃动这张牌,美国大众会感到恐惧。在国家安全的保护伞下,国会和法院也会对他们的所作所为睁一只眼闭一只眼。”前联邦调查局探员Michael German说道。

另外,在恐怖分子监控数据库中,有1.6万人被归入“征召名单”中,他们在机场和出入境时,会遭受更为严苛的审查。

生物数据采集

根据本次泄露的文件,美国政府还在偷偷摸摸地采集和分析大量的个人信息,包括脸部图像、指纹和虹膜扫描。

在去年波斯顿马拉松大爆炸以后,恐怖分子身份理事会开始了一个雄心勃勃的计划:搜集“恐怖分子身份数据集市”中所有美国人的生物数据和其他信息。而这,也只是针对数据库中上百万人的生物信息采集计划中的一部分。

2013年,该董事会的生物分析组发起从全国司机的驾驶记录中获取生物信息的项目。这至少得到了15个州和哥伦比亚地区的响应,为他们获取司机的脸部图像提供了便利。

这一年,恐怖分子监控数据库中,新加入了涉及14.4万人、超过86万份的生物信息文件。其中包括超过50万张脸部图像、近25万条指纹和7万份虹膜扫描信息。

仅仅一年内,政府拓展了非传统生物数据采集范围,大大加强了对笔迹样本、签名、伤疤、胎记、纹身和DNA序列等的采集。

“如果一切都是恐怖主义的话,那就没有什么是恐怖主义了。”前FBI资深探员David Gomez说。

1.5 军队使用什么操作系统才安全

今年上半年,中央国家机关政府采购中心的一纸公文引发各方关注。在这份仅涉及30余台电脑采购任务的《关于进行信息类协议供货强制节能产品补充招标的通知》中,政府首次明确提出:“所有计算机类产品不允许安装Windows 8操作系统。”

虽然文件并未对相关条文作出任何解释,但媒体分析认为基于信息安全考量是这条禁令发布的主要原因。这份通知的出台在网络上也引发讨论,计算机操作系统会对信息安全造成多大影响、是支持国产操作系统还是继续使用国外品牌等话题成为网友关注的焦点。

事实上,相关争论在军队也一直存在。

军网与地方网络物理隔离,各级网关均安装防火墙,再结合其他严格的安全措施,理论上看操作系统安全隐患并不大。但鉴于军事信息安全的敏感性,我国军事用途计算机操作系统的使用安全问题不可不察。

计算机上所有软件程序都基于操作系统运行,联网以后谁能控制操作系统就基本掌握了电脑上所有信息。正是看到操作系统对于计算机用户操作信息安全的重要性,包 括军队在内的国家多个组织、部门、企业研发了数个国产操作系统。但是,Windows 系列操作系统在军队办公类计算机上还是有较高的普及率。

究其原因,一方面是国产操作系统在安全、效率、稳定等性能指标上与微软等公司产品相比还存在差距,另一方面不了解用户习惯、用户界面不够友好等因素也是国产操作系统的重要缺陷。此外,个别“自主研发”的国产操作系统存在的抄袭嫌疑更严重影响了用户信心。

我国军队办公计算机与地方政务办公计算机长期以来一直使用微软Windows系列操作系统,这一现象并非没有引起国家信息安全部门关注。实际上在每次微软新操作系统上市之前,政府都会组织相关专家对其进行全面的安全测试和风险评估。

从2003年起,微软公司也通过“政府安全计划”向包括中国在内的全球60多个主要国家公开了Windows2000、Windows XP等软件的源代码,允许相关国家政府人员对微软的产品进行安全审查。这些措施能够确保使用相关操作系统的安全风险处于可控范围内。

但从今年4月8日起,微软公司正式停止对Windows XP操作系统提供支持服务,这也就意味着该操作系统不再得到微软公司提供的系统补丁和安全更新,军队办公计算机面临的安全问题将变得更加严峻。

而微软Vista系统、Win7系统的源代码不再开放供政府审查,还强制使用国外密码算法技术不再支持中国算法。Win8系统更升级为云操作系统,系统底层软件更加依赖云端服务器,包括邮件、文档和通讯录在内的所有应用信息都会同步到微软在美国的服务器上。

既然国外操作系统让人无法信赖,国产操作系统就成为必然选项。事实上,棱镜事件已经给各个国家敲响警钟,包括美国的欧洲盟友在内的多个国家都对本国信息安全加强了防范措施,俄罗斯、德国等国已经开始要求在政府部门电脑中使用自己国家的操作系统。

任何一款操作系统和软件即使再完美也并非不可替代,阿里巴巴就在去年完成了“去IOE”运动。有专家指出,这一举动除了能够降低运行成本和增加企业盈利,对 于企业信息网络安全也具有重要意义。看似不可能实现的“去IOE”运动得以成功也表明,市场上没有非用不可的软件或设备。

军队计算机操作系统的核心要求之一必然是安全,使用国产操作系统在军事用户信息安全方面无疑是可靠的。但这种安全性方面的要求不应以降低军队战斗力为代价,国产操作系统在进程管理、程序控制、人机交互等基础功能需求方面更需要有较高的质量保证。

国产操作系统易用性较弱是一个不争的事实。但伴随Windows XP操作系统退出市场,用户的使用习惯也将针对新的操作系统而被迫发生调整。军队集中统一的管理模式和工作方法也便于不断改进的国产操作系统培养重要的用户群体,从而向社会产生辐射作用。

Windows XP的停用让军队计算机使用什么操作系统成为亟待解决的现实问题,而“Win8禁令”也为国产操作系统使用提供了重要的窗口期。军队不妨利用公平的方式,选择技术上较为稳定和值得信赖的国产操作系统先用起来,这将是互利互赢的合作。

军队使用什么操作系统看似是军队自己的事情,实则关系到国家整体科研水平和创新实力。政府应积极鼓励和扶持国产操作系统的研发和使用,而相关科研单位和企业也必须务实、诚实、踏实地做好产品以吸引用户,这才是真正的王道。(作者单位:工程兵学院)


2 本周关注病毒

2.1 Worm.Script.VBS.Agent.q(蠕虫病毒)

警惕程度 ★★

该病毒运行后遍历磁盘,将自身复制到多个目录下,并将自身设置成开机自启动,使用户在打开txt、chm、reg时先运行病毒文件,从而链接黑客指定地址,下载更多恶意程序。

2.2 Trojan.Script.Conf.a(木马病毒)

警惕程度 ★★

该病毒运行后释放一个dll文件,并将其注册为服务,在每个磁盘下创建快捷方式,使中毒电脑在打开硬盘时会先运行一遍这个dll,最终将窃取中毒电脑内包括操作系统、IP地址、硬盘信息及用户权限等信息,同时链接黑客指定地址,下载更多恶意程序。

2.3 Trojan.Win32.VbUndef.a(木马病毒)

警惕程度 ★★★

该病毒运行后修改hosts文件,劫持多个安全软件公司的网址,阻止用户打开其网站。病毒还修改注册表实现开机自启动,后台连接黑客指定网址,下载更多恶意病毒至硬盘。用户电脑一旦中毒,将面临隐私信息泄露,各类网络账密被盗等风险。


3 安全漏洞公告

3.1 PHP 'printf()'函数越界内存破坏漏洞

PHP 'printf()'函数越界内存破坏漏洞

发布时间:

2014-08-20

漏洞编号:

BUGTRAQ ID: 69271

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP在'printf()'的实现上存在内存破坏漏洞,攻击者可利用此漏洞获取敏感信息 。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php

3.2 PHP 'open_basedir'目录遍历漏洞

PHP 'open_basedir'目录遍历漏洞

发布时间:

2014-08-20

漏洞编号:

BUGTRAQ ID: 69246
CVE ID: CVE-2007-4825

漏洞描述:

PHP是一款HTML内嵌式语言。
PHP 'open_basedir'存在目录遍历漏洞,因为它未能充分过滤用户提供的输入。允许远程攻击者利用目录遍历字符('../“)来访问包含敏感信息的任意文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php

3.3 Apache HttpComponents主机名验证中间人攻击漏洞

Apache HttpComponents主机名验证中间人攻击漏洞

发布时间:

2014-08-19

漏洞编号:

CVE ID: CVE-2014-3577

漏洞描述:

Apache HttpComponents负责有关HTTP和相关协议的低级Java组件工具集的创建和维护。
使用了精心构造的服务器端证书后,SSL/TLS连接过程中默认主机名验证内存在漏洞,Apache HttpComponents 4.3.5/4.0.2之前版本易于受到中间人攻击的影响,导致端到端机密性及连接完整性的丧失。
细节:
在SSL连接(https)过程中,客户端根据服务器证书内编码的主机名验证URL内的主机名。以确保客户端连接到了真正的服务器,而不是中间人。
漏洞位于默认的Apache HttpComponents
org.apache.http.conn.ssl.AbstractVerifier
在客户端模式中,用于验证服务器端证书的主机名。可以解析整个主题DN内是否存在<CN=>子串。
因此,一个o字段为O="foo,CN=www.apache.org” ,CN为"www.evil.org”,o位于CN字段前面的DN,会错误匹配o字段内的<www.apache.org>,而不是匹配CN或主题别名。
可以伪造的字段可以是除了CN字段之外的任何字段,包括〈E〉或电子邮件,只要这此字段出现在CN前面。
具有伪造证书的第三方,如果可以截获或重路由到https服务器的流量,即可执行中间人攻击,并破坏端到端的机密性和完整性。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://mail-archives.apache.org/mod_mbox/www-announce/201408.mbox/CVE-2014-3577
http://search.maven.org/#artifactdetails|org.apache.httpcomponents|httpclient|4.3.5|jar
http://search.maven.org/#artifactdetails|org.apache.httpcomponents|httpasyncclient|4.0.2|jar

3.4 IBM InfoSphere Master Data Management Collaboration Server SQL注入漏洞

IBM InfoSphere Master Data Management Collaboration Server SQL注入漏洞

发布时间:

2014-08-19

漏洞编号:

BUGTRAQ ID: 69255
CVE ID: CVE-2014-0966

漏洞描述:

IBM InfoSphere Master Data Management是主数据管理解决方案。
IBM InfoSphere Master Data Management - Collaborative Edition 10.x、11.x,InfoSphere Master Data Management Server for Product Information Management 9.x-11.x的GDS组件存在SQL注入漏洞,经过身份验证的远程用户可利用此漏洞执行任意SQL命令 。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www-01.ibm.com/support/docview.wss?uid=swg21681651
http://xforce.iss.net/xforce/xfdb/92880

3.5 phpMyAdmin跨站脚本漏洞

phpMyAdmin跨站脚本漏洞

发布时间:

2014-08-13

漏洞编号:

BUGTRAQ ID: 69269
CVE ID: CVE-2014-5274

漏洞描述:

phpMyAdmin是一款基于PHP的MySQL管理程序。
phpMyAdmin存在跨站脚本漏洞,由于未能正确过滤用户提供的输入。攻击者可利用此漏洞在受影响站点上下文浏览器中执行任意脚本代码或窃取基于cookie的认证证书。

安全建议:

用户可以联系供应商获得补丁信息:
http://www.phpmyadmin.net