当前位置: 安全纵横 > 安全公告

一周安全动态(2015年4月16日-2015年4月23日)

来源:安恒信息 日期:2015-04

2015年4月16日-4月23日安全周报

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

 

1.安全新闻

1.1 至少19省社保系统信息泄露 涉及5200万居民

知名漏洞响应平台数据显示,从2014年4月以来,涉及居民社保信息泄露的报告达46个,其中高危44个,至少涉及江苏、陕西、四川、浙江、山西等19省份,涉及人员高达5200万。其中超过千万居民的相关信息漏洞至今未修复。

知名漏洞响应平台此次曝光的名单,或许只是公民社保类信息泄露的“冰山一角”。

近日,知名漏洞响应平台曝光江苏、陕西、四川、浙江、山西等全国至少19省份的社保系统存在漏洞,数千万用户的社保信息遭遇泄露危机。据记者了解,目前,40%的漏洞已经修复,但仍有涉及超过千万居民的数据漏洞未能修复。

对此,人力资源和社会保障部副部长胡晓义回应,已要求涉事地区排查隐患。确实存在漏洞的,要在第一时间采取措施,予以封堵。同时,从目前的监控情况看,全国社保系统总体运行平稳,未发现公民个人信息泄露事件。

记者调查发现,低级错误和懒政行为是这场危机的重要原因。

现状 目前还只有40%的漏洞修复

记者从知名漏洞响应平台获得的数据显示,从2014年4月以来,涉及居民社保信息泄露的报告达46个,其中高危44个,至少涉及江苏、陕西、四川、浙江、山西等19省份,涉及人员高达5200万。其中超过千万居民的相关信息漏洞至今未修复。

截至22日,多省市社保系统已对漏洞进行修复。根据补天平台排查的数据显示,40%的漏洞已经修复。比如,涉及822万人的辽宁省沈阳市社保局某系统SQL注入问题等。但还有部分省市社保系统未能修复。比如,吉林省长春市某医保系统漏洞,涉及772万人。

胡晓义说,目前,人社部信息中心已向平台了解其所监控到的漏洞信息,同时向多个地方人社部门了解情况,要求这些地区对隐患进行排查。确实存在漏洞的,要在第一时间采取措施,予以封堵。

原因 既有技术失误,更有人为责任

知名漏洞响应平台此次曝光的名单,或许只是公民社保类信息泄露的“冰山一角”。另一家同类平台—乌云漏洞报告平台负责人孟卓向记者介绍,该平台从2011年以来提交的社会保障、医保和公积金类的信息泄露名单,数量高达近200个,至少涉及20个省份。

专家分析,政府网站出现大面积的信息漏洞,一是管理人员技术水平不高。但更重要原因,则是安全意识不够,责任心不强。

孟卓说,涉及政府部门网站的信息泄露一般分为几类:弱口令泄露、数据库与敏感信息记录文件直接泄露、密码的暴力破解等诸多低级失误。“与互联网企业相比,政府机构网站的信息安全漏洞都非常低级,不应该出现。”

设置非常简单、容易猜到管理密码的弱口令泄露,是此次信息安全泄露的重要一类,修改密码就能解决诸多相关问题。但是,多地社保部门在漏洞发现后 的数月间,没有采取任何行动,有的至今未修复漏洞。孟卓说:“弱口令泄露在技术修复上不存在任何难度,甚至要不了几分钟。历时多月而不修复,往往是管理人 员的懒政导致的。”

比如,涉及345万人的湖北省十堰市社保某系统泄露社保信息问题、涉及428万人的四川省内江市社保某系统泄露参保1398家企业单位的员工社保信息问题,都属于此类。但从今年1月漏洞被发现至今,均未做任何修复。

专家还说,数据保管不当也是此次信息泄露危机的重要原因。

补天平台相关负责人说,我们会将信息安全漏洞反馈给涉事机构,但政府网站往往不给回应。“好一点的至少能悄悄地把漏洞修复了。但还有一些,却连花几分钟修复最简单的漏洞都不愿意。”

追责 专家称应对信息泄露追责

专家指出,个人信息保护变得越来越重要,要防堵政府网站的个人信息泄露,需要提升意识、引入优秀人才,还要建立问责机制,责任到人,防止“集体负责”变成“无人负责”。

安天实验室首席技术架构师肖新光说,我国的政务信息化安全水平较弱,应在思想意识上提升对信息安全和数据安全重要性的认知。

孟卓说,不少政府部门在信息管理方面依然是重建设轻维护。政府机构的网站往往由传统机构进行维护,有的简单外包给第三方企业,对系统安全性不够重视。

启明星辰首席战略官、中国计算机学会常务理事潘柱廷说,我国现在缺乏对信息安全泄露的问责机制。政府部门里往往没有人对信息泄露负责,有些“集 体负责”实际上是无人负责,有些“一把手负责”实际上也是没人负责。应在体制机制上进行改革,在社保等重要部门要设立“首席信息安全官”等职位负责信息安 全问题,并在经费投入等方面加大支持力度。

社保系统的信息安全漏洞怎么补

《关于加强网络信息保护的决定》虽强调了政府在个人信息保护中的法定责任,却回避了信息泄露后的事故责任主体问题,而谁来查泄露和罚款范围幅度也没有提及,这是个问题。

社保系统存在高危漏洞,让很多人绷紧神经:可以说,社保信息几乎包罗了公民所有“老底”。尽管说存在高危漏洞不等于信息已外泄,可一旦泄露,其风险不可小觑。

应看到,近年来信息大面积泄露事件也频出。如果说以往多是银行、酒店等管理系统网站安全性出问题,那这次被推上风口浪尖的则是政府管理部门。毕竟,社保信息是典型的政府保有信息范围,搜集者和使用者都是政府部门。

得看到,我国与个人信息保护相关的法律法规、部门规章等迄今多达两百多部,但我国法律对个人信息泄露责任,过多侧重于直接侵权人,即实施盗取、 非法搜集、利用和买卖者,却很少涉及政府作为个人信息保有者的追责方面。这就导致,个人信息保护工作出了问题,信息保有者往往置身于责任外,如果事后找不 到直接侵权人就不了了之。

关于政府在个人信息保护中的责任问题,2012年全国人大常委会出台实施的《关于加强网络信息保护的决定》第10条已明确:有关部门应履行职 责,采取措施维护信息安全;国家工作人员对个人信息有保密义务。该规定强调了政府在个人信息保护中的法定责任,也明确了罚款、警告等处罚措施,但却回避了 信息泄露后的事故责任主体问题,而谁来查泄露和罚款范围幅度也没有提及。

从理论上讲,因政府主管部门管理体制或技术问题造成的监管不力,导致个人信息大规模间接泄露的,政府主管领导和信息直接管理者也应承担事故责 任。这与矿难事故、环境污染等责任事故中的政府责任认定,没有本质区别。互联网时代,个人信息泄露的社会危害性本也不亚于其他类型责任事故。

除了法律追责之外,还应尽快加大对信息安全的技术性投入,适时引入“安全官”制度,将个人信息安全保护与搜集和利用信息的部门分开,各司其职,明确责任清单。

在大数据概念通行的当下,政府将是公民信息最大的保有者,它保有的不仅是“价值连城”的个人数据,还是涉及公民核心隐私的“火药库”。因此,有必要借这次契机,尽快将个人信息保有者问责机制写入法律,倒逼政府履责到位,提升其对信息泄露的警觉。

 

1.2 安卓WiFi管理组件wpa_supplicant存在高危漏洞,可导致泄露内存信息、DoS拒绝服务或任意代码执行

流行WLAN无线网络管理组件 cwpa_supplicant曝高危漏洞(CVE-2015-1863),可导致泄露内存信息、DoS拒绝服务或任意代码执行。 cwpa_supplicant能在Android、Linux、BSD、Mac OS X、Windows以及部分其他操作系统上运行。该漏洞主要影响安卓系统,而其它系统也可能会受影响。

漏洞背景介绍

这款程序本来是一款开源程序,Google后来将它移植到Android系统上。开发和维护这款程序的人员Jouni Malinen表示,wpa_supplicant在PC端和嵌入式系统都能很好的运行,该程序被设计为在后台运行进行管理控制。

在本周三Malinen宣布,这个漏洞编号为CVE-2015-1863。他表示,该漏洞影响wpa_supplicant版本v1.0 -v2.4,并且系统需要启用CONFIG_P2P build选项。黑客通过发送特定的管理帧内容,然后等待目标系统上的wpa_supplicant使用这个管理帧(用于创建升级P2P入口)的SSID 信息进行解析,最后就触发了这个漏洞。

漏洞细节简述

这个漏洞源于对数据验证的缺乏,特别是对传输数据长度的检查。黑客可以利用一个超过有效32位字节数据的P2P SSID名字,越权对其他内存空间进行数据写入。它在往内存里写数据时,可能会造成wpa_supplicant和WIFI服务的崩溃,从而形成DOS攻 击。为了达成攻击,黑客只需要对WIFI探测请求,或者对P2P网络的Public Action消息发出响应。同时,黑客可以通过P2P网络通讯中三次握手,往目标内存写入数据,或者在目标系统后台执行任意代码。

该漏洞有点类似于以前的心脏出血漏洞,但与之不同的是,在wpa_supplicant的漏洞中,黑客可以访问并修改内存数据。

如果设备已经激活了P2P操作,那么触发漏洞会变得非常简单,比如在进程里已经存在P2P_FIND或者P2P_LISTEN的管理接口进程号。不但如此,就连事先没有任何激活的P2P操作进程,也有可能在某种情况下触发漏洞。

漏洞的提交和修复

该漏洞是由阿里巴巴安全团队的成员提交。Google官方已经为此发布补丁,wpa_supplicant v2.5已经不再有这个问题。同时,如果你禁用了系统的P2P,也可以变相的避免这个漏洞。

 

1.3 RSA会议Pwnie Express展示伪基站检测装置

今日RSA会议上展示的一款配备有蜂窝网络的定制版专业攻击检测传感器。

今日,在旧金山召开的RSA会议上,网络渗透测试和监视工具制造商Pwnie Express公司将会向外界展示其最新的发明:一个可以检测流氓网络收发器的传感器,包括用于合法暗中监视和追踪手机用户数据的“Stingray”设备和一些其他的硬件设备。

在一个为ARS机构独家展示的部分,Pwnie Express的CTO Dave Porcello还有公司研究部门和开发部门的主管 Rick Farina一同向外界展示了公司新款蜂窝网络威胁检测设备的能力和性能,这款设备整合了Pwnie的脉冲安全审计服务。这种功能将会使得公司 能够监视周围的蜂窝网络,并且能够检测流氓蜂窝基站、IMSI捕捉器和一些用来在未经授权的情况下扩展蜂窝网络覆盖范围所引起的异常。

在过去这些年公司和个人所面临的潜在的安全威胁中,可能最难攻克的地方就是流氓蜂窝基站了。无论这些基站是否被用于窃取手机用户的隐私通讯信息,或是作为一 个限制手机用户的使用流量的后门,设置这样一个未经授权的信号发射“塔”已经变得越来越容易了。它甚至都不需要法律层面所许可的硬件设备了。只要你有一张 HackRF卡、无线电软件装置或者一款能够让笔记本电脑编程蜂窝网络收发器的开源软件,甚至仅仅使用一个蜂窝信号干扰器,你都可以搭建一个流氓蜂窝基 站。

Call baiting

Porcello 说到:“最让人们感到恐惧的事实就是我们并不了解这些东西,没人知道外面到底有多少个这样的流氓基站。”但实际上外面绝对有非常多这样的流氓基站。去年九 月,CryptoPhone安全手机制造商--美国ESD公司报道称:在华盛顿特区已经发现了超过12个这样的流氓信号发射塔。目前尚不清楚这些发射塔的 操作是否是合法的。

让我们回到2010年华盛顿Shmoocon安全大会上,Chris Paget(现在名为Kristin Paget)向外界展示了他 能够使用一种价格约1500美元的装置来获取参会人员的手机数据信息。Porcello说:“他只是购买了一张无线电软件编码卡和一个加载了 OpenBTS数据包(一种开源的GSM蜂窝基站软件数据包)的笔记本电脑。他特意使用了一种小型的天线,所以他只劫持了大礼堂内大约一半的参会人员的手 机数据信息。我相信这种事情之前肯定发生过,但我认为那次会议是这种技术的首次公开亮相。”

与此同时,法律对于这种系统的执法力度正在不断加强。通过使用这种简单原理的恶意蜂窝基站,权威机构能够获取手机的国际移动用户身份(IMSI)作为一种验 证目标手机的方式,并且能够执行“中间人攻击”,就像一个介于手机与发信发射塔之间的中介,但是这个“中介”能够拦截和记录会话信息。这种被称 为”IMSI”捕捉器或“stingrays”的装置在美国当地法律下的使用仍然是备受争议的。

公司在高度管制行业所面临的另一个威胁就是微蜂窝和毫微蜂窝基站—这种小型基站通常由通讯运营商出售,用于扩展蜂窝网络覆盖面积。当一个公司想要通过一种被 动的方式去试图阻止个人用户手机的数据使用量时,比如说,一个公司的员工可能在他的桌子上插了一个没有通过公司呼叫系统的微型蜂窝基站。这样做同样会带来 蜂窝信号干扰的潜在威胁。

这 一切已经被视为一种安全威胁了,但各个公司如果想要保护自己免受蜂窝网络的攻击,还是有一个难点需要攻克。目前为止,使用能够检测这种网络的设备仍然是违 反联邦法律的。现在已经有一些可以检测IMSI捕捉器的工具了,例如SnoopSnitch,一款可以警告手机用户安卓应用程序,当它检测到可疑的信号发 射塔可能带有IMSI捕捉器或是流氓基站时,软件会向用户发出警告。

Farina说:“制作这种工具的确非常简单,但是只有政府或法律允许的情况下才可以使用。但是这个问题目前还没有办法解决。如果你拥有一家经营很好的公司,你绝对会成为某些人的目标,他们会架设一个小型基站并且窃取你的数据,而且成本还非常低。”

设置一个监控器

Pwnie公司蜂窝信号威胁检测能力的实现是基于经过FCC认证的蜂窝收发器装置的。并且将会被整合进公司的专业Pwn网络传感器中。该设备已经植入了一种4G信号蜂窝收发器了。

Porcello说:“我们目前工作的重点是研究蜂窝信号的恶意使用—我们现在能够被动地检测到一些特定的东西了。当安装好这款设备后,我们将会检测到更多恶意使用的行为。”

但是现在检测流氓基站、恶意蜂窝基站、IMSI捕捉器以及拦截装置的规则已经足够完善了

Farina说道:“基于我们目前的测试结果,我们的测试数据是零误报的,我们现在正在寻找一些合理的东西进行推断。”

蜂窝威胁检测系统会根据大量的现实因素来决定一个蜂窝基站是否有威胁:

1)未经认证的或者未知的信号提供商。基站的移动网络码(MNC)和移动国家码(MCC),以及他们提供服务的频率范围都可以被某些人利用来运行一个流氓基站。

2)异常和可疑的基站。信号强度的变化可以表明一个基站是否移动或改变了它的传输信号塔。

3)IMSI捕捉器和拦截器的识别。识别是基于一个基站是否会将自己作为主载体而进行推销,但仅仅只提供2G服务—这就意味着有人想要拦截你的手机数据了。

4)基于开源软件的流氓或恶意蜂窝基站。最近新添加的检测规则可以让设备检测到Yate默认基站设置文件,这意味着有人正在配置一个蜂窝基站,并将其作为手机来电的网关或者为了一些其他恶意的目的。

出手对攻击予以回击

许多公司所面临的移动网络攻击并不是只有蜂窝基站这一种。便宜且容易获得的GSM设备已经在许多犯罪活动中被使用了。Porcello说:“你可以看到所有的流氓设备都在转向GSM,黑客们和犯罪分子们正在疯狂地利用这些设备,因为他们自动你不能合法地监视他们。”

在最后,Porcello说:“FCC正在准备给予公司一些额外的权限去监视这些通信,因为他们的工作将转向4G LTE了。”随着越来越多的公司转业到移动数据上,蜂窝网络攻击的代价将会变得越来越高。

 

1.4 芝麻金融现数据库泄露门 黑客盯上P2P技术漏洞

美国太平洋时间2015年4月20日-24日,RSA Conference 2015在旧金山召开。本次大会的主题很有意思,“The Change Challenges Today's Security Thinking”,国内当前的翻译是“变化:挑战当今的安全理念”。

一定数量的变化,必将引发质的变革,如果说在“变化”的范畴内还可以对安全防线进行缝缝补补,那么当“变革”来临时安全防御的思想与理念都需要全新的转变。

IT一直处于不断的从变化到变革的过程中。

在单机时代杀毒软件基本就能够解决大多数安全威胁,此时的安全变化在于更快速、更全面的获取计算机病毒特征码。

局域网、互联网使得IT架构从一维空间进化到二维空间,对于IT架构的应用与单机时代相 比已经不可同日而语。此时,恶意威胁也在开始大量借助网络作为新的攻击途径。新的IT架构防御边界被划分出来,从终端安全软件,到防火墙、防毒墙、入侵检 测、入侵防御、UTM、垃圾邮件网关、上网行为管理、等级保护、SOC……人们建立起一道道新的安全防线。

IT架构的转变重来都不是于瞬间发生,人们的需求推动着IT架构不断一点一点的发生变化,随着变化累积到一定程度,旧有IT架构已经无法满足人们更多需求时,变革随即产生,并如同多米诺骨牌一般,从IT架构顺次推动恶意攻击方式、安全防御思路。

而今,移动智能终端、移动互联网络、大数据、云计算、物联网、万物互联……IT架构正在 延伸进入更多维度空间,传统安全边界再次被打破、消散,恶意攻击总是发生在人们意想不到的地方。

IT再次进入新的变革时期,而网络安全也在进入一个“大安 全”时代——因为恶意攻击者可以在多维度的IT“超立方体”里,从任意时空发起入侵,如今的安全防御边界已经不再仅仅是简单的一条线而已,牵一发而动全身 的“联动”式防御系统方可有效应对神出鬼没的各类威胁。

体系结构、协调合作、组织架构……面对变革,我们需要重新思考的东西还有很多很多。而当“代码即世界”时,当“Control the Code, Control the World”时,安全战争是否将重新“回归”于“01”空间之内?骇客帝国不远矣??

RSA Conference 2015大会已经开始,让我们共同期待、共同见证,面对变化与变革所带来的挑战,又将有哪些全新的安全思想、安全理念诞生。

一点小花絮:在“Change”面前,RSA大会第一条新的 “Security Thinking”便是——禁止模特着装暴露。用你的安全智慧、安全思想来吸引人们的眼球吧,让我们将注意力完全集中于捕获变革之下安全理念碰撞所迸发出 来的耀眼火花。今年的RSA Conference上,黑客、安全大咖才是最为魅惑的那个人!

注释说明:文中配图来源于互联网络。

 

1.5 少年黑客破译19万个银行账户 可提现金额近15亿

上图:庭审。中图:提讯。下图:写给帮教老师的信。

2015年4月16日,在广州市越秀区法院206号法庭内,一个稚嫩的身影坐在被告人席上。他将头转向旁听席,没有看到家人,神情失落。他就是公安部“海燕3号”专案的主犯阿叶(化名)。

2013年7月以来,全国各地数家商业银行连续发生多起银行卡被莫名盗刷的案件,涉案客户近千名,案发地点跨越全国9个省区14个市,引起广泛的社会 影响。公安部将此案定为“海燕3号”专案,由广东省挂牌督办。2014年5月到9月,该案犯罪嫌疑人相继落网。令人吃惊的是,制造这起特大信用卡诈骗案的 主犯,竟然是个未成年的孩子。这名当时只有17岁的“少年黑客”,利用从网络泄密数据库中所掌握的用户数据,成功破译了19万个银行账户资料,可提现金额 近15亿。

他是天才少年,小学三年级就能破解电脑开机密码

阿叶很小的时候,父母就离异了。父亲回贵州老家打工,阿叶随母亲住在外公外婆家。记忆中,阿叶只见过父亲两次。后来母亲改嫁,也离开了,他就跟外公外 婆一起生活。外婆常年瘫痪在床,家里全靠年迈体弱的外公支撑,过得很清苦。上初中后,阿叶白天上学,晚上跑去网吧兼职看场,在那里自学了计算机操作技术。

2009年,阿叶初中毕业留在网吧工作,有时也去酒吧兼职服务生。几个月后,他用打工积攒的钱购置了一台属于自己的电脑。买电脑,是因为听人说上网可 以赚钱。没想到一进入网络世界,阿叶便不能自拔。出于对计算机技术的喜好,仅有初中文化的阿叶硬是迷上了编程,希望掌握一技之长,将来自己开个网吧。

在计算机相当普及的当下,很多年轻人都偏向于对应用软件操作的掌握,能够潜下心来研究编程技术的并不多。阿叶则不同,他觉得玩电脑,编程是基础。有人 见他对编程技术如此感兴趣,就说“你好好学说不定能当黑客”。在网上的一个黑客交流群里,阿叶发现了更多乐趣,结交了一些朋友。在他看来,做黑客很了不 起,比电脑游戏好玩多了。

阿叶自学黑客技术,很快就学会盗取他人的QQ号,以每个号码几十块钱的价格出售,在网上赚到第一桶金。但他并不知道这是黑金,后来他告诉办案检察官: “我其实主要不是为赚钱,而是觉得这是个有难度的事情,能够证明我的技术,让我很有成就感。”这个小学三年级就能破解电脑开机密码的天才少年,凭着自己的 天赋学习黑客技术,走上一条网络迷途。

他是超级黑客,获取银行账户信息盗刷208张信用卡

黑客圈子里讨论最多的就是如何利用技术来赚钱,比如盗取QQ号,破解银行卡密码等等。在网络论坛上,黑客们乐于相互交流发现的网站漏洞,破解其中的技术难题不仅能满足“技术控”的挑战欲,有时还能带来不菲的经济利益。

交流中,阿叶敏锐地捕捉到一条信息。他听说某银行大约有70%的客户,其网银登录密码与取款密码及日常使用的邮箱密码一致,只要将他人的信息资料加以 整合,就有可能提取到别人的银行“四大件”(身份证号、银行卡账号、密码和手机号),从而在别人卡不离身的情况下实现随意盗刷。
于是,阿叶先是通过某招聘网站的漏洞,用自编程序抓取了约60万条公民个人身份信息,再将这些信息导入自己编写的批量登录程序中,碰撞出取款密码与网银登录密码、邮箱密码一致的账户信息,从而使19万个银行账户的14.98亿资金轻松落入其掌控之中。

为了将这些账户信息套现,阿叶在网上联系了网名为“鳄鱼”“Q东网络”“哥哥疯了”“木鱼”“财神票票”等不同的下线,将自己掌握的账户信息提供给这 些人用于购买游戏点卡、Q币、机票,充值手机话费,代缴水电费和信用卡还款,再将套取出的现金与这些人平分。有时,他还直接将掌握的账户信息卖给他人。

2014年5月,公安机关接到多家商业银行报案:“我行系统监控发现异常的WAP手机银行开户页面访问,高峰为一日168万次,但当天实际开户数量仅719次”“我行从凌晨0时到2时,系统监控发现WAP手机银行快捷查询功能有异常访问量”……

经过技术侦查,2014年5月8日,公安机关在广西壮族自治区河池市某宾馆房间内将阿叶抓获。
2015年3月20日,广州市越秀区检察院以信用卡诈骗罪对阿叶移送起诉。4月16日,该案开庭审理。公诉人指控阿叶自2013年4月开始至案发时止,与同案犯先后盗刷信用卡208张,造成损失共计人民币42万余元。对公诉人的指控,阿叶表示没有异议。

他是迷途羔羊,经检察官多举措帮教导引回正途

“检察官,能不能帮我一个忙,我实在太喜欢计算机了,很想在改造的这段日子里多学点编程知识,您能帮我向家人转达这个愿望或者借一些JAVA编程的书籍给我吗?”在看守所,阿叶依然透露出对学习新知识的强烈渴望。

对这名特殊的“天才少年”,越秀区检察院高度重视,携手心理辅导老师、专职司法社工几度走进看守所,对阿叶进行亲情感化和心理辅导矫治工作。驻所检察 室给阿叶送去他喜爱的计算机书籍。心理辅导老师和司法社工让阿叶画一幅自画像,了解其性格特征及思想变化,采用心理暗示法对其进行疏导减压、心理矫正,让 阿叶重新认识自己,并与其制定了包括情绪自我管理、原生家庭、亲密关系、人生规划等内容的心理矫治计划。“他兴趣广泛,喜欢接触新鲜事物,如果能走上正 途,会有很大的发展潜力。”心理辅导老师在对阿叶做完心理测试后如是说。

事实上,对于这些既有较高天赋又有强烈学习精神的“少年黑客”来说,做“黑客”并不单纯是为了赚钱,更重要的是对他们网络技术的磨砺和检验,是他们对 成人世界既定秩序的好奇和挑战,如果社会能为他们的好胜心和表现欲提供一个健康的出口,完全可以将“黑客”变成“红客”,成为网络安全的守护者。例如美国 政府允许黑客们每年举办“世界黑客大会”,让他们有一个合理合法的途径去展示自己的精湛技艺;澳大利亚政府派人长期潜伏在黑客论坛里,劝导有犯罪倾向的青少年及时“改邪归正”,并鼓励他们加入当局成为打击网络犯罪的有生力量;印度国家软件和服务公司协会为了对付发生在虚拟世界的犯罪活动,专门从黑客当中招 募一批“童子军”组成网络警察部队,以网络顾问的身份向在建立反黑客“防火墙”方面需要帮助的软件公司提供技术支持。

“我很后悔,做黑客游走在法律边缘,一不小心就会触犯法律的底线,付出的代价是惨痛的。年轻人选对道路很重要,应该把掌握的‘黑客’技术用在正道上, 不要去做违法的事情。我想好好改造,争取减轻处罚,出去后当一名网络‘红客’,发现漏洞及时提交给网站,建议或者帮助网站进行修复,成为网络安全方面的守 护者,用自己的专业技能为社会做一些贡献。”经过感化教育,阿叶向检察官表达了这样的愿望。

“幸亏作案时他是个未满18岁的少年,对社会造成的危害还很有限,否则后果实在不堪设想。”经办检察官李丽丹认为,法律的真正目的并不在于惩罚,为涉罪的未成年人烹饪一道加速改造的心灵鸡汤,在严格公正司法的同时传递法律的温情,让这些“迷途羔羊”迷途知返,或许才是法律工作者更加重要的职责所在。


2 本周关注病毒

2.1 Trojan.Win32.Generic.11E1A300(木马病毒)

警惕程度 ★★

病毒运行后连接IRC 服务器,进行包括发送用户信息,试图下载病毒文件,监听网络,截获敏感的信息等操作,并盗取用户的电子支付用户名与密码;对中毒电脑执行任意程序并发起Ddos攻击。

2.2 Trojan.Spy.Win32.Hijclpk(木马病毒)

警惕程度 ★★

电脑中毒后会在后台下载更多恶意程序,可造成用户电脑被远程控制、资料被盗等危害。

2.3 Trojan.Script.BAT.Agent.eg(木马病毒)

警惕程度 ★

该病毒运行后黑客会通过IPC来进入中毒的操作系统,并可以随意停止防火墙在内的安全服务工作,同时增加管理员账户以控制中毒电脑。


3 安全漏洞公告

3.1 wpa_supplicant P2P SSID处理漏洞

wpa_supplicant P2P SSID处理漏洞

发布时间:

2015-04-23

漏洞编号:

CVE(CAN) ID: CVE-2015-1863

漏洞描述:

wpa_supplicant是安卓系统的WiFi功能组件,支持无线连接认证。

wpa_supplicant v1.0-v2.4版本使用管理帧解析后的SSID信息时,在实现上存在缓冲区溢出漏洞。攻击者向受影响系统发送精心构造 的管理帧,触发创建或更新P2P对等设备信息,导致堆破坏、拒绝服务、内存泄露、任意代码执行。要利用此漏洞需要启用CONFIG_P2P构建选项。



安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.openhandsetalliance.com/android_overview.html



3.2 多个D-Link产品HNAP命令远程权限提升漏洞

多个D-Link产品HNAP命令远程权限提升漏洞

发布时间:

2015-04-22

漏洞编号:

BUGTRAQ ID: 74051

漏洞描述:

D-link专注于无线网络和以太网路硬件产品的设计开发。

多个D-Link产品在HNAP命令的实现上存在远程权限提升漏洞,经过身份验证的远程攻击者利用此漏洞可获取提升的权限。

 

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.dlink.com/

 


3.3 Apache HTTP Server 'protocol.c'远程拒绝服务漏洞

Apache HTTP Server 'protocol.c'远程拒绝服务漏洞

发布时间:

2015-04-21

漏洞编号:

BUGTRAQ ID: 74158

漏洞描述:

Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器。

Apache HTTP Server 2.2.29/2.4.12在实现上存在空指针间接引用,成功利用后可造成受影响应用崩溃。


安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://httpd.apache.org/


3.4 Oracle Database Server远程安全漏洞

Oracle Database Server远程安全漏洞

发布时间:

2015-04-20

漏洞编号:

BUGTRAQ ID: 74076

CVE(CAN) ID: CVE-2015-0455

漏洞描述:

Oracle Database Server是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法。

Oracle Database Server在XDB - XML Database组件的实现上存在远程安全漏洞,此漏洞可通过Oracle Net协议利用,经身份验证的远程攻击者可利用此漏洞影响受影响组件的机密性。该漏洞影响的版本包括:11.2.0.3, 11.2.0.4, 12.1.0.1, 12.1.0.2。

安全建议:

Oracle已经为此发布了一个安全公告(cpuapr2015-2365600)以及相应补丁:cpuapr2015-2365600:Oracle Critical Patch Update Advisory - April 2015
链接:

http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html


3.5Oracle MySQL Server远程安全漏洞

Oracle MySQL Server远程安全漏洞

发布时间:

2015-04-20

漏洞编号:

BUGTRAQ ID: 74073

CVE(CAN) ID: CVE-2015-2568

漏洞描述:

Oracle MySQL Server是一个轻量的关系型数据库系统。

Oracle MySQL Server在Server : Security : Privileges子组件的实现上存在远程安全漏洞,此漏洞可通过MySQL Protocol协议利用,未经身份验证的远程攻击者可利用此漏洞影响受影响组件的可用性。该漏洞影响的版本包括:5.5.41及更早版本, 5.6.22及更早版本。

安全建议:

Oracle已经为此发布了一个安全公告(cpuapr2015-2365600)以及相应补丁:cpuapr2015-2365600:Oracle Critical Patch Update Advisory - April 2015
链接:

http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html