《安全周报》34期:修复补丁,补之不易

我的朋友们,我想说的过去一周对于安全信息行业简直是噩梦一般。如果说上一周我们只是发现了些有趣的bug、零日漏洞以及安全研究专家寻找已久的漏洞的话,那本周真正的灾难才刚刚降临:网络犯罪分子已利用所有这些缺陷渗透进了存在漏洞的软件。尽管这些内容相当重要,但人们对这样的新闻或多或少已有些厌倦。每一次,我们的新闻博客-Threatpost都会带来安全信息领域新鲜热辣的新闻,同时还会在其中精选三篇有关安全补丁修复的文章,而文章摘选工作远比你们想象的要难得多。 不管怎么样,这些内容都相当重要!找到一个漏洞需要花费不少的时间和精力,但更难的是在没有遭受黑客攻击之前就将其修复。软件开发者可以找出千万种不立即(或当季度或无限期)对特定bug修复的理由。但问题最终总是要解决的。 在本周最热门的三个新闻故事中,无一例外其中所含的bug均还未能修复。这里我再次重申《安全周报》的编辑原则:每周Threatpost的团队都会精心摘选三条当周要闻,并加上我自己独到的见解。往期的内容可以在这里找到。 另一个存在于Google Admin内的安卓系统bug Threatpost新闻故事。MWR实验室研究。 我们发现了哪些漏洞? 你是否注意到最近有关bug的新闻纷涌而至?哎,难道只是一辆车遭到黑客入侵?我们在许多车内都发现了数十种安全漏洞!同时,在有关安卓的最新新闻中,我们也很容易注意到同样的情况。首先是Stagefright漏洞,然后是一些稍小的bug,现在则轮到了Google Admin,即通过该工具绕过沙盒。 作为安卓系统级的应用程序之一,Google Admin可以接受来自其他应用的URL地址,而且事实证明,该工具可以接受所有URL地址,甚至是以’file://’开头的路径。结果是,具有网页下载功能的简单联网工具开始向类似整体文件管理器演变。是否因此所有安卓应用就可以相互隔离呢?当然不是,Google Admin只是拥有更高的权限,一旦不幸读取某些流氓URL地址,任何应用都能绕过沙盒访问私人数据。 漏洞是如何修复的? 首先,请容许我简要介绍该独立研究和漏洞披露的整个过程。这一漏洞是在三月份被发现,随后相应的报告即提交给了Google。大约5个月后,当研究专家再度检查Google Admin的安全状况时,发现这个bug依然还未修复。8月13日,有关这一bug的信息被公开披露,目的是敦促Google尽快发布相关补丁。 顺便提一下,Google拥有一支内部研究团队,任务是花费大量时间和精力到处寻找bug,且不仅限于Google自行研发的软件。Google的Project Zero项目小组通常在将找到的bug公诸于众前,给予软件开发者90天的时间修复漏洞,但我们依然对Google能否在90天内成功修复漏洞持怀疑态度。 Google Admin工具在有些方面的确很糟糕:首先,有些方面确实糟糕;其次,我们都知道未必所有存在漏洞的安卓设备上都能修复漏洞。你是在说月度安全更新?那如果是长达半年的漏洞修复过程又如何呢?看!看! 施耐德电气SCADA系统内发现开放式漏洞 Threatpost新闻故事。ICS-CERT报告。 欢迎来到重要基础设施的奇妙世界!请坐好,不必拘束,但千万不要碰可怕的红色开关,也不要摸那些莫名突出在外的电线。没错,它们本来就突在外面。这没什么问题。多年以来一直就这样。你一碰的话,我们就全完蛋了。 SCADA(监控与数据采集)系统作为重要基础设施的一部分,负责像锅炉(主要位于公寓大楼甚至核电站内)这样重要设备的操作和运行。此类系统无法进行篡改、关闭或重启。千万不要在这一系统上修改任何参数,说得简单点,不要碰任何东西! 如果你有任何问题的话,千万不要自己去冒险尝试,最好读一读我们这一主题的文章。同时,我们还必须承认,尽管这些系统的重要性不言而喻,但却常常部署在运行老版本Windows系统的PC电脑上。与一般企业不同的是,重要基础设施通常至少过5年后才会升级或更换所用的硬件和软件,有些工业设施机器人或离心机为了将一些致命化学品分离,可能会数十年不停歇地使用同一个硬件运行。 我们发现了哪些漏洞? 安全研究专家们在其中一个系统内—施耐德电气Modicon M340(多么浪漫的名字!)的PLC站内发现了大量bug。简而言之,这一连串漏洞将能让非工作人员完全掌控系统…基本上来说,可通过系统调节所有参数。其中还找到一个相当普遍的漏洞(顺便说下,该漏洞常常出现在许多路由器和物联网设备内),我们称之为硬编码器凭证。 关于工业SCADA系统内到底对哪些程序进行了硬编码,目前依然未知(尽管理由很明显),但我们完全可以做大胆的假设:这是一个由供应商提供的为简化维护程序而提供的默认登录凭证,或者是供应商可能只是忘了从编码中挑一个测试密码。或者你自己也可以想个理由出来。 漏洞是如何修复的? 根本就没有得到修复。从安全研究专家Aditya

我的朋友们,我想说的过去一周对于安全信息行业简直是噩梦一般。如果说上一周我们只是发现了些有趣的bug、零日漏洞以及安全研究专家寻找已久的漏洞的话,那本周真正的灾难才刚刚降临:网络犯罪分子已利用所有这些缺陷渗透进了存在漏洞的软件。尽管这些内容相当重要,但人们对这样的新闻或多或少已有些厌倦。每一次,我们的新闻博客-Threatpost都会带来安全信息领域新鲜热辣的新闻,同时还会在其中精选三篇有关安全补丁修复的文章,而文章摘选工作远比你们想象的要难得多。

不管怎么样,这些内容都相当重要!找到一个漏洞需要花费不少的时间和精力,但更难的是在没有遭受黑客攻击之前就将其修复。软件开发者可以找出千万种不立即(或当季度或无限期)对特定bug修复的理由。但问题最终总是要解决的。

在本周最热门的三个新闻故事中,无一例外其中所含的bug均还未能修复。这里我再次重申《安全周报》的编辑原则:每周Threatpost的团队都会精心摘选三条当周要闻,并加上我自己独到的见解。往期的内容可以在这里找到。

另一个存在于Google Admin内的安卓系统bug

Threatpost新闻故事MWR实验室研究。

我们发现了哪些漏洞?

你是否注意到最近有关bug的新闻纷涌而至?哎,难道只是一辆车遭到黑客入侵?我们在许多车内都发现了数十种安全漏洞!同时,在有关安卓的最新新闻中,我们也很容易注意到同样的情况。首先是Stagefright漏洞,然后是一些稍小的bug,现在则轮到了Google Admin,即通过该工具绕过沙盒。

作为安卓系统级的应用程序之一,Google Admin可以接受来自其他应用的URL地址,而且事实证明,该工具可以接受所有URL地址,甚至是以’file://’开头的路径。结果是,具有网页下载功能的简单联网工具开始向类似整体文件管理器演变。是否因此所有安卓应用就可以相互隔离呢?当然不是,Google Admin只是拥有更高的权限,一旦不幸读取某些流氓URL地址,任何应用都能绕过沙盒访问私人数据。

漏洞是如何修复的?

首先,请容许我简要介绍该独立研究和漏洞披露的整个过程。这一漏洞是在三月份被发现,随后相应的报告即提交给了Google。大约5个月后,当研究专家再度检查Google Admin的安全状况时,发现这个bug依然还未修复。8月13日,有关这一bug的信息被公开披露,目的是敦促Google尽快发布相关补丁。

顺便提一下,Google拥有一支内部研究团队,任务是花费大量时间和精力到处寻找bug,且不仅限于Google自行研发的软件。Google的Project Zero项目小组通常在将找到的bug公诸于众前,给予软件开发者90天的时间修复漏洞,但我们依然对Google能否在90天内成功修复漏洞持怀疑态度。

Google Admin工具在有些方面的确很糟糕:首先,有些方面确实糟糕;其次,我们都知道未必所有存在漏洞的安卓设备上都能修复漏洞。你是在说月度安全更新?那如果是长达半年的漏洞修复过程又如何呢?看!看!

施耐德电气SCADA系统内发现开放式漏洞

Threatpost新闻故事ICS-CERT报告。

欢迎来到重要基础设施的奇妙世界!请坐好,不必拘束,但千万不要碰可怕的红色开关,也不要摸那些莫名突出在外的电线。没错,它们本来就突在外面。这没什么问题。多年以来一直就这样。你一碰的话,我们就全完蛋了。

SCADA(监控与数据采集)系统作为重要基础设施的一部分,负责像锅炉(主要位于公寓大楼甚至核电站内)这样重要设备的操作和运行。此类系统无法进行篡改、关闭或重启。千万不要在这一系统上修改任何参数,说得简单点,不要碰任何东西!

如果你有任何问题的话,千万不要自己去冒险尝试,最好读一读我们这一主题的文章。同时,我们还必须承认,尽管这些系统的重要性不言而喻,但却常常部署在运行老版本Windows系统的PC电脑上。与一般企业不同的是,重要基础设施通常至少过5年后才会升级或更换所用的硬件和软件,有些工业设施机器人或离心机为了将一些致命化学品分离,可能会数十年不停歇地使用同一个硬件运行。

我们发现了哪些漏洞?

安全研究专家们在其中一个系统内—施耐德电气Modicon M340(多么浪漫的名字!)的PLC站内发现了大量bug。简而言之,这一连串漏洞将能让非工作人员完全掌控系统…基本上来说,可通过系统调节所有参数。其中还找到一个相当普遍的漏洞(顺便说下,该漏洞常常出现在许多路由器和物联网设备内),我们称之为硬编码器凭证。

关于工业SCADA系统内到底对哪些程序进行了硬编码,目前依然未知(尽管理由很明显),但我们完全可以做大胆的假设:这是一个由供应商提供的为简化维护程序而提供的默认登录凭证,或者是供应商可能只是忘了从编码中挑一个测试密码。或者你自己也可以想个理由出来。

漏洞是如何修复的?

根本就没有得到修复。从安全研究专家Aditya Sood在DEF CON大会上演示该漏洞整整过去了两周的时间,针对这一漏洞的修复补丁依然遥遥无期。但这完全可以理解:供应商面对的是一项非常棘手的任务,原因设备停机将会让客户蒙受巨额损失,因此要想修复存在漏洞的软件实在是困难重重,即使偶尔的停机也无法实现。

那么修复漏洞需要花费多长时间呢?设备需要停机多久?漏洞修复完成是否马上就能正常工作了呢?是否考虑到了终端设备的各种独特性?总而言之,尽管客户可能承担巨额损失,但这个拒绝修复bug的理由似乎还是过于牵强。过去无数次的经验证明,脱机运行或安装防火墙的保护措施都无法解决关键基础设施的安全问题

信息披露演示中的开发人员

Mac OS X系统中未修复的bug

Threatpost新闻故事。

我们再一次涉及了负责任信息披露的话题。谈到这个Google bug,安全研究专家在将bug公布于众之前足足等待了5个月的时间,虽然Google也有自己的90天漏洞披露机制。我们应该等多长时间才合理呢?同样,软件开发者需要多少时间才能修复软件中的重大漏洞呢?

难道软件开发者总是时间不够,因此常常无限期推迟漏洞修复时间?难道及时公布漏洞无法促使软件开发者加快补丁推出吗?无论如何,安全行业并未制定相关的标准漏洞修复时间,然而每个人似乎都认同在没有事先通知开发者就披露bug会对用户造成威胁。

我们发现了哪些漏洞?

这里有个很好的案例,无论软件开发者是否收到通知,就算是临时的通知,他们也没有足够时间做出反应…一名年仅18岁的安全研究人员Luca Todesco最近公布了在Mac OS X Yosemite和Mavericks系统(10.9.5 — 10.10.5)中发现的一个重大漏洞,能让网络攻击者在暴露的电脑上获取root权限。

这一bug无法远程进行漏洞利用:网络犯罪分子会诱惑用户下载和执行漏洞利用程序— 这方面他们颇有心得。此外还提供概念验证—只需拿来使用即可。

漏洞是如何修复的?

事实上漏洞并未成功修复。根据这名年轻研究人员的说法,他已向苹果反应了许多次,但始终未得到答复。公布此类漏洞他并不担心:正如他所说的,他只是探索了新的越狱方式,仅此而已。并不是什么大问题。

将越狱和非越狱用户进行比较并不合适:是否越狱完全是用户的自由,这些用户通常都清楚知道自己在干什么,而且完全是自愿破解的。任何人都不可能让任何一名iPhone手机用户越狱自己的手机,除非他自己想这么做。至于Todesco发现的bug,这并不能一概而论。难怪他受到了其他同行的猛烈抨击:

目前还不清楚这一新发现的bug是否会对苹果新发布的Mac OS X El Capitan系统造成影响。反正我对这个补丁还是相当期待的。

本周还有哪些新闻?

微软发布了本月第二个紧急带外补丁,成功修复存在于IE浏览器内的一个bug(至少是修复了漏洞)。

Ashley Madison是一家专为已婚人士提供约会服务的网站,先前该网站的用户个人数据不幸遭黑客窃取,正如宣称对入侵该网站负责的黑客小组所承诺的,这些数据已陆续公布到互联网上

卡巴斯基实验室发现了“蓝白蚁”APT攻击,这个大型网络情报行动已让日本许多人受害。我们注意到,这些网络间谍开展这一行动已有两年多的时间。就在这一黑客小组成功窃取数据转储,并能攻击作为数据转储一部分而泄露的Flash漏洞利用后,随即在今年夏天突然加强他们的行动。

老话新提

“公平正义”

相当危险;在调用DOS 43h, 4Bh, 3Dh, 56h功能时会影响.COM文件。在文件的末尾会写入恶意软件,并在开头更改5个字节(NOP;NOP;JMP Loc_Virus)。病毒感染COMMAND.COM的整个过程使用了与Lehigh病毒相同的方法。定期抓取写入驱动器的数据,并将它写入不同扇区。包含文字:”为了伸张正义”。劫持int 13h和int 21h。

引述自于1992年出版的《MS-DOS中的计算机病毒》第72页,该书作者是尤金·卡巴斯基

免责声明:本文仅代表作者的个人意见。可能与卡巴斯基实验室的立场相符,也可能相反。听天由命吧。

大数据令人恐惧的一面

滥用大数据将会让你最可怕的梦魇成真,除此之外,等待着你的还将是永无止境的政府监控、保险代理的”独裁”以及老板的”专制”。不管你喜欢与否,潘多拉盒已经打开—我们也已进入了数字监控时代。 保护你冰箱的隐私 保险代理会购买你的信用卡记录。他想知道你是否经常吃快餐、订阅了哪些杂志以及买过哪些处方药。 分析人员也需要通过你的购物行为来评估你是否是拥有良好理财习惯的客户。那些喜欢吃炸薯条的”问题”客户,他们的人寿保险费率很可能会提高,甚至还可能被保险公司拒之门外。因此如果你想保护’冰箱习惯’隐私的话,可以考虑用现金购买食品。 社交网络账号也是另一个重要个人信息的来源,而这往往是用户自愿公布的。就这一点而言,Facebook健康文摘的忠实读者们似乎更容易受到保险公司的青眯,而那些热衷于前往Buffalo Wild Wings就餐的单身汉将可能成为保险公司的弃儿。因此,正确配置Facebook的隐私设置不失为一个好主意 。 与银行间的亲密关系… 银行同样乐意加入保险公司的行列以获取个人数据。你想贷款吗?银行通过对客户消费行为分析,了解他们的消费倾向:是将钱肆意挥霍在度假中还是更愿意用来购买高档品牌。银行想要了解你的程度胜过你的老妈。 银行向客户”强加的关系”可能会导致实实在在的财务后果:一旦银行认定你有花费超支的倾向,就可能会提高你的贷款利率。被归入’不可靠’清单的客户可能从未从银行贷款或享受过类似的服务,原因很简单,银行也从未向他们发过任何贷款产品的广告。 令人遗憾的是,由于银行拒绝向那些’默认’不可能获得贷款服务的客户放贷,银行此举也进一步加剧了贫富差距。 大数据下的职场生涯:美梦还是噩梦? 你可能正在遭受老板的监视:有一种软件可以让你的老板知道你是否有离职的打算,有时甚至连你都不知道自己有这个打算。此类程序能够预测哪些员工最有可能超预算消费。除此之外,数据分析还能找出那些拥有三个或以上社交网站账号以及使用默认浏览器更频繁地换工作的人(还有其它许多类似的观察数值)。 尽管整个理念听上去有些毛骨悚然,但有些公司的确已开始使用大数据做一些雇佣和晋升方面的决策。至于能预测你未来决定的软件—是不是有点像《少数派报告》中开头的场景? 此类程序标榜不含任何人类的偏见;但的的确确又是由人编写的。人类,本来就是存在偏见又容易犯错的生物。此前,就曾发生过因此类程序发出错误指示而拒绝优秀应聘者的案例。 小心,大数据下的营销! 营销领域在使用数据挖掘技术时同样难免出现错误。前几年,营销领域的一些失误常见于各大新闻报刊,因此也大众所了解。 OfficeMax就曾犯了个大错,该公司在寄给一名客户优惠券的信封上竟然赫然印有寄给”Mike Seay,女儿在车祸中丧生”的字样。大约在一年前,这名客户年仅17岁的女儿和她的男朋友在一场车祸中不幸身亡。我们无法确定的是,公司在客户个人资料中保存这一敏感个人信息的目的到底是什么。 名声不佳的Target营销活动让人们不禁展开对”营销与个人隐私”话题的讨论,事情的起因是大型零售商Target在一名少女告诉家人自己怀孕之前透露了这个消息。该公司因为向少女寄送婴儿床和衣服的优惠券,使得她的父亲(也是未来的外公)意外获知了这一消息。 在这个事件后,Target营销活动开始变得隐秘起来,并决定向客户寄送各种优惠券以掩饰他们的’无所不能的超能力’。 “我们发现只要怀孕女性觉得自己没有被暗中监视,就会使用这些优惠券。她只要确保在她居住街区的每个人都收到了相同的尿布和婴儿床优惠券。只要我们没有特意发给她,就不会有问题。” —Target向《福布斯》杂志说道。 是否’较隐晦’的暗中营销就比”明目张胆”来得更好呢?可能会有助于缓解你的紧张情绪,但在现实中要想隐藏通过精确数据挖掘得到的信息几乎不可能。普林斯顿大学副教授Janet Vertesi和她的男友曾试图隐藏自己怀孕的消息,但结果证明这并不容易。 他们在线浏览婴儿产品时只使用洋葱路由;他们还要求朋友和家人不要将自己怀孕的消息发布到Facebook和其它社交媒体平台上,并且尽可能只用现金购物。最后Vertesi在总结过去几个月自己为隐藏怀孕事实所做的一切时表示:”你必须得像毒贩一样暗中交易。”太可怕了! 保护客户数据…你在开玩笑吗? 所有这些贪婪的数据收集公司从而考虑过太多的安全问题。许多黑客可以不费吹灰之力就成功入侵这些系统。 有时这样的事件看上去非常愚蠢。到后来则是见怪不怪了。金融服务提供商Money

提示