《安全周报》第41期:安全研究受审查、Outlook网页登陆遭黑客入侵以及移动用户数据丢失

今天我们新一期的《安全周报》将是我们企业客户专版,我们将用他们提供的赞助费来支付我们各项账单和相关费用。只是开个玩笑,我们依然将一如既往讨论本周发生的最重要安全新闻。不知是巧合还是什么,这些新闻无一例外与企业安全有关。本期的内容将包括:公司遭受黑客入侵和数据泄露事件以及它们对于突发事件的反应。

今天我们新一期的《安全周报》将是我们企业客户专版,我们将用他们提供的赞助费来支付我们各项账单和相关费用。只是开个玩笑,我们依然将一如既往讨论本周发生的最重要安全新闻。不知是巧合还是什么,这些新闻无一例外与企业安全有关。本期的内容将包括:公司遭受黑客入侵和数据泄露事件以及它们对于突发事件的反应。

终端用户安全与企业用户安全之间到底有何差别?首先,个人用户享受到的安全解决方案相对简单一些,而针对企业用户的安全保护则相对复杂–原因有很多,其中主要原因是企业IT基础设施的复杂程度。其次,要想保护企业基础设施免于各种网络威胁,必须在组织的各个层级采用统一的专门政策。

那不管怎样,企业用户在安全保护方面到底开展得如何呢?老实说,并不怎么好。例如,高德纳咨询公司就预言未来三年平均各家公司的安全保护支付将占到总预算的30%。此外,过去作为企业安全基础老式的基于角色访问的方法将肯定退出历史舞台。目前90%的安全保护资源耗费在了预防黑客入侵上,仅有10%用在了病毒检测与响应。

https://twitter.com/CiscoEnterprise/status/652566712383107072

这意味着,一旦有网络入侵者成功潜入企业基础设施,将感觉自己如鱼得水,并给受害人带来毁灭性的后果。因此,高德纳公司建议将这一比例改为60/40的确有一定道理。比如,我们曾专门报道过将银行和金融机构作为攻击目标的黑客小组Carbanak,在经调查后发现相当长一段时间这些网络犯罪分子依然未能被”10%”的安全保护资源发现。

前几期的《安全周报》可以在这里找到

Outlook网页版成为潜入企业基础设施的切入点

新闻。Cybereason研究。微软反馈

为什么黑客总是不遗余力地入侵企业电脑、监视受感染计算机并窃取数据,他们到底能从中得到哪些好处呢?如果是普通员工的笔记本电脑,网络犯罪分子可以窃走一些与工作相关的数据,可能还会有来自受害人有权访问文件服务器的其它信息。

当然,如果能成功在老板或有更高权限管理员的计算机上安装监控则能获得更高的”产出”。而如能获得邮件服务器访问权限的话,就可以感染通过电邮传送的大量数据。Cybereason的报告证明这样的网络攻击不仅仅限于电邮。

曾有网络攻击者通过窃取(很可能是借助网络钓鱼)管理员登录凭证并植入恶意(未签名!)DLL library(动态链接库),从而获得电邮和动态目录的访问权限–黑客随后就可以用任何员工的邮箱地址发送各种欺诈电邮。

此外,还在IIS服务器内找到了另一个可嵌入点,用来监控网页电邮。此外,相关研究还显示网络犯罪分子能时刻监视登录电邮的人身份、时间和地点。研究专家向微软指出One Web Access服务器上可轻易执行无符号二进制数,但微软方面却宣称只要配置得当,系统将不会允许执行此类操作。

不管这到底意味着什么,都是其次的。总而言之,到目前为止我们得到的信息是:

— 该项服务默认能访问互联网和企业内网

—IT专家这边(登录凭证和密码是从他那儿被窃走的,而不是普通员工)的安全防护不够。

— 服务器配置存在缺陷,很容易安装后门

— 长时间未能检测到服务器被攻破

我们只是想要安全修复补丁…

作为普通用户来说,最基本的要求就是将所有这些问题一一予以解决。令人好奇的是,动态目录的数据完整性没有受到任何影响,这说明该服务受到了严密保护(尽管也有用到该攻击途径的案例存在)。然而,的确有可能存在这种难以被察觉的病毒感染方法,主要是通过安全防卫最薄弱环节实施攻击。

T-Mobile移动运营商遭黑客入侵,1500万用户数据被盗

新闻。益博睿披露,黑客攻击受害人。T-Mobile的官方声明

请允许我先做一个小小的背景介绍。在美国,大部分移动用户都与移动运营商签署长期合同,包括:通话/移动数据计划和设备(手机、智能手机或平板电脑)。似乎对用户来说非常超值:你可以免费或花很少的钱获得一部新设备,但另一方面,你却无法更换运营商一直到现有合同到期为止。

获得合约机的前提是你信用状况良好,通常运营商都会进行审核–这与银行贷款如出一辙。在此过程中,运营商会向当地征信机构查询。T-Mobile就是因为将用户信息透露给益博睿,而后者不幸遭到了黑客攻击。

根据目前披露的信息,这是一次特定时间内发生的孤立事件,却导致过去两年总共1500万名T-Mobile用户的数据遭到外泄。秉着公开公正的原则,两家公司均开放且妥当地处理了此次泄漏时间。并且在各自官网上均发布了此次黑客攻击时间准确且详细的说明。

所有个人数据遭窃的受害人都获得一项免费的信用监控服务。相比此前的大型零售商Target遭黑客攻击后的处理工作,此次事件显示这方面的工作有了极大改进。背景介绍:Target的4000万个支付卡凭证遭到外泄,但事后解决问题的声明却相当敷衍了事。

在T-Mobile黑客事件中,信用卡数据完整无损,但包括:持卡人姓名、地址、驾照号码在内的其它个人数据却不幸遭窃。T-Mobile首席执行官曾证实数据只是”部分”被加密–这意味着并未完全加密。

这就好像在说’我们的数据是加密的!’

此次事件对于隐私问题有着重要的参考意义。征信机构拥有大量客户的信息,且来源可谓四面八方。此外,他们还向其它公司兜售这些个人数据以牟取暴利,但在他们的买家之中并不都是全球知名、信誉可靠的公司。这已经不是第一次益博睿危害客户数据了。

此次事件也并非完全是黑客攻击所导致:曾经有个来自越南的家伙,在新加坡做私人侦探,首先合法购买益博睿的服务,但转过身就将整整两亿美国人的个人数据卖给了许多专门盗取个人身份的网络犯罪小组。

这听上去实在让人毛骨悚然。打个比方,如想更改亚马逊网站账户的遗忘密码,需要用到州邮政地址、出生日期或社会保险号–而所有这些信息都掌握在像益博睿这样的公司手上。

还有一个问题:数据在从一家公司传送到另一家公司时最易受到攻击–只是因为各公司之间的安全政策和解决方案有所不同。

监控摄像头供应商阻止有关漏洞的信息披露,并威胁将控告研究人员

新闻。研究调查的重点内容

来自瑞士安全公司Ptrace Security的一名研究专家Gianni Gnesa专门为在新加坡举行的HITB GSEC会议精心准备了一份报告,他计划分几个方面阐述监控摄像头存在的漏洞。然而,他却最终未能如愿。他的研究报告包括在三家供应商的多个IP摄像机型号中存在的漏洞(最终我们还是无法确定到底是哪三家)。

没有人猜到事态的发展方向:Gianni将bug报告发给了这几家供应商,并与他们的安全团队进行了常规的沟通,他还表示准备在HITB GSEC会议上展示这些漏洞并希望自己的研究获得准许。但在沟通过程中,这些供应商的IT人员突然停止沟通,取而代之的是这些公司的律师,同时建议Gianni不要将他的研究公开否则将承担法律责任。

令人悲伤的是,这样的事情绝不是第一次也不会是最后一次发生。原因很简单:就常识来说,黑帽和白帽之间的差别显而易见(后者’没有危害性’),但并非是从法律的角度来看。”瓦圣纳协定“就是一个很好的例子 –一种对双重用途的货物和技术输出控制的国际协定。

2013年12月,欧洲议会将入侵软件也加入了这一协定中。’为了更大的善意而进行黑客入侵’就其本身而言有着双重意义,但在这里该协定的修改者至少认为此类软件开发者(类似名声不佳的Hacking Team黑客小组)在选择客户时有明显的区别对待。

然而,瓦圣纳协定几乎将所有入侵软件都定义为’恶意入侵软件’。但这样的规定不但不会给那些别有用心的网络黑客造成很大障碍,却反过来阻碍了那些良性入侵的安全工作者–例如,新协定的订立将严重影响渗透性测试的工作。结果是,HP被迫放弃参与日本举行的PWN2OWN黑客马拉松活动,原因是HP研究专家们在海外的展示内容可能被认为是”出口双重用途的货物和技术”。

这实在太糟糕了。原本这一领域的跨国合作就十分艰难,而这一协定的修改将更加剧这方面的难度。监控摄像头供应商限制信息披露背后的动机很容易理解:如果你能私下处理此类问题,那为何不加以利用呢?但这到底会对产品安全造成怎样的影响呢?

https://twitter.com/GianniGnesa/status/650665942112968704

我并不认为’披露所有信息’就见得比’限制所有信息披露’更好:在某些情况下,不负责任地披露重要硬件或软件漏洞可能会对用户自身造成不利影响。最好的方式还是在两者之间取个折中。

其它新闻:

核能设施的网络安全状况可谓糟糕至极。请查阅尤金•卡巴斯基博客的相关文章。这里的重要信息是:如果你认为你的关键基础设施与互联网没有任何连接可能的话,再好好想想。可能你是错的。

高德纳咨询公司则继续预测未来。预测内容如下:到2018年,我们将创造出能管理机器的更高级机器,手动管理所有IoT(物联网)设备将不复存在(我绝对举双手支持,因为这个周末的一半时间我用在管理4个Raspberry Pis机器上)。

此外,在不久将来,人们可能还会有机器人老板,同时健身追踪器将不再单纯用于管理你的健康问题,而是控制你的日常活动。让我们共同畅想这个勇敢的新世界吧!当然在这一过渡期间你无需担忧自己的饭碗问题,未来三年只有那些发展最快的公司才可能会雇佣比雇员人数更多的机器人。

无人机也可能会遭受黑客入侵(应该没有人会有异议吧)。一般来说,每一种新发明的设备都容易出现各种安全”小问题”,就像所有孩子都容易得水痘一样。而无人机正是采用了不安全的连接协议,同时也未部署任何类型的授权。

老话新提:

Hymn病毒系列

Hymn是一种常驻型病毒系列。它们通常会感染COM和EXE文件:运行、关闭和重命名文件或更改文件属性。如果当天月份和日期是同一个数字的话(比如1月1日或2月2日),病毒就会破坏C盘引导扇区上的一部分系统信息。随后还会破解并显示如下文字:

之后还会播放苏联国歌,与此同时,引导扇区将会变成零字节。其它每个扇区则会含有大量字节,每个簇将拥有许多扇区,以及大量FAT拷贝等(总共9个字节)。一旦MS-DOS计算机的引导扇区内发生这一更改,系统将无法从硬盘驱动器或软盘驱动器引导。要想恢复信息,需要自己编一个微型启动程序或借助特殊工具。Hymn-1962和Hymn-2144也同样进行了加密。

引述自于1992年出版的《MS-DOS中的计算机病毒》第36页,作者:尤金•卡巴斯基

免责声明:本文仅代表作者的个人意见。可能与卡巴斯基实验室的立场相符,也可能相反。听天由命吧。

 

躲避”老大哥”监控的小贴士和技巧

不管是网络黑客还是普通民众,没有人愿意自己总被追踪。而具有”正义感”的设计师们也不失时机地发明出一些简单但却又极具”极客风格”的方法,专为那些旨在保护自身隐私的人量身定制。以下将介绍几种躲避系统监视的趣味方法。

提示