2013年5月31日 星期五

QSecurity月度安全评论(2013年4月):史上最大DDoS攻击、思科存漏洞、TP-Link路由器后门、Apple ID安全问题

http://www.infoq.com/cn/news/2013/05/qsecurity-monthly-report

QSecurity月度安全评论本月起恢复发布,InfoQ中文站联合360网站安全检测团队对互联网相关的安全问题进行月度复盘,旨在提高开发人员的安全意识,减少安全事故的发生。本期的安全事件如下:
1. 300Gbps!Spamhaus创造DDoS历史
3月26日,对Spamhaus的DDoS攻击流量超过了300Gbps!攻击流量吞没了整个网站。诸如Boing Boing和Register这样的媒体纷纷宣布互联网历史上最大规模DDoS攻击的到来。在接受BBC的采访时,Spamhuas的执行官Linford说,他们的团队正在竭尽全力恢复系统上线。“我们已经被连续打了一个礼拜了,”Linford说,“但是我们始终站在那里,没有倒下。你不能想象我们的工程师为此付出了多大的努力——类似这样的进攻可以吞噬掉所有的一切”。

2. 思科被指存技术漏洞 严重威胁我国金融信息安全
据哥伦比亚大学研究人员发布的调查报告显示,多年来思科始终存在网络安全隐患。比如其VoIP电话(网络电话)存在严重安全漏洞,黑客通过植入恶意代码便可窃取到思科VoIP电话的通话内容。对此,思科给出的安全防护解释也未能让研究人员满意,而这种难以克服的漏洞会给网络安全带来困扰。 从金融业情况来看,中国四大银行及各城市商业银行的数据中心全部采用思科设备,思科所占有的中国金融行业市场份额竟然高达70%以上。这一触目惊心的数据背后,在反思之余更显示出中国金融业信息安全的脆弱现状。
3. Facebook爆出新的OAuth漏洞
还记得上次Facebook的OAuth漏洞吗?该漏洞允许攻击者不需要与受害者有任何互动即可劫持账户。之后,Facebook安全团队修复了这个漏洞。 最近,Goldshlager绕过Facebook的补丁,再次攻破Facebook的OAuth的机制。他在一篇博客中记录了完整的入侵Facebook的过程。
4. TP-link被曝路由器存在后门漏洞
近日,TP-LINK路由器部分型号被曝存在一个有可能被攻击者利用,并且会对用户造成严重威胁的后门漏洞。建议采取紧急防护措施:1.关闭WAN管理接口,例如将WAN口远端管理IP设置为0.0.0.0,或者可信任IP;2.在LAN口设置中,只允许可信任的MAC地址访问管理界面。
5. 第三方公司追踪用户cookie收集用户隐私
第三方公司通过加放代码窃取用户cookie。一般情况下,用户电脑中的cookie只会被放置它的网站所读取,但这些第三方公司偷偷进行跟踪用户,通过各种手段获取的用户详细信息,更精准地投放广告。
6. 微软部分Xbox Live”高调”员工的账号遭遇黑客访问
微软3月22日确认,不少在职和前Xbox Live“高调”员工的账号遭遇了黑客的登陆访问。这是个黑客组织,先前也涉及了著名的“Swatting”DoS攻击事件,不久之前该组织还以欺骗SWAT特别行动小组的方式令警方作出对假报案的响应闯入记者Brian Krebs家中。微软在致媒体的声明中说:“我们意识到一组黑客正利用某些社会工程技术危害到部分高级Xbox LIVE账号,这些账号是在职和前职员持有的。”
7. Apple ID 可绕过安全提示问题直接修改密码漏洞
据The Verge网站报道,Apple ID登陆系统被曝有重大安全漏洞,任何拥有用户邮箱地址和生日信息的攻击者都可以重置Apple ID的密码。当然,那些开启两步认证的用户不会受到该漏洞的影响。The Verge网站已经获得了很详细的攻击步骤,只需更改URL地址即可完成。因为安全问题,具体的实施方法没有被公布出来。苹果也没有对这篇报道做出回应。担心自己Apple ID安全问题的用户可以登陆后更改生日信息。两步认证系统昨天正式推出,该系统能大大增加安全性。
8. 360网站检测团队发现OWASP开源WAF NAXSI绕过漏洞
该问题出现在naxsi_src/naxsi_utils.c代码中naxsi_unescape_uri函数,虽然NAXSI对nginx原代码做过处理仍然存在绕过漏洞。
9. 黑客利用Evernote账号控制服务器
黑客使用流行的笔记应用程序Evernote进行命令控制服务器,下达指令使感染的计算机安装恶意软件。TrendMicro发现恶意软件检测为“BKDR_VERNOT.A”试图使用Evernote命令与控制服务器进行通信。恶意软件通过一个可执行文件,安装恶意软件提供的动态链接库。然后安装程序捆绑成一个合法的正在运行的DLL进程。安装完成后,BKDR_VERNOT.A 会提供命令选项,如下载,执行和几种重命名文件的后门。然后,它从受感染的系统中收集信息,包括:其操作系统,时区,用户名,计算机名,登入记录及用户群组等详细信息。
10. 黑客用密码“root”入侵数十万台终端制作普查报告
2012年3月到12月,“卡尔纳”僵尸网络所控制的互联网终端的活跃程度,这42万台设备均遭遇同一名黑客非法侵入。此刻,在地球的某个角落,一名黑客的情绪有些不稳定。他既自豪又担忧,因为他做了件前无古人的事情,但却是非法的。2012年3月至12月,这名匿名的黑客用自己的方式非法入侵数十万台电脑,获取了世界互联网的抽样数据,并于近期发表一份结论报告。
11. 日本导航网站goo被黑客攻破10万会员账号泄露
4月9日消息,据国外媒体报道,日本导航网站goo,上周三传出遭黑客攻击的事件。黑客尝试以违法手段破解会员密码,被害情形在调查期间中不断扩大,截至4月4日已证实约10万会员帐号密码被破解,信用卡、银行帐户与个人资料都有泄露疑虑。经分析攻击log后发现,黑客主要使用字典攻击(dictionary attack)方式破解会员帐号密码,分批测试成对的帐号密码能否登入,如果不能就立刻送出下一组持续测试。之所以判定帐号密码不是从goo直接流出,是因为一部分文字中使用了goo服务中不允许使用的字符,证明黑客是利用从某处得来的其他网站帐号密码尝试登入goo。
12. 全球域名去年底达到2.52亿个
北京时间4月9日消息,根据最近Verisign公布的报告,2012年四季度全球域名注册量超2.5亿,总计全球达2.52亿个。“.com”域名占了大多数。到12月底时“.com”域名达1.062亿,“.net”域名达1490万台。在新注册的域名中“.com”和“.net”也占了大多数。2012年四季度,“.com”和“.net”注册量达800万,上年同期为790万。“.com”和“.net”网站中约21%是单页网站,15%只是注册了但没有指向网页。除了“.com”和“.net”两大域名,国家顶级域名量环比增长5%,同比增长21.6%,总量达1.102亿。中国国家级域名占了增长的大多数。中国已经是第七大顶级域名。前七大顶级域名分别为:.com、.de(德国)、.net、.tk(南太平洋岛国托克劳Tokelau)、.uk(英国)、.org.cn(中国)、.info、.nl(荷兰)、.ru(俄罗斯)。最让人惊奇的可能是.tk域名,该域名可以自由免费注册,它被钓鱼网站大量利用。
13. 我国将立法禁止电信互联网企业泄露用户信息
日前,根据工信部的公告,我国将出台相关法规,禁止电信和互联网企业泄露用户信息,这样的话,困扰广大用户的个人信息泄露问题有望逐步解决,相关责任人将可得到严惩。
14. 黑客通过Java 0day漏洞偷盗比特币
美国东部时间4月10日晚上,一位名为Mt.Gox的用户被人利用Java漏洞盗走了34比特币,虽然数量不多,但它的价值也相当于5千美元(根据目前的比特币美元兑换率)。他在比特币论坛上描述了整个过程,这种入侵方法非常典型:有人首先在聊天窗口发布了链接,声称 Mt.Gox将宣布交易litecoins(另一种受欢迎的数字货币),这个链接当然是恶意链接,它先载入Java applet,利用Java 0day漏洞进行跨站脚本注入攻击,它会下载恶意程序(AdobeUpdate-Setup1.84.exe)然后自动执行,整个攻击专为Mt.Gox(最大的比特币交易平台)用户定制,它记录了所有的密码,登录进比特币钱包,窃取比特币
15. 黑客演示通过Android手机遥控劫持飞机
飞行员Hugo Teso本身即精通IT技术也是一名飞行员,他将自己的这两种兴趣结合到了一起,结果他发现航空安全系统和通信协议的安全非常让人担忧。他在Hack In The Box Conference 这个会议中演示了如何使用一台Android设备成功遥控劫持一架飞机。

沒有留言:

張貼留言