一周海外安全事件回顧(11.25 – 11.30)
如果有媒體采訪NSA此時此刻的心情,我猜NSA最想說的可能就是:“斯諾登,你他媽有完沒完啊!?”
不斷被曝光的NSA
從斯諾登曝光NSA的諸多劣跡,可以讓人深刻體會到,沒有底限是多么可怕!
本周,斯諾登爆料NSA如何在全球通過互聯網收集情報。見下面的附圖。需要注意的CNE這個詞,“計算機網絡利用”(Computer Network Exploitation)的縮寫,就是入侵了。“CNE”入侵的數量了超過五萬個網絡。NSA拒絕就此發表評論。
事情還沒完。斯諾登本周二揭露NSA曾以訪問色情網站和勾引未成年少女等負面行為,抹黑6名持“有爭議看法”的穆斯林。這6名穆斯林并非“恐怖分子”,而是煽動其他人的異見分子。訪問和聊天記錄來自NSA捕獲的該6人的上網數據。
從斯諾登曝光NSA的諸多劣跡,可以讓人深刻體會到沒有底限是多么可怕!如果有媒體采訪NSA此時此刻的心情,我猜NSA最想說的可能就是:“斯諾登,你他媽有完沒完啊!?”
可憐的NSA。
DDoS,絕好的煙幕彈!
DDoS做誘餌,吸引應急團隊的注意,實際上偷竊數據。
從11月15-17日,丹麥比特幣創業公司BIPS系統遭受DDoS攻擊,安全團隊緊急處理。但是,實際上DDoS只是為吸引防御一方的注意,入侵者悄悄地并成功偷竊了1295個比特幣,價值1百萬美金!
以DDoS為煙幕彈,吸引防護一方的注意,然后從另一個通道進行其他隱秘的入侵操作已經不是第一次了。在金融領域,類似的事情不止一次地發生。之前,Gartner分析師Litan曾經發出過警告:以DDoS吸引防護者注意,偷偷進行轉賬的事件,據她所知就有三起。美國著名安全博主Brain Krebs也提到過類似一起高達90萬美金的盜竊案。。更早一些,在2011年4月,SONY歐洲分部在一次大規模信息泄露事件中,有7700萬用戶的信息丟失,包括姓名、地址、生日、密碼等私密信息。當時SONY就是一味忙于處理DDoS攻擊。
因此,如果你認為你的數據多少還有些價值,或者你的系統中有第三方數據托管,那么一旦你被人家D了,千萬要多留個心眼,別一根筋扎到單純的抗D中去。
Athena新版本再現江湖。
研究人員發現由綽號“_Stoner”開發的Athena惡意程序出現新版本。
在本周,研究人員發現了由綽號“_Stoner”開發的Athena惡意程序出現新版本,除了DDoS外,還可以從CC端獲得指令進行其他操作。當前版本的價格,從Softpedia.com上看,Athena最新版本v2.3.1,售價100美金,升級費10美金。
回顧Botnet的歷史,不難得出這樣一個結論:僵尸網絡不是一成不變的。Athena僵尸程序就是一個例子。Athena最近一次重大的改變是在2013上半年,Athena悄悄地從基于IRC轉變為基于HTTP協議。
這個轉變的意義是比較重大的。一方面使用者可以獲得更為豐富的攻擊方式;另一方面,通過HTTP傳遞指令也更隱蔽。從工具的界面上看,從可以發起的DDoS攻擊方式上,幾乎涵蓋了全部的網絡層到應用層的攻擊。工具用起來也很簡單,只要填寫相應的端口、IP地址或URL就OK了。
現在做工具的真是非常的貼心,面向使用者開發,越來越簡單,越來越好用。
當然,任何事情都有硬幣的兩個面。Athena從IRC轉向HTTP,客觀上也暴露了很多不足。Athena的僵尸主機通過Post向CC發送請求,從HTTP報文中可以看出非常明顯的特征,這為基于特征的檢測提供了非常好的依據。事實上本人一直認為將基于簽名特征的檢測一棒子打死的人,都是偽專家。很多時候,特征檢測是最快最準確的。除了有明顯的簽名特征之外,基于HTTP要遠比基于IRC要復雜,這會影響僵尸網絡的搭建,攻擊的規模也會受限。
Anonymous掛了微軟日本系統
微軟為殺海豚者躺槍。
本周,黑客主義者Anonymous在Pastebin上發帖宣稱已經將微軟日本的諸多系統用DDoS打掉了,目的是抗議日本對海豚的濫捕。本番攻擊的代號是Operation Killing Bay 或#OpKillingBay(中文:殺戮港灣行動)。其中,Killing Bay(殺戮港灣)意指日本以捕殺海豚聞名的太極村(Taiji)。受到影響的微軟日本系統包括:microsoft.com,,outlook.com,,msn.com和office365.com。
看到這個新聞,我和很多朋友的反應一樣:尼瑪殺海豚和微軟有什么關系?
其他
在本周中,值得關注的安全事件還包括:
荷蘭IT服務公司Levi9稱所有版本為Andriod 4.x的Google Nexus4和5存在可被利用的DDoS脆弱性。當Google Nexus4/5設備接收到一個短信,系統會把短信置于所有窗口的上端。如果短信數量太多同時所有者又不手工關閉或取消,就可能導致設備重啟。重啟后,如果設置了密碼,客戶又不知道設備已重啟,可能幾個小時處于斷網狀態。事件可能發生的場景之一是使用者在睡覺的時候。
釣魚郵件導致華盛頓大學醫院( UW Medicine)逾9萬病人個人信息被竊。上個月,一名UW的員工打開了一封釣魚郵件,隨后惡意軟件控制了該計算機。黑客通過控制的該員工計算機跳轉,進入院方的服務器系統,導致超過9萬名醫院病人個人信息的泄露。一些病人向媒體表達了憤怒的心情。UW表示道歉,并向FBI報案。
