一周海外安全事件回顧(2014.05.05-05.11)
本期回顧和大家分享一些敘利亞電子軍(SEA)的組織結構、老大聯(lián)系方式、C&C控制臺IP地址等有趣的數(shù)據(jù)。此外,小鳥網發(fā)布了加強用戶賬號安全的“新方案”。最后,專家稱至少有30萬臺服務器仍舊存在OpenSSL滴血漏洞。
一些敘利亞電子軍(SEA)的研究數(shù)據(jù)
國外某機構對SEA研究后,有一些有趣的數(shù)據(jù),下面列舉一些:
SEA的組織結構圖:
SEA老大——Th3Pro的社會化媒體及聯(lián)系方式:
SEA常用的C&C服務器IP、攻擊源IP地址段、AS號等:
SEA常用的魚叉式攻擊的郵件地址等:
“小鳥”加強用戶賬號安全
也許是用戶賬戶信息泄露的事件太多了,小鳥最近推出一系列措施加強用戶賬戶的保護。其中包括通過雙因素認證的密碼找回和異常登錄通知。
其中的“亮點”是新增的通過手機短信的方式找回密碼。前提是綁定手機,然后你就可以通過輸入綁定的手機找回密碼:
另一項賬號安全相關的新增功能是異常登錄提醒。這個“異常登錄”的概念包括位置(Location)、設備(Device)和登錄歷史(Login History)。不用解釋大家就可以才猜得到。
眾所周知,T(以下簡稱“小鳥”)是一個“always 404”的網站。但是有意思的是,在小鳥網站的手機綁定頁面,確實是可以輸入天朝的手機的。
由于“404”的緣故,本人無法訪問小鳥,因此無法進行相應的測試。這是一個坑,你不能測,測了就掉進去了。
不過,看到上面的新東西,給大家的感覺可能用三個字來概括——弱爆了。我朝的微博貌似幾年前就有類似的功能。此外,我朝微博也已經具備異常登錄提醒功能。
上圖是異常登錄的顯示。此條信息是異地登錄的提醒。(注:本人在北京和杭州登錄均沒有類似的提示,說明微博對歷史行為進行過統(tǒng)計和分析。)
對于小鳥網最新推出的安全新功能,對于這些既不是新概念,也不是新方案的東西,為什么直到今天才推出類似的賬號保護功能?是后知后覺,還是有什么其他考慮?
互聯(lián)網歷史上最大的安全漏洞仍舊廣泛存在
安全專家Robert David Graham發(fā)布文章稱全球仍有30萬臺服務器存在OpenSSL “Heartbleed”漏洞(以下簡稱“滴血”漏洞)。
Graham稱,“Whereas my previous scan a month ago found 600,000 vulnerable systems, today's scan found roughly 300,000 thousand systems (318,239 to be precise)”(在一個月前我發(fā)現(xiàn)有60萬個系統(tǒng)存在(滴血)漏洞,今天的掃描結果顯示仍有30萬(準確說是31.8萬臺)存在該漏洞)。
Graham僅是針對443端口進行的掃描,如果對其他SSL常用端口(如SMTP)掃描,未修復漏洞的系統(tǒng)數(shù)量可能還有變化。
如果Graham的測試結果是差不多準確的,那么多少是一個悲劇——如此嚴重的漏洞仍舊有那么多系統(tǒng)管理員仍舊視而不見,要是被滲透利用了,真是活該了。如果這些系統(tǒng)上的其他用戶賬號、密碼、數(shù)據(jù)等信息也要一同“陪葬”,那么誰要對此負責呢?可能不僅僅是系統(tǒng)管理員的問題了。
除了30萬臺服務器之外,在上周,某物聯(lián)網廠商發(fā)布預警,稱“滴血”漏洞已經嚴重影響到ICS系統(tǒng)(Industry Control System,即工業(yè)控制系統(tǒng))的安全。
5月8日,ICS-CERT發(fā)布公告,提醒購買該廠商系統(tǒng)的客戶緊急處理“滴血”漏洞問題。從ICS-CERT網站上來看,在最近已經發(fā)布了若干類似的公告:
這是“滴血”向工業(yè)系統(tǒng)滲透的一個重要標志。
工業(yè)控制系統(tǒng)和普通的互聯(lián)網系統(tǒng)不同,往往和人民生活甚至國家安全息息相關的,其重要程度不言而喻。
從ICS-CERT發(fā)布的公告中可以看出,除了打上廠商提供的補丁之外,在沒有打補丁之前,停用HTTPS是一個最方便快捷的手段。修改賬號密碼以及更新證書系統(tǒng)可以在停用HTTPS之后進行。事實上,停用HTTPS后,ICS系統(tǒng)的訪問仍可以通過類似SSH或廠商提供的非HTTPS的Web服務來實現(xiàn)。
