瑞星杀毒 有漏洞扫描的
漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版 本和这些服务及软件呈现在Internet上的安全漏洞。从而在计算机网络系统安全保卫战中做到“有的放矢”,及时修补漏洞,构筑坚固的安全长城。
1.引言
随着科学技术的飞速发展,21世纪的地球人已经生活在信息时代。20世纪人类两大科学技术成果--计算机技术和网络技术,均已深入到人类社会的各个领域,Internet把"地球村"的居民紧密联系在一起,"天涯若比邻"已然成为现实。互联网之所以能这样迅速蔓延,被世人接受,是因为它具备特有的信息资源。无论对商人、学者,还是对社会生活中的普通老百姓,只要你进入网络的世界,就能找到其隐藏的奥妙,就能得到你所需要的价值,而这其中种种的人类社会活动,它们的影响又是相互的。近年来Internet的迅速发展,给人们的日常生活带来了全新的感受,"网络生存"已经成为时尚,同时人类社会诸如政治、科研、经济、军事等各种活动对信息网络的依赖程度已经越来越强,"网络经济"时代已初露端倪。
然而,网络技术的发展在给我们带来便利的同时也带来了巨大的安全隐患,尤其是Internet和Intranet的飞速发展对网络安全提出了前所未有的挑战。技术是一把双刃剑,不法分子试图不断利用新的技术伺机攻入他人的网络系统,而肩负保护网络安全重任的系统管理员则要利用最新的网络技术来防范各种各样的非法网络入中形�J率狄丫�砻鳎�孀呕チ��娜涨髌占埃�诨チ��系姆缸锘疃�苍嚼丛蕉啵�乇鹗荌nternet大范围的开放以及金融领域网络的接入,使得越来越多的系统遭到入侵攻击的威胁。但是,不管入侵者是从外部还是从内部攻击某一网络系统,攻击机会都是通过挖掘操作系统和应用服务程序的弱点或者缺陷来实现的,1988年的"蠕虫事件" 就是一个很好的实例。目前,对付破坏系统企图的理想方法是建立一个完全安全的没有漏洞的系统。但从实际上看,这根本是不可能的。美国Wisconsin大学的Miller给出一份有关现今流行操作系统和应用程序的研究报告,指出软件中不可能没有漏洞和缺陷。因此,一个实用的方法是,建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统,漏洞扫描器就是这样一类系统。就目前系统的安全状况而言,系统中存在着一定的漏洞,因此也就存在着潜在的安全威胁,但是,如果我们能够根据具体的应用环境,尽可能地早地通过网络扫描来发现这些漏洞,并及时采取适当的处理措施进行修补,就可以有效地阻止入侵事件的发生。因此,网络扫描非常重要和必要。
.漏洞扫描器概述
漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。从而在计算机网络系统安全保卫战中做到"有的放矢",及时修补漏洞,构筑坚固的安全长城。
按常规标准,可以将漏洞扫描器分为两种类型:主机漏洞扫描器(Host Scanner)和网络漏洞扫描器(Network Scanner)。主机漏洞扫描器是指在系统本地运行检测系统漏洞的程序,如著名的COPS、tripewire、tiger等自由软件。网络漏洞扫描器是指基于Internet远程检测目标网络和主机系统漏洞的程序,如Satan、ISS Internet Scanner等。
本文针对目前TCP/IP网络和各种网络主机的安全现状,设计并实现了一个网络漏洞扫描器,在实际使用中取得了很好的效果。
3.网络漏洞扫描器的设计
3.1 网络漏洞扫描器的总体结构
我们设计的漏洞扫描器基于浏览器/服务器(B/S)结构,整个扫描器实现于一个Linux、UNIX和Windows操作系统相混合的TCP/IP网络环境中,其总体结构如图1所示,其中运行Linux的工作站作为发起扫描的主机(称为扫描主机),在其上运行扫描模块和控制平台,并建有漏洞库。扫描模块直接从扫描主机上通过网络以其他机器为对象(称为目标主机,其上运行的操作系统可以是UNIX、Linux、Windows 2000/NT等)进行扫描。而控制平台则提供一个人机交互的界面。
3.2 网络漏洞扫描器的扫描原理和工作原理
网络漏洞扫描器通过远程检测目标主机TCP/IP不同端口的服务,记录目标给予的回答。通过这种方法,可以搜集到很多目标主机的各种信息(例如:是否能用匿名登陆,是否有可写的FTP目录,是否能用Telnet,httpd是否是用root在运行)。在获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后,与网络漏洞扫描系统提供的漏洞库进行匹配,如果满足匹配条件,则视为漏洞存在。此外,通过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,也是扫描模块的实现方法之一。如果模拟攻击成功,则视为漏洞存在。
在匹配原理上,该网络漏洞扫描器采用的是基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员关于网络系统安全配置的实际经验,形成一套标准的系统漏洞库,然后再在此基础之上构成相应的匹配规则,由程序自动进行系统漏洞扫描的分析工作。
所谓基于规则是基于一套由专家经验事先定义的规则的匹配系统。例如,在对TCP 80端口的扫描中,如果发现/cgi-bin/phf或/cgi-bin/Count.cgi,根据专家经验以及CGI程序的共享性和标准化,可以推知该WWW服务存在两个CGI漏洞。同时应当说明的是,基于规则的匹配系统也有其局限性,因为作为这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的,而对网络系统的很多危险的威胁是来自未知的安全漏洞,这一点和PC杀毒很相似。
实现一个基于规则的匹配系统本质上是一个知识工程问题,而且其功能应当能够随着经验的积累而利用,其自学习能力能够进行规则的扩充和修正,即是系统漏洞库的扩充和修正。当然这样的能力目前还需要在专家的指导和参与下才能实现。但是,也应该看到,受漏洞库覆盖范围的限制,部分系统漏洞也可能不会触发任何一个规则,从而不被检测到。
整个网络扫描器的工作原理是:当用户通过控制平台发出了扫描命令之后,控制平台即向扫描模块发出相应的扫描请求,扫描模块在接到请求之后立即启动相应的子功能模块,对被扫描主机进行扫描。通过对从被扫描主机返回的信息进行分析判断,扫描模块将扫描结果返回给控制平台,再由控制平台最终呈现给用户。
3.3 CGI的应用
整个漏洞扫描系统利用了浏览器/服务器(B/S)架构,目的是为了消除由于操作系统平台的不同而给程序的运行带来的差异,还为了能利用HTML提供的一系列功能,如超文本功能、灵活的版面编辑功能来构建一个美观灵活的人机接口。在该网络漏洞扫描器的实现中,我们通过CGI技术来连接前台的浏览器和后台的扫描程序。
CGI是通用网关接口,作为一种规范,它允许Web服务器执行其他程序并将它们的输出以相应的方式储存在发给浏览器的文本、图形和音频中。CGI程序能够提供从简单的表单处理到复杂的数据库查询等各种功能,这大大增强了Web的动态处理能力和交互能力。服务器和CGI程序相结合能够扩充和自定义World Wide Web的能力。
CGI过程的主要步骤如下:
浏览器将URL的第一部分解码并联系服务器;
浏览器将URL的其余部分提供给服务器;
服务器将URL转换成路径和文件名;
服务器意识到URL指向一个程序,而非一个静态的文件;
服务器准备环境变量,执行CGI程序;
程序执行,读取环境变量和STDIN;
程序为将来的内容向STDOUT发送正确的MIME头信息;
程序向STDOUT发送其输出的其余部分,然后终止;
服务器发现程序终止,关闭与浏览器的连接;
浏览器从程序中显示输出。
STDIN和STDOUT是标准输入和标准输出的助记符。对Web服务器,STDOUT送至CGI程序的STDIN,程序的STDOUT反馈回服务器的STDIN。在激活具有POST方法的CGI程序时,服务器使用它的STDOUT;对于GET方法,服务器不使用STDOUT。两种情况下,服务器都要求CGI程序通过STDOUT返回信息。在我们的程序中选择了POST方法。
第一步信息收集(敏感目录文件、whois信息、旁注、端口开放、iis几、)
第二部漏洞挖掘(web应用指纹、漏洞有那些xss、CSRF、XSIO、SQL、任何文件读取、上传、之类的)
第三步漏洞利用(目的思考、利用漏洞拿到相关权限、然后提权)
再之后就是提权拿服务器、然后创建隐藏账户、然后擦痕迹、
1988年,美国芝加哥银行的网络系统就曾受到一名“黑客”的袭击,这名“黑客”通过电脑网络,涂改了银行账目,把7000万美元的巨款转往国外,从而给该银行造成巨大损失。无独有偶,1995年8月,俄罗斯圣彼得堡的花旗银行遭受了同样的厄运,一名“黑客”使用同样的手法从该银行偷走了40万美元。前不久,英国也发生了一起轰动整个大不列颠岛的重大泄密事件。一位电信公司的电脑操作员,通过公司内部的数据库,窃走了英国情报机构、核地下掩体、军事指挥部及控制中心的电话号码。据说,连梅杰首相的私人电话号码也未能幸免。一波未平,一波又起,一位21岁的阿根廷男青年,利用家里的电脑,通过国际互联网络线路,进入到美军及其部署在其他国家机构的电脑系统中漫游了长达9个月的时间。这名青年说:“我可以进入美国军方电脑网……,可以到任何一个地方去漫游,也可以删除任何属性的信息。”直到1996年3月,这位“黑客”才被有关部门查获。在众多引起轰动的网络“黑客”案中,还有一起令美国人至今心有余悸的事件。那是在民主德国和联邦德国合并之前,前联邦德国的几名学生利用电脑网络,破解了美军密码,并将窃取的美国军事机密卖给了前苏联的克格勃,此事曾令美国军方震惊不已。上面这些事件说明,随着全球互联网络的迅猛发展,一个国家的指挥系统、金融系统、空中交通管制系统、贸易系统和医疗系统等都将会变得更易受敌对国和可能的“黑客”——比如说,精于计算机操作的十几岁的年轻人的袭击,特别是有关国家安全的国防系统更是如此。据统计,仅1995年一年,美国空军的计算机网络就曾受到至少500次以上的袭击,平均每天达14次以上;而作为拥有12万个计算机系统的美国军事中心五角大楼,则在目前以至未来所面临的威胁将会更大。
1998年2月26日,有人突入美国国防部——五角大楼的计算机网络,浏览了里面的一些非绝密信息。联合国秘书长安南出使巴格达斡旋成功使美国的“沙漠惊雷”没能炸响,而一场对付“黑客”的战争已经在美国打响。
同年,2月25日,美国国防部副部长哈姆雷向新闻界公布,在过去的两星期里,五角大楼的军事情报网络连续遭到计算机“黑客”系统入侵。这次“黑客”入侵正值敏感时期,这条消息立即成为第二天美国各大媒体的头条新闻。
哈姆雷说,“黑客”光顾了11个非保密军事网络,其中包括4个海军计算机网络和7个空军计算机网络,网上有后勤、行政和财务方面的信息。“黑客”们浏览了这些信息后,在网络里安插了一个名为“陷井盖儿”的程序。安插了这个程序,他们以后就可以神不知鬼不觉地自由进出这些网络。五角大楼的计算机系统遭到“黑客”的袭击已经发生过不止一次,但这次不同于往常。“黑客”们似乎在打擂台,通过入侵这些系统比试高低。哈姆雷说,这是五角大楼迄今发现最有组织和有系统的网络入侵事件,它“向我们敲响了警钟”。美国国防部和联邦调查局发誓,不挖出“黑客”誓不罢休。
美国加州有一叫圣罗莎的小镇,镇上有一个名叫Netdex的因特网接入服务公司。它规模不大,只有3000用户。“黑客”们就是在这儿露出了狐狸尾巴。
1998年1月中旬,Netdex公司所有人兼总经理比尔·赞恩发现服务操作系统被“黑客”更改了,立即报告美国联邦调查局和匹茨堡卡内基一梅隆大学计算机紧急反应小组(CERT)。
联邦调查局特工和CERT网络人员经过几星期跟踪调查,找到了“黑客”的下落。他们本来可以堵上操作系统中的漏洞,但为了放长线钓大鱼,他们没有这么做,而是决定冒一次险,把门继续敞开“一会儿”。这一敞就是6个星期。
在这6个星期里,来自美国东海岸和旧金山本地的20多名联邦调查局特工一天24小时密切监视着入侵者在网上留下的“脚印”。这些脚印清晰地指向美国政府、军队、国家图书馆、实验室和大学的网址。起初联邦调查局认为,这些入侵者可能是潜在的恐怖分子。
经过一段时间的侦查,联邦调查局摸清了“黑客”的行踪。2月25日,联邦调查局计算机犯罪侦查小组带着两张搜查证,分乘6辆小汽车,向旧金山以北120公里、仅有5500人的小镇——克洛弗代尔进发。
晚上8时30分左右,一干人马抵达这个青山环抱的小镇。在当地警察的支援下,他们立即包围了一座平房住宅。他们冲进屋内,发现一个十五六岁的男孩正忙着入侵五角大楼的非保密计算机网络!
在搜查过程中,镇上的警察封锁了镇中心南边的一条街道。对这座平房的搜查持续了2个小时。随后,他们又搜查了另一座房子,这家一个十几岁的男孩也被怀疑参与了入侵五角大楼的网络系统。由于这两个男孩的年龄太小,联邦调查局没有逮捕他们,但收缴了他们的计算机、软件和打印机。
去年,这两个男孩一道参加了计算机学习班。他们的计算机水平连计算机专家也感到吃惊。赞恩说,“我们实际上是同他们进行在线战争。我们监视他们,他们也知道我们在监视他们。他们使劲恢复他们的软件文档,快到我们来不及消除这些文档。”
但联邦调查局追捕“黑客”的行动并没有就此结束。一切迹象表明,这些少年“黑客”的后面还有一只“黑手”。
赞恩说,他通过分析注意到几种不同的“黑客”行动方式。这一案件最有趣的方面之一是入侵技术惊人的高超,而又有大量业余者才会犯的错误。这就是说,有更高级的专家向这些孩子提供入侵计算机网络的工具。他说,“黑客”并不是在键盘上猜你口令的人。他们编写并使用别人计算机的程序。另外,赞思曾收到大量电子邮件垃圾。他说,“这些人行事有条不紊,很有次序。如果说这事(入侵五角大楼的网络)仅仅是几个毛孩子干的,我会感到非常吃惊。肯定还有人,这些孩子只是被人利用而已。”
联邦调查局特工正在积极展开调查,希望找到进一步的线索,揪出那只“黑手”。
在不到一个月之后,以色列警方于3月18日逮捕了一名入侵美国国防部及以色列议会电脑系统的超级电脑“黑客”。
这名以色列超级电脑“黑客”现年18岁,其网上用户名为“分析家”。以色列警方发言人琳达·梅纽因说,警方同时还逮捕了另两名18岁的同谋。
“黑客”被捕后,美国司法部发表声明透露,“分析家”真名为埃胡德·特纳勃。美国司法部长雷诺说,“分析家”的被捕是对所有试图入侵美国电脑系统的“黑客”发出的警告。美国对此类电脑袭击事件十分重视。在过去的几个星期里,美国中央情报局对这个超级电脑“黑客”展开了调查,并向以方提供情报,最终协助以方逮捕了“分析家”。
人们估计“分析家”很可能是美国中央情报局日前逮捕的两名加利福尼亚少年的网上导师。美国五角大楼说,这批电脑“黑客”侵袭的对象是美国国防部、美国海军军事中心、美国航空航天局及一些大学电脑系统的非机密人员名单及工资表。加州索诺马镇被捕的两名少年中一个称,他已进入了200个美国学院电脑系统。
由于同一系统资源共享,侵袭非机密系统也可能调出机密资料,因此以“分析家”为首的这批“黑客”的存在令美国国防部大为不安。美国国防部副部长约翰·汉姆莱说,这是至今五角大楼发现的“最有组织和有系统的”电脑入侵案。
美国电脑专家丹·贾斯帕与加州圣罗萨的一个网络服务商首先发现了这个网上“黑客”——“分析家”的存在。正是贾斯帕协助美国中央情报局查获了据称是“分析家”指导下的两个加州“黑客”。
被捕后,“分析家”及其同伙被拘押在特拉维夫南郊的贝特亚姆警察局。警方没收了他们的护照。
“黑客”——“分析家”在被捕前接受一家网上杂志的采访时称,他入侵电脑系统并不犯法,甚至对侵袭对象“有益无害”。“分析家”说,他经常帮助他侵袭的服务器修补漏洞,他暗示“一个有恶意的‘黑客’所做的则远胜于此。”
至此,海湾战争期间对美国五角大楼的“黑客”入侵追捕告一段落。
“黑客”的出现,使人们对网络系统安全的信心产生了动摇。专门开发对付病毒方法的S&S国际公司的艾伦·所罗门认为:“不论你上多少道锁,总会有人找到办法进去。”美国众院议长纽特·金里奇也曾在一次会议上指出:“网络空间是一个人人都可进入的自由流动区——我们最好做好准备,以便应付我们做梦也想不到的对手在各个领域的发明创造力。”这说明,在未来信息领域的斗争中,网络“黑客”将是最可怕、最难对付的敌手之一。
有矛就有盾,难对付也要想办法对付。目前世界各国最常用的方法就是加装密码软件。这种软件是一种由40位信息量组成的程序,可分别为文本、图像、视频、音频等加密,使用简便,安全性强。但“道”高,“魔”更高。自1995年8月以来,这种密码软件接二连三地数次被破译,甚至是新推出的更加安全的新一代软件,也仍被两名对密码学感兴趣的加州伯克利大学的研究生发现了其中的漏洞。目前,计算机网络的使用者们已经把对网络安全问题的关心提到了首位,迫切希望计算机硬件和软件公司能够开发出更加安全可靠的“密钥”,以使人们对网络的安全性达到信赖的程度。
进入90年代,随着网络“黑客”袭击案例的增多,美军在加强电脑网络防护能力、防止外来“黑客”入侵的同时,又在积极筹建“主动式黑客”部队,即组建一支类似“黑客”的“第一代电子计算机网络战士”,这些“网络战士”将以计算机为武器,用键盘来瘫痪敌人,操纵敌人的媒体,破坏敌人的财源,从而达到“不战而屈人之兵”的战争目的。
除美国外,目前其他发达国家也在积极加强网络的安全性建设。1995年夏天,北约从联合国维和部队手中接管了波黑的维和行动权,它进驻波黑后的首项任务就是安装了一个巨大的通信网络。这个网络在对波黑塞族实施空中打击行动中,发挥了巨大作用,许多作战计划就是通过这个网络来传送的。但是,随着联网的军用网络节点的日益增多,网络安全性问题也就变得日益突出。为此,参战的北约各国又加紧给这套网络系统加装了“防火墙”和其他数据安全措施。
可以预见,在未来的战争中,如何利用计算机网络——这柄锋利的双刃剑,将是决定战争胜负的重要因素之一。
事件一、1•21中国互联网DNS大劫难
2014年1月21日下午3点10分左右,国内通用顶级域的根服务器忽然出现异常,导致众多知名网站出现DNS解析故障,用户无法正常访问。虽然国内访问根服务器很快恢复,但由于DNS缓存问题,部分地区用户“断网”现象仍持续了数个小时,至少有2/3的国内网站受到影响。微博调查显示,“1•21全国DNS大劫难”影响空前。事故发生期间,超过85%的用户遭遇了DNS故障,引发网速变慢和打不开网站的情况。
事件二、比特币交易站受攻击破产
2014年2月,全球最大的比特币交易平台Mt.Gox由于交易系统出现漏洞,75万个比特币以及Mt.Gox自身账号中约10万个比特币被窃,损失估计达到4.67亿美元,被迫宣布破产。这一事件凸显了互联网金融在网络安全威胁面前的脆弱性。
事件三、携程漏洞事件
2014年3月22日,有安全研究人员在第三方漏洞收集平台上报了一个题目为“携程安全支付日志可遍历下载导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)”的漏洞。上报材料指出携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,并称已将细节通知厂商并且等待厂商处理中。一石激起千层浪,该漏洞立即引发了关于“电商网站存储用户信用卡等敏感信息,并存在泄漏风险”等问题的热议。
事件四、XP系统停止服务
微软公司在2014年4月8日后对XP系统停止更新维护的服务。但XP仍然是当今世界被广泛使用的操作系统之一。特别是在中国,仍有63.7%的用户,也就是大约3亿左右的用户还在使用XP系统。因此“后XP时代”的信息安全一直备受关注,但国内安全厂商推出的防护软件究竟效果如何,面对市场上如此多的安全防护软件,选哪个又是一个疑问,所以xp挑战赛应运而生。在2014年4月5日的XP挑战赛中,腾讯、金山落败360坚守成功。
事件五、OpenSSL心脏出血漏洞
2014年4月爆出了Heartbleed漏洞,该漏洞是近年来影响范围最广的高危漏洞,涉及各大网银、门户网站等。该漏洞可被用于窃取服务器敏感信息,实时抓取用户的账号密码。从该漏洞被公开到漏洞被修复的这段时间内,已经有黑客利用OpenSSL漏洞发动了大量攻击,有些网站用户信息或许已经被黑客非法获取。未来一段时间内,黑客可能会利用获取到的这些用户信息,在互联网上再次进行其他形式的恶意攻击,针对用户的“次生危害”(如网络诈骗等)会大量集中显现。即使是在今后十年中,预计仍会在成千上万台服务器上发现这一漏洞,甚至包括一些非常重要的服务器。
事件六、中国快递1400万信息泄露
2014年4月,国内某黑客对国内两个大型物流公司的内部系统发起网络攻击,非法获取快递用户个人信息1400多万条,并出售给不法分子。而有趣的是,该黑客贩卖这些信息仅获利1000元。根据媒体报道,该黑客仅是一名22岁的大学生,正在某大学计算机专业读大学二年级。
事件七、eBay数据的大泄漏
2014年5月22日,eBay要求近1.28亿活跃用户全部重新设置密码,此前这家零售网站透露黑客能从该网站获取密码、电话号码、地址及其他个人数据。该公司表示,黑客网络攻击得手的eBay数据库不包含客户任何财务信息——比如信用卡号码之类的信息。eBay表示该公司会就重设密码一事联系用户以解决这次危机。这次泄密事件发生在今年2月底和3月初,eBay是在5月初才发现这一泄密事件,并未说明有多少用户受到此次事件的影响。
事件八、BadUSB漏洞
2014年8月,在美国黑帽大会上,JakobLell和KarstenNohl公布了BadUSB漏洞。攻击者利用该漏洞将恶意代码存放在USB设备控制器的固件存储区,而不是存放在其它可以通过USB接口进行读取的存储区域。这样,杀毒软件或者普通的格式化操作是清除不掉该代码的,从而使USB设备在接入PC等设备时,可以欺骗PC的操作系统,从而达到某些目的。
事件九、Shellshock漏洞
2014年9月25日,US-CERT公布了一个严重的Bash安全漏洞(CVE-2014 -6271) 。由于Bash是Linux用户广泛使用的一款用于控制命令提示符工具,从而导致该漏洞影响范围甚广。安全专家表示,由于并非所有运行Bash的电脑都存在漏洞,所以受影响的系统数量或许不及“心脏流血”。不过,Shellshock本身的破坏力却更大,因为黑客可以借此完全控制被感染的机器,不仅能破坏数据,甚至会关闭网络,或对网站发起攻击。
事件十、500万谷歌账户信息被泄露
2014年9月,大约有500万谷歌的账户和密码的数据库被泄露给一家俄罗斯互联网网络安全论坛。这些用户大多使用了Gmail邮件服务和美国互联网巨头的其他产品。据俄罗斯一个受欢迎的IT新闻网站CNews报道,论坛用户tvskit声称60%的密码是有效的,一些用户也确认在数据库里发现他们的数据。
事件十一、飓风熊猫本地提权工具
2014年10月,CrowdStrike发现飓风熊猫这个本地提权工具,飓风熊猫是主要针对基础设施公司的先进攻击者。国外专业人士还表示,该攻击代码写的非常好,成功率为100%。我们知道飓风熊猫使用的是“ChinaChopper”Webshell,而一旦上传这一Webshell,操作者就可试图提升权限,然后通过各种密码破解工具获得目标访问的合法凭证。该本地提权工具影响了所有的Windows版本,包括Windows7和WindowsServer 2008 R2 及以下版本。
事件十二、赛门铁克揭秘间谍工具regin
2014年11月24日,赛门铁克发布的一份报告称,该公司发现了一款名为“regin”的先进隐形恶意软件。这是一款先进的间谍软件,被称为史上最为复杂的后门木马恶意软件。该软件被用于监视政府机关、基础设施运营商、企业、研究机构甚至针对个人的间谍活动中。
事件十三、索尼影业公司被黑客攻击
2014年12月,索尼影业公司被黑客攻击。黑客对索尼影业公司发动的这次攻击影响令人感到震惊:摄制计划、明星隐私、未发表的剧本等敏感数据都被黑客窃取,并逐步公布在网络上,甚至包括到索尼影业员工的个人信息。预计索尼影业损失高达1亿美元,仅次于2011年被黑客攻击的损失。
事件十四、12306用户数据泄露含身份证及密码信息
2014年12月25日,乌云漏洞报告平台报告称,大量12306用户数据在互联网疯传,内容包括用户帐号、明文密码、身份证号码、手机号码和电子邮箱等。这次事件是黑客首先通过收集互联网某游戏网站以及其他多个网站泄露的用户名和密码信息,然后通过撞库的方式利用12306的安全机制的缺欠来获取了这13万多条用户数据。同时360互联网安全中心就此呼吁,12306用户尽快修改密码,避免已经订到的火车票被恶意退票。另外如果有其他重要帐号使用了和12306相同的注册邮箱和密码,也应尽快修改密码,以免遭遇盗号风险。
“大数据时代,在充分挖掘和发挥大数据价值同时,解决好数据安全与个人信息保护等问题刻不容缓。”中国互联网协会副秘书长石现升在贵阳参会时指出。
员工监守自盗数亿条用户信息
今年初,公安部破获了一起特大窃取贩卖公民个人信息案。
被窃取的用户信息主要涉及交通、物流、医疗、社交和银行等领域数亿条,随后这些用户个人信息被通过各种方式在网络黑市进行贩卖。警方发现,幕后主要犯罪嫌疑人是发生信息泄漏的这家公司员工。
业内数据安全专家评价称,这起案件泄露数亿条公民个人信息,其中主要问题,就在于内部数据安全管理缺陷。
国外情况也不容乐观。2016年9月22日,全球互联网巨头雅虎证实,在2014年至少有5亿用户的账户信息被人窃取。窃取的内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登陆密码。
企业数据信息泄露后,很容易被不法分子用于网络黑灰产运作牟利,内中危害轻则窃财重则取命,去年8月,山东高考生徐玉玉被电信诈骗9900元学费致死案等数据安全事件,就可见一斑。
去年7月,微软Window10也因未遵守欧盟“安全港”法规,过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告。
上海社会科学院互联网研究中心发布的《报告》指出,随着数据资源商业价值凸显,针对数据的攻击、窃取、滥用和劫持等活动持续泛滥,并呈现出产业化、高科技化和跨国化等特性,对国家和数据生态治理水平,以及组织的数据安全能力都提出了全新挑战。
当前,重要商业网站海量用户数据是企业核心资产,也是民间黑客甚至国家级攻击的重要对象,重点企业数据安全管理更是面临严峻压力。
企业、组织机构等如何提升自身数据安全能力?
企业机构亟待提升数据安全管理能力
“大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节,包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称,大数据安全事件风险成因复杂交织,既有外部攻击,也有内部泄密,既有技术漏洞,也有管理缺陷,既有新技术新模式触发的新风险,也有传统安全问题的持续触发。
5月27日,中国互联网协会副秘书长石现升称,互联网日益成为经济社会运行基础,网络数据安全意识、能力和保护手段正面临新挑战。
今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题,重点做了强调。法案要求各类组织应切实承担保障数据安全的责任,即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。
石现升介绍,实际早在2015年国务院就发布过《促进大数据发展行动纲要》,就明确要“健全大数据安全保障体系”、“强化安全支撑,提升基础设施关键设备安全可靠水平”。
“目前,很多企业和机构还并不知道该如何提升自己的数据安全管理能力,也不知道依据什么标准作为衡量。”一位业内人士分析称,问题的症结在于国内数据安全管理尚处起步阶段,很多企业机构都没有设立数据安全评估体系,或者没有完整的评估参考标准。
“大数据安全能力成熟度模型”已提国标申请
数博会期间,记者从“大数据安全产业实践高峰论坛”上了解到,为解决此问题,全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同,着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》,该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。
阿里巴巴集团安全部总监郑斌介绍DSMM。
作为此标准项目的牵头起草方,阿里巴巴集团安全部总监郑斌介绍说,该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿,旨在与同行业分享阿里经验,提升行业整体安全能力。
“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称,《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。
—“分析家”的存在。正是贾斯帕协助美国中央情报局查获了据称是“分析家”指导下的两个加州“黑客”。被捕后,“分析家”及其同伙被拘押在特拉维夫南郊的贝特亚姆警察局。警方没收了他们的护照。“黑客”——“分析家”在被捕前接受一家网上