近日,发生了一起令美国商品期货交易委员会(CFTC)比较尴尬的事情。美国少年萨尔曼·莱辛,透过一个植入到银行结算系统中的一个后台程序,合法的窃走了82亿美元。
CFTC虽然没有详细说明情况,根据已经公布的细节,大概可以描绘出整个过程。
萨尔曼从互联网公开漏洞主机列表中发现一台开设的端口很少,但却链接互联网的主机,有些反常。通过已知的漏洞入侵操作,轻而易举地获得了主机的控制权。意外的是,萨尔曼发现,这台主机竟然是既链接了互联网,又接入了富通银行的内部网的一台调试终端机。
据新加坡《联合早报》引述《纽约时报》报道,美国2003年攻打伊拉克之前,五角大楼及情报机构曾经拟定一套大胆的网络攻击计划,以冻结萨达姆总统的数十亿美元银行户头,并且使到伊拉克政府的金融系统瘫痪,让萨达姆没钱购买军事物资和支付薪水给军队。
据报道,美国虽有这个能力,布什政府却担心,它对伊拉克的效果不大,反而可能引起全球金融灾难,波及中东、欧洲以及美国,结果没有付诸行动。
奥巴马上台后,白宫和五角大楼高层正在谨慎研究网络战争的规则和战术,而最棘手的问题是如何避免引发诸如此类的“间接破坏”。
两任总统作风不同之处是,布什政府认真研究网络攻击,奥巴马却是第一个主张网络安全,既保护美电脑网络,又可攻击仇敌,并且把这项重任交给即将受委的白宫主任。
不过,白宫高级官员仍然担心殃及池鱼,在发动网络攻击时,无意中伤害平民,以及破坏平民的设施。参与五角大楼设立新“网络司令部”的国防部高级官员和军官也承认,间接破坏是他们最大的担忧。
一名高级官员说:“我们深深关注某些电脑网络运作的次级和三级作用,以及对威胁作出适当攻击的战争法。”
这名官员也指出,由于担心伤害无辜,迫使军方放弃一些攻击任务。“在某些程度上,我们如今自我克制,因为我们仍然无法在网络世界找到答案。”
在去年的Chaos Communication Congress(CCC)会议上,安全研究人员利用215台PS3主机组成的集群攻击MD5算法,破解SSL加密。
而上个月的Black Hat USA 2009会议上,研究人员声称他们利用12台机器组成的集群,每台机器分别有两个ATI Radeon HD 4850 X2显卡,实现了更快的MD5碰撞,这些显卡消耗的电力不到PS3集群的五分之一,价格也廉价得多。
他们用汇编语言写成的程序在ATI显卡上获得16亿 MD5 hash/sec,或逆向22亿 MD5 hash/sec,两数字都高于PS3。
来自Solidot
“任何单位或者个人不得利用计算机信息系统非法截取、篡改、删除他人电子邮件或者其他数据资料,不得擅自公开他人的信息资料,违者对个人处以5000元以下罚款,对单位处以5000元以上15000元以下罚款。情节严重的,可取消其联网资格;构成犯罪的,依法追究刑事责任。”
近日结束的宁夏回族自治区十届人大常委会第十一次会议审议通过了《宁夏回族自治区计算机信息系统安全保护条例》,条例将于10月1日起施行。这是宁夏回族自治区制定的第一部有关计算机信息网络方面的地方性法规。
条例规定,任何单位或者个人不得利用计算机信息系统,实施未经允许,进入计算机信息系统或者非法占有、窃取、使用计算机信息系统资源;对计算机信息系统的功能或者存储、处理、传输的数据和应用程序进行控制、删除、修改或者增加;故意制作、传播计算机病毒、恶意软件等破坏性程序;提供专门用于侵入、非法控制他人计算机信息系统的程序或者工具;窃取他人账号和密码,或者擅自向第三方公开他人账号和密码;假冒他人名义发布、发送信息,或者以其他方式进行网络诈骗;买卖法律、法规禁止流通的物品;非法提供虚假票据、证件。条例还规定了互联网服务提供者和联网单位不得侵犯用户的通信自由和通信秘密,不得公开、泄露用户注册信息,不得擅自占有、使用用户资源。如有违反,要承担相应的法律责任。
没有哪次黑帽大会在结束前不向IT界扔出几个重磅炸弹的。黑帽大会的听众们经常在现场目瞪口呆的发现他们以前认为钢筋铁骨一般的安全措施在一些黑帽研究员面前瞬间变成了扑克牌搭成的纸房子。
Moxie Marlinspike就是其中的一位研究员,这次在拉斯维加斯,他向人们展示的是SSL是怎样变成一推就倒的纸房子。你认为SSL是安全的吗?再想想吧。但是据Marlinspike说,这不是SSL本身的问题,这项用于保护Web(http)安全的协议本身是没问题的。而问题出在大多数的SSL执行方法是完全不安全的。这包括大多数的主要银行、电子邮件系统,还有社交网站等等。甚至包括大多数软件自动更新机制。为了更多了解一些关于这个似乎会让整个网络崩溃的SSL问题,我特意访问了Marlinspike。
“基本的想法就像是对桥梁进行攻击,”Marlinspike告诉我。“SSL部署在网页的方式比较特别。SSL本是一项安全协议,但却很少直接调用,总是要经过一些HTTP连接才起作用。比方说你正在使用HTTP,你的浏览器一般碰到了类似于“登录”或“我的购物车”或“去结帐”之类的链接,你按一下,然后才可以进入SSL的安全世界。请你考虑一下,SSL协议本身很安全,但它实际上要建立在HTTP的基础上,而HTTP是很不安全的。所以就算再安全的东西如果搭建在不安全的基础上也就丧失了它的安全性。
Defcon黑客会议上在一个令人恐惧的介绍引起了我们的注意,一名安全研究人员发现联邦航空管理局(FAA)的空中交通管制系统极为脆弱,非常容易被利用。
黑客利用此漏洞后,只需要提供一个虚假身份去体检,让医生出具一个航空医疗证明证明你适合飞行,并输入一个飞行学员的证书号码就可以提交飞行计划。
这意味着9·11这样的悲剧可以再次发生,而且恐怖分子不再需要劫持飞机而是可以自己带着炸弹看似合法地上天。
此外,FAA管制系统还有可以导致DoS的漏洞,用户可以发出大量飞行计划请求,导致整个系统崩溃。
根据FAA自身的报告,到今年5月份一共发现763个应用程序的漏洞,FAA表示正在努力解决问题,到2010年2月将修补完大量类似于以上描述的一些问题,但最大的问题是资金不足,而下一代ATC正在阿拉斯加测试中,还没有快速应用的可能。
来自cnBeta
HP、Dell、联想、Toshiba、Gateway、Asus和松下最近生产的新笔记本提供了名为Computrace LoJack for Laptops的服务,主要是为了防止电脑失窃之后,硬盘中的机密数据被泄露。Computrace LoJack for Laptops寄存在BIOS中,60%的新笔记本都预安装了该程序,它能周期性的向一个中心认证机构联系,接受其指令。万一笔记本被窃取之后,自动通报机制允许发送清理硬盘内所有信息的指令,或追踪电脑系统的位置。
Computrace LoJack for Laptops显然深入底层,能对系统实施完全控制,可在硬盘格式化后或系统重装后继续保留。但在赌城的Black Hat黑客大会上,安全研究人员Alfredo Ortega和Anibal Sacco指出,这项服务存在设计缺陷,缺乏强认证功能,威胁系统的安全。
他们称它也许是一个合法的rootkit,但同时也是一个危险的rootkit,恶意攻击者有可能控制自动通报进程。自动通报包含了IP地址,端口和URL等,恶意攻击者可以将IP地址和URL指向恶意程序网站,向笔记本下载恶意程序。BIOS恶意程序将很难清除掉。
来自Solidot
美国国防部7月30日称,五角大楼正在重新评估是否屏蔽社交类、博客类等基于WEB2.0技术的网站,因为从军事机构内登陆这些网站可能对敏感军事情报构成安全威胁。
美军战略司令部发言人查理·德雷夫说:“(国防部)正在重新评估是否批准从国防部网络登录社交类网站。现在评论评估结果为时尚早。”
法新社报道,此前,五角大楼曾经考虑过是否堵截一些外部网站的登录通道,原先仅仅是担心从军事机构登录这些网站可能会占用网络带宽。如今启动的重估程序是因为社交类、博客类网站的动态网页特征使内部军事网络更易遭黑客攻击。
五角大楼发言人埃里克·巴特鲍说,重估工作包括是否为登录社交网站设限、如何降低遭袭风险等等。他说,军方正在起草新政策,对使用基于WEB2.0技术的网站采取相关措施。
相对WEB1.0网站的静态HTML网页,WEB2.0网站加强了网站使用者和网站之间的互动,网页动态生成,数据流动更加自由。由于数据自由流动和网页动态生成等特征,WEB2.0网站也给网络“黑客”创造了更多活动余地,使网络袭击更加容易。
来自金羊网-羊城晚报
英特尔日前表示其大量台式机和服务器主板出现基本输入输出系统(BIOS)安全问题。
英特尔于本周三发布了BIOS的更新内容,并于公告中表示它主板的特定型号含有提权(一种被黑客用来获得对一个系统或网络控制的方法)漏洞。这个漏洞可能使已获得管理级权限的攻击者改变正运行在系统管理模式的代码,系统管理模式是一种运行于操作系统控制外的特权模式。
英特尔在公告中还表示:“在这个模式下运行的恶意软件可能造成许多破坏。”
英特尔表示其之前未意识到漏洞的出现,建议系统管理员立即申请Bios的更新内容。
被感染的台式机主板包括:D5400XS, DX58SO, DX48BT2, DX38BT, DP45SG, DQ45CB, DQ45EK, DQ43AP, DB43LD, DG41MJ, DG41RQ, DG41TY, DG45ID, DG45FC, DG43NB, DP43TF, DQ35JO, DQ35MP, DG33BU, DG33FB, DG33TL, DP35DP, D945GSEJT, D945GCLF 和D945GCLF2。
被感染的服务器主板包括:S3000, S3200, S5000, S5400和S5500系列。
