安全公告 - PDF 免费下载

信息安全漏洞威胁通报第 1 页共 60 页

信息安全漏洞威胁通报安恒信息信息安全漏洞威胁通报 2016 年第 32 期 2016.08.18-2016.08.24 根据中国国家信息安全漏洞库统计, 本周共收集整理信息安全漏洞 189 个, 其中高危漏洞 81 个中危漏洞 103 个低危漏洞 5 个本周收录的漏洞中, 涉及 0day 漏洞 52 个 ( 占 28%) 其中互联网上出现 ZOHO WebNMSFramework 存在多个漏洞 (CNVD-2016-06370 CNV D-2016-06371) 等零日漏洞, 此外互联网上披露了应用广泛的网络服务器监控软件 zabbix 存在的高危漏洞, 请使用相关产品的用户注意加强防范近期,CNVD 发布了关于 zabbix 存在 SQL 注入高危漏洞的安全公告, 请关注 2.3 章节查看详细信息二零一六年八月二十四日第 2 页共 60 页

信息安全漏洞威胁通报目录 1 漏洞预警...5 1.1 漏洞概况... 5 1.2 漏洞增长数量及种类分布情况... 7 1.2.1 漏洞产生原因 (2016 年 08 月 18 日 -2016 年 08 月 24 日 )... 7 1.2.2 漏洞引发的威胁 (2016 年 08 月 18 日 -2016 年 08 月 24 日 ). 7 1.2.3 漏洞影响对象类型 (2016 年 08 月 18 日 -2016 年 08 月 24 日 )8 1.2.4 漏洞严重程度 (2016 年 08 月 18 日 -2016 年 08 月 24 日 )... 8 1.3 漏洞预警... 9 1.3.1 IBM MQ Appliance 本地命令执行漏洞... 10 1.3.2 Libav 'resample.c' 堆缓冲区溢出漏洞... 9 1.3.3 Samsung Security Manager 存在远程代码执行漏洞... 10 1.3.4 phpmyadmin 远程代码执行漏洞... 12 1.3.5 ReadyDesk SQL 注入漏洞... 13 1.3.6 IBM BigFix 平台操作系统命令注入漏洞... 14 1.3.7 zabbix 存在 SQL 注入漏洞... 15 1.3.8 PHP 'ext/mbstring/php_mbregex.c' 缓冲区溢出漏洞... 16 1.3.9 SAP Hybris E-commerce Suite 默认凭据验证绕过漏洞... 16 1.3.10 Cisco Firepower Management Center 和 ASA 5500-X Series with FirePOWER Services 权限提升漏洞... 17 2 病毒及 0day 预警...19 2.1 本周流行网络病毒预警... 19 2.1.1 Worm.AutoIt.b( 蠕虫病毒 )... 19 2.1.2 Trojan.Win32.Fednu.rr 木马病毒 )... 19 2.1.3 Backdoor.Win32.Mydoom.d( 后门病毒 )... 20 2.1.4 Worm.Win32.Gamarue.z( 蠕虫病毒 )... 20 2.2 病毒防范措施... 21 2.3 关于 zabbix 存在 SQL 注入高危漏洞的安全公告... 22 2.3.1 漏洞概述... 22 2.3.2 漏洞影响范围及修复建议... 22 3 网站安全及安全事件...24 3.1 钓鱼与挂马网站统计... 24 3.2 网站安全防护建议... 26 第 3 页共 60 页

信息安全漏洞威胁通报 4 安全资讯...27 4.1 国内安全资讯... 27 4.1.1 ISC2016 移动安全论坛开讲聚焦移动端隐私泄露新风险... 27 4.1.2 网络安全应加强刑法保护... 30 4.1.3 郝叶力 : 网络空间治理求同存异中国声音获国际认同.. 30 4.1.4 智慧城市 : 我们能承受黑客的攻击吗?... 33 4.1.5 加强网络安全标准化意见发布 : 涉密网络等要制定强制性国标... 35 4.2 国际安全资讯... 42 4.2.1 食尸鬼行动攻击 30 多个国家超过 130 家企业包括中国 42 4.2.2 维基解密发布从土耳其执政党 AKP 服务器中窃取的邮件... 45 4.2.3 澳洲 15 岁少年对当地最大银行及 ACORN 网站发起 DDoS 攻击后被判无罪... 46 4.2.4 斯诺登新文件证实泄露的 NSA 工具真实性... 47 4.2.5 NSA 被黑或有可能成为第二起 TheHackingTeam 事件... 48 4.2.6 维基解密曝光上百名无辜民众敏感信息 : 涉及强奸受害者.. 50 4.2.7 加拿大皇家骑警要求立法允许警方强制获取嫌疑犯密码... 51 4.2.8 人脸识别也不安全美国科学家用几张照片就破解了... 51 4.2.9 匿名者为 #OpOlympicHacking 网络攻击开发出专用 DDoS 工具 53 4.2.10 美国能源部出资 3400 万美元奖励电网安全研发团队... 55 关于安恒...59 注 : 本通报根据安恒信息风暴中心和国内各大信息安全机构网站整理分析而成请关注安恒风暴中心第 4 页共 60 页

漏洞预警 1 漏洞预警 1.1 漏洞概况本周漏洞趋势图本周, 中国国家信息安全漏洞库收录了 189 个漏洞其中应用程序漏洞 135 个, 网络设备漏洞 25 个,web 应用漏洞 13 个, 安全产品 10 个, 操作系统漏洞 4 个, 数据库漏洞 2 个漏洞影响对象类型漏洞数量应用程序漏洞 135 网络设备漏洞 25 Web 应用漏洞 13 安全产品漏洞 10 操作系统漏洞 4 数据库漏洞 2 第 5 页共 60 页

漏洞预警第 6 页共 60 页

漏洞预警 1.2 漏洞增长数量及种类分布情况 1.2.1 漏洞产生原因 (2016 年 08 月 18 日 -2016 年 08 月 24 日 ) 1.2.2 漏洞引发的威胁 (2016 年 08 月 18 日 -2016 年 08 月 24 日 ) 第 7 页共 60 页

漏洞预警 1.2.3 漏洞影响对象类型 (2016 年 08 月 18 日 -2016 年 08 月 24 日 ) 1.2.4 漏洞严重程度 (2016 年 08 月 18 日 -2016 年 08 月 24 日 ) 第 8 页共 60 页

漏洞预警 1.3 漏洞预警 1.3.1 Libav 'resample.c' 堆缓冲区溢出漏洞发布时间 : 2016-08-20 更新时间 : 2016-08-20 受影响产品 : Libav Libav 11.3 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 高远程网络低 Libav( 前身是 FFmpeg) 是 Libav 团队的一套跨平台的可对音频和视频进行录制转换的解决方案, 它包含了一个 libavcodec 编码器 Libav 11.3 版本中存在堆缓冲区溢出漏洞该漏洞源于程序未能对用户提交的输入执行正确的边界检查攻击者可利用该漏洞在受影响应用程序上下文中执行任意代码, 也可能造成拒绝服务安全建议 : 目前厂商已经发布了升级补丁以修复此安全问题, 详情请关注厂商主页 : http://libav.org/ 第 9 页共 60 页

漏洞预警 1.3.2 IBM MQ Appliance 本地命令执行漏洞发布时间 : 2016-08-21 更新时间 : 2016-08-21 受影响产品 : IBM MQ Appliance M2000 IBM MQ Appliance M2001 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 高本地低 IBM MQ Appliance 是一种解决方案, 可支持 IBM MQ 部署于新用例, 并简化现有部署选项 IBM MQ Appliance 存在本地命令执行漏洞允许本地攻击者可以利用漏洞执行任意命令和获得敏感信息安全建议 : 用户可参考如下供应商提供的安全公告获得补丁信息 : http://www-01.ibm.com/support/docview.wss?ui d=swg21987697 第 10 页共 60 页

漏洞预警 1.3.3 Samsung Security Manager 存在远程代码执行漏洞发布时间 : 2016-08-20 更新时间 : 2016-08-20 受影响产品 : 危害级别 : 攻击途径 : 攻击复杂度 : Samsung Security Manager(SSM) 高远程网络低漏洞描述 : Samsung Security Manager(SSM) 是韩国三星 (S amsung) 公司的一套录像设备的中心管理平台, 它支持站点群组管理显示登记的设备列表通过鼠标拖放或双击操作实现指定视频边框播放等 SSM 中存在远程代码执行漏洞攻击者可利用这些漏洞执行任意代码安全建议 : 目前厂商已经发布了升级补丁以修复此安全问题, 详情请关注厂商主页 : http://www.samsungsecurity.com/ 第 11 页共 60 页

漏洞预警 1.3.4 phpmyadmin 远程代码执行漏洞发布时间 : 2016-08-20 更新时间 : 2016-08-20 受影响产品 : phpmyadmin phpmyadmin 4.6.*,<4.6.4 phpmyadmin phpmyadmin 4.4.*,<4.4.15.8 phpmyadmin phpmyadmin 4.0.*,<4.0.10.17 危害级别 : 攻击途径 : 攻击复杂度 : 高远程网络低漏洞描述 : phpmyadmin 是 MySQL 数据库的在线管理工具 phpmyadmin 存在远程代码执行漏洞, 攻击者利用此漏洞可在受影响应用上下文中执行任意代码安全建议 : 目前厂商已经发布了升级补丁以修复这个安全问题, 请到厂商的主页下载 : http://www.phpmyadmin.net/home_page/securit y/ 第 12 页共 60 页

漏洞预警 1.3.5 ReadyDesk SQL 注入漏洞发布时间 : 2016-08-20 更新时间 : 2016-08-20 漏洞编号 : CVE(CAN) ID: CVE-2016-5048 受影响产品 : ReadyDesk ReadyDesk 9.1 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 高远程网络低 ReadyDesk 是美国 ReadyDesk 公司的一套基于 Web 的帮助台软件解决方案 ReadyDesk 9.1 版本中存在 SQL 注入漏洞, 攻击者可利用该漏洞控制应用程序, 访问或修改数据, 或利用底层数据库中潜在的漏洞安全建议 : 目前没有详细解决方案提供 : http://www.readydesk.com/ 第 13 页共 60 页

漏洞预警 1.3.6 IBM BigFix 平台操作系统命令注入漏洞发布时间 : 2016-08-19 更新时间 : 2016-08-18 受影响产品 : IBM BigFix platform 9.0 IBM BigFix platform 9.1 IBM BigFix platform 9.2 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 高远程网络高 IBM BigFix( 前称 IBM Endpoint Manager,Tivol i Endpoint Manager) 是美国 IBM 公司的一套系统管理软件该软件提供远程控制补丁管理软件分发操作系统部署网络访问保护等功能 IBM BigFix 平台 9.0,9.1 和 9.2 的版本中存在操作系统命令注入漏洞攻击者可借助特定的报告服务器利用该漏洞注入操作系统命令安全建议 : 目前厂商已经发布了升级补丁以修复此安全问题, 补丁获取链接 : http://www-01.ibm.com/support/docview.wss?u id=swg21985748 第 14 页共 60 页

漏洞预警 1.3.7 zabbix 存在 SQL 注入漏洞发布时间 : 2016-08-18 更新时间 : 2016-08-18 受影响产品 : Zabbix Zabbix 3.0.x Zabbix Zabbix 2.2.13 危害级别 : 攻击途径 : 攻击复杂度 : 高远程网络低漏洞描述 : zabbix 是一个开源的企业级性能监控解决方案 zabbix 的 jsrpc 中 profileidx2 参数存在 insert 方式的 SQL 注入漏洞攻击者无需授权即可登录 zabbix 管理系统, 也可通过 script 等功能直接获取 zabbix 服务器的操作权限安全建议 : 用户可参考如下厂商提供的安全补丁以修复该漏洞 : http://www.zabbix.com/download.php 第 15 页共 60 页

漏洞预警 1.3.8 PHP 'ext/mbstring/php_mbregex.c' 缓冲区溢出漏洞发布时间 : 2016-08-21 更新时间 : 2016-08-21 受影响产品 : PHP PHP 5.6.24 危害级别 : 攻击途径 : 攻击复杂度 : 高远程网络高漏洞描述 : PHP 是一种开源的通用计算机脚本语言 PHP 'ext/mbstring/php_mbregex.c' 存在缓冲区溢出漏洞, 攻击者可利用该漏洞在受影响的应用程序上下文中执行任意代码, 也可能造成拒绝服务安全建议 : 用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞 : https://bugs.php.net/bug.php?id=72710 1.3.9 SAP Hybris E-commerce Suite 默认凭据验证绕过漏洞发布时间 : 2016-08-20 更新时间 : 2016-08-20 受影响产品 : SAP Hybris E-commerce Suite 5.1.0.3 危害级别 : 攻击途径 : 高远程网络第 16 页共 60 页

漏洞预警攻击复杂度 : 漏洞描述 : 低 SAP Hybris E-commerce Suite 是电子商务软件与多渠道商务解决方案 SAP Hybris E-commerce Suite 默认凭据验证绕过漏洞攻击者可以利用漏洞以获得未经授权的访问受影响的应用程序安全建议 : 目前没有详细解决方案提供 : http://go.sap.com/index.html 1.3.10 Cisco Firepower Management Center 和 ASA 5500-X Series with FirePOWER Services 权限提升漏洞发布时间 : 2016-08-22 更新时间 : 2016-08-19 漏洞编号 : CVE(CAN) ID: CVE-2016-1458 受影响产品 : Cisco FirePOWER Management Center 4.10.3 Cisco FirePOWER Management Center 5.2.0 Cisco FirePOWER Management Center 5.3.0 Cisco FirePOWER Management Center 5.3.1 Cisco FirePOWER Management Center 5.4.0 Cisco ASA 5500-X Series with FirePOWER 5.4.0 第 17 页共 60 页

漏洞预警 Cisco ASA 5500-X Series with FirePOWER 5.3.1 Cisco ASA 5500-X Series with FirePOWER 5.2.0 Cisco ASA 5500-X Series with FirePOWER 5.3.0 Cisco ASA 5500-X Series with FirePOWER 4.10.3 危害级别 : 攻击途径 : 高远程网络攻击复杂度 : 低漏洞描述 : Cisco Firepower Management Center 和 Cisco ASA 5500-X Series with FirePOWER Services 都是美国思科 (Cisco) 公司的新一代防火墙软件 Cisco Firepower Management Center 和 Cisco ASA 5500-X Series with FirePOWER Services 中的 we b-based GUI 存在权限提升漏洞远程攻击者可通过发送 HTTP 请求利用该漏洞获取提升的权限安全建议 : 目前厂商已经发布了升级补丁以修复此安全问题, 补丁获取链接 : http://tools.cisco.com/security/center/conten t/ciscosecurityadvisory/cisco-sa-20160817-fir epower 第 18 页共 60 页

病毒及 0DAY 预警 2 病毒及 0day 预警 2.1 本周流行网络病毒预警 2.1.1 Worm.AutoIt.b( 蠕虫病毒 ) 警惕程度病毒运行后查找主流杀毒软件进程, 并尝试将其结束同时病毒还将修改用户的注册表, 以便实现开机自启动除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意网址刷流量, 占用大量网络资源用户一旦中毒, 有可能出现网络拥堵等现象 2.1.2 Trojan.Win32.Fednu.rr 木马病毒 ) 警惕程度病毒通过系统关键位置释放大量恶意软件或者劫持原系统文件, 供恶意软件加载等形式, 并命名为系统文件名字, 具有迷惑性, 然后修改属性为隐藏, 设置服务自启动电脑中毒后, 用户将面临隐私信息被盗财产安全威胁等问题第 19 页共 60 页

病毒及 0DAY 预警 2.1.3 Backdoor.Win32.Mydoom.d( 后门病毒 ) 警惕程度病毒运行后查找主流杀毒软件进程, 并尝试将其结束同时病毒还将修改用户的注册表, 以便实现开机自启动除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意网址刷流量, 占用大量网络资源用户一旦中毒, 有可能出现网络拥堵等现象 2.1.4 Worm.Win32.Gamarue.z( 蠕虫病毒 ) 警惕程度病毒运行后查找主流杀毒软件进程, 并尝试将其结束同时病毒还将修改用户的注册表, 以便实现开机自启动除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意网址刷流量, 占用大量网络资源用户一旦中毒, 有可能出现网络拥堵等现象第 20 页共 60 页

病毒及 0DAY 预警 2.2 病毒防范措施计算机用户在浏览 Web 网页时, 务必打开计算机系统中防病毒软件的网页监控功能同时, 计算机用户应及时下载安装操作系统已安装应用软件的最新漏洞补丁或新版本, 防止恶意木马利用漏洞进行入侵感染操作系统同时网络管理人员也要定期维护升级网站服务器, 检查服务器所存在的漏洞和安全隐患, 进行及时地修复和加固用户使用杀毒软件务必即时充分升级, 每天升级 2 到 3 次以上, 以保证病毒库获取最新信息警惕不明网站陌生邮件, 尤其注意邮件附件而对于重点网站, 或者热门网站, 如政府网站和各大媒体网站论坛, 很有可能被利用现有的漏洞进行挂马, 或跳转到其他恶意网站做好系统和重要数据的备份不浏览不良网站, 不随意下载安装可疑插件 ; 不接收 QQ 邮件微博私信等传来的可疑文件第 21 页共 60 页

病毒及 0DAY 预警 2.3 关于 zabbix 存在 SQL 注入高危漏洞的安全公告 2.3.1 漏洞概述近日, 国家信息安全漏洞共享平台 (CNVD) 收录了 zabbix 存在的 SQL 注入漏洞 (CNVD-2016-06408) 攻击者利用漏洞无需授权登录即可控制 zabbix 管理系统, 或通过 script 等功能直接获取 zabbix 服务器的操作权限, 进而有可能危害到用户单位整个网络系统的运行安全由于 zabbix 服务器在境内应用较为广泛, 有可能诱发较高的大规模攻击风险 zabbix 是一个基于 WEB 界面的提供分布式系统监视以及网络监视功能的企业级开源解决方案由于 zabbix 默认开启了 guest 权限, 且默认密码为空, 导致 zabbix 的 jsrpc 中 profileidx2 参数存在 insert 方式的 SQL 注入漏洞攻击者利用漏洞无需登录即可获取网站数据库管理员权限, 或通过 script 等功能直接获取 zabbix 服务器的操作系权限 2.3.2 漏洞影响范围及修复建议漏洞影响较低版本 zabbix 系统, 如已经确认的 2.2.x, 3.0.0-3.0.3 版本根据 CNVD 初步普查情况, 约有 3.5 万台 zabbix 服务器暴露在互联网上, 其中排名 TOP 5 的国家和地区如下 : 中国 (24.9%) 美国 (18.8%) 俄罗斯 (9.0%) 巴西 (8.0%) 德国 (5.4%), 在中国境内排名 TOP5 的省份为 : 北京 (32.6%) 浙江第 22 页共 60 页

病毒及 0DAY 预警 (23.2%) 广东 (11.4%) 上海 (7.8%) 江苏 (4.3%) 同时, 根据 CNVD 抽样测试结果 ( 样本数量 >500),zabbix 服务器受漏洞直接影响 ( 验证可攻击成功 ) 的比例为 34.8%, 影响比例较高通过对比发现, 在不受漏洞影响的服务器样本中, 有一部分服务器 Header 字段中不存在 zbx_sessionid 信息, 对于防范攻击有一定的帮助用户可通过禁用 guest 账户缓解该漏洞造成的威胁目前, 厂商已发布新版本修复此漏洞, 建议用户关注厂商主页, 升级到最新版本第 23 页共 60 页

网站安全及安全事件 3 网站安全及安全事件 3.1 钓鱼与挂马网站统计本周关注的钓鱼网站 : 图 1 截止 8 月 21 日全国遭受挂马和钓鱼网站攻击人数趋势图钓鱼网站类型危害网址假冒 facebook 类钓鱼网站假冒 Apple ID 类钓鱼网站假冒 Paypal 类钓鱼网站骗取用户账号及密码信息骗取用户账号及密码信息骗取用户账号及密码信息 http://uk-091543.pe.hu/lo g.php http://gardinhaag.com/app le/ http://service-connection -sv1.top/ 第 24 页共 60 页

网站安全及安全事件钓鱼网站类型危害网址假冒 Gmail 邮箱类钓鱼网站假冒腾讯游戏类钓鱼网站骗取用户邮箱账号及密码信息虚假软件信息, 骗取用户账号及密码信息 http://comnp.co/dremmc/ http://www.dnf03.com/ 第 25 页共 60 页

网站安全及安全事件 3.2 网站安全防护建议安恒信息作为一家致力于 WEB 应用安全的专业产品和服务提供商, 建议用户进行以下安全建设, 以长期保证用户应用信息系统的安全 1 使用专业的网站安全服务, 实时监测网站安全状态, 风暴中心使用自动化安全监测技术和安全工程师双重监测, 进行并提供 7*24 人工值守服务, 保障用户网站安全同时, 用户可根据监测结果针对性要求开发与安全运维人员为网站进行加固 2 配备专业的 WEB 应用防火墙, 针对来自互联网的主流 WEB 应用安全攻击进行安全防护 3 使用专业的 WEB 云安全防御服务, 及时对 0day 漏洞防御策略进行更新, 第一时间防御漏洞攻击, 快速保障网站安全 4 建立和完善一套有效的安全管理制度, 对信息系统的日常维护和使用进行规范 5 建立起一套完善有效的应急响应预案和流程, 并定期进行应急演练, 一旦发现发生任何异常状况可及时进行处理和恢复, 有效避免网站业务中断带来损失 6 定期对相关管理人员和技术人员进行安全培训, 提高安全技术能力和实际操作能力第 26 页共 60 页

4 安全资讯 4.1 国内安全资讯 4.1.1 ISC2016 移动安全论坛开讲聚焦移动端隐私泄露新风险日前, 第四届中国互联网安全大会 (ISC 2016) 在北京国家会议中心隆重召开, 移动安全问题再度成为众多与会嘉宾关注和热议的话题 8 月 17 日下午, 移动安全发展论坛邀请加州大学戴维斯分校计算机系教授陈浩复旦大学系统软件与安全实验室副主任张源从个人隐私保护问题移动安全终端移动支付安全等方面进行了热点问题剖析, 从技术管理层面提出应对方法移动广告中的安全和隐私危险据 CNNIC 最新报告数据显示, 截至 2016 年 6 月, 我国手机网民规模已达 6.56 亿, 网民中使用手机上网的人群占比达 92.5%; 此外, 截至今年 6 月我国网民使用手机支付的比例已提升至 64.7% 移动安全不仅关乎我们的隐私同样关乎我们的财产, 安防问题不容忽视在 ISC 2016 移动安全发展论坛上, 加州大学戴维斯分校计算机系教授陈浩也带来了其研究成果众所周知, 大部分手机软件都是免费的, 那收入从哪来? 陈浩教授提到, 广告收入占了很大比重, 而这些免费软件的广告中往往暗藏玄机第 27 页共 60 页

陈浩教授介绍, 移动广告平台通过将广告插件内置于手机 APP 中, 实现广告的海量投放及管理, 同时使开发者用户流量变现为广告收益, 最终形成一个由广告主手机广告代理商广告平台 APP 开发者移动运营商手机终端厂商和手机用户构成的移动广告利益链而目前应用程序存在的山寨问题如鲠在喉, 陈浩教授表示, 市场上这些和官方 APP 图标文字界面几乎一样难以辨别的山寨 APP 实则是行业中的搅局者他们令开发者减少受益, 使整个市场状况混乱存在不安全因素, 同时令用户难以寻找高质量的应用程序用户输入的信息成隐私数据主要来源论坛上, 复旦大学系统软件与安全实验室副主任张源也就移动平台应用软件隐私威胁与保护这一议题发表演讲张源对移动平台隐私威胁态势进行了分析, 他认为, 目前移动平台隐私面临计算模式平台环境开发环境以及生态环境四重威胁对于这四重威胁的具体体现, 张源认为 : 首先, 业务逻辑前端化, 将更多的隐私数据暴露在移动端 ; 第二, 在平台环境方面, 由于存在多个 APP 共享存储计算界面输入等资源问题, 致使终端环境复杂 ; 第三,APP 内部山头林立, 来自多个商业利益体的代码运行在一个程序中, 开发环境混乱 ; 最后, 生态环境方面, 由于第 28 页共 60 页

缺乏强有力手段保障 APP 的发行, 导致应用商城管理混乱重打包应用泛滥另外, 演讲过程中, 张源对目前移动平台威胁的新特点也进行了剖析目前, 在移动平台上, 用户输入的信息是隐私数据的主要来源, 账号和密码信息地址信息资金账户信息等, 这些敏感数据是软件安全应当着重关注的要点张源说, 目前用户输入类隐私数据 (UIP) 存在数据格式各异获取接口不规整隐私数据获取形式不多样等特点其中, 识别哪些数据是用户输入的敏感信息是保护用户数据类隐私数据的必要条件, 除此之外, 还需要识别 APP 中所有的 UIP 数据以及针对接受 UIP 数据的所有控件在论坛演讲中, 张源还对程序内部 SDK 可获取到哪些隐私如何识别 UIP 控件 UI 文本分析的思路方法以及面临的挑战等问题进行了介绍, 还特别提到了基于文本分析识别用户输入隐私控件获取用户输入隐私数据敏感 UI 控件的核心想法, 受到了在场嘉宾的极大关注此外,ISC2016 移动安全发展论坛中的各位嘉宾还就新趋势下, 从系统安全数据隐私移动互联网黑产移动支付安全等多个备受业内外人士关注的话题出发, 揭秘其中的新威胁并提供解决思路第 29 页共 60 页

4.1.2 网络安全应加强刑法保护十二届全国人大常委会第十五次会议审议通过的中华人民共和国国家安全法, 适应了国家安全形势发展变化的迫切需要, 明确了总体国家安全观的指导地位, 具有鲜明的时代特征其中, 网络空间主权是新国家安全法第一次提出的概念, 这体现了国家主权在网络空间的拓展和延伸, 表明网络安全与国家安全密不可分新国家安全法明确规定, 国家建设网络与信息安全保障体系, 加强网络管理, 防范制止和依法惩治网络攻击网络入侵网络窃密散布违法有害信息等网络违法犯罪行为由此可见, 网络安全离不开刑法的保护 4.1.3 郝叶力 : 网络空间治理求同存异中国声音获国际认同在刚刚结束的第四届中国互联网安全大会闭门论坛观潮上, 国家创新与发展战略研究会副会长中国国际战略学会高级顾问观潮 2016 洲际论坛主席郝叶力提出的三视角理论, 获得了中美俄欧等多国智库和专家学者的认同, 与会各方在全球网络治理解决国际网络安全问题方面达成初步共识, 一致认为应该从国家国际国民三个视角来综合考虑网络安全问题, 三视角理论框架为解决争议提供了有建设性的解决方法第 30 页共 60 页

三视角理论阐述网络主权的对立统一三视角理论, 是国家国民国际这三点出发, 用三边连成兼顾完整又聚焦收敛的共视区, 形成一个稳定的三角形, 在这个三角形里, 将网络空间分成三层, 即基础应用和核心三个层次三点在三边的框架内分三层有效对话, 从而跳出单点迷思和二元对立, 不同层面区别对待, 达成和谐共治的稳定三角过去习惯于把网络主权的争论焦点放在网络空间到底应不应该有主权, 也就是放在主权的演进性或延伸性上, 其实这根本就是不需要争论的事实, 网络空间早就成为继陆海空天之后的第五疆域郝叶力认为 : 分歧并不在于是否承认网络主权, 而在于承认主权覆盖哪些区域, 这个问题反映了不同国家对网络安全的痛点是不一样的国际社会应当尊重和理解各国的不同关切因此, 我们认为研究的关键, 是用分层的方法来具体分析网络主权的可分性, 进而找到主权排他性与让渡性的适用域虽然传统主权天然的是排他的, 但是在全球化时代, 网络主权是需要让渡的, 物理层应用层具有开放共享的让渡性, 核心层具有不可侵犯的排他性不允许滥用互联网的联通性来挑战主权国家的核心利益, 也不能以传统主权的排他性来动摇全球一网的基础平台让渡与排他的比重关系是因网络主权能否得到国际规则的尊重而改变第 31 页共 60 页

透明互信是网络空间治理的基础前美国陆军少将现任 Palo Alto Networks 公司副总裁兼首席安全官约翰戴维斯 ( 后称戴维斯 ) 在观潮结束后表示 : 开诚布公的探讨, 让我感触颇深我很荣幸参与到观潮这么重要的探讨中来, 郝叶力的三视角理论留给我深刻印象, 帮助我对网络主权有更全面的认识和了解, 论坛整体内容也给人启发俄罗斯安全互联网联盟总干事丹尼斯大卫多夫 ( 后称丹尼斯 ) 则表示 : 三视角理论的框架就像金字塔模型一样, 这个模型可以作为我们研究网络空间国际规则的基础, 是一个很好的方法, 后续将按照这个框架进一步深化一个有意思的现象是戴维斯与丹尼斯不仅在三视角理论上持相同观点, 还不约而同的认为, 透明互信是网络空间治理的基础戴维斯表示, 在美国战略中, 国家权力的元素包括外交权力信息权力 ( 公营和私营领域的信息独立的新闻媒体的信息个人和群体的信息 ) 经济权力执法权力情报权力和军事权力第 32 页共 60 页

4.1.4 智慧城市 : 我们能承受黑客的攻击吗? 物联网曾激起科技发烧友的好奇心, 而如今物联网已成为主流据市场研究咨询公司 MarketsandMarkets 估计, 物联网安全市场的收入将从 2016 年的 79 亿美元增长到 2021 的 369.5 亿美元, 年复合增长率为 36.1% 我们不是在讨论诸如家庭灯光系统或音频接收器这类的设备如今, 我们看到智慧建筑发展飞速, 但同时也被大量的安全问题困扰连接变得更为智能更广泛事实上, 就在上个月, 荷兰和韩国就构建了自己的国家物联网网络智慧城市不断崛起商业地产很大程度上得益于物联网应用 Gartner 预计,2016 年智能城市将使用 16 亿联网产品, 相比 2015 年增长 39% 众多全球组织机构正寻求创新解决方案, 以打造更便捷更节能更安全的智慧城市遗憾的是, 只有小部分考虑产品的 IT 安全值得庆幸的是, 信息安全行业和全球政府在关注智能城市的安全问题智慧城市和社区欧洲创新伙伴行动 (The European Innovation Partnership on Smart Cities and Communities,EIP-SCC) 将联合城市行业和民众通过更持续集成的解决方案改善城市生活 EIP-SCC 已发布了行动实施计划的公开草案第 33 页共 60 页

在 IT 安全研究人员公司和组织机构 (IOActive 卡巴斯基实验室 Bastille Opposing Force 以及云安全联盟 ) 的支持下, 全球保护智慧城市行动旨在通过协作和信息共享解决智慧城市面临的网络安全挑战入侵智慧城市虽然智慧城市的概念表面上看来吸引人, 但驱动智慧城市的技术通常不安全 Opposing Force 的首席技术官 Matteo Beccaro 表示, 大量投资需要用于创建和安装新技术, 在市场交付前并没有太多资金用于评估和从安全的角度加以验证他补充道, 因为我们仍未听闻智慧城市遭受重大的安全事件, 厂商仍主要将安全视为一项成本主要的问题是当 ( 没有如果 ) 安全事件发生时, 它将可能十分引人注目, 并甚至处于危险之中尽管智能技术业务蓬勃发展, 但却没有合规条例帮助确保更安全地大范围实施物联网解决方案目前拥有的是可选择的指导方针和最佳实践 Matteo Beccaro 以及同事 Matteo Collura 写了一篇标题为 (Ab) 使用智慧城市 : 现代移动的黑暗时代有关智慧城市不安全的分析报告, 并在本周新加坡举办的安全大会 HITB GSEC 上进行展示 Beccaro 表示, 我们发现了安全不起眼的设备却可以为一个城市处理数百万欧元的数据比如, 在我们的停车收费码表的研究案例第 34 页共 60 页

中, 恶意用户可能轻易售卖黑客设备, 允许用户永久享受免费停车在我们的示范城市中, 但停车费就为该城市的年收入贡献了 2700 万欧元我们只讨论了一个城市, 但我们的设备可用于 40 个国家研究人员还分析了公共自行车, 并发现其硬件和软件上存在安全漏洞他们发现, 解锁自行车用的卡能轻易克隆, 也就是说, 自行车也许在没有提醒中央系统的情况下被挪走显然, 智慧城市就是未来趋势, 给人们带来无限希望但是, 我们能承受不安全连接和智能最终将整个城市推向数字攻击吗? 4.1.5 加强网络安全标准化意见发布 : 涉密网络等要制定强制性国标 8 月 22 日, 中央网络安全和信息化领导小组办公室官网公布关于加强国家网络安全标准化工作的若干意见意见提出, 按照深化标准化工作改革方案要求, 整合精简强制性标准, 在国家关键信息基础设施保护涉密网络等领域制定强制性国家标准优化完善推荐性标准, 在基础通用领域制定推荐性国家标准视情在行业特殊需求的领域制定推荐性行业标准原则上不制定网络安全地方标准第 35 页共 60 页

关于加强国家网络安全标准化工作的若干意见中网办发文 2016 5 号各省自治区直辖市新疆生产建设兵团党委网络安全和信息化领导小组, 中央和国家机关各部委 : 网络安全标准化是网络安全保障体系建设的重要组成部分, 在构建安全的网络空间推动网络治理体系变革方面发挥着基础性规范性引领性作用近年来, 随着网络信息技术快速发展应用, 网络安全形势日趋复杂严峻, 对标准化工作提出了更高要求为落实网络强国战略, 深化标准化工作改革, 构建统一权威科学高效的网络安全标准体系和标准化工作机制, 支撑网络安全和信息化发展, 经中央网络安全和信息化领导小组同意, 现提出以下意见一建立统筹协调分工协作的工作机制 (1) 建立统一权威的国家标准工作机制网络安全标准化工作要坚持统一谋划统一部署, 紧贴实际需求, 守住安全底线全国信息安全标准化技术委员会在国家标准委的领导下, 在中央网信办的统筹协调和有关网络安全主管部门的支持下, 对网络安全国家标准进行统一技术归口, 统一组织申报送审和报批其他涉及网络安全内容的国家标准, 应征求中央网信办和有关网络安全主管部门的意见, 确保相关国家标准与网络安全标准体系的协调一致第 36 页共 60 页

(2) 促进行业标准规范有序发展探索建立网络安全行业标准联络员机制和会商机制, 确保行业标准与国家标准的协调和衔接配套, 避免行业标准间的交叉矛盾 (3) 促进产业应用与标准化的紧密互动加强网络安全领域技术研发产业发展产业政策等与标准化的紧密衔接与有益互动建立重大工程重大科技项目标准信息共享机制, 推动国家网络安全相关重大工程或科研项目成果转化为国家标准, 并在项目考核指标和专业技术资格评审中明确标准要求, 充分发挥标准对产业的引领和拉动作用 (4) 推动军民标准兼容建立军民网络安全标准协调机制和联络员机制, 加强军民标准化主管部门的密切协作促进网络安全领域技术标准双向交流, 在国防网络安全领域优先采用先进适用的国家标准, 研究制定兼顾经济建设和国防建设需求的军民共用国家标准, 共同推动基础性标准的军民通用二加强标准体系建设 (5) 科学构建标准体系推动网络安全标准与国家相关法律法规的配套衔接, 兼顾我国在世界贸易组织 (WTO) 等国际组织中承诺的国际义务根据国际国内网络安全形势发展和现实需求, 持续完善网络安全标准体系发挥标准体系的规划布局作用, 定期发布网络安全标准体系建设指南, 指导标准制定工作有计划有步骤推进促进网络安全标准与信息化应用标准同步规划同步制定第 37 页共 60 页

(6) 优化完善各级标准按照深化标准化工作改革方案要求, 整合精简强制性标准, 在国家关键信息基础设施保护涉密网络等领域制定强制性国家标准优化完善推荐性标准, 在基础通用领域制定推荐性国家标准视情在行业特殊需求的领域制定推荐性行业标准原则上不制定网络安全地方标准 (7) 推进急需重点标准制定坚持急用先行, 围绕互联网 + 行动计划中国制造 2025 和大数据发展行动纲要等国家战略需求, 加快开展关键信息基础设施保护网络安全审查网络空间可信身份关键信息技术产品网络空间保密防护监管工业控制系统安全大数据安全个人信息保护智慧城市安全物联网安全新一代通信网络安全互联网电视终端产品安全网络安全信息共享等领域的标准研究和制定工作三提升标准质量和基础能力 (8) 提高标准适用性在标准制定中, 坚持开放透明公平公正的原则, 注重开展前期调研征求意见测试公示等工作, 保证标准充分满足网络安全管理产业发展用户使用等各方需求, 确保标准管用好用提高标准制定的参与度和广泛性, 鼓励和吸收更多的企业高校科研院所检测认证机构和用户等各方实质性参与标准制定, 注重发挥企业的主体作用 (9) 提高标准先进性紧密跟踪网络安全技术和信息技术发展趋势, 及时转化科技创新成果, 提升标准的科技含量和技术水平缩第 38 页共 60 页

短标准制修订周期, 原则上不超过 2 年, 确保标准及时满足网络安全保障新兴技术与产业发展的需求 (10) 提高标准制定的规范性加强标准制定的过程管理, 建立完备的网络安全标准制定过程管理制度和工作程序, 细化明确各阶段的议事规则, 优化标准立项和审批程序, 以规范严谨的工作程序保证标准质量 (11) 加强标准化基础能力建设提升标准信息服务能力和标准符合性测试能力, 提高标准化综合服务水平加强网络安全标准化战略与基础理论研究四强化标准宣传实施 (12) 加强标准的宣传解读通过传统媒体和互联网等多种渠道公开发布网络安全国家标准将标准宣传实施与网络安全管理工作相结合, 促进应用部门企业科研院所等机构和人员学标准懂标准用标准开展网络安全优秀实践案例评选活动并进行宣传和推广利用各类媒体加大对标准的解读和宣传力度 (13) 加大标准实施力度发挥各地区各部门在网络安全标准实施中的作用, 在政策文件制定相关工作部署时积极采用国家标准各行业主管监管部门要按照网络安全国家标准制定实施指南和规范, 指导网络安全管理工作组织开展重点标准的试点示范实施情况反馈和标准实施效果评价工作, 提升标准的有效性和适用性五加强国际标准化工作第 39 页共 60 页

(14) 实质性参与国际标准化活动积极参与网络空间国际规则和国际标准规则制定, 提升话语权和影响力积极参与制定相关国际标准并发挥作用, 贡献中国智慧提出中国方案推动将自主制定的国家标准转化为国际标准, 促进自主技术产品走出去结合我国产业发展现状, 积极采用适用的国际标准 (15) 推动国际标准化工作常态化持续化打造一支专业精外语强的复合型国际标准化专家队伍, 提高国际标准化组织注册专家的数量推荐有能力的专家担任国际标准组织职务, 积极参加国际标准化会议, 保证工作的持续性和稳定性六抓好标准化人才队伍建设 (16) 积极开展教育培训选择有条件有意向的重点院校, 设立网络安全标准化相关课程, 培养标准化专业人才队伍鼓励校企合作, 支持在校学生到企业实习和企业人员到学校接受标准化培训鼓励有条件的企业开展标准化知识培训 (17) 引进和培育高端人才加大网络安全标准化引智力度, 鼓励有条件的地方政府重点企业引进一批高端国际标准化人才建立网络安全标准化专家库对参与网络安全国家标准制定的专业技术人才在提高待遇晋升职务职称等方面予以倾斜七做好资金保障第 40 页共 60 页

(18) 做好财政资金保障工作各部门各地方要高度重视网络安全标准化工作, 利用中央和地方现有财政渠道, 做好网络安全标准化工作的经费保障 (19) 鼓励社会资金支持鼓励企业加大对标准研制和应用的资金投入引导社会公益性基金支持网络安全标准化活动, 设立网络安全标准优秀奖, 对先进适用贡献突出的标准进行奖励中央网络安全和信息化领导小组办公室国家质量监督检验检疫总局国家标准化管理委员会 2016 年 8 月 12 日第 41 页共 60 页

4.2 国际安全资讯 4.2.1 食尸鬼行动攻击 30 多个国家超过 130 家企业包括中国自 2015 年 3 月以来, 一个组织严密的网络犯罪团伙对超过 30 个国家逾 130 家企业开展工业间谍活动绝大多数受害者为工业领域的中小型企业 (30-300 员工 ) 网络安全厂商卡巴斯基实验室表示, 他们将该行动称之为食尸鬼行动 (Operation Ghoul), 行动集中在 2016 年 6 月,6 月 8 日 6 月 27 最为活跃攻击者以工业领域的企业为目标大多数目标企业活跃在工业领域, 比如石油化工海军军事航空航天重型机械太阳能刚铁泵塑料等行业该间谍组织还针对其它领域, 包括工程航运医药制造贸易教育旅游 IT 等该组织主要将目标局限在活跃于工业领域的企业, 但不具体针对一个国家攻击范围遍布全球 : 西班牙 (25 起 ) 巴基斯坦 (22 起 ) 阿联酋 (19) 印度 (17) 埃及 (16) 等其它被攻击国家包括英国德国南非葡萄牙卡塔尔瑞士直布罗陀美国瑞典中国法哥阿塞拜疆伊拉克土耳其罗马尼亚伊朗伊拉克和意大利第 42 页共 60 页

攻击者使用鹰眼 (HawkEye)RAT 感染高管食尸鬼黑客使用 HawkEye RAT( 远程访问木马 ), 也被称为 KeyBase 实施攻击在 2016 年 6 月, 研究人员发现了大量鱼叉式网络钓鱼电子邮件中包含恶意附件附件中的恶意软件基于在暗网公开售卖的鹰眼商业间谍软件, 为攻击者提供大量黑客工具一旦安装, 它会收集受害者 PC 的数据, 包括 : 击键剪贴板数据 FTP 服务器凭证浏览器的账户数据消息客户端的账户数据 (Paltalk Google talk AIM) 电子邮件客户端的账户数据 (Outlook Windows Live 邮件 ) 已安装应用程序信息 (Microsoft Office) 攻击者在 EXE 文件中打包他们的 RAT, 放在 ZIP 文件内通过鱼叉式钓鱼邮件发送给目标企业的高管卡巴斯基表示, 这些邮件发送给了首席执行官首席运营官经理工程师主管销售等卡巴斯基高级安全研究员 Mohamad Amin Hasbini 表示, 鱼叉式钓鱼邮件大多发送目标机构的高管, 很大程度上是因为攻击者希望获取核心情报其它有趣的信息以及控制账号第 43 页共 60 页

对于这类攻击, 鹰眼收集目标数据并通过 HTTP 以非加密的方式发送至两个服务器中的一个卡巴斯基表示, 这两个服务器属于过去被劫持的合法企业所有 Mohamad Amin Hasbini 称, 在古代民间传说中, 食尸鬼是吃人肉和抓孩子的邪恶灵魂, 原本是美索不达米亚的恶魔, 而如今, 这个词有时用来形容贪婪或金钱至上的人这是对 Operation Ghoul 的最精切描述他们的主要动机是通过售卖窃取得来的知识产权商业情报或受害者的银行账户赚取经济利益这类组织可能会对任何企业实施攻击虽然他们使用较简单的恶意工具, 但攻击十分有效因此, 如果企业不做好准备很容易遭受攻击工业领域的企业如何免受食尸鬼行动攻击? 为了保护免受 Operation Ghoul 攻击以及其它类似的威胁, 研究人员建议企业采取以下措施 : 教育员工, 使他们能分辨鱼叉式钓鱼邮件或钓鱼链接使用经验证的企业级安全解决方案, 结合对抗目标攻击的解决方案, 通过分析网络异常发现攻击行为为安全员工提供最新威胁情报数据, 用有帮助性的工具预防和发现以此进行武装, 比如攻击和 YARA 规则指标第 44 页共 60 页

4.2.2 维基解密发布从土耳其执政党 AKP 服务器中窃取的邮件比利时安全研究员 Vesselin Bontchev 指出, 维基解密发布了从土耳其执政党 AKP( 正发党 ) 服务器中窃取的邮件, 其中包括上百个可下载恶意软件的链接这名研究人员创建了一个脚本用于解析 AKP 邮件并通过 VirusTotal 的 API 对链接进行扫描结果发现了约 80 个跟恶意软件下载相关的链接他所扫描的链接包含在 AKP 政党成员接收到的邮件中, 随后被名为 Phineas Fisher 的黑客窃取多数连接是钓鱼邮件, 并常常指向远程访问木马, 但多数时候指向普通的恶意软件如恶意软件病毒释放器密码窃取器以及勒索软件这名研究员发布了一份报告, 其中包括维基解密 ID 恶意附件连接以及指向 VirusTotal 报告的一个链接他表示起初并未扫描在垃圾邮件文件夹中找到的文件, 不过随后扫描发现了超过 962 份恶意附件 ( 如果算重复邮件的话是 2093 份 ) 不过研究人员扫描的只是包含以 DOCM 文件格式的文件附件邮件维基解密发布的 AKP 数据中的恶意软件连接总数很有可能要大得多调查 AKP 邮件的记者跟调查人员可能会下载可感染自己计算机的恶意软件如果他们下载了勒索软件, 他们的工作进展会因为感染而被迫推迟自从 7 月中旬发布了 AKP 邮件及 DNC 入侵文件后, 维基解密就因为处理这些文件时不专业的方式饱受批评首先, 入侵了 AKP 邮第 45 页共 60 页

箱服务器的黑客指责维基百科急于发布这些文件, 即使自己并未准备好这么做而且文件仍然在 AKP 服务器中 AKP 数据发布后, 维基解密还受到来自妇女维权组织关于未屏蔽个人信息的指责维基解密似乎已转变为一个普通的数据泄露网站而不是具有更高目标追求的站点, 这让它饱受各界批评 4.2.3 澳洲 15 岁少年对当地最大银行及 ACORN 网站发起 DDoS 攻击后被判无罪据外媒报道, 近日澳大利亚伍德克夫特的一名 15 岁少年出于好奇, 对他所在学校澳大利亚联邦银行 (CBA) 及澳洲网络犯罪报告网 ACORN 发起 DDoS 攻击这名少年在法庭上认罪后, 澳大利亚阿得莱德 Christies Beach 少年法院的一名法官宣判这名少年无罪释放, 但必须出席一次家庭会议当地警方透露, 这名少年在今年 2 月 26 日对澳大利亚联邦银行发起 DDoS 攻击, 导致该银行曾宕机了 3 小时此外, 他曾在三月及 4 月 4 日对其所在学校及澳洲网络犯罪报告网 ACORN 发起类似攻击第 46 页共 60 页

据当地媒体报道, 学校校长将攻击事件报告给当局后, 当局追踪出这名少年的 IP 地址并将其逮捕根据当地法律这名少年本该面临长达三年的监禁, 但法官却对这名少年从轻发落参加家庭会议的人, 除了犯法少年与受害者, 还包括犯法少年的父母受害者的家人警方代表和服务机构的代表家庭会议可能要求青少年公开道歉向受害者支付赔偿金参加多项社区服务等 4.2.4 斯诺登新文件证实泄露的 NSA 工具真实性爱德华斯诺登今天通过 The Intercept 网站公布了一批 NSA 新文件其中一份文件证实了一周之前黑客泄露并且叫卖的 NSA( 美国国家安全局 ) 攻击软件的真实性上周六, 名为影子经纪人的黑客小组在互联网上公开叫卖他们获得的 NSA 攻击软件和脚本 The Intercept 表示, 根据爱德华斯诺登泄露的文件显示, 美国国家安全局的黑客在使用一种叫做 SECONDDATE 的攻击程序之前, 被建议要使用特定的 16 个字符串而这些字符串和爱德华斯诺登泄露的文件当中的字符串一致该文件还进一步详细描述了第 47 页共 60 页

SECONDDATE, 这种恶意软件可以拦截和重定向网页请求到美国国家安全局, 它已经在巴基斯坦和黎巴嫩的行动当中使用这批 NSA 黑客使用的攻击软件是如何外泄, 以及究竟是谁泄露的, 目前仍不清楚有人指出, 俄罗斯可能是其中的怀疑对象, 但是俄罗斯黑客最近比较疲弱在众多理论当中, 最被认可的一种理论是 NSA 黑客在一次攻击之后, 忘记在被攻击上清理痕迹, 以至于让攻击所使用的软件遗忘在服务器上, 让影子经纪人黑客小组捡了便宜斯诺登本人也主张这样的理论, 他在 Twitter 上表示,NSA 的恶意软件被攻击者遗忘在临时服务器上并非没有先例, 但是敢于公开拿出来叫卖还是第一次 4.2.5 NSA 被黑或有可能成为第二起 TheHackingTeam 事件根据国外媒体的最新爆料, 美国国家安全局 (NSA) 貌似遭到了黑客的攻击这个黑客团伙声称他们入侵了 Equation Group( 方程式组织 ), 并将他们从该黑客组织的计算机系统中所获取到的大部分黑客工具全部泄漏在了互联网上第 48 页共 60 页

这一黑客团伙自称为 The Shadow Brokers( 影子经纪人 ), 目前他们已经开始在网上逐步公开盗窃所得的数据了除此之外, 该黑客团伙还表示, 他们手中目前仍掌握着大量的机密数据, 他们计划在网上举行一次拍卖会, 并将这些机密信息出售给竞价最高的竞标者就在两天以前,The Shadow Brokers 黑客组织已经将部分泄漏文件公布在了例如 Github 和 Tumblr 等网络平台上, 但是这些文件目前已经被删除了值得注意的是, 在这些文件中还包括有 NSA 用于大规模监控活动的黑客工具在内该黑客组织表示, 如果他们收到了一百万个比特币 ( 总价值大约为五亿六千八百万美金 ), 那么他们就会将所有的泄漏文件全部发布出来据了解, 这伙黑客目前只提供了百分之六十的泄漏数据, 剩下百分之四十的数据将会提供给拍卖竞价最高的人该黑客组织表示, 这些文件中包含有非常复杂的黑客工具,NSA 此前曾使用过这些来进行间谍活动除此之外, 在泄漏的文件中不仅包含有 C&C 服务器的安装脚本和配置文件, 而且还有一些针对美国路由器和防火墙等网络设备制造商 ( 例如 Cisco,Juniper 和 Fortinet) 的黑客工具第 49 页共 60 页

4.2.6 维基解密曝光上百名无辜民众敏感信息 : 涉及强奸受害者日前, 维基解密在网上曝光了上百名普通公民的个人数据, 其中包括了一些强奸案受害者患病儿童精神疾病患者等特殊人群美联社对维基解密公布的文件进行分析之后发现里边含有一些可能会为犯罪分子所利用的敏感信息, 如疾病纪录个人身份记录电话号码虽然维基解密公布外交电文及其他政府机密信息的行为已经有很长一段历史, 但这种涉及个人数据的行为却遭到许多人的谴责美联社指出, 维基解密开始不断涉足病毒垃圾邮件以及对无辜个体敏感信息的收集曾于去年公布的沙特阿拉伯外交部外交电文至少包含了 124 个文件, 它们都是一些关于精神疾病患者患病儿童和难民的相关信息透明化活动家 Paul Dietrich 告诉美联社, 他在这些文件中发现了至少不下 500 份护照工作档案和学习成绩单在这些文件中还发现了 2 名强奸青少年受害者以及 1 名因是同性恋遭逮捕的公民名字此外, 它们还涉及到了沙特阿拉伯已婚夫妇离婚夫妇以及正在经历官司的夫妇的相关敏感信息对此, 维基解密发言人并未立即作出回应, 但该组织创始人朱利安阿桑奇曾在 2010 年这样说过 : 我们秉承着将伤害最小化的策略合法的秘密是存在的医生有你的纪录, 这就是合法的秘密第 50 页共 60 页

4.2.7 加拿大皇家骑警要求立法允许警方强制获取嫌疑犯密码加拿大皇家骑警在本周二的一次会议上要求政府官员立法, 允许警方强制犯罪嫌疑人交出设备及网络账户密码警方表示在很多情况下犯罪分子通过加密保护敏感信息以及很可能涉嫌犯罪的数据警方认为数字世界中存在真实的受害者, 加拿大的法律和警方能力必须跟上当前技术的发展步伐警方提出这项提议时, 加拿大政府正在举行关于网络安全的公开讨论加拿大政府正在等待来自公民和隐私组织关于建立包含网络自由和隐私法律的反馈加拿大皇家骑警和黑莓都曾在四月份陷入舆论漩涡, 当时黑莓被指为警方提供了一个解密密钥可访问存储在黑莓企业服务器实例中的数据警方利用主解密密钥访问了涉嫌谋杀案的一部手机中的数据 4.2.8 人脸识别也不安全美国科学家用几张照片就破解了随着人们对信息安全越来越重视, 各种消费级电子产品中指纹解锁人脸解锁和虹膜解锁等技术也日渐流行, 几乎成了密码之外的另一项标配对于他们之间在安全性和便利性上的优劣也一直存有争第 51 页共 60 页

议, 目前并没有形成一个统一的结论近日, 来自美国北卡罗来纳大学的一个科研团队用几张照片为人脸识别投了一张反对票据外媒报道, 近日来自北卡罗来纳大学的一个研究团队凭借他们在社交媒体 (Facebook) 上收集到的若干照片, 利用特殊的电脑合成和渲染技术, 可以生成一个平面化的 3D 模型显示在手机上随后他们利用这个模型进行测试, 发现有高达 4/5 的被测安全系统在 55% 到 85% 的被测时间内, 都可以被轻松骗过更重要的是, 他们在 Facebook 上能收集到的照片非常有限, 质量也没有保证, 有些还只是 45 度角的侧脸据该团队介绍, 就像真正的黑客和跟踪狂一样, 他们一共收集了 20 名志愿者发布在社交媒体上的照片, 然后根据这些照片制作每位志愿者的面部 3D 模型, 并加入面部表情和眨眼睛等小动作, 使得该模型像是在盯着摄像头的样子更关键的是, 由于照片的数量和质量都不能得到保障, 因此科学家们还不得不人造了一些照片丢失的信息, 例如照片中的阴影面部表情的褶皱等最极端的例子是, 有几位志愿者只在社交媒体上发布了两三张照片, 并且像素还很低关于如何避免黑客利用类似手段获取用户数据, 团队的一位研究者在 Usenix 安全大会上表示 : 目前一些厂商已经可以利用额外的硬件设备来避免类似的情况发生, 例如 Tobii 公司针对微软 Windows Hello 人脸识别系统推出的眼球追踪摄像头但是目前来说这种增加第 52 页共 60 页

额外硬件的方式可能会提高安全系统的成本, 消费者是否能接受, 厂商还要进一步考量除此之外, 真正的人脸会发出红外辐射, 而照片或者 3D 模型无论再逼真也不会, 利用这一思路也可以在安全曾面做一些规避措施, 避免黑客利用类似手段进行恶意攻击 4.2.9 匿名者为 #OpOlympicHacking 网络攻击开发出专用 DDoS 工具据外媒报道, 近日, 匿名者 (Anonymous) 黑客组织开发出了一套定制网络攻击工具, 它能让组织成员或其他人对 5 个内建的目标发起 DDoS 攻击显而易见, 这套工具专为于本月月初发起的 #OpOlympicHacking( 反奥运攻击 )-- 正值里约奥运会开始的时候 -- 运动开发该工具针对 Windows 系统, 打开之后可以看到 6 个选项按钮其中 5 个为内建的攻击对象, 第 6 个则是网络攻击停止按钮第 53 页共 60 页

该工具只能在 #OpOlympicHacking 网络攻击中使用攻击的 5 个对象是 2016 年里约奥运会官方网站 2016 年巴西政府门户网站巴西奥运会委员会网站里约热内卢政府门户网站以及巴西体育部长网站匿名者则在网上免费向用户开放该 DDoS 工具的下载, 文件名为 opolympddos 使用前必须安装 Tor 据 RSA 的安全研究人员称, 该工具包是一个 VB Python.NET 的脚本混搭文件不过在安装之前用户还必须要安装 Tor, 不然他们的真实 IP 地址就会光 "opolympddos" 执行的是一个 Layer 7 DoS 攻击 RSA 团队指出 : 这则是通过利用随机数据和用户代理创建持续不断的连接以及发送 HTTP 请求得到实现由于此次攻击对象为全球瞩目的奥运会, 所以匿名者这次算是成功引起了人们的注意第 54 页共 60 页

4.2.10 美国能源部出资 3400 万美元奖励电网安全研发团队美国能源部 (US Department of Energy, DOE) 拨款 3400 万美元, 以奖励保护美国电网免受网络攻击的项目团队美国政府为了防止关键基础设施遭受网络攻击, 为此, 他们的网络战略支柱就是采取应对措施提高对网络攻击的恢复力美国能源部批准了 12 个项目, 以开发新解决方案保护能源行业的关键基础设施能源行业是遭受网络攻击最频繁的行业之一超过 80% 的美国石油和天然气公司报称,2015 年遭受网络攻击的数量大幅攀升 Tripwire 的研究表明, 过去一年, 成功的网络攻击数量呈史无前例的上升趋势 Tripwire 采访了 150 位能源行业石油天然气和电力公司的 IT 专业人士, 目的在于评估主要网络威胁以及他们对行业的影响 82% 的专业人士宣称网络攻击的数量在增加,53% 的专业人士声称攻击频率过去 30 天上升了 50%-100% 2015 年 3 月,DHS ICS-CERT 发布的一份报告显示, 大多数关键基础设施攻击涉及高级持续威胁 (APT), 但组织机构缺乏监控能力美国能源部确认, 这些项目旨在通过创新可扩展和成本效益研究提升美国智能电网的可靠性和恢复力针对电网的网络攻击可能产生不可预知的后果, 大型的攻击通过中断重要服务引起国家混乱第 55 页共 60 页

美国前国防部长长 William Cohen 一年前表示, 恐怖分子在攻击电网方面有多种选择, 比如攻击 SCADA 系统,EMP 攻击等近期 TrendMicro 的研究指出, 国家支持的黑客网络恐怖分子是主要的威胁实施者, 这种网络犯罪也构成严重的威胁中央情报局前高级分析师和美国国土安全部 EMP 特别小组组长 Peter Vincent Pry 表示, 针对电网的网络攻击可能带来严重破坏, 甚至危及生命不只美国电网遭受网络攻击 2015 年 1 月, 英国国会透露英国电网也遭受了外国黑客的攻击全球的关键基础设施都面临网络攻击的威胁 2015 年, 乌克兰电网被黑, 造成大规模停电事故专家推测声名狼藉的黑暗力量 (Black Energy) 恶意软件专门设计用来攻击能源行业的系统在应对关键基础设施的网络攻击时, 最骇人听闻的莫过于 Stuxnet 震网病毒美国能源部确认了该安全项目的五大主要关注领域 : 主题领域 1: 检测能源输送系统组件的对抗性操纵重点是检测并应对网络攻击 ( 通过利用能源输送系统的常规操作漏洞避免被检测 ) 的能力第 56 页共 60 页

主题领域 2: 保护可再生能源和能源效率资源的集成重点是在生成传输和 / 或分配阶段将可再生能源集成到电网上这可能包括构建控制系统主题领域 3: 不断自主减少能源输送控制系统的网络攻击面重点在于减少能源输送系统的网络攻击, 从而使系统更为安全主题领域 4: 能源输送系统供应链网络安全重点在于检测敌方的硬件固件 ( 硬件和软件 ) 和 / 或能源输送系统生产期间用的软件主题领域 5: 提高能源行业网络安全的创新技术重点在于确认技术路线中存在的差距, 实现能源输送系统的网络安全, 并为确定的风险提出创新技术解决方案美国能源部对下一代网络安全技术和工具开发的奖励包括美国政府资助的项目, 以下罗列一些奖励项目 : 通用电力将开发并演示发电厂的自动网络攻击异常检测和调节 (ADA) 系统, 该系统将检测并应对网络攻击带来的网络破坏, 以及针对网络物理界面的攻击施韦策工程实验室将开发一种技术通过允许控制系统操作员自动识别恶意行为控制受影响的网络领域以及变向发送关键信息, 从而检测能源输送系统的敌方操纵, 以确保系统运行第 57 页共 60 页

英特尔将开发一种安全架构解决方案, 以保证能源基础设施设备安全连接到云, 从而允许设备相互交互英特尔将演示能源输送控制系统的网络攻击面能以不妨碍正常关键能源输送功能的方式持续并自动减少第 58 页共 60 页

关于安恒关于安恒杭州安恒信息技术有限公司 (DBAPPSecurity) 是由国家千人计划专家范渊先生于 2007 年创办, 是国内跻身全球网络安全 500 强仅有的四家企业之一, 是中国领先的专注于信息安全产品和服务的解决方案提供商曾先后为北京奥运会国庆 60 周年庆典上海世博会广州亚运会深圳大运会首届世界互联网大会等重大活动提供全方位信息安全保障公司主营业务涵盖应用安全, 数据库安全以及云计算安全移动互联网安全大数据安全等智慧城市安全, 包括顶层设计标准制定课题和安全技术研究产品研发产品及服务综合解决方案提供等安恒信息通过智慧监测智慧防护智慧审计智慧应用四大产品线形成一整套全生命周期的信息安全支撑体系, 成为应用安全数据库安全以及智慧城市安全市场的绝对领航者是政府军工公检法司运营商金融能源财税审计教育医疗互联网 + 等行业信息安全领域最值得信赖的首选品牌! 风暴中心全称智慧城市安全风暴中心, 是公司顺应当前信息化发展中云计算化大数据化智慧智能化的大趋势, 专门设立的网络安全态势监测感知分析及预警部门通过智慧城市安全风暴中心大数据平台分布在全国各省的监测节点中心大数据分析平台与专业网络安全情报分析团队, 对全国网络安全态势进行主动监控与攻击预警, 日均处理攻击事件数百个, 为数万个网站第 59 页共 60 页

关于安恒提供实时安全监测服务同时, 利用大数据与安全情报分析技术, 为政府金融电力单位等提供行业整体性安全态势感知与安全预警服务联系方式如下 : Email: securitycenter@dbappsecurity.com.cn 7*24 小时风暴中心电话 :0571-28131576 安恒信息官方微信公众账号风暴中心官方微信公众号第 60 页共 60 页