Chinadu`s Blog

俄罗斯安全公司Elcomsoft发布了一款暴力破解软件——Elcomsoft Distributed Password Recovery的最新版，能够利用Nvidia显卡使WPA和WPA2无线密钥破解速度提高100倍，而且软件还允许数千台计算机联网进行分布式并行计算。 这意味着WPA密钥的破解速度从以前的数年减少到数天或数周。

新的软件宣告了商业网络中无线联网的死刑，任何处理敏感数据的网络应该在Wi-Fi上启用VPN加密通信，或者停止使用无线。软件售价：安装20个客户端为$599。

著名web安全专家Robert(RSnake, ha.ckers.org创始人)首次展示了点击截击地巨大危害. 在一个月前本来想要在拉斯维加斯黑帽子大会上发表的他, 由于危害巨大而被大会禁止发布, 这次在web安全最具权威的亚洲OWASP APPSEC上发布, 也算是名正言顺.

点击截击的最基本的描述和原理可以概括为当你点击某你认为安全和正常链接的时候, 其实实际上已经点击了黑客所希望你点击的, 这个链接有可能是同一个页面, 也有可能是不同的网站, 比如可能是允许flash具有完全读写权力, 或者可能是你卖掉你的股票, 或者可能是登陆你某个银行账户, 后者是自动把你的电脑的camera打开…

除了ppt, 他还演示了很多录像, 来实际证明点击截击的危害. (录像地址: www.dbappSecurity.com.cn/video/owasp-asia/index.html )

关于点击截击的防范, 期待浏览器出一些补丁是不现实的, 如果是用Firefox推荐采用noscript (https://addons.mozilla.org/zh-CN/firefox/addon/722), 笔者用了一段时间感觉还行. 另外, Flash等应该升级到最新版本, 那是不用说的. 

2008年9月27日,江西警方以涉嫌破坏计算机信息系统罪,将李士扬、王晓娃等6名犯罪嫌疑人向人民检察院移交起诉;南昌市经济开发区人民检察院以“涉嫌伪造公文罪”批准对李汶民等犯罪嫌疑人逮捕.此前的6月6日,江西省卫生厅考试中心向江西省公安厅公共信息网络安全监察总队报案称,他们的网站数据库被人篡改,有人借此造假、牟取暴利.李士扬、王晓娃等最终被锁定为此案的嫌疑人.

假证可以通过政府网上验证

5月15日,江西省卫生厅医政处收到一署名“张美娟”的信访件,她反映“有人用真医师资格证来骗人”.

5月6日,张美娟在一个QQ群里看到有人留下的一条信息:可以办理真的《医师资格证》和文凭学历,且保证在省卫生厅网上可以查到注册记录.

张美娟通过其留下的联系方法很快联系上了对方,商量办证的事宜.她如实告诉对方,自己并不具备医学方面的知识,对方说没关系.他们很快约定办成后付2000元.5月7日,张美娟果真在江西省卫生厅的网上查到了以自己姓名注册的医师资格相关信息.于是,她按先前的约定,将2000元打入对方提供的账号上.

然而,付款一周后,张美娟上网却发现原先以自己姓名注册的医师资格记录不见了.

6月2日,远在浙江省的温岭县卫生部门也来电反映,他们在办理《行医许可证》的过程中,发现有人持存在瑕疵的《医师资格证书》来申请办证.该证书是江西省卫生厅核发的,可是查询网上的数据库,却显示确有其人.他们已经陆续扣下了10本这样的证书,请求江西省卫生厅核实这些证书的真伪.

截至6月5日, 江西省卫生厅接到了10多个类似的查询电话、信函.

对于骤然出现的这种现象,卫生厅怀疑其用于发布国家医师资格考试合格人员的网站被他人非法操作,有人通过篡改数据库内容的方法,制作虚假《医师资格证书》牟利……遂决定向公安机关报案.

办案民警了解到,获得《医师资格证书》主要有两种途径:一是通过国家考试;二是在《中华人民共和国执业医师法》颁布之前已经取得有效职称的人,经国家进行认定,由省级卫生行政部门颁发《医师资格证书》.国家每年都会组织医师资格考试,考试合格人员方可取得《医师资格证书》.持有这个证书的人,就可以向县以上卫生行政部门申请医师执业注册,最终取得国家许可的行医执业权.

卫生部医师资格考试中心每年都是在2月份将上一年通过了医师资格考试的人员数据,通过光盘或网上下载,发至各省、市(自治区),由各地将该数据导入到卫生部配发的医师资格信息管理系统中,用该系统将数据导出为TXT格式文件,再使用相关软件将其转换成access格式的数据库,由省政府信息中心发布到卫生厅的网站上.整个工作流程严谨,有专人负责管理,从不对外开放.

要实施作案一般有两种途径:一是内部人员与外部勾结作案;二是有黑客入侵网站.

多个省份政府网站数据被修改

办案民警通过对网站工作人员调查,查看了网站服务器工作日志,检查了网络设备运转情况,初步排除了内部人员作案的嫌疑.

6月19日,江西省公安厅公共信息网络安全监察总队正式立案侦查.民警通过对被攻击受控制服务器的现场勘验,发现黑客自3月26日起入侵江西省卫生厅网站,篡改了数据库,并植入了一个木马程序(在网站预留了后门),以实现对服务器的管理控制权限.经查,黑客是利用上海、北京、香港和新加坡等地的 IP地址将篡改了的数据上传,手段非常隐蔽,具有较高的反侦查意识.

办案民警经过几个昼夜的艰苦侦查,终于将黑客在网上的其他虚拟身份锁定,并最终锁定了犯罪嫌疑人上网的地点.

6月24日凌晨,抓捕行动开始.民警秘密控制了南昌市育新路的某出租屋,当场抓获犯罪嫌疑人李士扬及同伙5名,缴获作案用的笔记本电脑、打印机、各类银行卡、虚假身份证、虚假空白医师资格证书、医师执业证书、建筑师说明书等.随后,民警又在武汉市将另一名主要犯罪嫌疑人王晓娃抓获归案.

警方共抓获10名涉案犯罪嫌疑人.据警方查实,他们先后入侵了江西省卫生厅、湖北省卫生厅、贵州省人事厅、四川省人事厅、江苏省教育厅、辽宁省建设厅、湖北省荆州市人事局等11个网站,修改相关数据700余个.

警方很快揭开了这起网络犯罪的内幕.

犯罪团伙利用黑客技术攻击政府部门网站,篡改数据库资料,然后伪造、制售假证,造成证书上网可查的假相,从中牟取暴利.犯罪嫌疑人李士扬在疑犯王晓娃、刘晓卫(北京人,在逃)的协助下,入侵网站——修改数据库——办理假证——贩卖假证——使用假证——办理从业许可证等,通过网络编织了一个入侵政府网站、制假贩假、非法牟取暴利的松散性犯罪团伙.

两个月牟利达200多万元

那么,这些黑客都是些什么人呢?

李士扬,24岁,江西省余干县人,2004年考入江西某大学计算机专业,家境贫困,因而特别留心赚钱的机会.他从帮助一些大中专院校“代理招生 ”赚取佣金开始,逐渐把目光瞄准了四、六级英语考试成绩合格证、自学考试毕业证,最后发展到与女友胡姚艳一道,买来电脑、激光打印机,靠制贩假证牟取暴利.

2007年下半年,李士扬发现网上要求办理《医师资格证书》及毕业证书的信息非常多.面对这些很容易被忽略的信息,李士扬从中看到了发财机会.接着,他便苦苦寻找方法:如何让假证的相关信息上传到网站的数据库.

为了攻克这个难题,李士扬买了有关黑客方面的书籍,上网浏览黑客技术发展的信息,参加有关黑客知识的网上论坛.但他始终没有掌握攻克入侵网站的技术.2008年3月,李士扬以“鸟人”的网名在“黑客工作室”发帖子,公开招募一个可以植入木马的黑客帮手,以便入侵网站,修改数据库文件.帖子只发出几个小时,武汉某软件系统有限公司的王晓娃便“揭榜”了.

25岁的王晓娃,毕业于湖北某师范大学计算机科学技术与应用专业.李士扬要求王入侵一些网站,在取得使用权限后交与自己使用,同时答应每开一个 “后门”给其5000元.王晓娃见有利可图,便跃跃欲试,但他技术欠佳,还不能胜任这样的工作.他便在“幻影论坛”上发出了招募黑客的帖子.

于是,北京网名叫“小偷快跑”的刘晓卫出现了.王晓娃通过MSN与刘晓卫联系上后,便以每开一个“后门”2700元的价格成交,他从中赚取差价.王晓娃拿出从李士扬那里得到的“订单”:先攻湖北省卫生厅、江西省卫生厅的两个网站.

不到三天时间,刘晓卫便攻下了这两个网站.他把开设好的“后门”地址代码发给王晓娃后,王晓娃通过登录这两个网站,弄清网站网络结构、使用程序后,编写了网站服务器数据库的操作使用手册,与地址一道发给了李士扬.李士扬便可以自由登录这两个网站,任意添加、修改数据.

接着,他们又入侵了贵州省人事厅、四川省人事厅、江苏省教育厅、辽宁省建设厅、湖北

Windows操作系统的安全性再次受到严峻挑战！10月24日凌晨，微软紧急发布了一项重要的安全更新（KB958644），涉及Windows2000/XP/Vista等桌面操作系统的绝大多数版本。其危害程度毫不逊于当年波及80%以上Windows用户的“冲击波”病毒。

　　微软公告称，黑客可以利用该漏洞向网络中的电脑发出远程的特制RPC请求，无需身份验证便可在电脑中任意执行远程代码。这就是说，即便你的电脑设置了管理员密码，也只能任由黑客摆布。

　　截至目前，网上已出现了利用该漏洞的蠕虫病毒(Win32/MS08067.gen!A)。据360安全专家分析，这一漏洞的危害极为严重，黑客仅根据IP地址便可随意发起攻击，简直是“指哪打哪”，而且感染性非常强，只要远程执行一段下载恶意程序的代码，不但能随意弹出广告、盗取用户账号，还可以控制本机进而攻击其他用户，使破坏力持续放大，局域网的用户一旦有一个中招病毒就会迅速扩散。

　　据悉，这是微软近一年半以来首次打破每月定期安全公告的惯例而发布更新。目前唯一的解决方案便是为系统打好KB958644补丁。
　　点击下面链接，详细了解该漏洞的技术内幕。

　　http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx

PS:看了一下影响的操作系统版本，基本上是通杀了！！

环球时报特约记者王斯报道 据法新社14报道，韩国政府官员称，韩国总理韩升洙14日对韩内阁发出警告称，来自中国和朝鲜的电脑黑客试图获取韩国国家机密。
　　一份来自韩国国家情报院的最新报告显示说，首尔最重要的间谍机构向总理韩升洙报告称，在过去4年间，大约有13万条政府信息被黑客入侵。据一份未透露细节的政府声明称，韩升洙在内阁会议上说：“根据国家情报院的报告，由黑客攻击而遭到泄露的国家机密大多是源于中国和朝鲜的黑客，这一现象‘十分严重’。”
　　法新社称，韩国政府机关已经决定在本月起对电脑系统展开为期一个月的安全检查。而总理办公室并未透露有关“黑客攻击”的细节，也没有说明政府所获得信息详情。韩国国家情报院也未对此做出评论。
　　近年来，韩国媒体曾出现不少所谓的“中国黑客”侵入韩国政府机构、企业甚至军方网站的报道。今年1月1日，韩军方还宣称“极有可能是中国人”的第三国黑客向韩军官兵发送病毒邮件，盗取和浏览韩军军事资料。不过每次韩国都拿不出什么具体证据，只是一味地跟着西方渲染“中国黑客威胁”。
 

Raff表示，Google Maps中一个小小的XSS问题就可能绕过浏览器的同源政策以劫持Google、Gmail或Google Apps的账号。

两名资安研究人员Aviv Raff及Adrian Pastor上周相继指出Google Apps含有安全设计上的漏洞。

Raff在Blog中指出，使用者可以透过许多的Google子网域存取Google的多种网络应用程序，包括Google Maps、Gmail、Google Images、Google News及Google.com等，主要问题在黑客可利用这些跨网域的网络应用程序共享的安全设计漏洞。

所谓的跨网域共享网络应用程序指的是在特定的网域下可以连结其它网络应用程序，例如可在Google Maps网域下使用Google News服务。

Raff表示，因此Google Maps中一个小小的XSS问题就可能绕过浏览器的同源政策（Same Origin Policy）以劫持Google、Gmail或Google Apps的账号。

而Pastor则公布了一个相关的概念性验证程序，可用以攻击Google Images中的页框注射（frame injection）漏洞，在Google Images中嵌入一个假的Gmail登入网页，然后使用跨网域的网络应用程序共享漏洞进一步让使用者相信这是一个合法的登入页面。

Raff指出，他在今年4月就发现该漏洞并提报给Google，当时Google表示会调查该漏洞，但随后一直未收到Google的响应，随着Pastor发表该概念性验证程序，他才决定揭露相关的信息以期Google可尽速修补。

根据Linux创始人Linus发出的信函显示，Linux内核已经正式升级至2.6.27。而他的信函同时也显示了Linux系统的不断前进的过程，一点一滴的积累，众多爱好者不断的参与，才会有今天的Linux操作系统。

Linus在信中写道：

“在2.6.27 RC9之后没有太多的改动，这是一件好事。我当然不希望在正式发布之前任何的变动。而且我也不想让很多人去看修正列表。我认为，我们现在已经到了一个相当不错的状态。我可不想让发布新闻稿延期。

RC9之后的改动确实非常小。我怀疑很多人会关注修正列表，和往常一样，如果你想了解自2.6.26之后的所有变化，去看完全版的更新日志。不过更容易阅读的版本可以参阅这里。

更重要的是，这些内容已经通过了测试。不过如果你是个坏男孩（女孩），根本没参与RC测试，那你还是看看吧。”

据悉此次2.6.27内核升级增加了新的文件系统UBIFS，此文件系统专门针对纯闪存存储装置，另外，大大改善了Direct I/O的可扩展性和性能，ext4的延迟问题得到解决，同时增加队列网络功能，数据完整性检查，MMIO追踪器，改进摄像头的兼容性。支持Intel 5000系列WiFi网卡、支持RTL8187B网卡、增加Atheros AR5008和AR9001的驱动程序。其他驱动程序也获得了相应的增加。

新闻来源:腾讯科技
据国外媒体报道，微软计划下周发布11款补丁软件，其中4款的安全等级被评定为“危急”（critical）。

微软本周四在一份有关补丁软件的公告中表示，这些补丁软件将修正Windows活动目录、IE、Excel和Microsoft Host Integration Server中的“危急”缺陷。

微软称，安全等级为“危急”的活动目录缺陷只影响Windows 2000 Server，Excel缺陷影响Windows和Mac OS X版Excel。

微软还将发布6款安全等级为“重要”（important）的Windows补丁软件和1款安全等级为“中等”（moderate）的Office补丁软件。

微软计划美国太平洋时间本周二上午10点左右发布这些补丁软件。

之前,安全人员透露了一个严重的"clickjacking"跨浏览器攻击漏洞，该漏洞影响所有主流桌面平台，包括，IE, Firefox, Safari, Opera 以及 Adobe Flash。这个被称为 Clickjacking 的安全威胁，原本要在 OWASP NYC AppSec 2008 大会上公布，但包括 Adobe 在内的厂商请求暂时不要公开这个漏洞，直到他们开发出安全补丁。今天Adobe在安全公告栏上第一次提及此事，本次漏洞影响9.0.124.0之前的所有版本，同时他们发表了暂时的解决方案，希望各位注意。

Flash Player workaround available for "Clickjacking" issue
http://www.adobe.com/support/security/advisories/apsa08-08.html
 

“代理脚本蠕虫变种Q（Worm.Script.VBS.Agent.q）”病毒。该病毒通过网络、U盘传播，可以感染HTML等多种格式的文件，给用户带来比较大的损失，病毒还能够从黑客指定的网站上下载新的病毒。
这是一个蠕虫病毒，它运行后试图关闭多种杀毒软件，同时它可以禁用系统注册表等多种系统配置程序，给用户的使用带来不便。病毒运行后会删除磁盘上含有成人色情词汇且扩展名为mpg、rmvb、avi、rm的视频文件。

病毒还可以感染磁盘中扩展名为hta、htm、html的网页文件，然后在这些文件里加入病毒代码，当用户浏览这些文件时就可能传染上新的病毒。病毒复制自身到所有磁盘根目录下，并以此传播。

消息来源：南方都市报
 

PS:写病毒的都从良了？