Blog程序WordPress v2.03及以下版本存在严重安全漏洞

是的,这意味着在2.0.4版本还没有发布之前,目前的所有版本都存在此严重安全漏洞。

目前发现的漏洞直接影响Wordpress的2.03及以下版本(包括1.5.x),此漏洞会造成任何已注册的评论者以Guest身份对系统造成严重的破坏。

如果你在用Wordpress的话,建议立即在option菜单中禁用“Anyone Can Register”选项。

同时也建议删除那些并没有发表评论却又成为subscriber(Guest)的用户,或者删除那些你并不认识的用户。

WordPress开发团队已经注意到此问题并希望能够尽快发布2.0.4版本来修复此安全漏洞。

Leaving it open and letting people sign-up for guest accounts on your WordPress blog could lead to incredibly nasty stuff happening if anybody so desired. And trust me I am not exaggerating this. So don’t wait a second to disable this option and please relay the message.

WordPress dev team has been notified a while back and I dare hope they will soon start acting on it, if only by relaying a similar announcement through the official channel (as well as, of course, releasing a proper patch).

消息来源:Dr Dave

利用Google来攻击数据库

这个概念并不新:使用Google或其他搜索引擎来寻找存在漏洞的系统并攻击他们。但是看上去不同的情况是这样的攻击手段在最近几个月呈直线上升的态势。这不由让所有人都感到吃惊。
搜索引擎尽职的干它们的活,它们索引每个连接在因特网上的站点。它们揭示并报告每个站点的好东西,同时也包括坏东西,当然是不经过任何过滤的。而我们要做的仅仅是在搜索引擎上键入适当的查询语句并得到我们想要的信息。黑客们也利用Google等搜索引擎进行这些查询,只不过他们利用bots或者其他程序让他们整日整夜的进行。第二天当他们醒来时,一串漂亮的存在漏洞的列表就展现在他们面前,接下去就是等待被他们攻击。
Google也常被用作渗透性测试的必备工具。因为Google包含了各种各样的信息,而Google自己并不会撒谎,它展示的都是网路上暴露的真实的信息,只不过人们并没有意识到Google搜索引擎有多么强大的威力,并没有好好去挖掘其中的数据。
利用Google,我们或许会找到一些并没有安全保护的网络节点,利用它们,我们可以控制许多不同的设备,比如网络打印机、PBX、企业电话系统、路由器、网络摄像头,当然还有网站本身。这些都可以被Google找到。但是把Google作为有效的黑客工具的好处并不仅限于此,它还可以被黑客作为某种代理服务。 虽然常见的一些安全工具软件可以帮助攻击者来扫描并分析出一个公司的网络结构,但是有了Google,攻击者就可以完全让Google来完成这些工作。这样不仅避开了探路的风险,而且这些信息搜集的过程很难被系统管理员发现和阻止。用Google可以查询一些网站的站点拓扑结构,并通过一些附加信息的补充,黑客们是很容易勾勒出公司网络的真实拓扑的。
通过使用预先设计好的Google查询语句和文本处理工具就可以得到SQL数据库的密码甚至错误信息。然后可以利用这些信息来进行SQL的注入攻击。这就让Google真正成为了黑客工具。
虽然Google并不是很在意存储的海量的数据自身存在的安全隐患,同时Google也表示为了保证信息的客观公正,Google并不会去过滤一些所谓的敏感信息。但是事实上Google已经在不经意中帮助了一些蠕虫的攻击和数据库的侵入,因此搜索引擎已经因为安全原因拒绝了一些恶意的查询。

电话银行的安全性有待加强

当人们更多的关注网上银行的安全性问题,热衷于谈及如何预防网银失窃、网络诈骗等事件的时候,我们却忽视了电话银行存在的各种更严重的安全性问题。
使用网银的人都知道,开通网上银行需要下载电子证书或者个人USB棒等移动个人证书,访问网银站点时也是使用SSL加密的页面进行访问,有些银行甚至做了瘦客户端来加强客户访问的安全性。这些通讯加密、双向认证的措施,都保证了在线银行业务操作时的数据保密性和完整性。在这种模式下,要进行man-in-middle的攻击是很难的。常见的网银被盗都是由木马后门或者更有效的钓鱼网站以及社会工程学来实现的。而直接的对客户访问网银进行窃听、抓包、记录等手段是几乎没有成功的可能。
然而,电话银行却存在着被搭线窃听的严重安全隐患。虽然现在的公共电话网都采用了音频方式,但搭线窃听还原拨号数字却仍然是非常简单的一件事情,而且很难被察觉。先说电话网的布线方式,在小区以及楼宇的走道内都可以接触到电话配线架,只需要打开铁箱子门,使用简单的设备就可以听到别人的语音通话,同时也可以盗用别人的电话号码进行拨打,要得到某条电话线路上的拨号数据需要的也仅仅是时间。普通电话无论语音还是拨号数据从来都不加密,要窃听就是这样简单。再说说电话局端,那里记录了用户的所有电话拨打使用数据,包括所有的电话按键信息,我们也不能排除这些数据被电话局内别有用心的人得到或者泄漏。还要说说企业的PBX程控交换,为了防止员工肆意拨打长途或声讯电话,企业一般都会有程控电话记录和管理设备,内部电话的拨号数据在程控设备的监视软件上是一幕了然,而谁又能保证可以看到这些数据的人不会起邪念呢?
为什么说这些拨号数据如此重要呢?这就得了解一下电话银行的运作模式。先拨入银行电话,然后按照提示输入卡号,然后是密码或者查询密码,授权通过后就可以进行电话银行可提供的业务操作。而这些操作中最要命的往往就是那些直接的资金操作,比如转帐、缴费等。有些考虑稍微周到些的银行在进行这些关键操作时会让用户再次输入交易密码,这个往往就是银行卡在ATM上的取款密码。这些用户键入的数字,一旦被记录,就很容易通过#号,一般银行卡号长度等信息分析出具体卡号和密码,有了这些偷盗者的任务也完成大半了。
为了避免这些显而易见的安全隐患,有些银行把电话银行和网上银行的密码以及ATM取款密码相互独立开来,同时降低电话银行可操作的业务种类和级别,在电话银行中仅使用查询密码等手段减小风险。这些都是积极的尝试和进步,但是有些银行却很不注重这些,有些国内银行做的很差。这些银行在不告知用户的情况下,就默认开通了电话银行业务,而且默认密码就是取款密码。更有甚者要求开通网上银行必须开通电话银行,初时密码是一样的,要修改则是以后的事情。但是对于用户而言,不是每个人都那么注重个人隐私的保护和这些敏感信息的安全性,他们不会懂得为什么要查询密码和交易密码两个密码?用一个不是更好记忆吗?这就需要银行方面更多的提供解释和为用户多考虑,而不是贪图自己的系统设计方便却把用户的安全性丢在一边。
可喜的是,我们看到种种努力和改进都在进行。一些银行的信用卡电话银行已取消了简单的密码输入作为身份审核的一贯方式,二是采用了人工提问的方式来确定电话者的身份。这样一对一的电话银行业务受理方式也是用户喜欢的方式,而不是对着答录机按数字。但是这样的模式,需要更多的电话服务人员,业务的效率不高。最近一种新的电话银行身份鉴别方式在美国进行着试用,就是采用语音识别手段来判断用户身份。这需要对电话线路进行改造和专用的电话设备,用户只需对着答录机的提示说出卡号或者一段句子就可以进入电话银行。这可以说是一个不错的想法和创意,但是也有许多人持怀疑态度。首先是因为语音识别系统的错误率太高,再者很难保证打电话进来的人是不是也用录音来进行欺骗。
不管用什么方法,我们都希望自己存在银行内的钱的安全,自己使用网银或者电话银行业务的安全。虽然目前我们的电话银行系统因为种种原因存在这样那样的安全隐患,但是随着中国电子银行安全管理办法的出台,更多的银行高层开始关注电子银行的安全,因此,电话银行、网上银行的安全性是可以有所期待的。

Cisco MARS发现多处漏洞

上周五还去参加cisco的MARS(Cisco Security Monitoring, Analysis and Response System (CS-MARS))产品培训,今天就报出发现多处漏洞,同时我对此产品也不太看好,一是收购别人的软件、二是cisco做安全还太嫩了。
 
Cisco released earlier today an advisory pointing out vulnerabilities in one of their security managment products: Cisco Security Monitoring, Analysis and Response System (CS-MARS).

  • The included Oracle database has default passwords
  • The included JBoss webserver allows remote code execution
  • A privilege escalation problem that allows administrators to gain root access to the machine

Cisco今天早先时候发布的一份说明指出他们的安全管理产品MARS中发现多处漏洞。

  • MARS搭载的Oracle数据库使用了Oracle的许多默认帐号,同时也使用了默认的密码,这就造成了一旦用户可以访问数据库的时候就可以直接得到敏感数据信息。
  • MARS搭载的JBoss web应用服务器软件,其中含有的一个组件会允许远程访问,这样导致未经授权的用户可以以MARS管理员的权限级别远程执行随意指令。
  • MARS的命令行包含许多漏洞,可以让经过授权的管理员以root权限来执行任意指令。

估计MARS在国内还没卖出去几套,不过也得留心一下咯。及时升级到4.2.1及以后版本,或者访问cisco网站获得当前4.2.0对此漏洞的补丁。

密钥管理是企业安全的核心

长久以来密码学一直被用作保护数据的安全传输,而如今它被更多的用在了保护数据库、文件系统、存储介质中的数据。不仅如此,密码学已经被扩展到用于加强数据的私密性、完整性和唯一性。
  • 公钥体系的大规模的应用,身份证书、个人签名、加密、双向认证等手段来保护网站信息,保护邮件内容和重要文档的安全。
  • 到处都可以见到的SSL技术。不仅仅再局限在电子商务上的应用,SSL更多的被植入企业应用和网络设备中。
  • 即插即用数据层面的保护。要采取数据加密往往意味着改写软件应用、编写客户化的代码、改变业务流程,而如今最新的解决方案可以对数据、文件系统、存储介质进行透明化的加密。
  • 密码学的瓶颈。担心加密会严重影响系统的吞吐率已经没有什么必要了,这都要感谢快速的加解密装置。
除了这些好处,密码技术仍然受到部署和管理上的强烈挑战。不过可以消除这些路障的市场因素讲起到关键作用。
  • 不贵但是可以实现强身份认证的动态令牌。企业都不希望仅仅依赖于简单的口令作为访问保密系统的安全保障,但是要强加这些安全保护,投资非常大。如今,在竞争下的产物--动态令牌,使用USB棒等小设备就完成了复杂的功能,同时大大降低了成本。
  • 可升级的密钥管理。对于密码的生命周期来说,密钥管理变得越来越重要。这同样驱使了升级的需求。许多类似的产品可以实现在大的企业环境中进行密钥的管理和自动分发。
  • 针对设备和人员的身份识别管理系统。早期的身份识别管理系统也负责权限和是否可以进入业务系统的管理,但是渐渐的这些系统也覆盖了对设备和自动系统的身份识别和授权功能,而不仅仅针对人员了。
一切变得非常清楚,企业需要为数据和内容的安全打下坚实的密码学基础,但是建立安全意义上的密钥系统仅仅是个开始。成功取决于部署、管理和贯彻良好密钥管理策略的能力。

针对powerpoint的最新漏洞攻击

被Symantec命名为Trojan.PPDropper.B的木马病毒正利用微软的Powerpoint的漏洞进行传播和攻击。微软方面并没有引起足够的重视,认为传播面不会很广。月初微软例行发布了7月的几个安全更新,其中有office的excel和word的漏洞补丁,但是没有涉及此次发现powerpoint的漏洞。因此大家要提高警惕!
这个木马,利用微软的PPT漏洞,注入系统几个木马病毒文件,用来进行远程控制调用。信件可能是从gmail发送过来的,邮件的主题和附件常见为中文名称,附件为[中文名].ppt,一旦运行该ppt文件,就会执行此恶意代码并释放木马至操作系统目录%System%regvrt.exe( Backdoor.Bifrose.E的一种变种,symantec命名),并在EXPLORER.EXE中插入进程并重新生成一个干净的ppt文档,同时显示ppt内容。
在微软没有发布该漏洞补丁之前,请大家及时升级防毒软件,不要轻易打开来路不明的ppt文档。

木马

电脑里面的木马似乎一直没有删除干净。每一次的手动排查,往往是隔靴搔痒,治了标了压制住了势头,却从没有连根清除过。每次的症状都是系统启动后,间隔性的注入IEXPLORE.exe进程,并连接远端的ip。前几次发现是加入了系统隐藏服务中,把服务删了,病毒文件删了也就干净了。这次是隐藏进程也没有,隐藏服务也没发现。这个木马隐蔽性做的真是非常好,启动调用IEXPLORE.EXE去访问远程站点获取最新的机主IP,然后企图把被感染机器上的密码等信息再发送出去。而且一旦连接后就立即退出运行,并间隔一段时间再重复工作。由于运行的时间很短,就算用了icesword等进程查看工具,也不是每时每刻都能发现问题的。
好在有个人防火墙可以对指定进程的网络行为做日志,这个木马的伎俩也就暴露无疑。但是要定位并找出病毒文件却是非常困难的事情。正巧更新了7月的微软补丁,竟然微软的恶意程序清除工具也能发现我机器里面有的这个灰鸽子病毒,但提示只部分删除。奇怪的是,mcafee对此竟然无动于衷,彻底心碎了。更奇怪的是木马克星对这个病毒也是没有一点反映。这些现成工具对此病毒视而不见,只能自己慢慢找了。
看着这个木马无时无刻不对外尝试着连接,心里真的是蛮难受的。不知道到底有多少个人信息,密码信息被泄露,也无法追查,只知道这个IP是浙江地区的,通过ip查下去,对于我个人没有多大意义也是不现实的。只有重装系统才能彻底解决这个木马吗?
这个时候想到了kapersky,装个试试吧,说不定能够识别并清除这该死的木马。卸载了mcafee,换成kav,果不然,直接干掉了一个木马,再扫描一下硬盘吧,又干掉一个,再看看防火墙的日志,自从安装KAV后,那个进程的访问不再活动了,应该算是干掉这个病毒了吧,效果显著哟。
虽然都说KAV占用系统资源颇大,但是为了安全,牺牲一点性能,还是非常有必要的。同时也能深切的认识到,在客户端安全防护方面,还有很大的路可以走,还有很大的市场份额等待挖掘。

骗术

当我们津津乐道于又发现一个社会上骗人的伎俩时,是否探究过其本质以及与信息安全的关系呢?短信诈骗,街头骗术等等,正是利用人们的疏忽和大意。在多次上当之后,防范此类骗术的意识有所提高,防范小偷的意识有提高,但是对于企业信息、个人信息泄漏的防范却很少有注意。无论是黑客还是骗子,都是对我们的社会生活习惯加以研究并得以利用,这就是社会工程学,我们需要研究的学问!
《入侵方法》讲述了一个渗透测试者的故事。他就简单的对门卫说他是公司的内审员,然后魅惑一位年轻的女职员,让她把ID吊牌和密码都告诉了他,并让他自己一个人使用她的电脑,然后和IT负责人共进午餐讨论公司内部的IT架构。
还可以通过电话来进行简单的入侵。在街上随便买个电话卡,打电话到目标公司找IT负责人,从总机那里得到IT负责人的姓名和电话分机。然后再拨打这些IT负责人的分机,直到听到某某不在的语音提示,知道这位IT负责人外出了。于是打电话给IT支持服务中心,声称自己就是那个外出的IT负责人,并说明自己的电脑坏了,存的登陆公司网络的用户名密码找不到,能不能立即把登陆的用户名密码发送到他的手机上,时间很紧迫。于是IT支持服务中心也没怎么核实就把这些信息发送给一个从未见过的手机号码上去了,这样进轻松进入公司网络了。
这样的事情很多,只要有心搜集信息。现在的BLOG也是非常好的搜集信息的方式。某些员工喜欢把同事的合影一起放在BLOG上并注明谁是谁,甚至把公司发生的一些事情都写在BLOG上,他们根本没有意识到是否有人正在把这些信息元记录并加以利用。
IM工具也是非常好的进行社会工程学渗透的管道。因此有些公司把IM封了,但是这样往往会造成年轻员工的不瞒,甚至报复,内部的攻击和入侵由此而生。为了避免这种情况,应更多的从技术上加以考虑,对IM等通讯工具加以过滤和规范。在企业内部制订安全通讯的策略是非常必要的。
员工需要进行安全教育,孩子也需要教育不要和陌生人说话,但是你真的不敢相信,你跑到聊天室或者用IM软件让这些孩子和年轻员工告诉你他们的个人信息是多么的容易。他们怎么就那么好骗呢!