0
| 本文作者: 謝幺 | 2017-03-12 09:30 |
本周關鍵詞
▼
Struts2漏洞 | 維基泄密CIA | 50億信息泄露
京東捉內鬼 | 職業(yè)內鬼 | 重罰信息泄露
pache Struts2 作為世界上最流行的 Java Web 服務器框架之一,3 月 7 日帶來了本年度第一個高危漏洞——CVE編號 CVE-2017-5638 。其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在遠程代碼執(zhí)行漏洞,攻擊者可以在使用該插件上傳文件時,修改 HTTP 請求頭中的 Content-Type 值來觸發(fā)該漏洞,導致遠程執(zhí)行代碼。
Struts 作為一個“世界級”開源架構,它的一個高危漏洞危害有多大,下面兩張圖可以讓大家對這個漏洞的影響范圍有一個直觀認識。
雷鋒網(wǎng)從綠盟科技了解到,從 3 月 7 日漏洞曝出到 3 月 9 日不到 36 個小時的時間里,大量用戶第一時間通過綠盟云的 Structs2 緊急漏洞檢測服務對自己的網(wǎng)站進行檢測,共計 22000 余次。
通過對這些數(shù)據(jù)進行分析,可以看到:
1、從檢測數(shù)據(jù)來看,教育行業(yè)受Struts2漏洞影響最多,其次是政府、金融、互聯(lián)網(wǎng)、通信等行業(yè)。
2、從地域來看,北、上、廣、沿海城市等經(jīng)濟發(fā)達地區(qū)成為 Struts2 漏洞高發(fā)區(qū),與此同時修復情況也最及時。
3、從應對漏洞積極性來說,金融、政府、教育位列前三甲。
雷鋒網(wǎng)了解到,應對本次 Struts2 漏洞,金融行業(yè)應急反應最為迅速,在漏洞爆發(fā)后采取行動也是最迅速的,無論是自行升級漏洞軟件還是聯(lián)系廠商升級防護設備都走在其他行業(yè)前列,很多金融行業(yè)站點在幾個小時之內再次掃描時已經(jīng)將漏洞修補完成。
美國時間3月7日,維基解密(WikiLeaks)網(wǎng)站公布了大量據(jù)稱是美國中央情報局(CIA)的內部文件,其中包括了CIA內部的組織資料,對電腦、手機等設備進行攻擊的方法技術,以及進行網(wǎng)絡攻擊時使用的代碼和真實樣本。利用這些技術,不僅可以在電腦、手機平臺上的Windows、iOS、Android等各類操作系統(tǒng)下發(fā)起入侵攻擊,還可以操作智能電視等終端設備,甚至可以遙控智能汽車發(fā)起暗殺行動。
此次公布的數(shù)據(jù)都是從CIA的內網(wǎng)保存下來的,時間跨度為2013到2016年。這批文檔的組織方式類似于知識庫,使用Atlassian公司的團隊工作共享系統(tǒng)Confluence創(chuàng)建。數(shù)據(jù)之間有明顯的組織索引關系,可以使用模板對多個資料進行管理。很多資料有歷史改動的存檔,7818份資料中除去存檔共有1136個最新數(shù)據(jù)。943個附件基本上都可以在資料中找到對應的鏈接,屬于其內容的一部分。
具體而言,這些資料可以分為如下幾類:
CIA部門資料,包括部門的介紹,部門相關的黑客項目,以及部門內部的信息分享。
黑客項目資料,包括一些不屬于特定部門的黑客工具、輔助項目等,其中有項目的介紹,使用說明以及一些技術細節(jié)。
操作系統(tǒng)資料,包括iOS、MacOS、Android、Linux、虛擬機等系統(tǒng)的信息和知識。
工具和開發(fā)資料,包括CIA內部用到的Git等開發(fā)工具。
員工資料,包括員工的個人信息,以及員工自己創(chuàng)建的一些內容。
知識庫,這里面分門別類地存放了大量技術知識以及攻擊手段。其中比較重要的是關于Windows操作系統(tǒng)的技術細節(jié)和各種漏洞,以及對于常見的個人安全產(chǎn)品(Personal Security Products)的繞過手段,包括諾頓、卡巴斯基、賽門鐵克、微軟殺毒以及瑞星等安全產(chǎn)品。
躺槍的蘋果在給外媒 TechCrunch 的官方聲明中表示, iPhone 能提供“消費者能得到的最佳數(shù)據(jù)安全性”,根據(jù)其初步分析,維基解密列出的 14 項漏洞中,有“許多”在最新版的 iOS 里都已經(jīng)被補上了。
雷鋒網(wǎng)了解到,除此之外,他們還承諾“會繼續(xù)快速解決被發(fā)現(xiàn)的漏洞”,而且不忘提醒使用者,要盡快下載和升級到最新版的系統(tǒng)。
據(jù)公開報道,美國官員向當?shù)孛襟w透露,聯(lián)邦調查局(FBI)和 CIA 將聯(lián)手立項刑事調查。雷鋒網(wǎng)了解到,此次調查的主要內容包括:首先,維基解密如何獲得了這些文件;其次,CIA內部是否有內鬼,即攻擊是從外部進入的還是內部同時有人呼應。
三星和微軟對 CNBC 表明了態(tài)度。
三星:保護消費者的隱私和我們設備的安全性是三星的首要任務。我們已注意到所提及的報告,正在緊急調查此事。
微軟:我們知道上述報告,正在調查此事。
谷歌的信息安全和隱私主管希瑟-阿德金斯(Heather Adkins)在一份聲明中表示,谷歌已經(jīng)審查了這些文件,他們有信心認為 Chrome 和 Android 的安全更新和保護已經(jīng)阻止用戶避開這些所謂的漏洞。他們的分析正在進行中,將實施任何必要的保護措施。谷歌總是將安全視為重中之重,將繼續(xù)投資于防御體系建設。
美國白宮發(fā)言人斯派塞當天在例行記者會上拒絕證實這些文件的真實性,但強調機密文件外泄事件應該成為一大擔憂。斯派塞說,這類泄密事件損害美國的安全,我們將會找出泄露機密信息的人,將按法律最大限度地起訴他們。
3月7日,微信認證公眾號“公安部刑偵局”表示,公安部安徽、北京、遼寧、河南等14個省、直轄市公安機關開展集中收網(wǎng)行動,徹底摧毀一個通過入侵互聯(lián)網(wǎng)公司服務器竊取出售公民個人信息的犯罪團伙,抓獲犯罪嫌疑人96 名,查獲涉及交通、物流、醫(yī)療、社交、銀行等各類被竊公民個人信息50多億條。
據(jù)公開媒體報道,鄭某鵬利用京東網(wǎng)絡安全部員工這一身份,長期監(jiān)守自盜,與黑客相互勾結,為黑客攻入網(wǎng)站提供重要信息——包括在京東、QQ上的物流信息,交易信息、個人身份等數(shù)據(jù)信息,為犯罪團伙實施違法犯罪活動提供了有力的技術保障。
京東員工鄭某鵬所在的這一該犯罪團伙,還曾通過相似手段入侵多家互聯(lián)網(wǎng)公司的服務器,從中竊取并倒賣公民個人信息,更利用從竊取到的各類注冊信息,二次復制銀行卡,實施盜刷銀行卡等違法犯罪活動……
消息傳開后,京東發(fā)出了一份聲明,原文如下:
日前,京東與騰訊的安全團隊聯(lián)手協(xié)助公安部破獲了一起特大竊取販賣公民個人信息案。
據(jù)介紹,在騰訊與京東聯(lián)合打擊信息安全地下黑色產(chǎn)業(yè)鏈的日常行動中,發(fā)現(xiàn)2016年6月底入職京東、尚處于試用期的網(wǎng)絡工程師鄭某鵬系黑產(chǎn)團伙的重要成員,并立即向公安機關提供了線索。經(jīng)了解,鄭某鵬在加入京東之前曾在國內多家知名互聯(lián)網(wǎng)公司工作,其長期與盜賣個人信息的犯罪團隊合作,將從所供職公司盜取的個人信息數(shù)據(jù)進行交換,并通過各種方式在互聯(lián)網(wǎng)上販賣。在掌握大量證據(jù)的基礎上,按照公安部統(tǒng)一部署,安徽、北京、遼寧、河南等14個省、直轄市公安機關同步開展集中收網(wǎng)行動,韓某,翁某,鄭某鵬等主要犯罪嫌疑人悉數(shù)落網(wǎng)。目前,該案正在進一步審理中。
雷鋒網(wǎng)注意到,在最初報道50億信息泄露案時,就有知情人士稱,犯罪嫌疑人鄭某鵬在加入京東之前曾在國內多家知名互聯(lián)網(wǎng)公司工作,其泄露的50億條公民信息中,可能包含多家互聯(lián)網(wǎng)公司的用戶信息。
此后,又有知情人士透露鄭某鵬在加入京東之前曾就職于亞馬遜中國、百度和新浪微博等單位從事網(wǎng)絡安全相關工作,其長期與盜賣個人信息的犯罪團隊合作,將從所供職公司盜取的個人信息數(shù)據(jù)進行交換,并通過各種方式在互聯(lián)網(wǎng)上販賣,系團伙骨干成員之一。
如果該爆料屬實,那么犯罪嫌疑人鄭某鵬很可能是“職業(yè)內鬼”。這也難怪京東揚言要起訴不實報道的媒體,因為不少報道給人的感覺確實是,泄露的50億數(shù)據(jù)全部都來自于京東,實際情況未必如此,不少知名互聯(lián)網(wǎng)公司都可能被“潛”過,只是恰好在京東就職期間被發(fā)現(xiàn),警方才和騰訊、京東三方協(xié)力破獲該案。
根據(jù)3月11日微博網(wǎng)友“Tombkeeper”,也就是騰訊玄武實驗室負責人于旸,IT圈大名鼎鼎的“TK教主”爆料,2015年他在查看某應聘者時,就注意到應聘者的身份可疑,不僅曾在多家公司連續(xù)跳槽,而且不斷換城市,而且存在簡歷造假,系故意掩蓋其過往經(jīng)歷。最終經(jīng)過調查發(fā)現(xiàn)該應聘者果然是黑產(chǎn)團伙成員。
很明顯,騰訊也曾是職業(yè)黑產(chǎn)臥底的一大目標,只是那一次被TK教主成功識破。
據(jù)雷鋒網(wǎng)了解,其實在此之前,內鬼勾結地下黑產(chǎn)售賣公司內部數(shù)據(jù)的案件就屢有發(fā)生,如2013年底支付寶被曝出的20G信息泄露事件,就和其前技術員工李明(音)利用職務之便,勾結地下黑產(chǎn)有關。在物流方面,順豐快遞也曾多次出現(xiàn)內鬼售賣物流信息的案件,其他快遞的物流信息也幾乎無一幸免地出現(xiàn)在地下黑市。
然而在以往大眾的認知當中,這些內鬼可能是原本正常的員工受到利益的誘惑才和地下黑產(chǎn)勾結,但“職業(yè)臥底”這一身份的出現(xiàn),開始讓人們意識到,公眾信息保護并沒有那么簡單。網(wǎng)絡安全的“無間道”大戲正在上演,每一家擁有公眾信息的企業(yè)、機構都在參演,而最終的受害者將是每一個公民。
隨著大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展,用戶數(shù)據(jù)泄露現(xiàn)象進一步惡化,個人信息安全形勢嚴峻。對此,全國政協(xié)委員張近東在今年提交的提案中,建議重罰信息泄露行為,以信息泄漏及信息轉賣數(shù)量作為界定標準,提升處罰刑期上限,遏制整個信息泄露鏈條的關鍵環(huán)節(jié)。
去年,中國互聯(lián)網(wǎng)協(xié)會數(shù)據(jù)報告顯示,78.2%的網(wǎng)民個人身份信息被泄露過,63.4%的網(wǎng)民個人網(wǎng)上活動信息被泄露過,網(wǎng)民因個人信息泄露、垃圾信息、詐騙信息等現(xiàn)象導致總體損失約805億元。
對于信息安全問題,張近東提出,要進一步制定數(shù)據(jù)開放共享配套法規(guī)、安全配套標準,構建防護技術體系,確保數(shù)據(jù)安全。根據(jù)不同企業(yè)等級,制定相應法規(guī)、管理條例,強制要求相應等級企業(yè)參照國家相應標準,采取符合其等級的技術和管理規(guī)范,并保證其在信息保護方面的經(jīng)費投入與其信息數(shù)量、敏感度匹配。
張近東認為,要針對信息泄漏及轉賣信息人員加強處罰,因目前信息泄漏源頭環(huán)節(jié)相對廉價,每條僅為1元不到至10元不等,僅從涉案金額來看往往不高,且最高罰則僅為三年以下有期徒刑,無法形成有效制約。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權禁止轉載。詳情見轉載須知。
