如果有媒体采访NSA此时此刻的心情,我猜NSA最想说的可能就是:“斯诺登,你他妈有完没完啊!?”
不断被曝光的NSA
从斯诺登曝光NSA的诸多劣迹,可以让人深刻体会到,没有底限是多么可怕!
本周,斯诺登爆料NSA如何在全球通过互联网收集情报。见下面的附图。需要注意的CNE这个词,“计算机网络利用”(Computer Network Exploitation)的缩写,就是入侵了。“CNE”入侵的数量了超过五万个网络。NSA拒绝就此发表评论。
事情还没完。斯诺登本周二揭露NSA曾以访问色情网站和勾引未成年少女等负面行为,抹黑6名持“有争议看法”的穆斯林。这6名穆斯林并非“恐怖分子”,而是煽动其他人的异见分子。访问和聊天记录来自NSA捕获的该6人的上网数据。
从斯诺登曝光NSA的诸多劣迹,可以让人深刻体会到没有底限是多么可怕!如果有媒体采访NSA此时此刻的心情,我猜NSA最想说的可能就是:“斯诺登,你他妈有完没完啊!?”
可怜的NSA。
DDoS,绝好的烟幕弹!
DDoS做诱饵,吸引应急团队的注意,实际上偷窃数据。
从11月15-17日,丹麦比特币创业公司BIPS系统遭受DDoS攻击,安全团队紧急处理。但是,实际上DDoS只是为吸引防御一方的注意,入侵者悄悄地并成功偷窃了1295个比特币,价值1百万美金!
以DDoS为烟幕弹,吸引防护一方的注意,然后从另一个通道进行其他隐秘的入侵操作已经不是第一次了。在金融领域,类似的事情不止一次地发生。之前,Gartner分析师Litan曾经发出过警告:以DDoS吸引防护者注意,偷偷进行转账的事件,据她所知就有三起。美国著名安全博主Brain Krebs也提到过类似一起高达90万美金的盗窃案。。更早一些,在2011年4月,SONY欧洲分部在一次大规模信息泄露事件中,有7700万用户的信息丢失,包括姓名、地址、生日、密码等私密信息。当时SONY就是一味忙于处理DDoS攻击。
因此,如果你认为你的数据多少还有些价值,或者你的系统中有第三方数据托管,那么一旦你被人家D了,千万要多留个心眼,别一根筋扎到单纯的抗D中去。
Athena新版本再现江湖。
研究人员发现由绰号“_Stoner”开发的Athena恶意程序出现新版本。
在本周,研究人员发现了由绰号“_Stoner”开发的Athena恶意程序出现新版本,除了DDoS外,还可以从CC端获得指令进行其他操作。当前版本的价格,从Softpedia.com上看,Athena最新版本v2.3.1,售价100美金,升级费10美金。
回顾Botnet的历史,不难得出这样一个结论:僵尸网络不是一成不变的。Athena僵尸程序就是一个例子。Athena最近一次重大的改变是在2013上半年,Athena悄悄地从基于IRC转变为基于HTTP协议。
这个转变的意义是比较重大的。一方面使用者可以获得更为丰富的攻击方式;另一方面,通过HTTP传递指令也更隐蔽。从工具的界面上看,从可以发起的DDoS攻击方式上,几乎涵盖了全部的网络层到应用层的攻击。工具用起来也很简单,只要填写相应的端口、IP地址或URL就OK了。
现在做工具的真是非常的贴心,面向使用者开发,越来越简单,越来越好用。
当然,任何事情都有硬币的两个面。Athena从IRC转向HTTP,客观上也暴露了很多不足。Athena的僵尸主机通过Post向CC发送请求,从HTTP报文中可以看出非常明显的特征,这为基于特征的检测提供了非常好的依据。事实上本人一直认为将基于签名特征的检测一棒子打死的人,都是伪专家。很多时候,特征检测是最快最准确的。除了有明显的签名特征之外,基于HTTP要远比基于IRC要复杂,这会影响僵尸网络的搭建,攻击的规模也会受限。
Anonymous挂了微软日本系统
微软为杀海豚者躺枪。
本周,黑客主义者Anonymous在Pastebin上发帖宣称已经将微软日本的诸多系统用DDoS打掉了,目的是抗议日本对海豚的滥捕。本番攻击的代号是Operation Killing Bay 或#OpKillingBay(中文:杀戮港湾行动)。其中,Killing Bay(杀戮港湾)意指日本以捕杀海豚闻名的太极村(Taiji)。受到影响的微软日本系统包括:microsoft.com,,outlook.com,,msn.com和office365.com。
看到这个新闻,我和很多朋友的反应一样:尼玛杀海豚和微软有什么关系?
其他
在本周中,值得关注的安全事件还包括:
荷兰IT服务公司Levi9称所有版本为Andriod 4.x的Google Nexus4和5存在可被利用的DDoS脆弱性。当Google Nexus4/5设备接收到一个短信,系统会把短信置于所有窗口的上端。如果短信数量太多同时所有者又不手工关闭或取消,就可能导致设备重启。重启后,如果设置了密码,客户又不知道设备已重启,可能几个小时处于断网状态。事件可能发生的场景之一是使用者在睡觉的时候。
钓鱼邮件导致华盛顿大学医院( UW Medicine)逾9万病人个人信息被窃。上个月,一名UW的员工打开了一封钓鱼邮件,随后恶意软件控制了该计算机。黑客通过控制的该员工计算机跳转,进入院方的服务器系统,导致超过9万名医院病人个人信息的泄露。一些病人向媒体表达了愤怒的心情。UW表示道歉,并向FBI报案。
