【国盟信息安全通报(日第42期)】-西藏南路 易登网
&&&&&&&&&&&&&&&&
国盟信息安全通报(日第42期)
性质 : 成人教育
等级 : 专业
价格 : 6000元
课时 : 40小时
学时 : 短期培训
具体位置： -
[补充说明]
[联系方式]
发布时间：,11:43:42
[相关信息]
&&&&&&&&&&&&&&&&国盟信息安全通报（2015 年 4 月 20 日第 94 期）2015 年 4 月 20 日第 94 期国际信息安全学习联盟主办1国盟信息安全通报（2015 年 4 月 20 日第 94 期）国盟信息安全通
报（第 94 期）国际信息安全学习联盟 2015 年 4 月 20 日 国家信息安全漏洞共享平台（以下简称 CNVD）本周共收集、整理信息 安全漏洞 112 个，其中高危漏洞 37 个、中危漏洞 68 个、低危漏洞 7 个。上述漏洞中，可利用来实施远程攻击的漏洞有 104 个。本周收录 的漏洞中，已有 104 个漏洞由厂商提供了修补方案，建议用户及时下 载补丁更新程序， 避免遭受网络攻击。 其中互联网上出现 “EMC Isilon OneFS 权限提升漏洞” 、 “Johnson Controls Metasys 无限制文件上传 漏洞”等零日漏洞，请使用相关产品的用户注意加强防范。国际信息安全学习联盟主办2国盟信息安全通报（2015 年 4 月 20 日第 94 期）主要内容一、概述........................................................................................................................................... 4 二、安全漏洞增长数量及种类分布情况 ....................................................................................... 4 ?漏洞产生原因（2015 年 4 月 06 日-2015 年 4 月 20 日） ............................................. 4 ?漏洞引发的威胁（2015 年 4 月 06 日-2015 年 4 月 20 日） ......................................... 5 ?漏洞影响对象类型（2015 年 4 月 06 日-2015 年 4 月 20 日） ..................................... 5 三、安全产业动态........................................................................................................................... 6 ?政治安全视域下的网络边疆治理........................................................................................ 6 ?每日新增恶意软件近 100 万种：点赞按钮亦陷阱 .......................................................... 10 ?网络犯罪变得更加容易了.................................................................................................. 12 ?ISACA 调查研究 82%的组织预期遭受网络攻击 ............................................................... 13 ?聚焦全国政府网站首次普查.............................................................................................. 15 四、政府之声................................................................................................................................. 18 ?中国暂停执行银行业技术新规缓和中美关系 .................................................................. 18 ?中办、国办：坚决整治利用网络传播暴力色情信息 ...................................................... 19 ?意大利发布《互联网权利草案宣言》.............................................................................. 20 ?美国防部将推出网络安全新战略...................................................................................... 21 五、本期重要漏洞实例................................................................................................................. 22 ?Microsoft Windows HTTP.sys 远程代码执行漏洞 .............................................................. 22 ?IBM Tivoli Storage Manager FastBack 栈缓冲区溢出漏洞 ................................................. 23 ?Apple iOS 及 TV 多个信息泄露漏洞 ................................................................................... 23 ?Cisco Web Security Appliance 任意代码执行漏洞 ............................................................. 24 六、本期网络安全事件................................................................................................................. 25 ?福建省交警车牌选号系统遭黑客攻击.............................................................................. 25 ?谷歌地图显示：斯诺登藏匿于美国白宫.......................................................................... 28 ?为证实航班安全系统存漏洞，安全专家黑掉飞机 .......................................................... 29 ?煤矿工自学成“黑客”入侵腾讯网游牟暴利 .................................................................. 30 ?API 炒外汇遭“黑客攻击” 衡水男子投 28 万仅收回 6 万 .......................................... 31 ?P2P 平台频遇数据库泄露 ................................................................................................. 33 注：本报根据中国国家信息安全漏洞库（CNNVD）和各大信息安全网站整理分析而成。国际信息安全学习联盟主办3国盟信息安全通报（2015 年 4 月 20 日第 94 期）一、 概述国盟信息安全通报是根据国家信息安全漏洞共享平台（以下简称 CNVD）本周共收集、 整理信息安全漏洞 112 个，其中高危漏洞 37 个、中危漏洞 68 个、低危漏洞 7 个。上述漏洞 中，可利用来实施远程攻击的漏洞有 104 个。本周收录的漏洞中，已有 104 个漏洞由厂商提 供了修补方案，建议用户及时下载补丁更新程序，避免遭受网络攻击。其中互联网上出现 “EMC Isilon OneFS 权限提升漏洞” 、 “Johnson Controls Metasys 无限制文件上传漏洞”等零 日漏洞，请使用相关产品的用户注意加强防范。二、 安全漏洞增长数量及种类分布情况? 漏洞产生原因（2015 年 4 月 06 日-2015 年 4 月 20 日）国际信息安全学习联盟主办4国盟信息安全通报（2015 年 4 月 20 日第 94 期）? 漏洞引发的威胁（2015 年 4 月 06 日-2015 年 4 月 20 日）? 漏洞影响对象类型（2015 年 4 月 06 日-2015 年 4 月 20 日）国际信息安全学习联盟主办5国盟信息安全通报（2015 年 4 月 20 日第 94 期）三、 安全产业动态? 政治安全视域下的网络边疆治理以互联网的普及为标志，人类已经进入了信息化时代。信息技术革命的日新月异，网络 应用技术的层出不穷， 深刻地改变着世界的面貌， 造就了虚拟但客观存在的网络社会与网络 空间。在这无形的、貌似平静的世界中，同样也充斥着利益的博弈、权力的角逐乃至强权的 肆虐，弥漫着越来越浓重的硝烟味。在这样一个信息化的时代里，网络主权不再是一个抽象 的概念， 而是民族国家的基本构成要件之一， 网络边疆也随之应运而生， 对其进行有效治理， 已经成为维护国家政治安全的新场域。网络边疆的内涵与特征现代国家的边疆经历了从陆疆到海疆再到空疆乃至天疆的建构过程， 从一维的平面概念 变为了多维的立体范畴。 随着所谓第五维空间――网络空间的形成， 国家的边疆亦从实体的 物理空间扩展到了无形的虚拟空间， 其内涵也发生了革命性的变化， 由传统意义上主权国家 管辖的地理空间的边缘部分拓展为国家安全和国家利益所涉及的空间范围。 相较于国家的传 统边疆，网络边疆具有以下特征： 边界无形，空间范围不明确，打破了传统的国家防卫理念与格局。国家网络国防的主要 目标是防范敌人对本国网络信息系统的技术性入侵和借助网络进行现实的颠覆和破坏活动。 国家的网络防卫力量不是按照地理空间范围来部署， 而是按照电子信息传输和网络系统构建国际信息安全学习联盟主办6国盟信息安全通报（2015 年 4 月 20 日第 94 期）的技术性环节来配置。 权利交错，利益交互，限制了国家防卫措施的选择度。网络的连通性是建立在各国对信 息和技术的共用共享之上的，一些国家和网络行为主体（包括组织和个人）就是利用了这种 依赖性攫取利益，从事网络攻击和破坏活动，而国家为此往往陷入两难的困境：明知一些信 息和技术存在很大的风险，但又不得不使用，这加大了国家防卫过程中“杀敌一千，自损八 百”的可能性。 网络攻击无处不在，防不胜防，加剧了攻与守的不对称性。在虚拟的、以数字为链接的 网络空间中，任何主体在任何时间、任何地点都可能利用数据链条上的微小漏洞发动攻击， 利用各式各样的信息平台随时传输、散播危害国家安全的言论和信息。这些攻击看不见、摸 不着，毁坏于无形，攻心于无声，可谓防不胜防。 以高科技为支撑， 凸显了科技水平在网络边疆防卫中的决定性作用。 网络边疆的值守已 不再是传统意义上自然环境下的巡逻与放哨，而是在一台台计算机前的信息甄别与技术对 抗。只有不断进行科技创新，才能抢占网络国防的制高点。 敌方多元化， 要求提高网络边疆防卫的官民一体化水平。 网络边疆的侵犯者除了组织化 的侵略者之外，还可能是大量的个体化网民；除了蓄意破坏、训练有素的专业人员之外，还 可能是漫无目的、 图一时之快的普通黑客。 单纯依靠政府和军队的网防策略很难应对这种敌 方多元化和攻击方式多样化的挑战，必须充分发动社会力量，全民皆兵，官民一体，才能有 效应对。我国目前网络边疆安全形势网络边疆治理对于维护国家政治安全意义重大，其可以抵御敌方利用网络发动的战争， 防范敌方利用网络进行的窃密和破坏活动，遏制敌方利用网络进行的意识形态渗透和颠覆， 打击“三股势力”利用网络策划的分裂阴谋和恐怖活动等。然而我国的网络边疆不仅面临着 巨大的挑战和压力，而且自身还存在不少问题。目前的整体安全形势比较严峻，突出表现在 以下几个方面： 在与西方国家的互联网竞争中， 我国目前处于相对弱势一方。 互联网技术最早是由西方 发达国家发明及应用， 并以西方国家为中心向全球扩张的， 西方国家占据着网络建设和发展 的明显技术优势。 到目前为止， 全球大部分互联网资源和关键基础设施都由美国等西方国家 掌控。不仅如此，西方国家还具有互联网信息的强大话语优势。当今互联网信息内容的 90% 以上为英语信息，主要是美英等西方信息，世界知名网站多为西方所设，而用于网络信息搜 索、 图像传输、 视频演示的网站大都来自西方。 西方国家利用这样的优势， 以互联网为平台，国际信息安全学习联盟主办 7
国盟信息安全通报（2015 年 4 月 20 日第 94 期）在全世界范围内大肆推销其价值理念、 意识形态、 生活方式等， 肆意围攻所谓的 “问题国家” 。 我国从 1994 年才开始接入国际互联网，作为后来者，在很多时候不得不接受和遵守由西方 国家制定和主导的互联网游戏规则。 再加上技术上客观存在的巨大差距， 目前在与西方国家 的互联网竞争中处于相对弱势的地位。这对于我国网络边疆安全的维护是极为不利的。 我国现在虽是网络大国，但不是网络强国，缺乏自主创新的核心技术。目前我国政府部 门、重要行业的服务器、存储设备、操作系统、数据库大多都是国外产品。美国的互联网企 业几乎渗透到我国网络空间的每一个节点， 覆盖了信息技术的所有领域。 这些进口的计算机、 交换机、路由器、操作系统等，其密钥芯片和程序上均可能被故意预留控制端口，存在着被 非法 “入侵” 和 “窃听” 的可能。 而一些包括军工在内的中国企业在引进国外的技术设备后， 技术升级、 维修保养等售后服务还严重依赖外方， 实际上使设备运转和生产情况时时处于外 方的监控之下， 甚至还存在被外方远程遥控随时停止工作的可能性。 这不仅使我国的网络安 全存在很大隐患，而且网络边疆的防御体系较为脆弱，防御能力比较有限。 缺乏网络主权和网络防护意识， 网上泄密事件屡 屡发生。在现实生活中，传统有形空间的国家主权和 边疆受到挑战和侵犯，往往会引起举国关注。而无形 网络空间的主权和边疆受到挑战，却不容易受到重 视。 这一方面是因为网络空间的虚拟性使人们无法直 观、及时地感知到其发生的变化和出现的事端，更重 要的还是因为网络主权和网络防护意识的缺乏。 从已发生的网络窃密、 泄密案件看， 主要的安全漏洞有四种： （1） 计算机网络定位不准； （2）违规使用涉密计算机信息系统； （3）涉密计算机信息系统违规连接互联网； （4）交叉 使用优盘。 我国目前的网络安全技术水平还有待提升， 而这些人为的漏洞更为敌手的网络窃 密提供了可乘之机。网络边疆治理的策略措施鉴于目前的形势，强化网络边疆的治理可谓迫在眉睫、刻不容缓。为此，我们需要更新 观念，提高认识，搞好顶层设计与战略谋划，软硬并举，内外兼修，切实提高我国的网络边 疆治理能力，改善国际网络生存环境。 强化网络主权与网络国防意识，加强顶层设计，做好战略谋划。对于网络边疆治理这样 事关国家安宁与稳定乃至前途和命运的重大工作， 首先必须要从国家战略的高度加以重视和 谋划。其在制订过程中应当强调以下几个原则： （1）要把“网络国防”作为国家整体国防战国际信息安全学习联盟主办 8
国盟信息安全通报（2015 年 4 月 20 日第 94 期）略的一个有机组成部分，并与其他国防战略形成有效的配合与支持； （2）要着重建设和健全 网络安全与网络边疆治理的领导体制，建立和完善各部门之间统一行动、资源共享、情况通 报、技术交流等协调与运行机制； （3）要实现治理主体的多元化，充分利用好国家、军队、 企业乃至个人的各自优势与特长，形成合力，共筑保卫国家网络边疆的信息长城； （4）要注 重平战结合，既要考量战时的应对措施，更要抓平时的常态化演练；既要突出短期效应，更 应重视长效机制的建设。 锤炼内功，切实提高网络边疆的治理能力，保证对本国网络空间的控制权。在激烈的网 络竞争和较量中，只有夯实了网络国防的基础，拥有了强大防御和反制敌人的能力，才能真 正有效地治理网络边疆， 维护国家的政治安全。 “内功” 的锤炼最为关键的是以下三个方面： （1）核心技术的研发、创新与使用。要整合各方力量，重点联合攻关操作系统、CPU、网络 加密认证、防病毒、防攻击入侵检测、区域隔离安全系统等维护网络安全的关键技术；要重 点研发若干独创的网络武器，增强网络战中的反制能力，以非对称性方式寻求破敌之策；要 大力实施自主国产技术和产品的替代战略。 （2）高素质的网络技术人才培养。不仅要培养高 水平的技术研发人员，还要着力提高那些从事网络监控、网络执法、网络对抗等工作的专门 人员的专业素质和业务技术水平， 提高 “网络哨兵” “网络警察” “网络卫士” 们的实战能力， 建立起以专业部队为核心、外围力量多元互补的强大网络国防力量。 （3）网络边疆治理的制 度建设。必须要坚持利用制度的规范性、强制性、普遍性、稳定性来有效维护网络秩序，使 得网络边疆的治理能够真正建立在制度保障的基础之上。 积极参与国际网络合作，努力改善国际网络环境，争夺国际网络空间的话语权。互联网 时代， 各国的网络空间实际上是不可分割的整体， 一国网络边疆的有效治理还有赖于良好的 国际网络环境。面对目前对我国不利的国际网络环境，消极的躲避退让肯定于事无补，任由 其发酵恶化也不可行，唯有积极主动地参与国际合作，在参与中趋利避害的同时，寻求国际 网络环境的逐步改善。 为此， 我们要积极参与国际合作， 治理世界各国共同面临的网络问题， 塑造负责任的大国形象； 要积极开展网络外交， 充分宣传我国的网络政策主张及其正当性与 合理性，坚决抵制某些国家在网络领域的双重政治标准；要积极参与制定、修改现行国际网 络空间行为规则， 不断扩大我国在国际网络治理中的影响力和话语权； 要以联合国等国际组 织为舞台，加强与有关国家的对话与磋商，积极促成“国际互联网公约” “打击计算机犯罪 公约” 等一系列相关国际性公约的制定和国际网络领域反恐等合作机制的建立， 坚定不移地 继续推动以联合国为核心构建公正、合理的国际网络新秩序。 （许开轶 作者单位：南京师范大学公共管理学院）国际信息安全学习联盟主办 9
国盟信息安全通报（2015 年 4 月 20 日第 94 期）? 每日新增恶意软件近 100 万种：点赞按钮亦陷阱去年，全球开发出的恶意软件，包括计算机病毒和其他恶意软件的数量超过了 3.17 亿 种。这意味着，每天新出现的信息安全威胁接近 100 万种。不过，根据 Verizon 的 2015 年数据泄露调查报告，黑客目前仍非常依赖尚未修复的、古老的计算机漏洞。在接近 90%的案例中，黑客利用了自 2002 年以来就已存在的计算机漏洞。 过去一年的事件调查， 影响的组织覆盖 95 个国家， 其中有 61 个报告了问题， 涉及 79790 个安全事件(Security Incident)，超过 2 千(2122 个)确认的数据泄露(Data Breach)。 Verizon 信息安全数据科学家鲍勃?鲁迪斯(Bob Rudis)表示： “尽管是否需要修复这些 漏洞是无需考虑的问题， 但许多企业更关心开发新工具。 他们没有人力或时间去进行修复。 ” 赛门铁克的报告显示，直接攻击和数据泄露事件的数量也在增长。去年，有 5/6 的大型 公司遭到了信息安全攻击，较此前一年增长 40%。采矿业是全球受攻击最严重的行业。 赛门铁克高管萨米尔?卡普利亚(Samir Kapuria)表示，在一个案例中，黑客攻入了一 家能源公司的计算机系统，窃取了一份报告草稿。这份报告关于可能的能源钻探点信息。 卡普利亚表示，黑客尝试在黑市网站上向股票交易者兜售这些信息。不过，这家能源公 司随后对可能的黑市购买者表示，其中的信息是虚假的，从事挫败了黑客的图谋。卡普利亚 拒绝透露当事公司的名字。 信息安全攻击的传播速度也很快。Verizon 发现，当黑客发出包含恶意软件的垃圾电子 邮件时，只需 82 秒就有人会上当，成为受害者。而当黑客成功攻破某一公司的网络时，他 们会在 24 小时内使用同样的方式去攻击行业中的其他公司。移动平台方面的威胁情况有多严重？对于大热的移动平台，Verizon 也专门进行的分析，但是数据结果显示，在数以千万计 联到 Verizon 网络的移动设备中，感染“高级”的恶意代码的，平均每周只有 0.03%。以至 于 Verizon 认为是可以忽略的。 至少在当前面临的众多安全问题中， 移动设备方面造成数据 损失的还不是首要投入解决的。情报共享到底共享了什么？今年的报告中另一个亮点是在报告前排位置， 安排一个章节阐述情报共享方面的调查数 据。 由 ThreatConnect 牵头的 15 个共享社区之间， 共享频率最大的主要集中在 IP 地址信息 以及 Hosts 信息上。其他方面国际信息安全学习联盟主办10国盟信息安全通报（2015 年 4 月 20 日第 94 期）今 年 近 96% 的 事件 仍 然符 合 去年 提 出的 九种 威胁 模 式（ user error, crimeware insider/privilege misuse, physical theft/loss, Web application attacks, denialof-service attacks, cyberespionage, point-of-sale intrusions 和 payment card skimmers）而前 4 中攻击模式涵盖了 90%的事件此外，一些新的攻击方式可能值得用户警惕。以下是几个具体案例。数字勒索：黑客正越来越多地试图勒索受害者，这样的勒索攻击去年增长了 113%。黑客通常会从受害者的计算机中窃取文件或照片进行加密，并要求受害者支付 300 到 500 美 元的赎金，以解锁他们的文件。复杂的攻击：黑客正在发动更具目标性和选择性的攻击。例如，黑客会将恶意软件隐藏在其他软件的升级中，并等待用户安装升级。这意味着，企业会在不知情的情况下自行安装 恶意软件。社交媒体： 社交媒体平台上的黑客活动也越来越频繁。 受害者会在社交媒体上分享视频或其他内容，而其中附带指向恶意网站的链接。赛门铁克指出，这样的攻击活动正在快速发 展，因为人们很容易去点击好友发布的内容。“点赞劫持” ：通过虚假的“点赞”按钮，黑客会欺骗人们点击某一网站，从而安装恶意软件，并在受害者的消息流中发布更新，从而传播这样的攻击。Verizon《2015 年数据泄露调查报告》 ：/read-htm-tid-24759.html国际信息安全学习联盟主办11国盟信息安全通报（2015 年 4 月 20 日第 94 期）? 网络犯罪变得更加容易了近日，Websense 安全实验室的研究显示，全球安全漏洞的数量呈现增长态势，而恶意 软件带来的安全威胁则正在减少。 该实验室在 2014 年同捕获了 39.6 亿次安全威胁， 这一数 字较 2013 年下降了 5.1%；但值得注意的是，大型安全事件的数量在 2014 年是呈上升趋势 的。大型安全事件之所以频发， 主要是因为黑客们已经改变了传统的攻击行为――从以往没 有目标的广撒网式攻击，变成当前更加专注、更有针对性的攻击，比如大家熟知的 ATP（高 级持续性威胁）攻击。 当然， 该研究还显示， 恶意软件的作者依然在重复使用相同的交付技术和基础架构―― 超 99.3%的恶意软件所采用的命令与控制基础架构已经至少被一名其他的作者使用过。 在 2014 年，Websense 扫描的电子邮件中有 81%的电子邮件被划归为恶意电子邮件；更 为严重的是，在 2014 年最后 30 天里，Websense 就发现了超过 300 万起带有嵌入式宏的电 子邮件攻击。 “人”仍然是企业安全防护中最为薄弱的一环，Websense 调查显示，尽管已经强调过 多次，但仍有三分之一的人会对邮件中的链接没有防范意识，并直接点开该链接。对于企业 而言，紧靠警告是不够的，定期的安全培训更为重要。 在 Websense 看来，目前黑客技术并没有突破性进展，但黑客工具却在不断升级，并借 助已有的攻击手段和技术，组合成为新的攻击方法。而这也进一步降低了黑客的入门门槛， 即使是初级攻击者，也能独自发动攻击，因为他们可以在网上方便地找到（租用）相关技术国际信息安全学习联盟主办12国盟信息安全通报（2015 年 4 月 20 日第 94 期）或工具。也就是说，网络犯罪变得更加容易了！? ISACA 调查研究 82%的组织预期遭受网络攻击伊利诺伊州罗林梅多斯 --(美国商业资讯 )--据国际信息系统审计协会(ISACA)与美国信息 安全大会(RSA Conference)开展的一项研究显示，82%的组织预期在 2015 年会受到攻击，但 他们却一直依赖被视为无法处理复杂威胁的人才库。根据网络安全现状：2015 年之影响显 示，35%的组织无法填补空缺的职位，这是由网络安全领域领导者 ISACA 与网络安全活动主 办机构 RSA Conference 联合开展的一项研究。 根据由 649 名网络安全和 IT 经理或从业者参与的一项全球调查表明，77%的受访者在 2014 年遭受了攻击增加的状况， 而 82%的受访者认为他们的企业在 2015 年有可能或者非常 有可能受到攻击。同时，这些组织也正着手处理防护不足的人才库。仅 16%的受访者认为至 少半数的求职者符合条件，而 53%的受访者表示网罗一名合格的求职者可能需要长达 6 个 月的时间。一名理想的网络安全专业人员的最佳特性包括实践经验和持有相关证书。国际信息安全学习联盟主办13国盟信息安全通报（2015 年 4 月 20 日第 94 期）持有企业信息科技管治认证(CGEIT)、 风险及信息系统监控认证(CRISC)的 ISACA 国际总裁 Robert E Stroud 表示： “此次研究发现， 缺乏技能娴熟的人才会让高风险环境变得更糟。 ISACA 正致力于通过专门设计的资源来弥补这一缺口，以满足网络安全专业独特、复杂的需求。 ” 该报告分析了近期出现的问题， 例如黑客侵入、 攻击、 缺陷、 安全结构、 预算和政策等。 RSA Conference 总编辑 Fahmida Y. Rashid 表示： “调查结果反映了我们的演讲者和与会者 所讲述的情况。这次大会将专业人士、专家和高管人员齐聚一堂，分享有关最新攻击和安全 策略方面的信息。 ” 大量组织正遭受很大程度上属于蓄意性质的攻击， 且他们对其员工的能力缺乏信心―― 不到一半的组织认为他们的安全团队有能力检测复杂的事件，并做出响应。 Stroud 提到： “这一危机的一线希望是为高校毕业生和寻求职业转变的专业人士提供了 机会。 他们的职责只是保护组织最具价值的信息资产， 而那些资深人士则能够规划高回报的 职业发展道路。 ” RSA Conference 总编辑 Fahmida Y. Rashid 和 ISACA 国际总裁 Robert Stroud 将在 4 月 22 日（周三）太平洋时间早上 8 点在加州旧金山莫斯康展览中心 (Moscone Center)公布 RSA Conference 的研究结果。 “网络安全现状：2015 年之影响”研究于 2015 年 1 月 20-29 日期间开展，是以 649 名 持有 ISACA 认证的人士和 RSA Conference 选民共同参与的网上投票为基础。 该调查的误差幅 度为+/-3.8%，置信度达 95%。 国际信息系统审计协会(ISACA) ( www.isaca.org ) 是由 180 个国家的 14 万名专业人士组 成的全球性协会，旨在帮助建立信任，并透过信息创造价值。ISACA 成立于 1969 年，是获取 网络安全、信息系统(IS)审计、风险、隐私权和专业治理相关的专业知识、标准、网络和职业 发展的可靠来源。 美国信息安全大会(RSA? Conference) (
)是全世界谈论安全、领袖 汇聚、 领导力推进和萌生的顶级全球活动系列。 它是最新技术和亲身实践指导机会的终极场 所， 旨在帮助业内专业人士发现让其公司变得更安全的方式， 同时推出当今安全领域最富于 进取、最具影响力和启人深思的思想者和领导者。国际信息安全学习联盟主办14国盟信息安全通报（2015 年 4 月 20 日第 94 期）? 聚焦全国政府网站首次普查新华网北京 4 月 16 日电（ “新华视点”记者邓中豪、杜放、王存福）国务院办公厅日前 印发通知， 要求自 2015 年 3 月至 12 月开展第一次全国政府网站普查。 对普查中发现存在问 题的网站，督促其整改，问题严重的坚决予以关停，切实消除政府网站“僵尸” “睡眠”等 现象。数据显示，截至 2014 年末，主办者为“政府机关”的政府网站已达 5．9 万余个，全 国超过 90％的政府单位都建设了中文政府网站。 “新华视点”记者调查发现，近年来，作为政府部门重要的服务窗口，政府网站的建设 费用普遍以百万元计，还有许多已近千万元。此外，维护费、改版费也高达百万元。与舍得 花大钱进行投入形成鲜明对比的是， 一些政府网站的内容却存在更新速度缓慢、 错误百出的 现象。造价普遍超百万元，不少网站沦为摆设内容“奇葩”政府网站造价几何？记者梳理财政部中国政府采购网公告发现， 从已公开的政府网站招 标中标金额来看，部分政府网站的建设成本着实不菲。 中国民用航空局信息中心 2015 年 3 月发布的采购公告显示， “中国民用航空局网站升 级改版及英文版网站建设”项目中，3 名推荐中标人报价从 378 万元至 381．5 万元不等。 在吉林省国家税务局今年 3 月 24 日发布的中标公告中，其门户网站群建设项目的中标金额 竟高达 748．547 万元。国际信息安全学习联盟主办15国盟信息安全通报（2015 年 4 月 20 日第 94 期）“一个政府网站造价百万元非常普遍。 ”上海一家国内知名软件服务商告诉记者，从采 取外包招标建设网站的行情来看， 县级政府网站一次性建设往往要花几十万元， 市级以上网 站群集中招标超过百万元的很普遍。 与巨大投资形成鲜明对比的是， 记者发现， 不少花大钱建设的政府网站却没有实际内容， 沦为摆设。 例如， 在吉林省国家税务局子网站“长春国家税务局” ，官网首页的 “局长信箱” 一栏点击后又直接返回官网首页，右下角的“投票调查”则在投票后无任何反应；另一家子 网站“长白山保护开发区国家税务局” ，首页赫然写着“今天是 115 年 4 月 13 日” ， “局长信 箱” “投诉举报” “办税指南”等栏目点击后均无法显示；而在另一个子网站“松原市国家税 务局” ， “互动专区”栏目竟是空的。 此外，还有一些政府网站频频出现“奇葩”内容。4 月 11 日之前，海口市政府门户网 站“市长信箱”里只有 3 页信件，最新收信时间为 2010 年 4 月 26 日，页面显示早已落马的 冀文林仍是市长。 在海南省文昌市政府网站上， 大多政策办事指南均在 2010 年 5 月 10 日集 中发布，此后基本没有更新。维护费改版费动辄百万元，有些采购价明显高出市场价一些政府网站除了建设费用高，维护费、改版费等后续花费也十分高昂。而有些政府网 站的设备采购价明显超出市价。 记者调查发现， 一些仅数人运营的网站， 一年要花在维护、 升级方面的费用动辄百万元。 例如，北京市的《2015 年度海淀区政府门户网站基础运维项目招标文件》显示，该项目仅要 求有 1 名项目经理、1 名技术负责人和不少于 4 名的“其他人员” ，每年运维费用的中标金 额是 129．8 万元。 政府网站的投入标准各地差异巨大， 同样行政级别的网站， 建设或升级改版费用相差数 倍： 河南南阳市政府采购中心 2015 年 3 月 11 日公布的标书显示， 南阳市政府网站群管理系 统升级改版费成交金额为 32． 5 万元； 贵州省黔南州人民政府办公室发布的采购成交公告显 示，其州级、县级门户网站改版及服务外包中标价合计为 137 万元；东部沿海某直辖市新区 “政务服务超市建设暨门户网站”改版，中标金额为 128．95 万元。 此外，有业内人士透露，许多政府网站建设中的硬件采购中标价格，明显高于市场价。 在河南永城市人民政府办公室政府门户网站建设软硬件、 应急指挥中心视频会商核心设备中 标公告中，中标产品中包括计算机“启天 M4360” ，中标单价为 4950 元，而同一型号的计算 机在京东商城上的报价仅为 3799 元；公告中一台多点控制器中标价为 22．1 万元，相同型 号在网上的报价约为 18 万元，淘宝售价还不足 15．5 万元。国际信息安全学习联盟主办 16
国盟信息安全通报（2015 年 4 月 20 日第 94 期）此前，云南省昆明市财政局、纪委和公安局等多个部门曾被曝光高价采购。其中，昆明 市财政局采购的服务器、台式机、笔记本电脑成交价比市场价高出一倍。 经常参加招投标的天津初志科技有限公司总经理司云修说，考虑配置偏高、正版软件、 后期维护、公司利润等因素，政府采购产品的单价一般会略高于市场价，但如果中标价格比 市场价高得离谱，就很有可能暗藏回扣等腐败问题。“僵尸”网站的背后是庸政懒政，需谨防治理走过场“没有实现集中采购，地方政府各自为政、标准差异大是政府网站建设花费大、效率低 的重要原因。 ”上海一位长期参与政府采购的软件企业负责人建议，政府网站可逐步试点省 级集中采购。此外，为避免投资不菲的自购服务器被闲置，也可通过鼓励使用云计算或让多 个部门共用服务器等手段，避免公共资源的浪费。 国家信息中心网络政府研究中心副主任于施洋认为， 许多政府网站在硬件投资上舍得花 钱，但对内容的重视远远不足。各种“僵尸”网站恰恰表明，一些政府部门对信息公开工作 并不重视，并不是真正希望通过网站为百姓提供便利，只是做做样子给公众和领导看，反映 了部分基层政府官员的庸政、懒政。 按照相关部门发布的《全国政府网站普查评分表》 ，站点无法访问、网站不更新、栏目 不更新、严重错误、互动回应差为单项否决指标，符合任意一项即为“不合格网站” 。 记者发现，随着清理整顿工作的推进，一些常年“沉睡”的政府网站突然“醒”了。例 如，随着普查开始，海南省乐东黎族自治县官网“网上信访”上已经 4 年多没有回复的信访 栏，于 4 月 7 日、4 月 12 日突然开始有了回复。 中央财经大学民生经济研究中心主任李永壮认为， 在相关部门清理整顿的形势下， 不排 除一些“僵尸” “睡眠”政府网站为应付检查而“装醒” ，落实整顿工作需防止“走过场” 。 国家信息化专家咨询委员会委员宁家骏提出， 为节省公共资源， 应及时关停那些没有必 要存在的政府网站。同时，要通过制度建设保障政府网站能真正为群众服务。国际信息安全学习联盟主办17国盟信息安全通报（2015 年 4 月 20 日第 94 期）四、 政府之声? 中国暂停执行银行业技术新规缓和中美关系参考消息网 4 月 18 日报道 美媒称， 根据中国官方通知， 中国已暂停执行引发美国政府 和商业组织抗议的银行业技术新规。 此举有助于缓和华盛顿和北京之间因网络安全引发的紧 张局势。据美国《华尔街日报》网站 4 月 17 日报道，通知指出，旨在改善中国银行业信息技术 安全的规定已暂停执行，等待进一步通知，监管部门正在研究银行的反馈。通知没有说明何 时公布修改后的规定。通知指出，为促进银行业信息安全工作的稳步合理展开，规定将进一 步修改完善，之后再公布实施。 中国美国商会会长詹姆斯-齐默尔曼表示，该组织欢迎“任何透明开放的对话机会，可 让全球利益攸关方和负责此事及其他同类事务的政府机构进行沟通” 。 中国主要国有银行的一名管理人员表示，此次暂停执行意味着“监管部门意识到，银行 无法在一夜之间替换这些外国服务器” 。 美国、 欧洲和日本的商业团体表示， 这些规定实际上会将外国技术企业赶出一个巨大的 市场。规定要求技术企业提供源代码和密钥，并接受严格检查。 报道说，在美国和中国就网络安全问题产生的不信任加剧之际，中国推出了这些规定。 中国的退让缘于美国政府的密集游说。 目前， 中美即将进入高规格外交时期， 暂停执行该规定消除了贸易关系中一项刺激因素。 报道称，商业组织担心，银行业技术规定只是更大举措的一部分，为了确保一系列行业 网络信息安全， 中国或将采取措施迫使西方企业将关键技术转让给中方。 这将使西方企业在国际信息安全学习联盟主办 18
国盟信息安全通报（2015 年 4 月 20 日第 94 期）重要增长市场受到打击。? 中办、国办：坚决整治利用网络传播暴力色情信息为有效应对影响社会安全稳定的突出问题， 创新立体化社会治安防控体系， 中共中央办 公厅、国务院办公厅近日印发《关于加强社会治安防控体系建设的意见》 。 《意见》要求加强 信息网络防控网建设， 特别指出要落实手机和网络用户实名制， 健全信息安全等级保护制度， 深入开展专项整治行动， 坚决整治利用互联网和手机媒体传播暴力色情等违法信息及低俗信 息。《意见》要求，要着力提高动态化、信息化条件下驾驭社会治安局势能力，以确保公共 安全、提升人民群众安全感和满意度为目标，以突出治安问题为导向，以体制机制创新为动 力， 以信息化为引领， 以基础建设为支撑， 坚持系统治理、 依法治理、 综合治理、 源头治理， 健全点线面结合、网上网下结合、人防物防技防结合、打防管控结合的立体化社会治安防控 体系，确保人民安居乐业、社会安定有序、国家长治久安。 《意见》强调，要加强信息网络防控网建设。重点是建设法律规范、行政监管、行业自 律、技术保障、公众监督、社会教育相结合的信息网络管理体系；加强网络安全保护，落实 相关主体的法律责任。落实手机和网络用户实名制；健全信息安全等级保护制度，加强公民 个人信息安全保护； 深入开展专项整治行动， 坚决整治利用互联网和手机媒体传播暴力色情 等违法信息及低俗信息。 《意见》同时指出，加强信息资源互通共享和深度应用。按照科技引领、信息支撑的思 路，加快构建纵向贯通、横向集成、共享共用、安全可靠的平安建设信息化综合平台。在确 保信息安全、保护公民合法权益前提下，提高系统互联、信息互通和资源共享程度。强化信 息资源深度整合应用，充分运用现代信息技术，增强主动预防和打击犯罪的能力。将社会治 安防控信息化纳入智慧城市建设总体规划，充分运用新一代互联网、物联网、大数据、云计国际信息安全学习联盟主办19国盟信息安全通报（2015 年 4 月 20 日第 94 期）算和智能传感、遥感、卫星定位、地理信息系统等技术，创新社会治安防控手段，提升公共 安全管理数字化、网络化、智能化水平，打造一批有机融合的示范工程。建立健全相关的信 息安全保障体系，实现对基础设施、信息和应用等资源的立体化、自动化安全监测，对终端 用户和应用系统的全方位、智能化安全防护。? 意大利发布《互联网权利草案宣言》近日，意大利众议院提出了《互联网权利草案宣言》 （宣言） ，承认互联网改变了人们交 互的方式， 消除了边界的界限， 但同时也指出欧盟对个人数据的保护对于意大利政府的网络 管理具有重要的参考意义。截至 2015 年 2 月 27 日，草案一直在公开征集群众意见。该宣言旨在建立国家立法可以实施的一般性原则。宣言包括序言和 14 个条款，涵盖了 网络访问的基本权利，网络中立和被遗忘权等话题。 草案特别强调了在广泛的监测下对个人的保护。如，宣言的第九条规定，限制匿名通信 “只有在基于保护公众利益的情况下强制使用， 其在法律中是有必要的， 适合的并且有基础 的，与民主社会的基本原则是相契合的。 ” 类似草案宣言的发布并不是第一次。 此次草案紧跟在德国联邦议院委员会的 《数字章程》 ， 法国议会委员会的报告《数字化时代的权利和自由》 ，和巴西的《Marco 民事权利》之后。 人们对这一宣言的看法褒贬不一。 意大利数据保护专员对匿名权和被遗忘权 （第九条款 与第十条款）表示担忧。特别是对被遗忘权，人们的关注度日益提高。被遗忘权涉及到允许 法院对搜索引擎删除信息的决定进行上诉的权利范围，如果公共利益要求保存此信息的话。 这在原则上听起来是在促进自由表达权， 但是如果对个人删除无效信息的请求给予不必要的 关注，这可能会产生截然相反的效果。国际信息安全学习联盟主办20国盟信息安全通报（2015 年 4 月 20 日第 94 期）作为宣言，即使是在公众意见征集结束之后，它也不具有约束力；然而，它将会成为互 联网治理原则和个人权利的声明。? 美国防部将推出网络安全新战略据新华社 4 月 14 日消息， 美国负责国土防御和全球安全事务的助理国防部长埃里克? 罗 森巴赫 14 日说，美国防部下周将公布新的网络安全战略，该战略将在今后数年内指导美国 网络安全工作，提升针对网络攻击行为的威慑能力。罗森巴赫当天在参议院军事委员会听证会上发言时说， 新的网络安全战略在国防部长卡 特推动下制定，包含三项主要使命：由于军方运转严重依赖网络，美国防部将保障自身网络 安全作为战略重中之重；美国防部将反击重大网络攻击，捍卫国家安全；美国防部将向总统 和国防部长提供全方位、涉及所有政府机构的多种网络报复方案，吓阻重大网络攻击。 罗森巴赫在听证会上强调美国提升网络威慑能力的重要性， 称美国防部将在这方面发挥 三个主要作用：研发阻止网络攻击者达到预期目标的能力；增加网络攻击者需付出的成本， 向总统提供反击网络攻击的方案，包括使用网络、外交和军事手段；确保美国网络基础设施 的弹性，使其能在遭受网络攻击后迅速恢复。 罗森巴赫说，为了实现以上目标，美国防部决定大力投资网络能力建设，组建一支包括 133 个小组的网军。 他说， 美国防部已具备强大的情报搜集能力， 近年来显著加强了识别网络攻击者身份的 能力， 降低了网络空间的匿名难度， 今后还将与情报和执法部门密切合作以继续提升相关能 力。 国防部把成立一个网络专家骨干队伍当作优先任务之一， 将在网罗人才方面不断开辟新 渠道。此外，国防部正寻求与美私营部门和其他政府机构、盟国和伙伴国家建立牢固的伙伴 关系，以加强美国网络安全。 （新华社记者 支林飞）国际信息安全学习联盟主办21国盟信息安全通报（2015 年 4 月 20 日第 94 期）五、 本期重要漏洞实例? Microsoft Windows HTTP.sys 远程代码执行漏洞发布日期： CVE ID：CVE- 受影响的软件及系统： ==================== Microsoft Windows Server 2012 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2008 R2 Microsoft Windows 8.1 Microsoft Windows 8 Microsoft Windows 7 综述： ====== Windows 7、Windows 8、Windows Server 2008 R2 和 Windows Server 2012 系统中所带的 HTTP.sys 驱动存在一个远程代码执行漏洞，攻击者可以通过发送恶意的 HTTP 请求导致远程代码执行或操作系统蓝 屏。 此漏洞可通过 IIS 服务远程触发，目前已经有可导致系统蓝屏的利用代码流传，强烈建议使用受影响系统 的用户尽快安装微软提供的安全补丁。 分析： ====== Http.sys 是 Microsoft Windows 处理 HTTP 请求的内核驱动程序。 HTTP.sys 会错误解析某些特殊构造的 HTTP 请求，导致远程代码执行漏洞。成功利用此漏洞后，攻击者可 在 System 帐户上下文中执行任意代码。 由于此漏洞存在于内核驱动程序中，攻击者也可以远程导致操作系统蓝屏。 远程攻击者可以通过 IIS 7（或更高版本）服务将恶意的 HTTP 请求传递给 HTTP.sys 驱动，利用方式相当 容易。目前已经有可远程触发操作系统蓝屏的攻击代码流传。 解决方法： ========== * 可通过禁用 IIS 内核缓存来临时缓解此漏洞的危险，但这可能会导致 IIS 性能下降。 可参考：/zh-cn/library/cc731903(v=ws.10).aspx 厂商状态： ========== 厂商已在安全公告 MS15-034 中修复了此安全漏洞。 我们建议用户开启自动更新服务以及时安装最新补丁。 厂商安全公告： /security/bulletin/MS15-034国际信息安全学习联盟主办22国盟信息安全通报（2015 年 4 月 20 日第 94 期）附加信息： ========== 1. /security/bulletin/MS15-034 2. http://www.nsfocus.net/index.php?act=alert&do=view&aid=156 3. http://www.nsfocus.net/vulndb/29720 4. http://www./exploits/36773/? IBM Tivoli Storage Manager FastBack 栈缓冲区溢出漏洞发布日期： 更新日期： 受影响系统： IBM Tivoli Storage Manager FastBack 描述：BUGTRAQ ID: 74024 CVE(CAN) ID: CVE- IBM TSM 是基于策略的、企业级数据备份及恢复软件包。 IBM Tivoli Storage Manager FastBack 在实现上存在栈缓冲区溢出漏洞，攻击者可利用此漏洞在应用上下 文中执行任意代码。 &*来源：sztivi *& 建议： 厂商补丁： IBM --目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：/support/fixcentral/? Apple iOS 及 TV 多个信息泄露漏洞发布日期： 更新日期： 受影响系统： Apple TV & 7.2 Apple iOS & 8.3国际信息安全学习联盟主办23国盟信息安全通报（2015 年 4 月 20 日第 94 期）描述：BUGTRAQ ID: 73983 CVE(CAN) ID: CVE-,CVE-,CVE-,CVE-,CVE- iOS 是由苹果公司为移动设备所开发的操作系统， 支持的设备包括 iPhone、 iPod touch、 iPad、 Apple TV。 Apple iOS 8.3 之前版本、Apple TV 7.2 之前版本，存在多个信息泄露漏洞，攻击者利用这些漏洞可获取敏 感信息。 &*来源：Alex Selivanov Barak Gabai *& 建议： 厂商补丁： Apple ----目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： /HT204661 /archives/security-announce/2015/Apr/msg00002.html /archives/security-announce/2015/Apr/msg00003.html /HT204662? Cisco Web Security Appliance 任意代码执行漏洞发布日期： 更新日期： 受影响系统：Cisco Web Security Appliance 8.5.0-ise-147 描述：CVE(CAN) ID: CVE- Cisco Web Security Appliance 是安全的 Web 网关， 在一个平台上集成了恶意软件防护、 应用可视化控制、 策略控制等。 Cisco Web Security Appliance (WSA) 设备 8.5.0-ise-147 版本，在某些通道状态检查时错误限制使用了 pickle Python 模块，本地用户通过构造的序列化对象，利用此漏洞可执行任意 Python 代码并获取权限。 &*来源：Cisco *& 建议： 厂商补丁： Cisco ----目前厂商还没有提供补丁或者升级程序， 我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： /security/center/viewAlert.x?alertId=38305国际信息安全学习联盟主办24国盟信息安全通报（2015 年 4 月 20 日第 94 期）六、 本期网络安全事件? 福建省交警车牌选号系统遭黑客攻击台海网(微博)4 月 18 日讯 据厦门晚报报道，上周买完新车后，市民周先生没有马上挂 牌，而是等到 4 月 16 日去自选号牌，因为当天起，厦门地区尾数为 T 的号段投放。但上午 8 点登录网址时，却被告知要延时等候，直到下午才进入网页，但心仪号码已被抢走了。 业内人士称，此次抢号连 100M 光纤都无法登录，怀疑有黑客入侵。自主编号系统管理 方省交警总队的值班民警告诉记者，前日系统确实瘫痪，原因尚不清楚。经历：在电脑前刷屏一天 仍选不上心仪号牌4 月初，周先生买车后，得知 4 月 16 日会放出尾号为 T 的新号段， “我就预设了几个号 码，想等 16 日去选。 ”周先生说，他选择的号码都是数字 6 和 8 的组合，包括大热门“闽 D8888T” “闽 D6666T” “闽 D6888T”等。 16 日上午 8 点，周先生准时打开福建公安公众服务网页面，登录自主编号系统，准备 填写信息， “没想到当时连信息填写的网页都打不开。 ”周先生不断刷新，依然打不开。 “一直折腾到下午 5 点，才打开网页，填写信息，写好要选的车牌后，却被告知是非法 网页。 ”周先生的朋友帮忙刷开了网页，选了号牌，不过既没有 6 也没有 8。 耽误了一天时间的周先生最终只能接受不太满意的号牌， “早知道就‘十选一’ 。 ”国际信息安全学习联盟主办25国盟信息安全通报（2015 年 4 月 20 日第 94 期）分析：网页显示无法访问 怀疑遭受黑客攻击“这么多年选号牌，从来没有见到这样的情况。 ”昨日，记者联系上专门从事代抢号牌 的小白（化名） ，他认为 16 日的情况可能是有黑客的存在。 16 日之前，小白就收到多名客户的委托，对方多是要求四个同号（类似闽 D8888T）和 三同号（类似闽 D6888T） ，用行话来说，就是“四条”和“AAAB”号段。 小白做了充足准备，特地请假，发动十多个朋友，集体赶到福州，还用上 100M 光纤网 线，并用上专用软件， “这套软件可以一键抢号，普通车主在登录页面后，还要输入车辆信 息，但我们可以在软件上预设好。 ”小白说，省下输入信息的十来秒，在抢号时至关重要。 但 16 日上午 8 点，小白登录自主编号系统后，却显示网页无法访问。这是从未有过的 情况，众人只能一直刷屏，直到下午 5 点左右，才有机会选号牌，不过“四条”都没有了， 只能选到“AAAB”号牌。 小白认为，虽然需求量大， “但数量一直稳定在几千人，肯定不会在 8 点同时挤进来。 而且以前这套系统都可以应对， 这次应该没问题。 ” 他猜测 16 日的故障很有可能是系统被黑 客攻击了。说法：系统首次出现瘫痪 目前原因尚不清楚不过，小白和朋友在 16 日下午 5 点多，居然抢到了带有 8 的“AAAB”排列号牌。按经 验， 这样的好号牌在上午 9 点之前就会被一抢而光， “如果是黑客攻击， 好号牌早被抢走了， 也不至于到下午 5 点还有。 ”小白猜测可能是交警总队采取分批放号，每小时固定放出一批 号牌，而不是一次性将整个尾数 T 号段的 9999 个号牌全部放出。 小白还随机测试了几个号牌，比如“5250T”和“5748T” 。这样的号牌虽然比较不受欢 迎， 但系统显示已被抢走了。 “这非常不正常， 一大堆好号码都还在， 谁会去选这样的号？” 昨日下午，记者电话联系省公安厅交警总队，值班人员证实这两天系统瘫痪。16 日的 抢号牌，类似春运抢火车票，出现从未有过的系统瘫痪，一直到 17 日，也是时断时续，工 作人员正在加紧抢修， “可能是用户需求太多，也不排除是黑客攻击所为。 ” 工作人员说， 目前暂不知多少厦门尾数 T 号段的号牌被抢注， 要到下周一由厦门车管部 门视新号段车牌挂牌情况来统计。 这次自主编号系统瘫痪事件，让一个特殊群体浮出水面―专业代抢号牌的“黄牛” ，已 逐渐形成规模。据小白说，全省范围内从事该业务的至少有三四百人。准备：电脑内有特制软件 为抢网速特地跑到福州“大家线下不是很熟，都在网上联系。 ”小白加入的一个微信群，里面就有上百人，分国际信息安全学习联盟主办 26
国盟信息安全通报（2015 年 4 月 20 日第 94 期）散在省内各地。只要某地市发放新号段，微信群就会热闹起来。 讨论的话题无非是商讨如何最快抢到客户所需的号牌， “比春运抢火车票还热闹，毕竟 车牌号码是唯一的，你抢到了这个号牌，别人就抢不到了。 ”小白说，群友也都是“亦敌亦 友”的关系。 抢号牌和春运抢火车票一样，小白他们都有特制软件，还需要网速配合。因为每台电脑 只能登录一个账户，所以一般以团队形式操作，每次抢号牌时，老板员工齐上阵，盯着电脑 一整天。为了 16 日的抢号牌，小白和团队专门到福州。因为自主编号软件是省公安厅的系 统，IP 地址在福州，在厦门操作还涉及到 IP 地址间的数据传输时间差。尽管时间差短得几 乎可以忽略不计，但在小白看来，关键时刻，即使是几毫秒，也可能和目标车牌擦肩而过。手法：一分钟抢光吉利号牌 普通车主根本来不及小白说，新号段一发放，前两天是最热闹的，到第三天就差不多消停了。 “第一天的头 1 分钟， “四条”号牌肯定被抢走，接下来就是‘AAAB’ ，666、888、999 最抢手，不用 10 分 钟也会被抢走。 ”小白说，在他们的疯抢之下，普通车主根本抢不到这些号牌。 不过，普通车主也有“捡漏”机会，时机在第四天，因为系统要求所选的号牌必须在三 天内提交到车管所上牌，有的人虽然抢到号牌，但信息填错，车管所核对后不会上牌，号牌 退回系统内。小白他们只抢自主编号的号牌，一般不抢“十选一”系统内的号牌，因为“十 选一”系统是交警部门随机生成的， “选择面只有 10 个，不好抢也不用抢。 ”收费：吉利号牌要花 50 万 抢牌收入年入百万“越是豪车，越想挂好牌。 ”小白说，客户有需求，就催生了市场。和价值上百万元的 豪车相比，花几万元请人抢号牌，挂在车上很划算，而且以后换车，新车还能继续使用。 “代抢号牌没有价格标准。 ”小白说，这要看车主和代抢号牌者的关系，以及车主的心 意。据他所知，最贵的号牌比如“8888”或“6666” ，肯定要上 50 万元，即便是“444” ，也 价值上万元。 去年年底，厦门发放尾数为“S”的号段时，厦门有个团队在一天里抢了 20 多个吉利号 牌，赚了将近 40 万元。这次因为系统崩溃，小白坦言没赚到钱。圈子里有人说，一个客户 买了辆价值千万的豪车， 想挂 “四条” 号牌， 报酬都准备好了， 结果没抢到， 只抢到 “AAAB” ， 报酬大幅缩水。和外地相比，厦门地区的自选号牌消耗速度不算快，一年大约消化 2 个自选 号段。 “平时就干本职工作，放新号段再来捞一笔，如果有软件有网速保障，两天下来能赚 很多。 ” 小白说， 有的团队除了抢厦门的号段， 还抢省内其他城市的号段， 一年光是抢号牌， 收入可以上百万元。国际信息安全学习联盟主办 27
国盟信息安全通报（2015 年 4 月 20 日第 94 期）? 谷歌地图显示：斯诺登藏匿于美国白宫众所周知， 对全球公开爆料美国棱镜门丑闻的前中情局外包人员斯诺登， 目前生活在俄 国。不过，谷歌(微博)地图最近却显示，斯诺登已经成功在美国的总统官邸――白宫，构建 了自己的小窝。这到底是怎么回事？据美国科技新闻网站 TheNextWeb 报道， 这其实是谷歌地图的一个漏洞被恶搞人士利用， 从而发生的一宗恶作剧。 有媒体发现，最近浏览谷歌地图时，在美国白宫的位置上，可以看到一个地点，标注为 “斯诺登巢穴” （EdwardsSnowDen.） 。 这并不意味着斯诺登已经被引渡到了美国，并和美国政府修好，被临时藏匿在白宫内。谷歌地图显示：斯诺登藏匿于美国白宫一些人巧妙利用了谷歌地图产品在本地商户信息发布上的漏洞， 炮制了这宗恶作剧。 据 悉，恶作剧人士首先成功在谷歌地图上发布了名为“斯诺登巢穴”的“本地商户” ，之后悄 悄的修改了地理位置，将这个商户搬迁到了奥巴马居住的白宫的位置。 这个恶作剧除了让网民哈哈大笑之外， 也暴露了谷歌地图在本地商户信息管理上的一个 重大漏洞，商户信息在未经确认的情况下，可以擅自搬家，谷歌团队中没有监管约束机制。 这个所谓的“斯诺登巢穴”商户做什么生意？注册资料显示，该店铺经营的是滑雪板， 每天早上五点到晚上十一点之间营业。这家店铺还获得了五个消费者评论。 当然， 消费者评论也是恶作剧的一部分。 一名 “消费者” 的评价称， 这家店铺是获得 “机国际信息安全学习联盟主办28国盟信息安全通报（2015 年 4 月 20 日第 94 期）密情报”的最佳场所，另外可以以低廉的价格，获取一流的机密情报。 因为这家店铺是恶作剧制造者虚构的，其营业电话自然一直无人接听。 截至外媒发稿时， “斯诺登巢穴”仍然可以在美国白宫的位置上看到，不过谷歌地图的 团队看到这个消息，可能已经在加班加点将这个“不良商户”删除了。 值得一提的是，谷歌地图和谷歌地球产品，给全球用户也提供了足够多的娱乐性。已经 有不少网民在谷歌地球上发现了千奇百怪的地理和地表现象， 有的简直令人难以置信。 另外 之前在英超的球迷纷争中， 多次发生了球迷在谷歌地图上篡改竞争球队球场名字的事件， 让 谷歌十分头疼。 （晨曦）? 为证实航班安全系统存漏洞，安全专家黑掉飞机摘要：援引 CNN 报道来自科罗拉多州的计算机安全专家 Chris Roberts 本周三在乘坐 美国航空公司的航班中坚信飞机的安全系统存在安全漏洞， 随后他通过随身携带的笔记本连 接到座椅下方的盒子中， 并通过该笔记本发送了一条推文， 随后有多名乘客证实飞机的多项 系统处于他的控制中。在黑掉飞机的安全系统之后，他和他的电脑被 FBI 请出了本次航班。 目前 Roberts 效力的公司为 One World Labs，该公司经常和 Airbus 和波音有着深入的 合作。他发送的推文内容如下：这显然并非我们日常所使用的英语，不过根据 CNN 报道这是 Roberts 专门转对航班安国际信息安全学习联盟主办29国盟信息安全通报（2015 年 4 月 20 日第 94 期）全系统的。目前 FBI 和美国航空公司对此都没有发表相关的声明。在拘禁期间，Roberts 继 续以推文的方式进行互动， 他甚至嘲笑美国航空公司向其发送邮件咨询最近的航班体验。 数 小时后他安全的返回到了科罗拉多州。? 煤矿工自学成“黑客”入侵腾讯网游牟暴利羊城晚报：14 日，深圳龙岗警方对外公布一宗破坏计算机信息系统案。警方介绍，深 圳某计算机公司自主研发运营的一款休闲网络游戏服务器异常，检查后发现有人在游戏内 使用非法外挂“小三外挂”对公司服务器进行控制增删改，快速升级赚取游戏金币捞钱。 龙岗警方经过缜密侦查，却发现入侵公司服务器的“黑客”竟是一名只有初中学历，自学 成为网络“大神级”的犯罪嫌疑人，且该“黑客”研发外挂之时只是一名煤矿工人。而记 者多方求证，涉事计算机公司为腾讯公司。百多台服务器遭入侵据龙岗警方发布，3 月 20 日上午 11 时，深圳市某计算机系统有限公司报警称，其公 司自主研发运营的一款竞速类休闲网络 PC 端游戏《飞车》 ，自 2013 年 11 月起，发现有人 在游戏内使用非法外挂“小三外挂”通过对其公司服务器进行增删改，以达到快速升级和 赚取游戏金币的目的，使其公司约一百多台游戏的服务器均受到不同程度的侵害。 龙岗公安分局网警大队联合宝龙派出所立即展开侦查，在网上发现一名出售“小三外 挂”的嫌疑男子。3 月 23 日，民警掌握可疑男子在龙岗区龙岗街道宝龙一路一工厂，随即 前往将可疑男子李某带回派出所调查。 然而，李某只承认其使用“小三外挂”以每天 20 元通过支付宝、财付通等支付手段售国际信息安全学习联盟主办30国盟信息安全通报（2015 年 4 月 20 日第 94 期）卖软件非法获利的犯罪事实，其本人并非软件的制作者，制作者是一名外号叫“小三”的 网络“大神级”人物。操控服务器捞金币民警立即对“小三”展开追踪，经过连续辗转排查，获悉“小三”在云南省范围，但 行踪隐秘不定。4 月 12 日，龙岗民警赶往云南省，先后从昆明市、大理市、楚雄县进行地 毯式摸排，获悉禄丰县一平浪镇煤矿矿区曾有一名矿工王某，疑似外号叫“小三”的嫌疑 人。13 日，民警赶到矿区，却得知王某已辞工。当晚 9 时许，民警在矿区周边追查，最终 将王某抓获。 经审，28 岁的王某如实交代了其使用非法外挂“小三外挂”通过对涉案公司服务器进 行增删改，以达到快速升级和赚取游戏金币牟利的犯罪事实，并供述其本人只有初中学 历，因对计算机编程感兴趣，于是通过自学和刻苦研究，编写开发游戏外挂软件，在编程 过程中多次入侵涉事计算机公司服务器，并成功逃过公司后台技术封堵。制作非法软件获利 6 万见到有利可图，王某于去年辞去了矿上的工作，改为专心研究编程，通常一个游戏外 挂软件只需要一个晚上就可以制作完成，他通过制作的非法软件获利近 6 万元。 目前，犯罪嫌疑人王某、李某均已被刑事拘留，此案正在进一步审理之中。? API 炒外汇遭“黑客攻击” 衡水男子投 28 万仅收回 6 万中金社消息，自去年以来，关于 API 炒外汇被黑的负面新闻不断，中金社此前就报道过 《API 数百人炒汇被黑 1.1 亿人间蒸发》 。日前，又有投资者爆料，其在 API 公司做外汇投 资，却被告知因“黑客攻击”等原因导致本金无法收回。 API 炒外汇遭黑客攻击 “本以为‘炒’外汇能赚钱，没想到利息没回来多少， 本金也没了。 ”投资者王先生称， 他投资 28 万元通过一家号称来自瑞士的 API 公司做外汇投资，在收回近 6 万元的利息后， 却因公司被“黑客攻击”等原因导致本金无法收回。王先生怀疑遭遇了骗局，他向警方报案 却被告知没有证据无法立案。 “当初投资这个是我爱人的一个同事介绍的，说是每个月的投资收益可以达到 5%，一 年收益 60%，我俩觉得回报挺高，就有点动心。 ”王先生称，经过种种考虑，自己和妻子决国际信息安全学习联盟主办31国盟信息安全通报（2015 年 4 月 20 日第 94 期）定投资试试收益。去年 10 月底，他通过中国农业银行向一个银行账号汇入了 28 万元，2 个 月后收回了第一笔利息―58900 元。 拿到钱后，夫妻俩十分开心，然而今年 1 月初，他们却得到了一个噩耗， “说是公司被 黑客攻击了，账面上的资产都变成了负数，随后，又听说公司的高管、各地经销代理都联系 不上了，我们这才开始害怕。 ” 直到此时，他们才惊觉这是个骗局，王先生分析称， “回过头来想想，当时她同事提供 给我们的银行账号，其实是在 深圳用英文名注册的一个个 人账号，根本就不是什么公司 账号。 ” 之后， 王先生夫妇俩多 次找这名同事交涉，但却没有 得到明确的答复，只知道“联 系不上上头了，钱回不回来他 也说不好。 ” 因为涉及金额比较大，近 日，王先生和妻子向警方报 案，警方在询问具体事由后，以“提供证据不足”为由拒绝立案。 “伤心的同时我俩更多的感觉是失望和绝望。 ”王先生将自己的经历讲出来，希望借此 提醒其他人，切莫轻信高回报而上当受骗。 此前有媒体报道，全国各地约有 2 万名投资者通过这家 API 公司做外汇投资，这家公司 号称来自瑞士， 是以一种类似传销组织的上下线模式运作， 受害者多是透过朋友和亲戚加入 的。据悉，该公司的高管、区域经销代理在事发前已经离境出逃，投资者被骗金额总共高达 84 亿多元人民币，同时公司的大中华区副总裁杜某也已经联系不上。 据投资者爆料，API 对外宣称是在瑞士注册的名为阿尔卑斯资产管理信托公司（Alpen Asset Management Trust Sarl）的资产管理公司。不过经调查发现，API 公司不仅疑点重重， 且是无投资合同、无办公地、无办公电话的“三无 ”公司，本质上就是个骗子公司。国际信息安全学习联盟主办32国盟信息安全通报（2015 年 4 月 20 日第 94 期）? P2P 平台频遇数据库泄露P2P 网贷平台运行几年之后，仍频繁遭黑客袭击。日前，一个名为“芝麻金融”的 P2P 平台被曝出因黑客袭击造成了超过 8000 名投资者的信息被泄露。芝麻金融承认其后台遭到 了黑客攻击， 并在官网回应称， 平台账号与资金账号严格分离， 投资者的交易是安全可靠的。 在此之前，也曾有多个知名 P2P 平台遭到过网站黑客袭击。对于投资人来说，更为关注 的是数据泄露能否造成投资人资金损失。不久之前， 有论坛上流传着关于芝麻金融数据库的交流和互动。 这些数据包括用户姓名、 身份证号、手机号、邮箱、银行卡信息等，一共有超过逾 8000 名用户的资料，只需用人民 币充值兑换积分， 即可在论坛上将这些数据全部下载。 芝麻金融方面坦承其后台遭到黑客攻 击， 并在其官网回应称， 平台账号与资金账号严格分离， 所有用户资金均有第三方平台托管， 资金交易绝对安全。 但是资金安全并不意味着资金安全。 投资者人更为关注的是， 客户多项关键信息泄露是 否能真正保证交易资金安全？分析人士表示，资金托管的方式确实使黑客很难挪用客户资 金。 普惠理财首席技术总监(CTO)崔明俊向北京商报记者表示，对于黑客袭击对 P2P 平台的 影响也分为两种： 一种是针对自建资金池的平台， 这种数据泄露能造成投资人资金出现实质 损失。黑客掌握投资人的账户和密码后，可以直接挪用投资人的资金，造成投资人的资金出 现损失；第二种是资金托管的模式，黑客即使拿到了投资人在网站上的账户和密码，也没法 挪用投资人的资金。因为如果黑客想进行提现，必须经过第三方资金托管平台，然后输入交 易密码并进行手机验证， 也就是说， 黑客必须经过第三方支付平台的系统以及掌握投资人的 手机验证码才能成功进行提现操作。国际信息安全学习联盟主办33国盟信息安全通报（2015 年 4 月 20 日第 94 期）事实上，自从 2013 年 P2P 行业日益火爆以来，相关公司遭遇黑客攻击的频率就大幅增 加。此前，人人贷、拍拍贷、翼龙贷、有利网、网贷之家等多家 P2P 行业相关公司都被黑客 攻击过。 为何如此多的网贷平台都遭受过黑客攻击呢？崔明俊表示，一般黑客攻击形式有两种： 一种是没法预防的攻击方式， 比如 DDOS(Distributed Denial of Service)攻击以及 CC 流量攻击。 这两种方式一般的网贷平台都没法预防， 网贷平台需要不断增加硬件和宽带成本， 但很少有 平台会这么做。这也是为何自去年开始，包括不少知名平台都遭受黑客袭击的原因；第二种 是平台本身的漏洞，部分初创平台为了节约成本，从外包软件公司或者淘宝上购买模版，虽 然这种投入比较少，但内部都知道其网站的漏洞，遭到黑客攻击并不奇怪。 对于黑客而言，攻击的目的大多是为了敲诈网贷平台，要求网贷平台支付保护费。面对 黑客的勒索，80%的 P2P 平台都会选择妥协。虽然对于 P2P 平台而言，黑客攻击模式有些难 以预防，但分析人士认为，P2P 平台还是应该采取有效措施积极应对。人人聚财 CEO 许建文 则认为，首先平台应该增加服务器的分散，把自己的服务器分布在全国各地，其次不要轻易 向黑客屈服，吸取教训，更重要的则是加强人员的配套建设。北京商报记者 岳品瑜信息安全意识产品免费大赠送国际信息安全学习联盟主办34
国盟信息安全通报日第94期--论文下载,说明书下载,Word文档下载,PPT文档,PDF文档,文库,坚持"用户需要的,就是我们关注的!"关注高价值的实用信息，争取提供更多实用下载资源。"
关于我们 | 联系我们 | 版权声明 |
| 在线帮助