财经时报记者 李国训
随着“网上大盗”数量的不断增多,这一黑色产业也在不断壮大和分工。目前已经发展为包括木马制造、木马传播、密码窃取、洗钱等环节在内完整产业链形态
上海的唐先生从不使用网上银行,但他的银行卡却莫名出现了6笔网上转账记录,伴随而来的,是其账户里的3万元不翼而飞。
唐先生赶去银行质问,被告之是中了“网银大盗”的招,银行对此不负任何责任。多次沟通未果之后,唐先生无奈将该银行告上了法庭。
实际上,与唐先生有着类似郁闷经历的大有人在,而网上银行遭遇投诉的事件也屡见不鲜。仅2006年,北京各级法院受理的相关案件就多达十余件。而在北京、上海、广东、江苏等经济发达地区,同类受害者数量达到上千人。
这显然是个颇为尴尬的对照。在外资银行全面进入国内市场的紧要关头,国内各大银行却在愈演愈烈的网银失窃事件中疲于应付。
被摧毁的信心
各大银行遭遇“网银风波”已非一日,但至今仍无停息的迹象。
12月底,名噪一时的“工行网银受害者集体维权联盟”向上海消费者协会投诉工行,再次把网上银行安全话题推向舆论的顶峰。据悉,这一联盟成员目前已近500多名,累计被窃金额达数百万元之多。
在此之前,农行、建行等网银失窃事件此起彼伏,已经引起了各大银行的重视。国内各大银行以防止网银失窃案件的蔓延,均采取了相应积极措施。比如工商银行提供了U盾、电子银行口令卡;农行推出限额的电子支付卡、K宝(USBKey智能密钥);中行推出验证码、交行推出数字证书等。
然而,网民被摧毁的信心却难以在短期内恢复。
据中国金融认证中心(CFCA)最近发布的《2006中国网上银行调查报告》显示,目前国内用户数量接近4000万,为2005年的的两倍。但是,受“网银大盗”影响,61%的网民不敢用网上银行,而在2005年,这一数字为50%。
“网上银行到底怎么了?既然容易失窃,为什么银行不早先做好准备,而失窃的后果却要由个人来承担?”唐先生在电话里向《财经时报》的诉说,折射了许多网民的心声。
用户端:最危险的一环
为什么在不知情的情况下,账户里的钱会被人通过网上银行席卷一空?网上银行漏洞到底在哪里?
金山毒霸技术总监陈睿向《财经时报》透露,从目前来看,尽管从用户到银行的任何环节都可能被黑客拦截,但相比之下,99%的危险来自于用户端。
“在WINDOWS的开放的系统下,只要用户在键盘输入任何数字,都可能被黑客记录下来。”陈睿认为,这是导致网上银行出现风险的最大原因。
一般而言,“网银大盗”窃取用户银行密码的方式主要有两种:一是“网络钓鱼”,也就是利用欺骗性的电子邮件和伪造的网站来进行诈骗活动,用户一旦上当受骗填写数据,就可能被对方获取;二是利用木马和病毒远程控制用户终端。用户在被木马感染的电脑上使用网上银行,其卡号和密码也会自动发送到黑客指定邮箱中。
陈睿认为,在上述两者中,木马和病毒的威胁更大。这也是目前黑客普遍采用的盗窃模式。
据江民公司公布的数据显示:三年来国内网银木马数量已经激增600倍。2004年,国内被网银木马感染的计算机数量只有60台,2005年升至1100台,2006年前10个月更超过37000台。
在2006年十大计算机病毒事件评选中,涉及网银、支付宝账号和密码被盗的案件,也占据了半壁江山。
“在这种情况下,使用杀毒软件无疑可以帮助用户降低很多风险。但百密一疏,被黑客侵入的风险依然存在。”陈睿如此认为。
同时,各大银行也在通过提高身份认证等办法,来提升网上银行的安全程度。但这不能从根本上根治网上银行的漏洞。“这些限制手段不过提高了木马制作的门槛。只要能带来暴利,黑客就迟早会突破防线。”陈睿说。
木马产业链
一位熟知内情的人士向《财经时报》透露说,最近两年来,随着“网上大盗”数量的不断增多,这一黑色产业也在不断壮大和分工。目前已经发展为包括木马制造、木马传播、密码窃取、洗钱等环节在内完整产业链形态。
第一个环节就是木马制作。“木马制作者一般不直接作案,他们只生产制造木马,以每款木马数百元到数千元不等的价格卖给下游。他们的特点是人多,分布散,产品多,传播面广。”该人士透露。
其次是木马传播以及密码窃取。在从木马制造者手中购买到合适的木马后,这些人便通过各种网络渠道,将木马植入不同的用户电脑。“中招”用户只要输入
银行卡、密码以及身份证等信息,便会发到指定邮箱中。
最后一个环节就是洗钱。这也是最危险的一个环节。
“获得银行密码的人会找学生或无业人士合作,事后对半分账。洗钱的办法有很多种,比如在网上购买虚拟货币,再转手卖掉,比如直接网上转账到其他银行账号。当然,这些账号必须用虚假身份证。”上述人士透露。
据悉,这一产业链主要在网上交易或合作。在上述人士指引下,记者在百度“网银”贴吧等处找到大量相关信息。从1月初至今,上面有关网银木马、资料、洗钱等销售与合作的信息已超过50条,一些“热门贴”甚至多达数百点击。
上述人士还透露,由于“网银”盗窃涉及刑法,潜在风险极大,因此参与的人数并不多。相比之下,利用木马盗窃QQ、网游装备等虚拟财产的“灰色产业链”,相比之下要热闹得多。
“目前我国的虚拟财产还没有得到明显的法律保护,被盗的人也无法报案,因此做这行的人有惊无险,而且更疯狂。”该人士感慨说。
短短10天时间里多次盗取一公司7个网络游戏充值账户内的虚拟货币,并用虚拟货币购买游戏卡点卖钱,非法获利1300余元。近日,成都市锦江区法院以盗窃罪判处这名网络“黑客”杨小珑有期徒刑8个月。
据了解,被盗的成都某信息技术公司主要销售网络游戏点卡,2006年4月,该公司工作人员发现公司多个网络游戏充值账户内的虚拟货币被盗取,总价值上千元,随即向成都警方报警。成都警方通过上网监测发现,被盗公司充值账号内的货币被另一网络用户转走,并很快锁定了一名行盗的网络“黑客”。4月
21日,当这名网络“黑客”在成都一间租用的房屋内上网时,被成都警方抓获。
经审讯,杨小珑来蓉后一直没有工作,一次上网无意中看到一张“如何窃取他人账户和密码”的帖子。经过多次试验,杨某终于监测到了终端其他计算机上传输的信息,获取了被盗公司的网络游戏充值账户和密码,并先后在该公司多个账户内用虚拟货币购买游戏点卡。之后,杨某又在网上公开叫卖自己的游戏点卡,获利1300余元。
法院审理认为,杨小珑已构成盗窃罪。鉴于杨是初犯,且认罪态度较好,判处有期徒刑8个月,并处罚金1000元,没收用于作案的笔记本电脑。(新华)
今年6月,公安部公共信息网络安全监察局举办了2006年度信息网络安全状况与计算机病毒疫情调查活动,在国家计算机病毒应急处理中心、国家反计算机入侵和防病毒研究中心、新浪网等三家网站开设了在线调查栏目,各省区市公安厅、局公共信息网络安全监察部门组织本地重要信息系统管理和使用单位、互联网服务单位进行了网上调查。调查内容包括我国2005年5月至2006年5月发生网络安全事件、计算机病毒疫情状况和安全管理中存在的问题。
下载《2006年全国信息网络安全状况与计算机病毒疫情调查分析报告》
CNET科技资讯网10月16日国际报道 安全专家们在蒙特利尔举行的病毒公告大会上表示,蠕虫,病毒,以及特洛伊木马不再存在于明处,对于企业来说,有针对性的特洛伊木马已经成为一场噩梦。
赛门铁克安全响应中心的主任Vincent Weafer说:“有针对性的特洛伊木马在整个安全威胁中仍然只占很少的比例,但它却是企业最担心的威胁。
木马是让企业官员日夜担心的危险之一。“
安全专家们表示,针对企业的秘密攻击通常包括安全键盘记录装置,屏幕信息截取软件等,它们的目的多用于工业间谍活动或者其它有牟利企图的犯罪活动。
网络犯罪分子通常会针对企业当中的一些电子邮件地址去信,欺骗这些受害者打开邮件附件。
安全技术能够阻止一般的攻击,但有目的性的孤寂一般很难被这些技术发现。安全技术通常对于大规模的安全估计能够做到预警,但如果只是隐藏在一小部分电子邮件当中的木马,安全技术往往就无能为力了。
英国Sophos安全公司的技术官Graham Cluley 表示,这是因为,如果是大型攻击,安全公司可以很快的察觉,而一些个体攻击,安全公司的反应速度会略慢。
安全专家们说,有针对性的攻击好比巨大的安全雷达扫描仪屏幕上的一个小点。MessageLabs 公司的反病毒专家Alex Shipp表示,他的公司每天从电子邮件当中分离出恶意软件达3 百万,其中仅有7 个可以归于有针对性的特洛伊木马攻击。
过去两年,MessageLabs 已经发现,这样的有针对性的零星攻击已经危害到了跨国公司,政府机构以及军事单位。另外,律师事务所,人权组织,新闻机构以及教育部分也成为这种攻击的目标。
一般来说,大部分的攻击会选择那些存在漏洞的电脑系统,载体为Office文件。微软上周再次公布大量的漏洞补丁。
有针对性的攻击者喜欢Office文件的另外一个原因是,企业往往允许其员工用电子邮件接收这些文件,一般的可执行病毒很快会被安全软件发现,隐藏在Office文件当中相对比较“安全”。
零日攻击对于传统的基于“指纹”判断的安全产品是一种挑战,这种产品主要依据攻击“指纹”(特征)来判断威胁是否发生,而这至少要此类攻击曾经发生过。
德国Magdeburg 大学的病毒软件专家Andreas Marx说:“这是恶意攻击的未来趋势。感染零日攻击型病毒的系统无法获得杀毒软件的保护,因为没有病毒特征去让杀毒软件判断。”
病毒特征通常是由安全公司在收到被病毒感染公司提交的报告后创建的,安全公司会在收到报告后,将这些病毒特征与自己蜜罐(honeypots)的病毒样本,或者其它安全公司的病毒特征库中的样本进行比对,然后发布病毒特征。Marx表示:“这种机制对于有针对性的攻击不起效,因为其数量很小,只有一小部分系统感染。”
Shipp 为此举了一个例子,目前,只有4 种杀毒产品侦测到了一例几个月前发生的有针对性的攻击。
这些有针对性的攻击者的身份是一个秘。安全专家们推测说,可能是分布于世界各地的各种有组织犯罪集团制造了这些零星的攻击,但他们缺乏直接的证据。
这些人的攻击动机也存在争议。Shipp 认为,这类攻击的目的是为了窃取信息,也就是工业间谍活动。
但赛门铁克的Weafer却认为攻击的目的各种各样。
安全公司正在开发更为先进的技术,以弥补病毒特征模式的不足。比如,利用启发式机制,安全产品能够依据行为模式去判断攻击的发生。
Cluley说:“杀毒软件公司已经在着手解决这一问题。有针对性的攻击并不完全是一场灾难,虽然它们不在雷达上显示,但好的主动式保护机制仍然能够侦察出这样的攻击类型。”
电脑安全行业过去往往不太关注所谓“内部威胁”(insider threat),但这种情况已开始改变,一些公司开始竞相提供相关服务,帮助企业客户防止敏感数据在员工手上遭受损害。过去,多数大公司都将大部分信息科技安全预算用在应对“外部威胁”(perimeter threat)方面,例如电脑蠕虫病毒等。
如今,越来越多的电脑安全专家表示,一位笨手笨脚的员工提着装满敏感数据的笔记本电脑,或是请来一个心怀不满、执意报复的承包人,它们对企业所构成的威胁要远远超过几个不怀好意的黑客。
“内部威胁之所以存在,原因是安全技术不能保护信息,” EMC副总裁丹尼斯•霍夫曼(Dennis Hoffman)解释道,“如今,绝大多数安全产品保护的是基础设施。从根本上来说,它们保护的是设备。”EMC是全球最大的数据存储设备和软件制造商。
最近发生了一系列数据丢失事件,比如美国退伍军人事务部(Veterans Administration)丢失了存有大量退伍军人个人信息的手提电脑。不管是当事人失职,还是有人蓄意制造,这些事件均突显出,公司若不能保护敏感数据,将会面临巨大风险。
安全集团Decru的营销副总裁凯文•布朗(Kevin Brown)表示,直到最近,许多公司还一直不愿承认内部威胁的严重程度。Decru去年被EMC 竞争对手Network Appliance收购。
他表示:“讨论外部的坏人要容易的多。”存储成本下降和新规定的出台,令公司需要存储的客户及交易信息、数据大幅增加,更是加剧了这一问题的严重性。
但在此期间,布朗表示,保护这些数据的方法却未能同步跟上。“如今,你把海量的数据都存放在那些大型中央数据系统中,就如同把所有的鸡蛋都放在了一个大篮子里。”
同时,远程办公等新兴趋势带来了新的信息泄露途径,这让“提防外贼”的观点显得有些过时。惠普公司(HP)安全战略部门主管托尼•雷德蒙(Tony Redmond)表示:“防火墙和划分网络界线的传统观点正在消失,虽然缓慢,但趋势很明显。”
为了帮助客户适应这种新情况,惠普、EMC和Network Appliance等公司正竞相开展新的服务,帮助客户确定何人可以获取何种数据,以及在远程用户进入一家公司的内部网络之前,帮助客户确定该用户是否怀有恶意。
然而,即使是最严格的技术保护,也可能无法阻止一个蓄意盗取数据的内部人士偷走敏感数据。
别有用心的员工可能会将文件的一部分粘贴到聊天窗口,以绕开数据保护措施。另一个员工则可能直接打印出一份文件,然后带出办公室。
总部位于美国犹他州的初创企业Oakley Networks等公司选择从人的方面入手,以求解决内部威胁问题。“相比于仅仅监控网络上的内容,(人的)行为是一个更大的问题,”Oakley的市场营销主管汤姆•班尼特(Tom Bennett)表示,“如果某人正在做一件不怀好意的事情,他们会努力掩盖其行为。他们会表现得很聪明。”
班尼特表示,通过把敏感文件内容剪切粘贴到聊天窗口或基于网页的电子邮件程序,内部人士能够绕过许多传统的安全防范措施。
为了解决这一问题,Oakley提供了能让企业实时监视雇员电脑使用情况的软件。这个软件可以检查雇员的电子邮件、聊天窗口和其它程序,检索可能与破坏、盗窃甚至性骚扰有关的关键字。有了它,管理者可以记录可疑事件并进行回放。
非赢利隐私权组织Privacy Rights Clearinghouse的研究主管特纳•弗列里(Tena Friery)表示,由于涉及隐私法,企业使用这种监控系统时必须非常小心。
在监控雇员的问题上,美国法庭通常会站在雇员一边。不过,弗列里表示,随着越来越多的人选择在家工作,在公司自我保护的权利与雇员的隐私权之间保持合理平衡,已经变成一件“平衡艺术”。
“雇员在上班时,对隐私权问题没有太高期望,而企业也正越来越多地进行监控。”然而,她表示,“如今,人们经常工作很长时间。他们会在家里工作,可能用他们的家用设备进入公司的网络。这确实模糊了休息时间和工作时间的界限,带来了严重的隐私权问题。”
雇员监视问题在欧洲特别富有争议,在那里,隐私法往往倾向于保护雇员。“德国和法国在雇员隐私方面的规定非常严格,”惠普公司的雷德蒙表示,“多数财富 500强企业(Fortune 500)将面临一个问题,即必须遵守它们业务所在地区的隐私权法规。在欧洲,工会和职工监事委员会将会带来大麻烦。”
美国风险咨询机构Ackerman Group的顾问乔治•迪尤(George Dew)表示,在培训雇员如何处理敏感信息方面,企业一直落后于美国政府。他表示:“许多人并没有真正意识到数据丢失意味着什么、可能带来多大损失。”
为了防范内部威胁,许多企业已开始加大努力,对可能招募的新人进行背景调查。它们也逐渐将这种做法拓展至承包商和临时工。这些人可能会造成更大的风险,因为他们缺乏多数正式雇员所具有的高度忠诚感。
不过,前美国联邦调查局(FBI)探员、控制风险集团(Control Risks Group)顾问比尔•戴利(Bill Daley)表示,面对那些憎恨工作的员工所带来的内部威胁,背景调查作用有限。“如果你信任你的员工,就很难认定哪些人心怀不满,因为他们从外表看起来跟你我一样。”戴利表示,“这是最困难的情况,因为那是我们信任的人。”
迪尤表示,当谈到抗击内部威胁的时候,人际接触常常被忽视。他表示:“如果你有一些善于倾听的经理人,他们非常清楚自己的雇员感受如何,那么,当一名雇员感到不高兴的时候,你就能迅速判断出来。”不过,他补充指出,在私营领域,这种做法很少被优先考虑,因为那个领域强调的是业绩。
除了担任Ackerman的顾问,迪尤也拥有自己的计算机安全公司。他总结道,即便得不到上级的赞许,公司IT主管也愿意做好应对内部威胁的防范措施。“作为一名IT高管,你在加强安全防卫的时候不会得到称赞,但如果出了事,那你就死定了。”
2006年8月15日,Ponemon Institute通过网上调查,发布调查报告《U.S. Survey: Confidential Data at Risk》称:
1、81%的美国公司在过去一年曾丢失过含有敏感信息的笔记本电脑等存储设备;
2、被调查者认为最优先的3个安全问题是:
1)保护传送中的敏感或机密数据(protecting sensitive or confidential data in motion (transfer));并且,对于“保护存储的敏感或机密数据”,81%的被调查者认为这是他们组织今年的优先任务,89%的被调查者认为这将是他们组织明年的优先任务。
2)身份和访问管理IAM(identity and access management);
3)保护存储的敏感或机密数据(protecting sensitive or confidential data at rest)。
1)知识财产;4、各种存储设备含有未受保护的敏感数据的可能性是:
2)商业秘密;
3)客户资料;
4)员工资料。
1) PDA等移动设备(60%);
2) 笔记本电脑(59%);
3) USB盘(53%);
4) 台式电脑(36%);
5) 共享文件服务器(35%)。
近来接连发生多起事件,专家表示,尽管资安入侵事件千变万化,但使用者只要做好客户端安全就可以免于大部份灾害。
日前分别发生网络下单账号被冒用,以及黑客集团藉由色情图片偷取上万名使用者入口网站服务及在线游戏的账号密码转卖谋利的资安事件。专家表示,随着现在有心人士攻击与恶意程序皆意在个人计算机中的敏感性数据,因此做好客户端安全防护就能以不变应万变。
入口网站与在线游戏账号密码被盗,是由侦九队日前破获的黑客集团所为。侦九队表示,黑客将这些含有木马程序的色情图片放在知名入口网站的图片社群中流传,经由网友的人际关系向外传散。侦九队表示,俟不知情使用者打开图片时,其实同时开启执行文件,木马程序即趁机进入受害计算机,伺机搜集入口网站及在线游戏的帐 号密码。
另一方面,在号称国内首宗网络下单账号冒用案例中,两大券商的用户网络下单账号密码遭到不明人士窃取,购买在线游戏及光电厂商各数百张股票。
两宗案件元凶都可能指向网络服务使用者账号及密码被入侵PC窃取。虽然柜买中心表示,网络下单一案究竟是券商网站被骇或是使用者个人被骇还在查证中,不过安全专家认为,客户端是较有可能被入侵的环节。
CA技术顾问林宏嘉即指出,“对黑客来说,在使用者PC上植入木马或键盘侧录程序取得个人机密数据,比骇入服务器或加密通道要容易得多。”
这也意谓着,两件案子不过是客户端安全教育的最新例子而已。而客户端安全也是资安厂商过去屡屡耳提面命的防护措施。
在入口网站及在线游戏账号被窃案中,侦九队表示,黑客主要是为了收集个人账号用以销售获利,较好的防范方法是使用者定期变更密码、升级病毒定义文件,也不要轻易打开来路不明的信件及程序。
证券柜台买卖中心已于事发隔日也发函各大券商,以强化网络下单交易之安全机制。除了要求券商定期办理安全弱点扫瞄作业,并建置适当的控管机制与防火墙以防范恶意程序与黑客入侵,柜买中心也对客户端的作业控管也加以提升:像是下单凭证密码延伸为六码、并将下载密码有效期限缩短为1个月,否则得重新申请、系统登入次数限制为3次,超过后锁定系统等等。
而无论是网络下单,或是较早的网络银行,赛门铁克亚太区技术顾问林育民表示本质上都是金融业Web服务的不同形式,“过去如何确保网络银行安全,现在就怎么来保护网络下单,”他说。
其中客户端安全乃是确保交易安全不可或缺的一环。林育民表示,纵使金融及科技业者也不断推出新技术来确保网络交易安全,然而有许多方法都可能因为客户端的疏忽而功亏一篑。
举例而言,如果PC被植入傀儡程序,使用者利用屏幕上虚拟键盘汇出的金额或对象,不一定是系统真正运算结果;如果使用者随意下载来路不明的卡片阅读机韧体,则二代卡片阅读机也可能被入侵。
“要是你的计算机被植入木马程序,电子凭证的数据只是黑客多偷走的一个档案而已。”他说。
本周一,研究人员称,迈克菲( McAfee)公司生产的著名PC安全软件存在漏洞,可导致用户电脑口令和其它敏感信息的泄露。
电子眼安全公司的一名主管Marc Maiffret称,这种漏洞会影响迈克菲公司绝大部分的消费软件产品,其中有互联网安全套件、SpamKiller、隐私服务和病毒扫描增值软件等。
迈克菲公司的发言人Siobhan MacDermott证实存在这种漏洞,并称研究人员正在进行修复,本周三有望推出补丁,用户可以通过互联网自动升级。这种漏洞不会影响迈克菲2007版本的产品。
研究人员称,安装存在漏洞的迈克菲产品,用户电脑就可能被犯罪分子利用进行跟踪银行帐户、修改和删除敏感文件以及破坏电脑等。就在漏洞报告公布的当天,迈克菲在网站上推出了旨在对抗微软的产品计划。目前,微软的安全产品已对迈克菲、赛门铁克和其它安全公司构成了严重的威胁。
迈克菲公司称:"这种漏洞也会在Windows操作系统中自动实施管理任务"。目前,迈克菲称已意识到了由于漏洞的存在而引起的潜在的攻击风险。
北京时间8月3日消息,据国外媒体报道,英特尔已经承认迅驰的无线技术中存在安全漏洞,可能导致恶意黑客在笔记本之间通过无线传播病毒、蠕虫等恶意代码。
根据英特尔发表的声明,这些安全漏洞存在于特定版本无线网络连接模块的微软Windows驱动之中。英特尔表示:“安全漏洞存在于英特尔 2200BG 和2915ABG PRO/ Wireless网络连接模块的Windows驱动之中,主要由它们目前处理特定结构的方式所引发。攻击者有可能通过这些漏洞远程执行代码,并获得对目标系统的控制权。”
英特尔同时表示,利用无线网络连接模块存在的漏洞,攻击者可以在Wi-Fi热点的覆盖范围之内,获得目标系统的核心级权限,并执行任意代码。无线网络连接模块在分析特定结构时会导致内存泄漏(memory corruption),这是引发漏洞的主要原因。尽管英特尔已经在自己的网站上发布了软件更新,据称可以修复漏洞,但该公司仍然建议用户与笔记本厂商取得联系,以获得更具针对性的信息和补丁。此外,英特尔还在网站上公布了有关无线网络连接模块安全漏洞的更多信息。
英国安全公司Sophos的高级技术顾问格拉汉姆房寺忱?Graham Cluley)表示:“利用这些无线漏洞,黑客可以在用户的笔记本上运行恶意代码,从而获得对目标系统的控制权,或者在笔记本之间传播无线蠕虫。到目前为止,我们还没有发现利用这些漏洞发动的攻击,这是一个好消息。但是,这并不意味着用户无需在笔记本上安装相关补丁。”
因为一个明显的安全漏洞,英国最大银行汇丰银行的数百万网络用户面临被黑客攻击的危险。
据《卫报》8月10日报道,英国加的夫大学的一个研究团体发现,英国汇丰银行的网上银行系统存在明显漏洞———这意味着310万英国注册用户至少在2年时间里极易受到攻击。一位电脑专家称这一重大过失是“可耻的”。
研究者计划将全部详情公布在网络安全杂志上,同时向社会发出警告。“这是非常严重的问题。”领导研究小组的计算机科学家安东尼娅非硭顾担?ldquo;银行负责保护你的资金,如果他们告诉你是安全的,你会认为事实如此。但一旦存在这样的漏洞,客户将面临危险。对于银行或掌管客户大笔钱财的机构来说,无法保护它们是极其可耻的。”
该漏洞涉及汇丰银行客户进入网上银行服务的方式。罪犯使用名为击键信息收集器(Keyloggers)(记录目标计算机每一次键盘活动的程序)可轻易得出进入账户所需的数据,只需不到9个步骤,客户账号将完全不设防。研究者称其他银行使用与汇丰不同的系统,相对来说较安全。
汇丰银行9日在得到该消息后称:“我们一直在寻求升级我们的网络安全,我们会仔细审查这一问题。”
尽管表示将重新评估其安全设置,但该公司试图粉饰漏洞问题的严重性,把他形容为“假想漏洞”。公司指出,他们遭遇的网上欺诈现象比其他银行少。公司发言人说:“汇丰对任何关于个人网上银行服务安全的评论感兴趣。但是,我们没有看到犯罪分子使用被发现的‘假想漏洞’。他们需要进行极其复杂的操作,花费很长时间才能找到一个攻击对象。所以,这样做不大会给他们带来好处。”
“汇丰银行网上银行系统发生的欺诈行为低于市场平均水平,我们对客户的充分保护感到满意。”该发言人补充。
但是,加的夫大学的研究小组认为,一旦漏洞被黑客找到,他们能够轻易进入账户。“要进入账户操作,很可能不到5个步骤,绝对不到9个步骤。”琼斯教授说。黑客可以改动账户信息和地址,转账或实施大额贷款,甚至能够利用为度假者服务的项目,立即将价值高达2000英镑的任何币种转到世界上的任何地方。
尽管需要在电脑上安装信息收集器来挖掘漏洞,但大多数常见的电脑病毒现在都包含此类功能,而且这些病毒遍布世界数百万电脑终端。根据英国Apacs银行业协会的数据,网上银行欺诈去年造成了约1.4亿英镑的损失。
美国东部时间8月4日(北京时间8月5日)消息 据最新的外电报道,一名来自Freenet Cityline的安全工程师Hendrik Scholz近日公开了思科防火墙的一个漏洞,据悉外部攻击者可以通过思科的PIX防火墙设备漏洞进入企业的内部网络。
Scholz在拉斯维加斯举行的Black Hat年度黑客大会上用幻灯片的形式演示了这一漏洞的模拟情况,他说,“你可以打开任何一个你需要的端口,从外部进入内部服务器,操作起来很容易,我们正向思科汇报修复这一漏洞的办法。”
在去年的Black Hat年度黑客大会上,研发工程师林恩公布了思科互联网操作系统软件的漏洞,思科对大会的组织者进行了起诉。
Scholz拒绝就利用思科这一漏洞的具体情况发表评论,他表示目前正在等待思科解决这一问题。他说,“如果大家对细节比较关注的花,我所能告诉你们的是思科正在设法解决这一漏洞。”
思科发言人约翰证实公司正在调查这一事件,他说,“在我们深入调查后,我们将按照公司的安全缺陷政策作出回应。”
有人认为,美军自恃军力强大——“反正你奈何不得我”,加上信息技术先进,因而不大在乎保密和信息安全。这是个误解,其实美军非常重视保密和信息安全建设。近年来,美军在调整国家安全战略、提高应对多种威胁的能力的过程中,积极发展新的信息安全保障能力,为夺取信息优势、抢占信息安全制高点进行着缜密的准备。
加大信息安全管理力度
为使信息安全保障水平能跟上信息技术的发展步伐,美军调整信息安全发展规划,及时提出信息安全建设,并采取有效措施加以实施。
发布信息安全保障指令
美国防部先后发布了8500.1号和8500.2号信息安全保障指令。指令确定了如何安全使用国防部网络的指导方针,提出:应依据战略目标对信息安全保障进行管理;所有的信息系统均应保持适当级别的保密性、完整性、真实性、不可否认性和可用性,对所有信息系统的设计、采购、安装、操作、升级和替换,都应考虑信息安全保障的需求;不同安全区域信息系统间的互联,要适应信息安全保障政策的改变,等等。
制定无线通信安全政策
美国防部于2004年4月发布8100.2无线保密指令。指令要求,国防部人员、合同商和访问者进入国防部设施后,必须对无线信息进行加密;数据加密按l类或2类标准,必须在安全通道上端对端进行;若没有得到指定授权机构的书面同意,无线设备不能存储、处理和发送保密信息,即使获得授权后也必须用国家安全局批准的方式加密后发射;若没有得到书面授权,个人计算机、无线电台及红外无线设备不得进人讨论存储和发送涉密信息的场所;存储在便携式电子设备上的保密数据,必须用国家安全局批准的加密模式进行加密;便携武电子设备直接联接国防部有线网络时,不准进行无线操作。
加强联合作战的信息安全
为适应联合作战中的信息安全需求,美军正设法以更快的速度、更有效的方法检测到敌方对计算机网络的攻击,并采取防御对策。主要措施有:把现有的区域网络操作和安全中心扩展到战斗指挥官,以确保每个战斗指挥官都能了解全球信息栅格网的攻击,防御状态;鼓励在基础设施上安装“即插即用”的保护/检测系统,在每个战术接入点形成环形防御和入侵检测能力,以提高联合作战部队的灵活性;为现有安全系统开发多种级别的标准组件,以满足各种保密信息共享需求,井为联合部队的网络基础设施提供信息安全保障部件。
增加密码技术人员
国家安全局是美国防部专门负责密码、密码机使用管理和密码破译的部门。在2004年的信息安全保障年会上,国家安全局提出的信息安全战略目标之一就是建立一支信息安全专职队伍,以满足不断增长的信息安全需求。同年4月7日,国家安全局宣布在9月前招聘大约1500名技术人员。据报道,国家安全局在下个5年里还将以每年1500名的数量增加新成员。如此大规模招聘密码工程技术人员,是国家安全局成立以来前所未有的。
装备新型密码设备
美军与美国密码设备公司联手,近一段时间开发出一批先进的信息安全保密装备,形成网络密码机发展迅猛、无线密码产品需求旺盛,以及密码设备模块化、普及化的局面。
高速网络密码机
随着军事信息系统(特别是C4KISR系统)的广泛使用,美军对高速网络密码设备的需求量越来越大。
经美国家安全局2004年5月17日批准,L-3通信公司的KG-240密码机加入美军所有级别的网络通信。KG-240是一种大容量的点对点 /服务器对服务器网络密码机,可安装在任何网络拓扑环境中,支持网络中心战的安全标准和全球信息格栅的保密需求。KG-240是首型而且是唯一一型通过国家安全局l类加密认证,经过美海军“高保障IP互通规范”(HAIPIS)测试,而且实际提交用户使用的网络密码机。另外,该公司1吉比特/秒传输率的KG-245网络密码机也将面市。
美国家安全局已认可,将通用动力公司的TACLANE—E100密码机用于加密因特网及其他IP网络,对绝密及以下信息进行加密。该密码机以 100兆比特/秒的吞吐量传输信息,对用户完全透明,有利于消除网络阻塞。用户可以经济地定制其安全结构,满足特定网络上数千个终端用户的不同要求。
ViaSat公司2004年8月收到国家安全局对其KG-250 IP网络密码机的认证。KG-250首次体现出ViaSat可编程、可升级的信息安全保障模型(PSIAM)。
美国TCC公司开发的DSD72A—SP加固型军用总体加密机用于同步数据网络。它支持多种接口,便干与现有网络集成;通过密码同步方法实现可靠的保密通信。其安全性已在战场上得到证明,2000多台设备正在保护高层次的军用骨干网络,并且已用于“爱国者”导弹系统。
无线密码产品
由于无线通信组网方便、抗毁能力强,适合移动中通信,受距离、地形的限制较少,所以美军对无线密码产品的需求非常旺盛。
美陆军的“联合战术无线电系统”已开始使用高级信息保密机(AIM)进行保密通信。AIM可内置于电台,采用软件下载的方式就能实现性能升级,能同时运行数种不同的密码算法,可在现有电台的和下一代电台间实现密码通信,还可与盟军保密互通。
2004年2月,哈里斯公司推出一种灵活、多用途军用加密电台——“猎鹰”(FALCON)ⅡRF-5800 U-HH超高频手持无线加密电台。该电台内置哈里斯公司的高级军用密码,以确保所有语音和数据传输的安全。它性能先进,输出功率大(5瓦),覆盖范围大;并且能与飞机通信,请求空中支援。
Tadiran公司2004年推出PRC-710MB手持多波段加密语音/数据电台。这种轻巧的多波段加密电台是专门为特种部队和小分队设计的,只有750克重,是目前市场上最轻的手持军用VHF/FM跳频加密电台。该电台具有抗截获、抗干扰,抗电子欺骗的功能,能在恶劣天气和强电磁作战环境下不间断地传输战术保密信息。
美陆军2004年11月向哈里斯公司采购丁3000多万美元的AN/PRC-117F(C)单兵背负式和车载式无线保密设备。这是一种多波段、多任务、单兵携带和车载式无线保密系统,可覆盖30~512兆赫的频率范围,提供嵌入式保密通信和电子对抗能力,以及与地,空无线电台和通信卫星的互通能力。
美国家安全局与哈里斯公司合作开发的SecNET 54无线保密设备,能为任何有以太网接口的计算机提供移动保密通信;还能以广播方式更换密钥,为个人,单兵无线通信设备提供1类保密通信。
模块化密码设备
密码模块能方便地嵌入到信息系统,信息化武器系统中,与其完美结合;密码模块成本低,能快速实现批量加密,有利于提高信息保密的总体水平。所以在新型密码设备中,密码模块占有相当比重。密码设备模块化已成为美军密码设备发展的重要趋势。
哈里斯公司的SierraⅡ密码模块由专用集成电路和支持软件,嵌入到无线电台及其他语音与数据通信设备中构成的。选种密码模块可提供大于 300兆比特,秒的数据率,具有先进的可编程能力,可嵌入1、3、4类密码算法,可面向联合战术无线电系统和国家安全局密码现代化计划的所有需求,为绝密级语音和数据加密。哈里斯公司于2005年1月宣布,雷声公司的敌我识别系统已选用SierraⅡ密码模块来加密信息。
Presidio密码模块是一种高速、全/半双工、嵌入式通信保密模块,适用于无线和有线通信手段。能与美军现有的1类密码设备互通。它可以组装进KIV-7系列密码机,用于点对点、网络和广播链路的保密信息传输。
哈里斯公司把密码电路嵌入SecNet11 Plus PC卡,快速组网并进行无线保密通信。国家安全局2004年7月与哈里斯公司签订了为期5年、价值2300万美元的合同,向其购买该产品。
普及型密码设备
在未来的信息化战争中,密码设备有可能作为制式装备配备到普通士兵。美军正在为数字化单兵装备“个人数字助理”(PDA)一种手持个人电脑,并为PDA提供了抗病毒许可证。为保护所存储数据的安全,PDA上加载的软件在用密码进行加密的同时,还需要用其他加密软件提供额外保护。
重视网络安全
美军非常重视网络安全问题,积极寻求技术解决途径。美国网络安全专家指出,注意发现“软肋”是有效开展网络防卫战的基础。99%的网络攻击都是利用已知的数十个网络漏洞,如果堵住这些漏洞,就可以把精力用于防范其余1%的网络攻击。
使用网络攻击告警系统
为保证网络安全,美国防信息系统局(DISA)计算机应急响应工作组将使用网络攻击告警系统——“深查威胁管理系统”和“深查告警服务”系统,以获得计算机系统自身脆弱性及遭受威胁情况的报告。这两种新软件可以对潜在威胁做出告警并推荐相应的反应手段。“深查威胁管理系统”从全球180多个国家的19000多家公司的防火墙和入侵检测系统收集攻击数据,然后向DISA提供最新的安全信息,并定期进行情况更新。“深查告警服务”系统汇集了1600 多家供应商和3200多种产品在安全性方面的弱点后,通过电于邮件、传真以及短消息等方式为DISA发送告警。
安装网络漏洞扫描仪
美陆军已选定哈里斯公司的STAT漏洞扫描仪保护其计算机网络,以防计算机恐怖活动、病毒和其他威胁的攻击。STAT扫描仪能分析所扫描的漏洞,提示每个漏洞可能受到攻击的危险级别,以及相应的堵漏方法。陆军将使用STAT扫描仪监测其在全球的工怍站和服务器,对各地网络的弱点提供详细报告。
建立脆弱性数据库
国家安全局在2004年底完成无线技术脆弱性数据库的最终版本。建立脆弱性数据库的主要目的,是创建一套比较简单的检查无线产品脆弱性的工具,供用户在购买商用无线产品时使用。任何能接人保密互连协议路由网络的人都可以访问该数据库,其中,有保密互连协议路由网络账户的用户将能通过该数据库查询有关装置的专用技术。数据库将提供每种技术或多种技术组合的脆弱性报告。数据库中的信息将定期更新,用户可利用这些信息制定其机构的策略。数据库中的信息,一种是国家安全局自己的研究成果,属于保密信息;另一种是丰富的公开信息。
加强软件安全评估
美国防部正在调整采办政策,以提高所购软件的质量与安全性。为减少风险,国防部将更加关注敏感软件的来源。国防部项目主管在采办过程的早期就着手了解软件开发机构的情况,选择软件来源以降低使用风险。国防部将开发相关数据库以确定、跟踪和保留特定软件供应商的风险信息,采办项目主管则根据数据库的信息来拟定采办策略,采办计划、征求建议书以厦各项合同。对干一些必须确保安全的软件,将进行公司反间谍威胁评估、雇员信任等级评估和商业实践评估,在评估中检查公司的16项商业实践,以确保整个开发过程的安全性。
开通量子密码通信实验网
2004年6月3日,美国防高级研究计划局资助开发的世界上第一个量子密码通信网络在马萨诸塞州剑桥城投入运行实验。这套网络目前有6个节点,通过普通光纤传输量子密码加密的数据,与现有互连网技术完全兼容,网络传输距离约为10千米。近年来,量子密码研究取得了进展,但基本上都是在2个节点间进行量子密码通信,而像选样的复杂量子密码网络还是第一个。科学京家们希望未来能够实现1000千米的量子密码传输,这样就可以利用卫星来传递量子保密信息,并在全球范围内建立起保密的信息交换体系。
拓宽信息安全保障领域
美军在加紧装备新型信息安全设备的同时,还积极研发新一代信息安全技术和产品,不断拓宽信息安全保障新领域。
实施端对端信息安全保障计划
为实现全球指挥控制系统网络化,美国防部正加快实施端对端信息安全保障计划。计划中的系统,在黑客侵入网络时可适度降级运行;数据包在网络前端就被加密,可以传输到网络中的任一地点而无泄密之忧;信息也可经由国防部的保密互连协议路由网络和非保密互连协议路由网络安全传输。
寻求对付软件攻击的新系统
美国防部正在寻求一套新系统,它能够有效探测到通过网络传播的蠕虫和病毒,并在感染计算机之前将其隔离。这样,国防部对付软件攻击的作法,将从原来实时探测、响应后修复系统转变为在感染前即做出响应。另外,国防部还在开发一套旨在保护军网免受软件攻击的原型系统。全部工作将在2007年1月完成。
确立2015年信息安全目标
作为改进信息基础设施管理和安全服务计划的一部分,美陆军确立了2015年信息技术远景目标。届时,陆军将有能力向90%的网络服务器发送安全补丁程序,使服务器的渗透率为0,存在安全问题时,在l2小时内切断服务器的连接,建立一个全球服务维护系统,以解决战区及邻近地区出现的问题,提供一个共同的相关操作界面,在发生安全问题30分钟内显示网络状况,2小时内提供分析信息。
研究战场计算机和通信系统安全的新技术
美军正在制定一项旨在提高战场计算机和通信系统安全性的研究计划。其中包括:建立一个能快速确认计算机网络受攻击情况的反应架构,以有效防范黑客攻击;开发便携式远程可编程无线电系统,用软件对无线电台进行远程编程,一旦设备落入敌手,可以立即更改程序,从而使无线电系统更加安全;监控战场传感器的数据完整性,以确保部队完全信赖他们所掌握的数据,无需担心会收到敌人故意发送的错误信息。
Powered by Haiwit
