电子期刊第148期

如何查询邮箱的登录和发信情况

  答:在院邮件系统的webmail中,提供了“自助查询”的功能。即:用户可以查询最近30天内的发信记录、邮箱登录记录,中转站中文件的下载记录。

  “自助查询”功能的使用方法请参见帮助中心的相关说明。


更多问题

自拍照替代密码渐成新趋势 引发安全顾虑大讨论
 
  企业和政府机构--包括打车服务提供商Uber、信用卡巨头万事达卡、阿拉巴马州税务局--目前都要求用户和居民在智能手机上拍摄自拍照,作为他们的身份证明。随着智能手机摄像头质量的改进,以及面部识别软件变得更加实惠,数字未来可能涉及更少复杂的密码和更多的自拍照。但自拍照有一个缺点:一些网络犯罪专家担心,人们可能迅速的上传他们的笑脸,但该技术充斥着隐私和安全问题。

科研信息化技术与应用

中科院信息化工作动态

中科院国际会议服务平台


技术追踪
  · 智能硬件设备八大安全问题分析
  · 从此次美国遭遇大规模DDOS攻击事件看IOT时代的网络安全问题
  · 如何利用系统自带命令搞定手工杀毒
 

智能硬件设备八大安全问题分析
   
 

  目前,IoT 技术还处于起步阶段,与金融、电子商务等其他行业相比,安全性尚未得到充分理解和明确定义。开发一款IoT 产品时,不论是像可穿戴设备这样的小型产品,还是像油田传感器网络或全球配送作业这样的大型IoT部署,从一开始就必须考虑到安全问题。要了解安全的问题所在,就需要了解IoT 设备的攻击方法,通过研究攻击方法提高IoT产品的防御能力。

  八大安全问题

  作为国内最早从事智能硬件安全攻防研究的团队,基于长期的智能硬件安全攻防实践,360攻防实验室对智能硬件设备的安全隐患进行了系统的分析和梳理,总结了智能硬件设备存在的八大安全隐患。以下内容已经收录入即将出版的《智能硬件安全》一书,这将是国内第一本系统介绍物联网安全的专业书籍,该书的核心观点是通过“以攻促防、以防抑攻”的安全理念,全面提高IoT产品自身的安全防御能力。

  以下是智能硬件设备八大安全隐患分析:

  1、数据存储不安全。

  毫无疑问,移动设备用户面临的最大风险是设备丢失或被盗。任何捡到或偷盗设备的人都能得到存储在设备上的信息。这很大程度上依赖设备上的应用为存储的数据提供何种保护。很多智能硬件手机客户端的开发者对于智能硬件的配置信息和控制信息都没有选择可靠的存储方式。可以通过调试接口直接读取到明文或者直接输出至logcat 中。用户身份认证凭证、会话令牌等,可以安全地存储在设备的信任域内,通过对移动设备的破解,即可达到劫持控制的目的。

  2、服务端控制措施部署不当。

  现有智能硬件的安全策略由于要降低对于服务端的性能损耗,很多情况下是把安全的过规则部署在客户端,没有对所有客户端输入数据的输入检查和标准化。使用正则表达式和其他机制来确保只有允许的数据能进入客户端应用程序。在设计时并没有实现让移动端和服务端支持的一套共同的安全需求,可以通过将数据参数直接提交至云端,客户端APK 对参数过滤的限制,达到破解设备功能的目的。

  3、传输过程中没有加密。

  在智能硬件的使用过程中,存在连接开放Wi-Fi 网络的情况,故应设计在此场景下的防护措施。我们列一个清单,确保所有清单内的应用数据在传输过程中得到保护(保护要确保机密性和完整性)。清单中应包括身份认证令牌、会话令牌和应用程序数据。确保传输和接收所有清单数据时使用SSL/TLS 加密(See CFNetwork Programming Guide)。确保你的应用程序只接受经过验证的SSL 证书(CA 链验证在测试环境是禁用的;确保你的应用程序在发布前已经删除这类测试代码)。通过动态测试来验证所有的清单数据在应用程序的操作中都得到充分保护。通过动态测试,确保伪造、自签名等方式生成的证书在任何情况下都不被应用程序接受。

  4、手机客户端的注入。

  手机客户端和Web 应用程序的输入验证和输出过滤应该遵循同样的规则。要标准化转换和积极验证所有的输入数据。即使对于本地SQLite/SQLcipher 的查询调用,也使用参数化查询。当使用URL scheme 时,要格外注意验证和接收输入,因为设备上的任何一个应用程序都可以调用URL scheme。当开发一个Web/移动端混合的应用时,保证本地/local 的权限是满足其运行要求的最低权限。还有就是控制所有UIWebView 的内容和页面,防止用户访问任意的、不可信的网络内容。

  5、身份认证措施不当。

  授权和身份认证大部分是由服务端进行控制的,服务端会存在用户安全校验简单、设备识别码规律可循、设备间授权不严等安全问题。目前可以在分析出设备身份认证标识规律的情况下,如MAC 地址、SN 号等都可以通过猜测、枚举的方式得到,从而批量控制大量设备。这个漏洞的危害在智能硬件里是最大的,因为它能够影响到全部的智能硬件。

  6、密钥保护措施不当。

  有些IoT 产品在开发过程中考虑到了安全加密,比如使用AES128 位加密做为传输加密的内容,使用MD5 加密用户密码。在对于对称性加密方式的处理过程中,密钥的保存方式是至关重要的。在IoT 解决方案中,手机客户端发起的请求需要对数据内容进行加密,也就是说,手机客户端内需要有AES 的密钥。如果对于密钥存放的方式不当,可以轻而易举地将数据还原成明文进行逆向分析,从而进行进一步的攻击。在对大量的IoT 设备进行安全研究后发现,设备基本上都会把AES 的密钥存放在手机客户端中,有的做得很简单,写在了一个加密函数里。有的做得很深,放在了一个Lib 库中。但这些只是提高了一定的技术门槛而已,不是解决安全问题的办法。

  7、会话处理不当。

  有很多智能设备都会由于会话管理措施不当,造成能够通过会话劫持攻击,直接控制设备,达到设备被破解的一种程度,所以说永远不要使用设备唯一标示符(如UDID、IP、MAC 地址、IEME)来标示一个会话。保证令牌在设备丢失/被盗取、会话被截获时可以被迅速重置。务必保护好认证令牌的机密性和完整性(例如,只使用SSL/TLS 来传输数据)。使用可信任的服务来生成会话。

  8、敏感数据泄露。

  对于智能设备的安全研究,可以通过智能设备所泄露出来的数据,进行进一步利用,从而获得控制权限。所以必须保证安全的东西都不放在移动设备上;最好将它们(如算法、专有/机密信息)存储在服务器端。如果安全信息必须存储在移动设备上,尽量将它们保存在进程内存中。如果一定要放在设备存储上,就要做好保护。不要硬编码或简单地存储密码、会话令牌等机密数据。在发布前,清理被编译进二进制数据中的敏感信息,因为编译后的可执行文件仍然可以被逆向破解物。

  通过以上的分析可以看出,安全隐患几乎存在于智能硬件数据信息流向的每个环节,而在实际攻击测试中,通常可以根据信息数据的流向,把数据交互的信息点列为攻击面,以此可以划分为固件、APK、云端API 这三个信息点。在每个信息点上都会有数据的存储、交互、控制的流程。

  首先,通过分析发现,固件中包含的设备与云端交互数据、设备与本地手机交互数据。手机安装的APK 中包含手机与云端交互数据、手机与本地设备交互数据。云端服务器包含手机与设备的绑定关系、远程管理、反向代理业务的数据。然后,根据身份验证、传输加密和访问控制这几个安全措施的符合度去判断是否存在漏洞。

  了解了以上的攻击流程,无论是攻和防,都可以做出相应性的规划和部署。

 
  从此次美国遭遇大规模DDOS攻击事件看IOT时代的网络安全问题
   
 

  0x01 事件回顾

  2016年10月21日 11:10 UTC(北京时间19:10左右)恶意软件Mirai控制的僵尸网络对美国域名服务器管理服务供应商Dyn发起DDOS攻击,从而导致许多网站在美国东海岸地区宕机。你可能没有听说Dyn,但你一定知道这些网站,如GitHub、Twitter、PayPal等。Dyn为这些著名网站提供基础的DNS服务,当其受到攻击时,用户无法通过域名访问这些站点。

  在这之前Mirai僵尸网络曾对国外安全研究员Brian Krebs的个人博客"Krebs On Security"发起过DDOS攻击,致其被迫下线数日。法国网络服务商OVH也曾受过Mirai的大流量攻击。

  0x02 安全研究人员的看法

  此次DDOS攻击事件是由恶意软件Mirai控制的僵尸网络发起。Mirai在上月也曾发起多起攻击事件。Mirai的攻击目标与以往控制服务器或个人PC机的方式有所不同,它主要针对一些物联网(IOT)设备,如路由器、数字录像机(DVRs)、网络摄像头等。控制大量的IOT设备形成僵尸网络来进行DDOS攻击。

  目前已经确认在此次攻击事件中,至少存在一定数量的"肉鸡"是DVRs,根据TCP数据包的指纹识别信息显示,主控端恶意软件很有可能就是Mirai。

  在这个月月初,黑客"Anna_Senpai"操作Mirai控制僵尸网络向Krebs On Security发起DDOS攻击,而后有人在互联网上公布了Mirai的源码。自从源码被公开之后,很多脚本小子或者山寨黑客(copycat hackers)也可以很容易的使用这些源码收集"肉鸡"创造自己的僵尸网络并发起DDOS攻击。

  虽然已经确认此次攻击事件是由恶意软件Mirai造成,但是与之前Krebs On Security和OVH攻击事件等其它攻击事件是否是同一组织所为还不得而知。

  0x03 360网络安全研究院针对Mirai的调查报告

  几个星期前国外著名安全研究员Brian Krebs的个人博客"Krebs On Security"遭到了恶意软件Mirai的DDOS攻击,成为了安全社区里的热门话题。昨日美国域名服务器管理服务供应商Dyn宣布,该公司在当地时间周五早上遭遇了Mirai发起的DDoS攻击,从而导致许多网站在美国东海岸地区宕机,无疑又把Mirai的名气推向了顶峰。

  根据之前的调查研究,Mirai主要针对如cctv(闭路电视)网络摄像头等IOT设备作为主要攻击目标,并利用这些"肉鸡"形成僵尸网络发起DDOS攻击。

  在过去的2个多月中,360网络安全研究院部署了蜜罐并统计分析Mirai在世界范围内的数量增长趋势及分布情况。以下数据均来自360网络安全研究院。

  9月30号Mirai的源代码泄露,这让我们更好的了解这个僵尸网络是如何工作的。在对这套源码研究之后,我们发现Mirai扫描模块存在漏洞,并且确认Mirai只对23和2323这两个开启Telnet的服务进行检查。我们可以根据TCP数据包的指纹信息准确的区分Mirai与其他设备。

  在几次轻微的波动之后,Mirai僵尸网络在9月中旬达到峰值,并且到现在一直保持着活跃的状态。通过进一步的调查分析,这些Mirai扫描来自196个国家的608,083个独特IP。

  包括越南、中国、印度和韩国在内受影响最大的十个国家均为亚洲国家。

  除此之外,360网络安全院表示已经提取出多个Mirai的C2S(command and controller),并将它们添加到我们的DDOS。

  僵尸网络指令跟踪系统,并希望能够实时跟踪Mirai僵尸网络的攻击情况(攻击目标,攻击类型,攻击指令)。敬请期待后续更新。

  0x04 此次事件对国内的影响

  国家互联网应急中心在其发布的 《2015年我国互联网网络安全态势综述》 中表示, “2015 年,CNVD通报了多款智能监控设备、路由器等存在被远程控制高危风险漏洞的安全事件。2015 年初,政府机关和公共行业广泛使用的某型号监控设备被曝存在高危漏洞,并已被利用植入恶意代码,导致部分设备被远程控制并可对外发动网络攻击。CNCERT 核查发现,我国主要厂商生产的同类型设备,普遍存在类似安全问题,亟需进行大范围整改。”

  根据360网络安全研究院的调查报告显示,这些被利用的智能设备甚至有很多来自国内的多家智能设备生产厂商。

  0x05 如何防止智能设备被恶意利用

  1. 提高安全意识,拒绝弱口令等默认配置。

  2. 关闭不必要的端口或服务,防止因服务未及时更新而产生一系列安全问题。

  3. 若一定要在外网访问,建立防火墙规则,仅将需要的端口开放,防止被恶意利用。

  4. 及时对设备进行更新与升级。

  生产厂商制定完善的安全策略。目前IOT技术尚处于起步阶段,在IOT设备生产的过程中,安全策略应贯彻到开发的全部流程,从一开始就必须考虑到安全问题。要了解安全的问题所在,就需要了解IOT 设备的攻击方法,通过研究攻击方法提高IOT产品的防御能力。

 

如何利用系统自带命令搞定手工杀毒
   
 

  自己亲自动手来用系统自带的工具绞杀病毒比安装的那些软件还要好,那就是利用系统自带命令搞定手工杀毒,具体的步骤如下:

  一、自己动手前,切记有备无患——用TaskList备份系统进程

  新型病毒都学会了用进程来隐藏自己,所以我们最好在系统正常的时候,备份一下电脑的进程列表,当然最好在刚进入Windows时不要运行任何程序的情况下备份,样以后感觉电脑异常的时候可以通过比较进程列表,找出可能是病毒的进程。

  在命令提示符下输入:

  TaskList /fo:csv>g:zc.csv

  上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中,g:为你要保存到的盘,可以用Excel打开该文件。

  二、自己动手时,必须火眼金睛——用FC比较进程列表文件

  如果感觉电脑异常,或者知道最近有流行病毒,那么就有必要检查一下。

  进入命令提示符下,输入下列命令:

  TaskList /fo:csv>g:yc.csv

  生成一个当前进程的yc.csv文件列表,然后输入:

  FC g:\zccsv g:\yc.csy

  回车后就可以看到前后列表文件的不同了,通过比较发现,电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。

  三、进行判断时,切记证据确凿——用Netstat查看开放端口

  对这样的可疑进程,如何判断它是否是病毒呢?根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒,可以查看一下端口占有情况。

  在命令提示符下输入:

  Netstat -a-n-o

  参数含义如下:

  a:显示所有与该主机建立连接的端口信息

  n:显示打开端口进程PID代码

  o:以数字格式显示地址和端口信息

  回车后就可以看到所有开放端口和外部连接进程,这里一个PID为1756(以此为例)的进程最为可疑,它的状态是“ESTABLISHED”,通过任务管理器可以知道这个进程就是“Winion0n.exe”,通过查看本机运行网络程序,可以判断这是一个非法连接!

  连接参数含义如下:

  LISTENINC:表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接,只有TCP协议的服务端口才能处于LISTENINC状态。

  ESTABLISHED的意思是建立连接。

  表示两台机器正在通信。

  TIME-WAIT意思是结束了这次连接。

  说明端口曾经有过访问,但访问结束了,用于判断是否有外部电脑连接到本机。

  四:下手杀毒时,一定要心狠手辣——用NTSD终止进程

  虽然知道 “Winion0n.exe”是个非法进程,但是很多病毒的进程无法通过任务管理器终止,怎么办?

  在命令提示符下输入下列命令:

  ntsd –c q-p 1756

  回车后可以顺利结束病毒进程。

  提示:“1756”为进程PID值,如果不知道进程的ID,打开任务管理器,单击“查看→选择列→勾上PID(进程标识符)即可。

  NTSD可以强行终止除Sytem,SMSS.EXE,CSRSS.EXE外的所有进程。

  五、断定病毒后,定要斩草除根——搜出病毒原文件

  对于已经判断是病毒文件的“Winion0n.exe”文件,通过搜索“本地所有分区”、“搜索系统文件夹和隐藏的文件和文件夹”,找到该文件的藏身之所,将它删除。

  不过这样删除的只是病毒主文件,通过查看它的属性,依据它的文件创建曰期、大小再次进行搜索,找出它的同伙并删除。

  如果你不确定还有那些文件是它的亲戚,通过网络搜索查找病毒信息获得帮助。

  六、清除病毒后一定要打扫战场

  手动修复注册表虽然把病毒文件删除了,但病毒都会在注册表留下垃圾键值,还需要把这些垃圾清除干净。

  1、用reg export备份自启动。

  由于自启动键值很多,发现病毒时手动查找很不方便。

  这里用reg export+批处理命令来备份。

  启动记事本输入下列命令:

  reg export HKLM\software\Microsoft\Windows\

  CurrentVersion\Run fo:\hklmrun.reg

  reg export HKCU\Software\Microsoft\Windows\

  CurrentVersion\Policies\Explorer\Run f:\hklcu.reg

  reg export HKLM\SOFTWARE\Microsoft\Windows\

  CurrentVersion\Policies\Explorer\Run hklml.reg

  注:这里只列举几个常见键值的备份,其它键值请参照上述方法制作。

  然后将它保存为ziqidong.bat在命令提示符下运行它,即可将所有自启动键值备份到相应的reg文件中,接着再输入:

  copy f:\*.reg ziqidong.txt

  命令的作用是将所有备份的reg文件输出到“ziqidong.txt”中,这样如果发现病毒新增自启动项,同上次导出自启动值,利用上面介绍的FC命令比较前后两个txt文件,即可快速找出新增自启动项目。

  2、用reg delete删除新增自启动键值。

  比如:通过上面的方法在[HKER_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run],找到一个“Logon”自启动项,启动程序为“c:\windows\winlogon.exe”,现在输入下列命令即可删除病毒自启动键值:

  reg delete HKLM\software\Microssoft\Windows\

  CurrentVersion\Run /f

  3、用reg import恢复注册表。

  Reg de-lete删除是的是整个RUN键值,现在用备份好的reg文件恢复即可,输入下列命令即可迅速还原注册表:reg import f:\hklmrun.reg

  上面介绍手动杀毒的几个系统命令,其实只要用好这些命令,我们基本可以KILL掉大部分的病毒,当然平时就一定要做好备份工作。

  提示:上述操作也可以在注册表编辑器里手动操作,但是REG命令有个好处,那就是即使注册表编辑器被病毒设置为禁用,也可以通过上述命令导出/删除/导入操作,而且速度更快!

  七、捆绑木马克星——FIND

  上面介绍利用系统命令查杀一般病毒,下面再介绍一个检测捆绑木马的“FIND”命令。

  相信很很多网虫都遭遇过捆绑木刀,这些“批着羊皮的狼”常常躲在图片、FLASH、甚至音乐文件后面。

  当我们打开这些文件的时候,虽然在当前窗口显示的确实是一幅图片(或是播放的FLASH),但可恶的木马却已经在后台悄悄地运行了。

  比如近曰我就收到一张好友从QQ传来的超女壁纸,但是当我打开图片时却发现:图片已经用“图片和传真查看器”打开了,硬盘的指示灯却一直在狂闪。

  显然在我打开图片的同时,有不明的程序在后台运行。

  现在用FIND命令检测图片是否捆绑木马,在命令提示符输入:

  FIND /c /I〝This program〞g:\chaonv.jpe.exe其中:

  g:\chaonv.jpe.exe表示需要检测的文件

  FIND命令返回的提示是“___G:CHAONV.EXE: 2”,这表明“G:、CHAONV.EXE”确实捆绑了其它文件。

  因为FIND命令的检测:如果是EXE文件,正常情况下返回值应该为“1”;如果是不可执行文件,正常情况下返回值应该为“0”,其它结果就要注意了。

  提示:其实很多捆绑木马是利用Windows默认的“隐藏已知类型文件扩展名”来迷惑我们,比如本例的“chaonv.jpe.exe”,由于这个文件采用了JPG文件的图标,才导致上当。

  打开“我的电脑”,单击“工具→文件夹选项”,“单击”“查看”,去除“隐藏已知类型文件扩展名”前的小勾,即可看清“狼”的真面目。

  八、总结

  最后我们再来总结一下手动毒的流程:

  用TSKLIST备份好进程列表→通过FC比较文件找出病毒→用NETSTAT判断进程→用FIND终止进程→搜索找出病毒并删除→用REG命令修复注册表。

 

 
7*24专线:010-58812000   技术支持邮箱:support@cstnet.cn   垃圾邮件投诉邮箱:abuse@cstnet.cn
    © 1994-2016 版权所有:中国科技网网络中心     意见反馈: support@cstnet.cn