天士力信息安全月报 (第1期)

声明

       《天士力信息安全月报》(以下简称“报告”),由天士力信息安全管理部门编制,供天士力内部员工阅读、使用。本报告根据国家网信办、国家信息安全漏洞共享平台及国际信息安全学习联盟等各大信息安全平台整理分析而成,报告中凡摘录或引用内容均已指明出处,其版权归相应单位所有。

       本报告所有权利及许可由天士力信息安全部门进行管理,未经同意,不得将本报告以及其中内容转发或用于其他用途。

       感谢您的阅读,如有问题请联系我们:digis@tasly.com

目录

一、互联网网络安全整体状况

二、信息安全行业动态

三、热点事件播报

四、信息安全小科普

五、漫画安全

一、互联网网络安全整体状况

2020年8月,互联网网络安全状况整体评价为良。主要数据如下: 境内感染网络病毒的终端数为132万余个; 境内被篡改网站数量为18,799个, 被植入后门的网站数量为5,048个,针对境内网站的仿冒页面数量为3,387个。 

  • 漏洞数据分析

2020年8月,国家信息安全漏洞共享平台(CNVD)收集整理信息系统安全漏洞1,476个。其中,高危漏洞447个,可被利用来实施远程攻击的漏洞1,181个,零日漏洞503个。受影响的软硬件系统厂商包括Cisco、Google、IBM、Microsoft、Apple、Oracle等。 根据漏洞影响对象的类型,漏洞可分为应用程序、WEB应用、操作系统、网络设备(交换机、路由器等网络端设备)、安全产品(如防火墙、入侵检测系统等)、数据库和智能设备(物联网终端设备)漏洞。 本月CNVD收集整理的漏洞中,按漏洞类型分布排名前三位的分别是应用程序漏洞、WEB应用漏洞、操作系统漏洞。

内容来源:国家网信办、国家信息安全漏洞共享平台

二、信息安全行业动态

  • 《数据安全法(草案)》的立法背景、立法定位与制度设计

      《数据安全法(草案)》出台于我国国家通信信息技术发展应用从量变到质变的特定时期,承担了“以安全保发展、以发展促安全”的历史使命。作为数据安全领域的基础性法律和国家安全法律制度体系的重要组成部分,《数据安全法》针对数据这一非传统领域的国家安全风险与挑战,完善国家数据安全协同治理体系,明确预防、控制和消除数据安全风险的制度、措施,确立国家行为的正当性,提升国家整体数据安全保障能力。鉴于数据安全问题的复杂面向,厘清立法定位,明确需要重点解决的问题,处理好与现行法及正在审议中的立法等衔接协调,是保障《数据安全法》科学立法的必由之路。

        在技术日新月异的今天,如何有效地利用法治资源,在产业技术政策中确立以技术创新为核心的法治目标,是企业获得生命力和国家谋求长足发展的基础性保障。中国特色社会主义法治体系加速构建,《数据安全法》将与《国家安全法》《网络安全法》《密码法》、制定中的《个人信息保护法》和二次审议稿阶段的《出口管制法》等共同构建起一个横向内部体系更加协调、外部辐射范畴更为广泛,纵向制度、原则、规则更为立体化的国家安全保障体系。 鉴于数据安全问题的复杂面向,草案存在各种问题和争议,如数据主权维护机制、与其他基础性立法的有效衔接、数据要素资源利用与数据安全协同治理的平衡考量、引进来走出去的法治营商环境构建、制度设计的合理性与可操作性、条款完整性和结构平衡性的立法技术问题等,这一方面须得各界人士脚踏实地地研究、调研和论证,为草案多提建设性意见;一方面有待有关部门加速《数据安全法》及其下位配套制度的设计、规划、协调工作,推动数据安全治理“中国方案”不断完善;另一方面基于国家统一层面的立法实施执法检查、立法影响评估等工作也是国家治理现代化与中国特色社会主义安全法治体系构建的必然要求。

内容来源:国际信息安全学习联盟

三、热点事件播报

  • 思科前员工为报复恶意删除400多台虚拟机,公司损失超1600万

       Sudhish Kasaba Ramesh 于 2016 年 7 月入职思科,2018 年 4 月离职。Ramesh 在与检察官议定的认罪书中坦言,离职之后,“他曾使用个人 Google Cloud Project 账户部署代码,删除掉了 456 台虚拟机。这部分虚拟机主要用于交付视频会议、视频消息收发、文件共享以及其他协作工具服务。”Ramesh 承认自己“鲁莽地”部署了恶意代码,而且“明确意识到自己的行为可能给思科业务带来巨大风险。”

       根据检察官的说明,Ramesh 的行为导致超过 16000 个 WebEx Teams 账户被异常关闭,持续时间达两个星期。为此,思科方面共计损失 240 万美元(约合 1650 万人民币),其中包括对问题进行修复所支付的约 140 万美元人力成本和超过 100 万美元的客户退款损失。 对此,思科方面表示,值得庆幸的是此次事件并未导致客户信息丢失或泄露。

       思科遭员工“删虚拟机跑路”并不新鲜,此前微盟遭员工“删库跑路”事件更是轰动一时。今年 2 月,微盟研发中心核心运维人员贺某通过个人 VPN 登入公司内网跳板机对微盟线上生产环境及数据进行了严重的恶意破坏,导致微盟的 SaaS 业务服务突然宕机,商家后台的所有数据被清零。该事件发生后,微盟股价大跌,累计市值一度蒸发超 30 亿港元。300 万左右商家的数据在腾讯云协助下,经过七天七夜的努力才被全面找回。3 月初,微盟表示将拿出 1.5 亿元进行损失赔付,其中公司承担 1 亿元,管理层承担 5000 万元。

       虽然舆论已经平息,但后续赔偿事宜还在进行中。由于赔偿金额等问题,微盟遭到了大量商家的集体投诉,这些投诉已被立案审理。据微盟集团发布的 2020 年上半年财报显示,由该赔付计划带来的预计赔付支出对微盟带来的损益影响达 0.87 亿元。

        根据微盟发布的通告,贺某是由于个人精神、生活等原因发起了破坏行为。随后,微盟创始人孙涛勇在接受媒体采访时解释到,该员工一直深陷网络贷,还曾有过轻生的举动。春节期间一个人在房间独处 30 多天,再加上本身经济上的困扰,最终做出了这样的举动,事后他也表示跟公司无任何仇恨。很多程序员表示:“删库跑路就是说说而已,跑得了和尚跑不了庙。”但为什么还是有人甘愿冒着坐牢的风险破坏公司系统,是每个管理人员应该深思的事情。当然,除了少数的有意为之,还有很多“删库”其实是程序员的无心之失。

       据媒体公开报道,在 2018 年,顺丰一位工程师在升级系统数据库的时候,不慎将 RUSS 数据库删除,导致很长一段时间顺丰线上发车功能无法使用,带来了严重的负面影响。最后该员工被辞退。还有位自称阿里员工的知乎网友表示,自己刚入职的时候,数据库可以直接用 bash 执行后台增删改操作,各种监管和操作日志机制都不是很完善。有一天,在使用存储过程进行 update 极度重要的表的时候,忘了加 where 条件,就直接敲了回车执行,所以和删库也差不了多少。当时出现失误的第一反应是吓傻了,不敢告诉主管。“知道没有备份的消息后,我是想跑路来着的…”该网友表示,后来才意识到 update 是一个事务,中途 Kill 掉进程,就不可能出现一半更新一半不更新的情况。年少无知,白白挨了一通批评。

       “rm -rf /*,执行了这个命令就是走上人生巅峰了。”这也不过是一句玩笑话而已。对于程序员个体来说,一般情况下没人会故意搞破坏,而为避免无心之失,平时只能处处小心。 但前有微盟后有思科,大企业不断遭遇“删库”事故,侧面也说明了企业在数据安全管理上存在一些问题。对此,有专家从事前预防、事中发现和事后容灾三方面给出了相关建议。

  • 首先,事前预防很重要。企业需要统一运维入口,实现账号和权限的分配和管理,并且要每人独立账号和权限,细化至每个人能做什么不能做什么。不要为了图省事共用一个权限,而且要定期梳理和回收。也要对员工进行典型误操作和恶意操作案例的宣传,让他们知道后果,形成敬畏之心,同时在统一运维平台上把已知的高危操作都拦截掉,譬如 rm –rf 等。
  • 其次,企业可以通过配置审计规则,对一些会变更系统的操作进行告警,同时要对系统进行完整性等健康监控。
  • 最后,最重要的就是备份。数据是核心,有数据才能在灾难后恢复系统。备份一定要全量备份、增量备份、异地备份等,最好多个机房备份。当然,数据管理只是一部分,真正“删库跑路”的发生归根到底是公司和员工之间矛盾不可调和的爆发,结局往往是两败俱伤。
  •  美国禁令的“恐惧红利”?间谍软件假冒TikTok

近日Zscaler的研究人员发现了一个新的Android间谍软件,该软件化名TikTok Pro假冒TikTok应用程序的专业版,利用美国年轻用户对TikTok美国禁令的恐惧传播。该恶意软件可以接管基本的收集设备功能,例如获取照片、阅读和发送SMS消息、拨打电话和启动应用程序以及使用网络钓鱼策略来窃取受害者的Facebook账户

       Zscaler CISO和VP副总裁Shivang Desai表示,攻击者已经开始推广名为TikTok Pro的流氓应用程序,该推广活动通过短信和WhatsApp消息敦促用户从特定网址下载最新版本的TikTok。Desai指出,在第一波推广活动中,攻击者散布一个名为TikTok Pro的恶意软件,该应用程序要求提供账户和Android权限(包括摄像头和电话权限),并导致用户遭到广告轰炸。在第二波推广活动中,TikTok Pro升级为一个全新的间谍应用程序,该应用程序提供“具有高级功能的成熟间谍软件,可以轻松监视受害者”。安装并打开后,新的TikTok Pro间谍软件会启动虚假通知,该通知随同该应用程序的图标一起消失。他在报告中说:“这种虚假的通知策略用于重定向用户的注意力,同时该应用程序隐藏自身,使用户认为该应用程序有故障。”

       该恶意软件还具有另一种反检测功能,因为它在/res/raw/目录下存储了一个额外的有效负载,“这是恶意软件开发人员将主要有效负载捆绑在Android程序包中的一种常用技术,”Desai写道。他补充说,有效载荷只是一个诱饵,而不是具有实际的应用程序功能。 间谍软件的主要执行功能来自名为MainService的Android服务,该服务充当间谍软件的“大脑”并控制其功能“窃取或删除受害者的数据”,Desai写道。除了能够接管智能手机的常用功能(例如捕获照片、发送SMS消息、执行命令、捕获屏幕截图、拨打电话号码以及启动设备上的其他应用程序)之外,间谍软件还具有独特的功能,可以用来窃取Facebook账户。 与网络钓鱼活动类似,TikTok Pro会启动一个伪造的Facebook登录页面,一旦受害者尝试登录,该页面就会将受害者的账户密码存储在/storage/0/DCIM/.fdat中。然后,另一个命令IODBSSUEEZ将窃取的凭据发送到恶意软件的命令和控制服务器。

       Desai指出,攻击者可以将这种网络钓鱼策略扩展为窃取其他关键用户凭据,例如银行账户或金融登录数据,尽管目前尚未发现这种活动。而且,新的间谍软件具有许多功能,类似于此类恶意软件的其他更知名版本,例如Spynote和Spymax,“这可能意味着新的木马开发工具允许任何人,即使没有专业知识,也可以开发出功能完善的间谍软件。”Desai指出。 但是,Facebook的账户窃取功能是TikTok Pro所独有的。

  • 收到赎金也撕票:印度电商支付公司Paytm被勒索软件攻击

       近日据网络安全公司Cyble报告,印度电子商务支付系统和金融技术公司Paytm遭受了大规模的数据泄露,其电商网站Paytm Mall的中心数据库被入侵,黑客一边向Paytm Mall索要赎金,一边在黑客论坛上出售其数据。尽管目前尚不清楚从公司窃取了多少数据,数据的性质和范围,但据网络安全公司Cyble称,攻击背后的黑客都是通过“John Wick”和“Kelvin Sec”的在线ID来进行攻击的。

Cyble还指出,黑客在Paytm Mall应用程序和网站上传管理员后门后,获得了“对他们整个数据库的无限制访问”。 对于Paytm而言,更糟糕的是,黑客索要赎金,并威胁说如果他们的要求得不到满足,则泄漏数据。此外,研究人员还暗示,这可能是一项“内部威胁事件”。

       另一方面,Hackread.com在俄罗斯黑客论坛上发现了一个帖子,“Kelvin Sec”声称在其中出售Paytm Mall的数据库。黑客尚未共享任何数据证明,但他们敦促潜在买家通过电子邮件与他们联系此外,Cyble证实,虽然攻击者(声称)已经开始收到Paytm Mall的赎金,但并未停止销售其数据,在发布本文时,黑客兜售的数据要价10ETH,大约为4,233美元。

内容来源:微信公众号 安全牛

四、信息安全小科普

爬虫是否合法?

       爬虫的行为举止尽管还没有非常直接的规定,但从现有的法律规定及司法案例中已经可以推导出部分规范和原则。

重点关注:

  • 受法律保护的特定类型的数据或信息(如:个人信息、商业数据)    
  • 强行突破网站采取的反爬措施     
  • 干扰了被访问网站的正常运行      

建议:

  • 严格遵守网站设置的Robots协议     
  • 在规避反爬措施的同时优化自己的代码,避免给被访问网站造成干扰     
  • 在使用、传播抓取到的信息时,应审查所抓取的内容,例如:用户的个人信息、隐私或者他人的商业秘密,避免引起法律纠纷

五、漫画安全

1、邮件安全:信息泄露,也许就在“一个点击”之间

2、网络社交安全:小心你嘴里的话会变成别人手中挥舞的拳头

内容来源:搜狐新闻

发表评论

邮箱地址不会被公开。 必填项已用*标注