2007年4月 - 查皮博客@blogbus

2007年04月01日

疯狂的QQ盗号活动，每一个人都提心吊胆 - [安全资讯]

疯狂的QQ盗号活动，每一个人都提心吊胆

胡涛 | 建站经验

昨天晚上，一个朋友给了我一条消息，说我的QQ号码太烂（9位数的，且数字不规则），并给我我一个记事本文件，让我从中挑选一个满意的。当我打开记事本的时候，我惊呆了。上万个QQ号码及对应的密码、QQ所在电脑的IP，一字地往下摆。滚动条飞快地往下拖，AABBC式的5位数字的QQ号码，AABBCC式的六位数号码

看得我口水直流，这些都是我曾经在梦中才能去想想的QQ号码啊，此刻就在我面前了，而且登陆密码也在。我试了一个5位数的，居然唰地就登陆上去了。

如果修改密码，绑定手机，这个QQ号码就可以成为我的私人财产。但看上面闪动的好友头像、想做我曾经被盗QQ号的凄惨场景，我止住了。还是用自己的9位数QQ号吧，长是长些，但用得心安理得。

后来听那朋友讲，这些号码都是他在一个盗号的网站上找到的。不知道已经有或者即将有多少QQ用户成为盗号的受害者了。特提醒大家，加强防毒防木马意识。如果是做网站的，则希望不要为了50/万IP或者70元/万IP成了挂马盗号者的帮凶。

站长网提前遭遇愚人节，挂马黑站何时休！

胡涛 |

愚人节似乎还有一天才到，站长网却提前遭遇了愚人节。刚刚登陆站长网，没有看到任何IT资讯和站长动态。看到的，只是“抵制黑客行为，呼唤网络法制! 抵制挂马广告! Admin5.com 站长网__图王 ”等百于个文字的静态页面。

对众多的个人站长而言，被挂马和黑站带来的损失和担忧远远超过版权风险和找不到好广告。被攻击或者挂马的个人站长，几乎找不到任何官方的途径来解决问题，国内的法律在这一领域几乎是失效的。

面对挂马者和攻击者，个人站长似乎除了哭泣别无他法。唯一的，只有期待强硬的监管法律出台、只有渴求网监技术的提高、只有幻想挂马者和攻击者良心的发现。

但愿站长网遭遇的只是一个提前了的愚人节玩笑，但愿众多的个人站长都平平安安。

Tag：盗号站长挂马黑站

chapi 发表于00时10分30秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年04月01日

不要被迷惑　IE里的安全连接一样不安全 - [安全资讯]

不要被迷惑　IE里的安全连接一样不安全

作者：杜莉　来源：赛迪网

当浏览器与网站服务器建立起安全连接的时候，浏览器窗口的边框上会出现一个小锁的图标。人们通常对这个图标有种误解，认为有它就是安全的了。

在安全连接中，人们用安全套接层（SSL）技术将数据加密，然后再在网络上传输这些数据。事实上，根据卡巴斯基公司的报告称，安全连接正在越来越多地被用来隐藏和传播恶意代码。

这当然不是什么新发现了。安全分析家们早已就这点警告过人们，他们说黑客有可能利用加密的SSL连接来隐藏病毒以及其他的恶意代码，使其顺利通过防火墙，杀毒软件以及入侵检测系统。但是，卡巴斯基的高级技术顾问Shane Coursen说，由于现在人们广泛地在银行、零售电子商务以及网络邮箱业务中使用SSL进行通信，这就使得问题变得很严重。

他说，“很多人访问网站的时候，一旦看到浏览器上有那个锁的图标，他们就认为他们与服务器的连接是安全的”，于是就不太注意保护要交换的数据。安全连接本来是用来验证交换信息的人的身份，并用加密技术保护信息不被第三方察看或修改的。

通常在这样的对话中，系统很少做内容验证。Coursen说，因此，黑客们就可以利用这些连接，在客户端系统和网络服务器中传输以及散布包括木马和电子邮件蠕虫在内的恶意代码。

“人们往往误以为像SSL这样的技术表示网站是安全的，而事实上，它并不一定是安全的，”Cenzic公司的CEO John Weinschenk说。“SSL的功能只是证明浏览器访问的服务器是真实站点，并且为要传输的数据提供加密技术。”

尽管该技术确实有正当用途，并且也确实能够提供一定程度的安全保护，但是黑客还是有可能利用它来威胁应用程序。“虽然那些大公司都已经使用数字签名措施来保护自己的站点，但是事实上还是有些可以为黑客所用的漏洞，除非还使用其他的前端措施，否则还是有可能发生个人信息泄露的情况。”

Coursen说，传统的防毒工具还有入侵检测系统根本不够用，它们无法检测到加密连接中的恶意软件。因此安全通道中的恶意数据有可能给人们造成巨大的损失。

但是，Midvale的一名分析师Pete Lindstrom说，现在人们可以应付这个问题了。比如，现在，入侵检测系统提供商提供许多能够解析加密数据流的工具，它们能扫描内容中恶意软件并且用加密的形式将数据流发送到目的地。

然而，根据卡巴斯基的报告，这种方法的问题在于：数据流被改写了——这意味着网络服务器不能保证客户身份的真实性，并且客户也无法验证服务器的真实性。

Coursen说，目前大多数的防毒软件供应商还提供网络应用插件，这些插件允许系统检查安全连接的内容。但是，诸如Microsoft的Outlook和Outlook Express这样的一些应用程序并不能很好地支持这些插件。

被钓鱼者利用的新 IE7 漏洞更具欺骗性

作者：杜莉;T木　来源：赛迪网

IE总会出现各种各样的漏洞，而这一次被钓鱼者所利用的漏洞则充分做到了社会工程学与XSS的互相融合。以色列的安全研究者证实，有种攻击在利用微软最新的网页浏览器处理取消页面的方式所存在的漏洞来愚弄受害者。

该攻击利用IE7对特定的本地资源的信任，在用户取消访问一个固定网页的时候显示提示信息，以色利的一名安全研究员和软件开发员Aviv Raff说。钓鱼的人能够通过脚本来建立本地navcancl.htm页面的特别加工版本，该页面显示些像是来自可靠站点的内容。一旦受害者打开攻击者提供的链接，系统就会显示“撤销访问”页面，受害者就有可能认为该站点出了点问题，于是刷新页面。

“攻击者提供的内容——例如，伪造的登陆页面——会显示在窗口中，由于地址栏会显示真正受信的网站的URL，受害者会以为他正在访问真正的网站。”Raff在他的博客中写道。

这是一种新的欺骗手法，而且还使得每个访问者非常容易上当——谁能知道地址栏里的地址也是假的呢？

这是个最典型的漏洞：跨站点脚本(XSS)。根据常见漏洞项目调查数据显示，此类问题已经成为软件的第一大漏洞。但最糟糕的是，很多XSS漏洞使用户无法察觉钓鱼攻击，很多此类漏洞能够引起严重的安全问题，比如Google今年早些时候修正的那个严重的数据泄露漏洞。

一月份Apple Bugs项目中，Raff指出了QuickTime中的一系列的类似漏洞——被称为跨区脚本漏洞。

微软在发给SecurityFocus的声明中说，他们的研究人员目前正在调查该漏洞，但还没有发现有人利用该漏洞进行恶意攻击。该公司重申了他的政策：人们应当直接将漏洞汇报给软件开发者。

“微软鼓励人们努力找出漏洞，从而降低用户的风险”该公司称。“微软希望人们按照惯例那样，直接将漏洞汇报给我们公司，这样能最大程度地照顾到所有人的利益。”

Raff说这个IE7漏洞在Windows XP和Windows Vista系统上都能起作用。

上报漏洞能很快，但也希望微软能够更快的为漏洞打上补丁！

Tag：IE 安全连接安全钓鱼漏洞

chapi 发表于00时06分41秒 | 阅读全文 | 评论 0 | 编辑 | 分享