存档

‘网络安全’ 分类的存档

俄罗斯网络威胁概览

2014年12月22日 没有评论

原文:《The Cyber Threat Landscape of the Russian Federation》(2010年7月21日)

翻译:lgt945

*译文长达近三万字,故本文仅贴出前两章,应iDefense要求,我们不再提供原版报告下载。由于译者水平有限,译文或有翻译不当之处,欢迎各位指正。

一、摘要

与中国和美国不同,俄罗斯(见图1-1)是世界上发生恶意网络活动和网络犯罪行为最多的国家,而这主要是由于其IT产业爆炸式的增长以及一定程度上俄罗斯政府的主导导致的。基本上每种经济网络犯罪和政治网络攻击都会在俄罗斯发生,本报告对这两种行为进行了详细的描述。

俄罗斯的地理条件、社会经济环境、杂乱的历史和严厉的政策等因素使得这里产生了一个了网络犯罪的平台。优秀的教育环境使得俄罗斯大量有高科技思想的人工作在远低于他们能力的位置上。犯罪文化的流行和人情变得冷漠,甚至年轻的俄罗斯政府的腐败,都导致许多人进入了这个很容易从西方公司和私人个体获取名声和金钱的地下犯罪环境中来。

图1-1

图1-1:俄罗斯地图

在约束网络犯罪方面,俄罗斯的政府领导几乎起不到帮助作用。一直到最近,由于俄罗斯本土的受害者并不多,而且有限的资源迫使官方主要将注意力集中在了反恐方面,使得关心网络犯罪的群体异常稀少。这一情形随着俄罗斯公民受到的网络攻击逐渐增长而开始缓慢的改变。贪污腐败也是一大问题,而且还受到上述资源的限制。私人企业,尤其是大型的网络服务提供商(ISP),开始合作应对网络犯罪[……]

阅读全文

印度网络威胁概览

2014年10月29日 没有评论

原文:iDefense全球威胁调查报告(GTRR)《The Cyber Threat Landscape in India》(2010年1月30日)

翻译:刘盖特

一、摘要

印度是一个充满反差和多样化的国家,其众多的族群、信仰、语言和政治变化构成了如今的文化和社会。印度最近也成为了世界IT产业的主角,印度的高等学校有很多的毕业生成为了程序员、计算机工程师或其他IT专业人士,这其中有许多人工作在在美国、澳大利亚、欧洲和全球其他国家。同时,班加罗尔地区也已经演变为印度的硅谷,那里运营着数量庞大且多样的IT公司。随着这种在信息和通信技术(ICT)方面激增式的发展,一个值得注意且充满IT安全挑战的特色网络已然在印度形成。

印度的IT安全挑战主要集中在来自斯里兰卡、巴基斯坦、马来西亚、印度尼西亚、泰国、中国和俄罗斯等地组织缜密的跨国团伙进行的信用卡和银行卡欺诈方面。这里也有大量的僵尸网络和命令与控制服务器(C&C)以及数量可观的旨在攻击本地和国际商务业务的钓鱼网站。iDefense分析师有充足的证据表明中东地区存在有政治动机的黑客主义(即黑客行为),在印度也是如此;由于其复杂和动态的社会政治性,黑客主义是普遍存在的,但是相对于其他信息安全威胁来说其危险性几乎可以忽略不计。

除了类似僵尸网络、银行欺诈、数据偷窃或网络间谍等纯粹的基于网络的威胁之外,在印度还有更多的基于真实世界的威胁。在这些威胁中可能有也可能没有网络因素,但都存在对国家的商业运营产生显著影响的可能性。这些威胁包括恐怖主义、政治暴力、[……]

阅读全文

如何阻止下一次心脏出血漏洞

2014年7月15日 没有评论

原文:How to Prevent the next Heartbleed.docx

翻译:赵阳

一、引言

基于OpenSSL的心脏出血漏洞被认为是CVE-2014-0160的严重问题,OpenSSL被广泛的应用于SSL和TLS插件上。本文用对心脏出血漏洞的解释来说明这个漏洞是怎么被利用的。

本文中研究了抗心脏出血漏洞及其相似漏洞的专用工具和技术。我首先通过简单的测试来分析为什么很多的工具和技术不能发现这些漏洞,这样可以使我们更能了解到为什么之前的技术不能发现这些漏洞。我还要概括总结要点来减少这些的问题。本文不介绍如何编写安全软件,你可以从我的书《Secure Programming for Linux and Unix HOWTO》或是其他的著作中学习到这点,本文中认为您能开发软件。

我的目的是为了帮助防止类似漏洞的出现,从而提高安全软件的开发能力。正如Orson Scott Card’s Ender’s Game中的虚幻人物Mazer Rackham所说的“这里没有老师,只有敌人…只有在敌人那里你才能了解到自己的弱点。”让我们来了解这些漏洞,然后可以避免相似的漏洞再次出现。

二、为什么这个漏洞不能更早的被发现?

这个OpenSSL漏洞是由一个很熟悉的问题引起的,这个关键的问题就是缓冲区读溢[……]

阅读全文

网络犯罪和网络间谍对经济的影响

2014年3月5日 没有评论

原文:The economic impact of cybercrime and cyber espionage

翻译:李天星(Leo)

一、简介

网络犯罪,网络间谍和其他恶意网络活动被一些人称作是“人类历史上最伟大的财富转移”,还有其他人称之为“14万亿美元的经济舍入误差?”。

大致估算现有的损失————从十几亿美元到几千亿美元————就已经反映了一些问题。有的公司隐瞒了它们的损失而有一些公司还不清楚自己的损失,因为知识产权是很难去衡量其价值的。有些估算是基于其调查结果,但是除非能够细致的构建评估体系,否则最后的估算会很不准确。网络安全调查的一个常见问题就是,有一些精心准备答案回答问题的人,他们的回应将会影响最终结果的准确性。由于数据收集的问题,损失评估都是基于一定的规模和影响力假设,而改变这种(前提)假设,你就会得到不一样的结果,而这些问题让很多评估受到质疑。

恶意网络活动结构

在这个先期报告中,我们从什么应该算作网络犯罪和网络间谍带来的损失开始。我们可以将恶意网络事件分为以下的6个部分:

  • 知识产权和商业机密损失

  • 网络犯罪,每年消耗世界数百万美元

  • 敏感商业信息的泄露,其中包括可能被操纵的股市

  • [……]

阅读全文

可视化DDoS攻击地图

2014年1月15日 没有评论

原创:裴伟伟(做个好人)

DDoS攻击通过分布式的源头针对在线服务发起的网络消耗或资源消耗的攻击,目的是使得目标无法正常提供服务。DDoS攻击主要针对一些重要的目标,从银行系统到新闻站点,而它之所以一直令人头疼在于如何在遭受攻击时仍然能够对用户提供正常服务。

笔者偶然间看到一个全球可视化的DDoS攻击地图:Digital Attack Map,这个项目是源于Google Ideas和Arbor网络的合作,通过展现匿名的攻击数据向用户提供历史性的攻击数据和报告。

Digital Attack Map的FAQ中简述了该地图的数据来源和数据解释,笔者毫不蛋疼地翻译了下供大家参考:

数据

攻击数据从哪里来?

Digital Attack Map展现的数据是由Arbor网络ATLAS全球智能威胁系统搜集和发布。ATLAS通过分布在全球的270家以上的ISP客户寻求数据,当然这些ISP客户同意分享匿名网络通讯数据和攻击统计数据。这些数据每小时更新一次,也可以在Arbor的ATLAS威胁入口中找到。

攻击数据的全面性如何?

因为流量属性的变化和监测范围的问题,不太可能在线展现完整的攻击情况。尽管Digital Attack Map的数据来自可用的最完整的数据集之一,但它仍然是不全面的地图。在Arbor网络观测的数据中可能有未经确定的或非活跃攻击的数据,还有可识别的攻击中有高威胁趋势的数据。

为什么我看不到攻击者或目标站点的信息[……]

阅读全文

分类: 终端安全, 网络安全 标签: , ,

互联网世界的毒瘤——僵尸网络

2013年12月30日 没有评论

原创:裴伟伟(做个好人)

从世界上第一个蠕虫病毒————莫里斯————因其巨大的系统破坏力和传播速度被人们所关注,便意味着在恶意代码斗争的战场上传播速度势必成为新的衍变方式。而互联网自上世纪90年代初期开始迅猛发展更是为这种恶意代码的快速传播提供了新的媒介和渠道,没有人料到另外一种结合病毒、木马、蠕虫技术为一体的新的信息安全威胁方式————僵尸网络————会如此令世界诸多信息安全专家所头疼,以至于直到今天,在针对僵尸网络的行动中,处于正义一方的白帽子们仍然无法信心满满地占得上风。

创造和管理僵尸网络的软件使得僵尸网络的危害程度远远高于以往恶意脚本那一代,它不仅仅是病毒,更是病毒的病毒,它的危害性更集传统的病毒、木马、蠕虫为一体,既可以进行常规的系统驻留、信息窃取、远程操控,也具备蠕虫的网络传播特性。如果将病毒、木马、间谍软件、后门、蠕虫等等形容为《植物大战僵尸》中的各色装备的僵尸,那僵尸网络用“一大波僵尸”来形容再合适不过。

一、僵尸网络的特点

僵尸网络的特点在于:能够在僵尸客户端上执行所设定的操作而无需僵尸牧人(幕后控制者/僵尸网络所有者)直接登陆该客户端;在僵尸牧人很少甚至不插手的情况下,僵尸客户端能够协同合作并针对同一任务或目标行动。事实上,僵尸网络与蠕虫病毒唯一的区别就在于僵尸网络拥有统一[……]

阅读全文

SSL:今天截获,明天解密

2013年8月14日 没有评论

原文:http://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html

翻译:李秀烈

成千上万的网站和个人依靠SSL来保护敏感信息的传输,比如密码、信用卡信息和那些期望通过加密来保障隐私的个人信息。然而,最近被泄密的文件表明,美国国家安全局NSA记录了庞大的互联网流量并且保留其中的加密信息供以后解密分析。想监控互联网加密流量的政府远不止美国一个,沙特阿拉伯曾就SSL流量解密寻求过帮助,中国在今年一月份被指控对GitHub进行基于SSL的中间人攻击,伊朗也被报道进行深度包检测,但这些仅仅是冰山一角。

政府会考虑花大代价来记录和存储大量的加密流量,是因为如果用于流量加密的SSL私钥将来可以获得—可能是通过法律途径,社会工程学,成功攻破了网站,亦或通过加密分析,那么所有这些网站的历史流量会被瞬间解密。跟打开潘多拉魔盒一样,作为一个点击率高的站点,使用单一的密钥就可以解密过去数以百万人所加密过的流量。

有一个抵御的方法,那就是著名的完美转发密钥(PFS)。PFS采用即使主密钥被泄露每个临时会话密钥也不会被泄露的方式连接SSL站点,所以当使用PFS的时候,一个SSL站点私钥的泄漏不一定会暴露网站过去通信内容。PFS的安全在于双方会话结束后丢弃共享密钥(或经过一段适当时期后恢复会话)。

窃听者想解密使用PFS的通信内容会面临一个很艰巨的任务:每一个初始会话需要单独攻击。仅仅知道主密钥而不[……]

阅读全文

分类: 网络安全 标签: , ,