Linux漏洞惊现“挖矿”蠕虫病毒

by admin on 2020年5月6日

今年,汽车圈的那些事占据着媒体头条,比如黑客入侵吉普车、大众汽车在排放测试上作弊澳门新葡亰信誉平台游戏,,
这说明公众开始思索汽车的软件问题,这是前所未有的。有些专家可能会争辩说,强制这些软件开源,是一个解决办法。虽然将这些软件置于公众的审视之下是有明
显好处的,但开放代码这种行为本身,并不能给你带来保障。就像Sam
Liles在一封电子邮件中给我解释的那样,开源并没有阻止“破壳(ShellShock)”漏洞的发生。

Linux漏洞惊现“挖矿”蠕虫病毒

澳门新葡亰信誉平台游戏 1

Linux破壳(ShellShock)漏洞正在引发全球信息安全危机,已有黑客开发出利用破壳(ShellShock)漏洞自动传播的蠕虫病毒。金山毒霸安全中心分析认为该蠕虫病毒的主要目的是入侵中国产某款DVR(硬盘录像机)设备,黑客利用这些设备挖莱特币(一种类似比特币的数字货币),该蠕虫病毒还可以利用被攻陷的DVR设备对任意目标计算机进行DDoS攻击。

中国产的某款硬盘录像机广泛应用于超市、街道、大厦安防装置,由于破壳漏洞攻击成功后,黑客已经取得完全控制权,这意味着,被破壳(ShellShock)漏洞蠕虫病毒攻陷的DVR(硬盘录像机)将面临全部资料信息泄露的风险。

黑客利用Linux破壳(ShellShock)漏洞可轻易获得目标liunx主机的完全控制权,该漏洞被安全专家定义为10级(最高级别),今年4月爆发的OpenSSL(心脏出血)漏洞只是5级。有统计认为,全球受影响的linux主机数量有上百万台之多。

金山毒霸安全中心的研究人员发现如果攻击者碰巧成功入侵某台DHCP服务器(为局域网的设备自动分配IP地址),攻击者可利用Linux破壳(ShellShock)漏洞编写脚本,局域网内的其他linux主机使用Bash脚本通过DHCP服务器获取IP地址时,会瞬间被入侵。

目前,Linux破壳(ShellShock)漏洞主要影响企业、机关存在漏洞的linux系统,普通网民暂时不受影响。现在是入侵者和企业网管比试谁更勤奋的时间,如果网管尽职,黑客入侵就会被阻止。反之,如果入侵者比防守者更勤奋,相应企业网络将必然被入侵,最终会导致服务器存储的普通网民相关资料落入攻击者之手。

名词解释:

莱特币:和比特币类似,都是一种数字货币,由计算机根据特定算法联网计算获得。比特币交易在中国被禁止。

挖矿:由于比特币、莱特币等数字货币总量有限,获得过程越往后越艰难,被业内形象的称之为挖矿。

Linux破壳(ShellShock)漏洞正在引发全球信息安全危机,已有黑客开发出利用破壳(ShellShock)漏洞自动传播的…

Liles教授以前是普渡大学数字取证领域的教授,在那儿工作时,他和他的学生研究过汽车和其他物联网设备的安全。他说,多重防御的思想已经落伍,我们无法再靠多设几层安全屏障来保护自己。举个例子,我们的手机和其他个人设备,知道我们的一切:我们去过哪里,和谁联系过,甚至何时做爱。这些设备,以及存在其中的所有信息,已经渗透到我们生活和工作的方方面面。一部被入侵的手机,可以挖出各种隐藏的信息,或者把威胁传播给与之相连的其他设备。

Jeep 黑客和大众汽车排放丑闻这样的汽车软件问题成为了今年的头条,表明公众开始重视之前从未考虑过的汽车软件安全问题了。一些专家认为强制要求某些软件开源是解决问题的一个好办法。尽管如此可以让软件被公众监督,但开放代码这个事情本身却不能给你带来保障。就像 Sam
Liles 最近发给我的邮件所说的一样,开源并不能够阻止破壳漏洞ShellShock的出现 。

这些设备的存量本身就是个威胁。“如果发生了安全事件,谁应为此负责?”Liles问。就我们这个问题来说,谁来审查那些代码?在《大教堂和市集》中,Eric
S.
Raymond写道,“只要给予足够的关注,所有的bug都会显形”,他称之为Linus定律,但我们不能指望什么软件都有足够的关注度。像OpenSSL这样成名已久的重要项目都因为缺乏资金而无法预防像“心脏滴血(Heartbleed)”这样的Bug,那运行在你设备中的你都已习以为常的成千上万行代码,又指望谁去审查呢?

Liles 博士曾是普渡大学网络取证专业的教授。在那时,他和他的学生研究汽车以及其他物联网设备的网络安全问题。他说,多层防御已经接近死亡,换言之我们不能再依赖于多弄几层的安全保护了。我们的手机和其他个人设备可能泄露我们正在做的事情,例如:我们去了哪儿,我们正在和谁交流,或其他更加隐私的活动等。这些设备和它们所包含的信息,存在于我们的私人和工作网络中。显然一个被入侵的手机可能被利用,入侵者可以访问其发现的所有信息,甚至把病毒传播给与它相连接的所有电子设备。

2011年,美国国家航空航天局和美国高速公路安全管理局针对丰田汽车意外加速事件进行了调查,结果显示并没有证据表明电子设备的失控能导致大量意外加速,但尽管如此,其他研究人员还是找到了能让汽车产生加速的软件方法。“如果电源管理单元被攻破,”IOActive的报告指出,”加速度就会迅速变化,汽车将处于极度危险中。”毫无疑问,软件是现代汽车安全的一个至关重要的组件。

单就这些设备的数量本身就是一个巨大挑战。Liles 提出一些问题:“谁来做这个级别的事件响应?”更重要的是,谁来审核所有的代码? Eric
S. Raymond
在《大教堂与集市》中写道,“只要有足够多的眼睛,所有的问题都将不是问题,” 此称之为林纳斯定律。但我们不能仅仅只依赖于足够多的眼睛来发现问题。假
如像 OpenSSL 这样重大的项目都会由于缺少资金而导致
Heartbleed
这类漏洞的话,那么谁来检查这些我们每天都用到的数以百万行代码的软件呢?

然而,像Liles小组所做的那类研究还是不多见的。单纯分析软件是一件困难的事。“系统中几乎从来不考虑集成一个用于搜集取证的模块,为了使证据
有法律效力,必须要使用逆向工程的手段来取证。”Liles说。此外,物联网给汽车带来的威胁在不断变化,所以我们的研究方向也要随之改变。“很多陈旧的
信息保护手段,安全规则和教条,有时还称之为科学的东西,都是基于谬见、伪事实和过时的技术概念而来的。”

澳门新葡亰信誉平台游戏 2

所以,开源软件要如何适应这种形势?无论是否开源,偶发的bug总是会出现,有时还很严重。“心脏滴血(Heartbleed)”、“破壳
(ShellShock)”,以及开源软件中其他备受瞩目的漏洞都在告诉我们,这就是现实。开源更容易使软件被恶意利用,而只有在我们能验证软件的行为和
代码的意图一致时,其开放性才能带来好处。这一点将愈发重要,因为汽车正在变成和我们的手机和移动互联网服务相连的开放系统。

开源的代码就真的绝对安全?

转载自 InfoQ

虽然 2011 年美国航空航天局和国家公路交通安全管理局做的关于丰田汽车意外加速事件的调查表明:“没有证据证明电子故障是导致大量意外加速的原因”,但是其他研究人员已经确定汽车可以通过软件来加速。IOActive 报告中写道:“如果电源管理 ECU
被破坏,我们将能够很容易的改变速度,这个时候汽车是非常不安全的”。显然,软件已经是现代汽车安全的重要组成部分之一。

然而,与 Liles 团队做类似研究的仍然很少。单纯分析软件是非常困难的。Liles
认为:“计算机取证模块几乎很少被内置到系统中,但是为了使证据具有法律效力,往往需要借助逆向工程。”此外,物联网设备所带来的威胁需要从研究方式上进
行根本解决。解决掉一些旧的信息保障,安全体系学说,基于神学、半真理性的,过时的技术理论等。

那么,到底要不要将开源思想融入进去呢?不管代码是否开源,一些意外的错误仍然存在。心脏滴血(Heartbleed)
, 破壳漏洞(ShellShock)等
漏洞的存在确实证实了许多开源软件同样存在一定的漏洞。有些人为的错误在开源代码中有着更加巨大的风险。开源在某种程度只是给我们提供了一种监管方式,我
们可以方便的查看、检验源代码实际的运作情况。当汽车成为开放的系统并与我们的电话,互联网相连之后,这其中的安全问题也变得愈加突出。

来源:LinuxStory    原文:
作者: Ben Cotton
译文:
译者: ZERO

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图