安全焦点

勒索软件清理使苏格兰代理商损失110万美元

苏格兰环境保护署在圣诞节前夕遭到Conti勒索软件绑架者的袭击。 SEPA仍在恢复系统，并拒绝支付任何赎金。目前，苏格兰环境保护署的清理成本已达110万美元。

医疗保健网络钓鱼事件导致大规模数据泄露

随着医疗机构不断成为网络钓鱼事件的受害者，受健康数据泄露影响的个人数量持续上升，其中包括电子邮件账户被泄露。

加利福尼亚大学遭勒索软件攻击：因使用过时软件

据The hill报道，加利福尼亚大学表示，目前他们已经成为勒索软件攻击的受害者，希望得到有关部门的高度重视。目前黑客所窃取的信息包括姓名，生日，社会保险号和银行帐户信息。

首份《透明度报告》发布，2020年清理逾65万违规内容

首份《透明度报告》发布，可知其在 2020 年间清理了 65 万 3465 条违反该网站服务条款的侵权内容。此外报告中还概述了去年建立的内核审核、以及“信任和安全”政策，其中就包括禁止所有未经验证的发布者的资源上传和下载。

5.33亿Facebook用户信息泄露

黑客论坛泄露了 5.33 亿Facebook用户信息，其中包括电话号码、Facebook ID、姓名、地址、出生日期、个人简历等，部分用户的信息还包括电邮地址。信息遭到泄露的Facebook 用户分布在106个国家，其中美国有3200多万，英国有1100万，印度有600万。

安全风险

FreeBSD ftpd 漏洞

近期， FreeBSD的文件传输协议守护进程（ftpd）发现一个可以本地提权的漏洞。ftpd提供了一个名为ftpchroot的功能，旨在限制经过身份验证的用户对文件系统的访问。这个特性是使用“chroot”系统调用实现的，这是一种通常称为“chroot jail”的安全技术，chroot jail可以将进程限制在文件系统的受限部分来运行。但是，在该漏洞的帮助下，攻击者实际上可以利用这种被“囚禁”的状态来进行各种非法操作，将其权限从受限制的FTP帐户提升为“root”权限，并允许攻击者能够在目标系统上执行任意代码。此漏洞在FreeBSD FTP守护程序中存在了很长时间，最早可以追溯到FreeBSD 6.3版本。

漏洞利用步骤大致如下：

通过受限的 FTP 账户登录。

上传包含已知root密码的etc/spwd.db。

执行“chmod 0”。

再次以受限的 FTP 账户登录。在登录过程中，chdir执行失败，导致ftpd进程在chroot jail中被锁定。

通过已知密码以 root 身份登录。

上传/etc/pam.d/ftpd和/usr/lib/pam_opie.so.5，后者包含一个反向Shell。

再次以受限 FTP 账户身份登录。和之前一样，chdir执行失败，导致ftpd进程在chroot jail中被锁定。

通过已知密码以 root 身份登录。ftpd执行该反向Shell。这个漏洞标记为了CVE-2020-7468/ZDI-20-1431，相关漏洞补丁已经发布。

企业安全

无线局域网安全风险分析之二

前文提及的无线局域网安全风险可能造成信息的泄露或者影响网络的正常功能，因此需要使用技术手段加以防护以构建可信的无线局域网安全环境。

最常见的防护手段就是无线局域网接入认证。WPA2与之前发布的无线局域网接入认证协议已经被破解，因此 必须使用保护性更强的接入认证即WPA3，WPA3使用的“受保护的管理帧(Protected Management Frames, PMF)”技术解决了去关联去认证帧带来的恶意攻击问题。2009年IEEE组织在802.11i的框架上制定了802.11w。802.11w主要规定了PMF功能，通过保护无线网络“管理帧”的过程来改善安全性，802.11w保护的管理帧，包括去认证帧、去关联帧等，802.11w提出在RSN(Robust Security Network)信息元素的RSN capabilities中增加MFPR（Management Frame Protection Required）和MFPC(Management Frame Protection Capable)用来协商保护管理帧的能力，RSN capabilities的帧格式如表1所示，MFPR置为1表示本端强制要求管理帧保护，置为0表示对管理帧保护能力不做强制要求，MFPC置为1表示本端支持管理帧保护，置为0表示不支持管理帧保护，WLAN热点启用该功能后，攻击者将无法通过发送去关联去认证帧来破坏连接，受护的管理帧可以有效的抵御去认证/去关联帧造成的攻击行为，为无线局域网安全接入，强身份认证提供了可靠的技术支撑。

其次就是通过技术手段对非法无线局域网设备进行监测。无线局域网环境可以使用监测装置分析获得, 无线局域网设备监测是在环境中部署数据帧捕获设备作为数据采集点。采集点的性能决定了无线环境信息采集的精确性, 采集点的密度决定了覆盖率和完整性。通过监测捕获无线环境中的数据帧, 获取各种无线接入点和无线终端设备的工作状态等相关信息,分析设备之间的连接关系得到无线局域网的拓扑结构，检测出钓鱼接入点、Ad-hoc连接模式以及违规外联的终端，进而评估整个无线局域网环境下的设备安全状况，此外对于设备严格管控的场所还可通过黑白名单的方式进行实时非授权设备告警。

第三就是对无线局域网设备定位排查。在重要场所的无线局域网设备检查中可以利用无线环境检测的结果定位风险项，排查风险源。对于非授权设备应利用带天线的手持式无线局域网检测设备，追踪风险来源，也可以根据室内布置的数据采集点基于无线定位算法确定恶意AP的大致位置并进行室内外判断。场所内的无线设备，完成定位进行后续处置；场所外的无线AP应实施无线信号阻断。

对于最终用户来说，使用公共WLAN时，应尽量使用有密码保护的公共网络，且尽量不要在公共Wi-Fi网络中使用网络银行、信用卡服务、登录网络游戏、电子邮箱、访问企业VPN等服务。

对于中小企业来说，我们可以通过以下设置手段降低无线局域网的安全风险：

1.注意关闭网络的SSID广播以增加网络连接的安全系数；

2.采用较复杂的密码；

3.在保证使用功能的前提下尽量降低无线接入点无线传输功率，使得无线信号覆盖范围变小，减少被恶意攻击的风险。

文/上海蓝盟   IT外包专家

• 上一篇: 中小企业喜获“上海市质量金奖” ，蓝盟IT外包以匠心品质树立行业标杆
  下一篇: 蓝盟IT外包聊聊企业无线组网（五）

• 分享到：