政府应该采取更多措施来对付网络犯罪

ZDNet安全频道原创翻译 转载请注明作者与出处

作者：保罗·马

近期的安全新闻包括了下面的内容：DefCon国际黑客大会中一场由麻省理工学院学生进行的演讲被法院禁止令阻止，最知名的开源内容管理系统Joomla中发现了一个关键的漏洞，微软在星期二将发布八月份的安全补丁，政府被敦促采取更多的行动来对付网络犯罪。
--------------------------------------------------------------------------------------------

· DefCon国际黑客大会中一场由麻省理工学院学生进行的演讲被法院禁止令阻止

由于马萨诸赛湾交通管理局（MBTA）提起了诉讼，所以原定星期天在DefCon国际黑客大会上由三名麻省理工学院学生进行的演讲被取消了。

以下内容摘自网络世界（Network World）：

马萨诸赛湾交通管理局在星期五提起诉讼，要求禁止三名麻省理工学院学生进行演讲。美国马萨诸塞州地方法院的道格拉斯·伍德劳克法官在星期六下午发出的一项法院命令中同意了马萨诸赛湾交通管理局的请求。

某些议题将涵盖将涉及到对马萨诸赛湾交通管理局的CharlieCard卡进行技术克隆和反向工程，其原理来自今年早些时间发现的Mifare Classic射频识别（RFID）卡的漏洞。当然，演讲的标题：“地铁黑客的分析：怎样破解基于射频识别的票务系统”在这种情况下不会有什么帮助。

法院的禁止令还包括了包含演讲幻灯片的光盘，但事实证明为时已晚，因为它们已经在星期五下午分发出去了。在这种情况下具有讽刺意味的是，按照法院的命令公开的一个脆弱性评估报告（ PDF格式）已经作为支持文件提交，对于马萨诸赛湾交通管理局票务系统的缺陷，它比在会议幻灯片提到的更详细明确。

尽管智能卡读写模块（Mifare）的一个更安全的版本——Mifare DESfire已经可以投入使用了，但由于更换每一台射频识别卡阅读器以支持它的使用带来的成本上升方面的问题，导致整个更换过程可能需要一段时间。

· 最知名的开源内容管理系统Joomla中发现了一个关键的漏洞

一个关键的漏洞在Joomla内容管理系统（CMS）的密码重设功能中被发现。所有从1.5到1.5.5版本的Joomla内容管理系统都存在这个漏洞。

以下内容摘自海瑟安全（heise Security）：

在用户通过电子邮件接受重置密码的情况下，该漏洞就会在令牌提交给系统的时间发作，因为验证系统存在一个漏洞，可以让未经授权的用户重设首次启用的用户密码，并且给予控制。通常情况下，首先激活的用户是管理员。

用户被鼓励升级到Joomla的1.5.6版本，或者直接修改reset.php文件，以消除漏洞。

· 微软8月的安全补丁将在星期二发布

微软星期二发布的这个补丁非常庞大，包含了十一项更新，其中的六项被认为属于“紧急”的级别。如果家庭方面没有出现什么问题的话，我将在上星期就作出分析的。无论如何，在这么短的时间内发布这么多的补丁是一件极其不寻常的事件。

以下内容摘自ZDNet英国：

安全厂商McAfee指出，从二月以来，微软还没有同时发布过这么多的公告，并且在过去的两年中，也没有同时发布过这么多的补丁。“星期二发布的庞大的补丁，是在过去很长的一段时间以来我们没有看到的规模。”来自McAfee的一个研究员卡塔克·拉曼在星期三的声明中是这么说的。

无论如何，这些漏洞影响了包括Windows Media Player媒体播放器、Internet Explorer网络浏览器、微软Office办公软件在内的多个应用，涉及到包括Windows Vista在内所有版本的Windows操作系统。

如果由于经常旅行的缘故，你将Windows操作系统更新设置为手动，现在是对系统进行修补的一个不错时机。

· 政府被敦促采取更多的行动来对付网络犯罪

一份由两个技术政策团队完成刚发布的调查报告显示，大多数的联邦最高检察官除了对儿童色情或者涉及性的案件保持高姿态以外没有能够解决计算机领域的犯罪。

以下内容摘自安全焦点（SecurityFocus）：

这份报告包含了来自三十个州的用户投诉资料，从中我们可以发现，在其中的二十四个州的前十名的投诉列表中，有一个与互联网相关的类别，并且在四个州中，与互联网有关的投诉是最多的。对于大多数州，投诉的问题是和网上拍卖或互联网销售有关，但有少数几个州与间谍软件导致的信息搜集、垃圾邮件或钓鱼式攻击有关。这份报告由民主和技术中心（CDT）和美国进步中心（CAP）制作，在这里可以下载到pdf格式的全文。

这样的后果就是，通过诈骗、黑客或者其它非法方式获取财富的罪犯，没有面临任何风险，几乎不可能受到法律的惩罚。民主和技术中心的副总裁及首席运营官艾瑞·施瓦茨呼吁联邦检察官对这个问题进行重点关注。

这导致我要问：你在以前遇到过网络犯罪么？