近期回顧:惡意軟件谷歌忙 Firefox成漏洞王
原創(chuàng)【51CTO.com 獨家特稿】近期安全方面值得關注的新聞不少,微軟本周都將推出安全更新,雖然也算是準時,但和上月愈演愈烈的漏洞攻擊活動比起來還是稍嫌晚了點。說到漏洞就不能不說與之相關的軟件安全問題,軟件安全已經(jīng)開始為軟件廠商所關注,但軟件界仍較缺乏對軟件安全項目進行有效評估的工具,本周新鮮出爐的軟件安全項目測評標準是否能擔此重任?
搜索引擎排名本是方便商家網(wǎng)絡推廣的工具,但無孔不入的惡意軟件也開始使用這一工具進行傳播,本期回顧筆者將和朋友們一起關注Google Trends是如何被惡意軟件所利用的。威脅趨勢方面,日漸流行的輕省筆記本成為黑客攻擊用戶數(shù)據(jù)的新目標,而最為古老的黑客手段之一——戰(zhàn)爭撥號(War dialing)也重新開始成為黑客攻擊企業(yè)用戶的工具。在本期回顧的最后,筆者將為朋友們介紹一個開源的新安全工具,并同時準備了兩篇推薦閱讀文章。
本周的安全威脅等級為中。
漏洞攻擊:
微軟發(fā)布3月例行安全更新;報告顯示去年Firefox漏洞遠多于其他瀏覽器;關注指數(shù):高
盡管這幾個星期以來,各種針對微軟產(chǎn)品漏洞的攻擊和相關的惡意軟件一直是安全圈子里的熱門話題,但微軟還是沒有像去年11月那樣推出多個緊急補丁,而是按部就班的發(fā)布例行的安全更新。本周又是微軟每月推出例行安全更新的日期,根據(jù)微軟之前發(fā)布的3月安全更新公告,微軟將在本月例行安全更新中為用戶提供3個補丁程序,都是針對Windows及其相關組件中存在的安全漏洞。其中的MS09-006 Windows圖像處理漏洞,會導致Windows在處理EMF和WMF圖形文件時出現(xiàn)不可預測的行為,從而運行惡意代碼,黑客將可能用該漏洞制作成傳播惡意軟件的網(wǎng)頁木馬,并通過偽造或攻陷的合法網(wǎng)站威脅用戶系統(tǒng)安全。筆者建議,用戶應盡快從微軟的站點下載或通過Windows Update服務應該針對該漏洞的補丁程序。另外,值得注意的是,微軟仍沒有針對上個月就曾發(fā)布安全公告的Office Excel中存在的遠程代碼執(zhí)行漏洞提供補丁程序,因此,用戶在使用Office Excel來處理各種文檔文件時,仍應該注意不要開啟來自不可信來源的Excel文件,以免感染惡意軟件并造成敏感信息的丟失。
目前最不安全的瀏覽器是哪一個?本周安全廠商Securnia發(fā)布的研究報告可以給朋友們一個參考答案。根據(jù)Securnia這份2008年瀏覽器安全研究報告,開放源代碼的瀏覽器Mozilla Firefox拿到了“漏洞最多的瀏覽器”這一稱號,因為在2008年全年Firefox共報告了115個不同安全等級的漏洞,這個數(shù)字幾乎是IE、Apple Safari等其他瀏覽器的在2008年漏洞數(shù)的兩倍。不過漏洞多并不一定就說明是最不安全的,Securnia的報告也顯示,Mozilla Firefox的漏洞修補速度也比其他廠商瀏覽器快得多,漏洞修補最慢的是微軟IE,在2008年曾有漏洞在公開后294天才發(fā)布安全更新的歷史。筆者認為,瀏覽器的選擇其實主要要看使用環(huán)境和用戶習慣,漏洞數(shù)只能作為一個參考指標,兼容性和穩(wěn)定性等其他指標也同樣重要,更重要的是用戶要培養(yǎng)安全瀏覽的習慣,避免登錄來源不明的網(wǎng)站,并保證系統(tǒng)補丁和反病毒軟件等為最新,這樣才能盡可能的保證用戶瀏覽網(wǎng)站時不受惡意軟件的侵襲。
軟件安全:
Fortify和Cigital推出軟件安全項目測評指標;關注指數(shù):中
軟件安全在近幾年已經(jīng)逐漸為軟件廠商所接受,成為軟件廠商在開發(fā)新產(chǎn)品時必定考慮的一個關鍵因素,幾個領先的軟件廠商也紛紛推出了各自的軟件安全標準,但目前在如何成功的實施一個軟件安全項目這個問題的解答上,許多軟件廠商仍處在比較初級的探索階段。
本周業(yè)界領先的軟件安全廠商Fortify和咨詢廠商Cigital合作推出了一個新的軟件安全項目測評指標,就在幫助軟件廠商實施軟件安全項目方面提供了一個不錯的指導。
Fortify和Cigital結(jié)合了目前市場上應用最為成功的九種不同軟件安全標準的長處,研究人員還廣泛的訪問了包括EMC、微軟、Adobe等知名軟件廠商在內(nèi)的25家廠商,從中吸取了很多軟件安全領域的經(jīng)驗和教訓,最終形成了這份名為《構建安全的成熟模式(Building Security In a Maturity Model,BSIMM)》的白皮書,有興趣的朋友可以從www.bsi-mm.com網(wǎng)站獲取這份白皮書的最新版本。
筆者通讀過這份白皮書,認為確實很適合軟件企業(yè)計劃并實施軟件安全項目,并衡量當前正在實施的軟件安全項目是否足夠完整和有效。筆者也將在未來的時間內(nèi)更多的關注軟件安全相關的技術和理念,并將用一系列的專題為朋友們介紹軟件安全領域的知識,敬請期待!
惡意軟件:
惡意軟件借Google Trends擴散;關注指數(shù):高
搜索排行榜是搜索引擎為方便用戶找到最熱門信息而推出的一個有效工具,廣大的商家也可以通過搜索排行來推廣自己的商品,然而根據(jù)反病毒廠商最近一段時間的研究結(jié)果,惡意軟件也開始學著利用搜索排行來“推銷”自己。
本周來自反病毒廠商McAfee Avert Labs實驗室的研究人員稱,目前已經(jīng)有不少惡意軟件作者通過用于分析用戶搜索習慣的Google Trends,來分析用戶最近搜索的熱門關鍵詞,然后將帶有惡意軟件的頁面設置相同的關鍵詞并使用搜索引擎優(yōu)化的手段進行優(yōu)化,當用戶搜索這些熱門關鍵詞時,帶有惡意軟件的頁面就會出現(xiàn)在搜索結(jié)果的前列。如果用戶不小心點擊了這些惡意網(wǎng)站,就有可能感染各種以盜竊用戶信息為目的的惡意軟件。
惡意軟件這種傳播方法并不算很新穎,去年10月份,就曾有研究人員警告網(wǎng)絡犯罪集團正利用類似的手法來傳播惡意軟件,這次McAfee的警告顯示已經(jīng)有相當多的惡意軟件開始使用搜索排行進行擴散的這一趨勢。
另外,也從側(cè)面暴露出一個問題:各搜索服務提供商的搜索安全技術,并不像它們所聲稱的那樣擁有高準確率。筆者建議,用戶在使用搜索引擎時,不要隨意點擊陌生的網(wǎng)站搜索結(jié)果,哪怕是排在搜索結(jié)果前列,說不定它就是一個黑客精心設計的惡意網(wǎng)站,另外有個小訣竅朋友們也可以試試,使用搜索引擎提供的快照功能會有一定的保護效果。
威脅趨勢:
War Dialing攻擊的新發(fā)展;輕省筆記本成為黑客新目標;關注指數(shù):高
戰(zhàn)爭撥號(War Dialing)是歷史最為悠久的黑客攻擊手段之一,其實施過程并不復雜,黑客通過電話調(diào)制解調(diào)器向某個企業(yè)的電話號碼進行撥號,如果正好某個號碼上正好連著調(diào)制解調(diào)器,黑客就可能通過該調(diào)制解調(diào)器建立連接,并最終進入目標企業(yè)的內(nèi)部網(wǎng)絡。
隨著各種寬帶和高速網(wǎng)絡技術的興起,以及其他攻擊手段的快速發(fā)展,許多新生代黑客并不知道傳統(tǒng)的戰(zhàn)爭撥號攻擊。不過黑客圈中并沒有放棄對戰(zhàn)爭撥號攻擊的研究,早在2002年就曾有一個研究人員聲稱90%的企業(yè)都可以通過調(diào)制解調(diào)器網(wǎng)絡進入其內(nèi)部網(wǎng)絡,而在7年后的今天,隨著VoIP等新技術的成熟和廣泛應用,調(diào)制解調(diào)器網(wǎng)絡仍然是許多企業(yè)忽視但又現(xiàn)實存在的嚴重安全威脅,尤其是使用了遠程監(jiān)視和數(shù)據(jù)采集系統(tǒng)(SCADA)的企業(yè)用戶。
知名安全工具Metasploit的作者目前就正在開發(fā)一款名為Warvox的企業(yè)電話系統(tǒng)審計軟件,該工具實際上就是利用VoIP技術,對指定范圍的電話號碼進行戰(zhàn)爭撥號攻擊,據(jù)作者稱,該工具只需要一個標準的寬帶連接和標準的VoIP賬戶,而無需大量的電話線路,并且能夠以每小時1000個號碼的速度進行掃描。筆者覺得,雖然戰(zhàn)爭撥號技術歷史已經(jīng)很悠久,但要說它是完全過時的也有失偏頗,如果是在合法的滲透測試或司法取證中,這款工具的合理使用說不定就會起到出人意料的效果。
自從2007年華碩首先推出Eeepc以來,以低成本和輕小為賣點的輕省筆記本(Netbook)就開始廣受用戶的歡迎,大多數(shù)的計算機廠商也紛紛推出了此類產(chǎn)品。不過由于輕省筆記本在機能和軟件配置上與當前主流的筆記本計算機有較大的差距,輕省筆記本正日益成為黑客攻擊的新目標。
目前輕省筆記本大都使用Intel和VIA兩家廠商的低能耗CPU,為了節(jié)省成本,內(nèi)存大都是512M或1G,雖然能夠流暢運行Windows XP和定制的Linux,但如果運行較多程序,速度和電池壽命上的衰減還是比較明顯的,用戶大多傾向于最簡化輕省筆記本上的系統(tǒng)和軟件,在輕省筆記本使用反病毒或防火墻等標準安全軟件的用戶也不多。
因此,輕省筆記本用戶就成為黑客的新攻擊目標,安全軟件的缺失使得這些用戶很容易感染各種惡意軟件,而且輕省筆記本的便攜性也讓用戶訪問外界無線連接的機會增多,也增添了用戶不安全使用無線連接造成的敏感信息泄漏風險。筆者認為,盡管可能會導致系統(tǒng)運行減慢,輕省筆記本用戶在條件允許的情況下還是應該安裝反病毒軟件,選擇占用系統(tǒng)資源較少的即可;同時不要隨意在外界的不加密無線連接上使用自己賬戶等隱私信息,以防止自己的隱私信息在不經(jīng)意間落入黑客手中。
工具推薦:OSSEC 2.0
OSSEC是一套功能強大的開放源代碼主機IDS(HIDS),它能夠執(zhí)行主機日志分析、文件完整性檢查、Rootkit檢測、實時警告和響應等功能。本周OSSEC的最新版本2.0推出,除了上述功能外,還多了策略支持、多語言、新報告工具等新特性,并能運行在Windows和Unix的系統(tǒng)上,推薦朋友們在服務器上安裝使用。OSSEC的官方網(wǎng)站為:http://www.ossec.net/main/ossec-v20-released
推薦閱讀:
1) 促進安全戰(zhàn)略的5個原則;推薦指數(shù):高
如何建立一個高效率的信息安全戰(zhàn)略,一直是企業(yè)實施安全管理的核心內(nèi)容,當前的企業(yè)和信息安全專家除了要了解技術之外,熟悉如何將安全技術和業(yè)務緊密結(jié)合更為重要。Forrester Research本周提供的《促進安全戰(zhàn)略的5個原則》,可以作為企業(yè)實施安全戰(zhàn)略的一個有益參考,推薦有興趣的朋友閱讀一下。文章的地址如下:
http://www.itnews.com.au/News/98122,five-principles-underpinning-robust-security-strategies.aspx
2) 如何防止元數(shù)據(jù)泄漏你的隱私?推薦指數(shù):中
前兩期的回顧筆者曾提到過元數(shù)據(jù)對用戶隱私信息可能造成的威脅。Darkreading.com的新文章《如何防止元數(shù)據(jù)泄漏你的隱私》就對這個問題提出了幾個建議,對隱私保護有興趣的朋友可以從以下地址讀到這個文章:
http://www.darkreading.com/insiderthreat/security/vulnerabilities/showArticle.jhtml?articleID=215800964&subSection=Vulnerabilities+and+threats
【編輯推薦】
