【51CTO.com 專家特稿】XSS蠕蟲瘋狂攻擊知名SNS網站Twitter，技術人員多次修補漏洞未果，可以說是本周當之無愧的最值得關注新聞，在本期回顧中筆者將和朋友們一起關注該事件的發展；惡意軟件方面也相當熱鬧，新型病毒將Mac系統轉化為僵尸網絡，新一代隱蔽Rootkit Mebroot浮出水面。安全新技術領域，研究人員提出用耳朵作為驗證因素的新型生物驗證技術，朋友們可以在本期回顧中了解這個新技術有哪些有趣的新特點。在本期回顧的最后，筆者為朋友們精心挑選了兩篇值得一讀的推薦閱讀文章。　　

本周（090413至090419）安全要聞回顧

本周的信息安全威脅為低。

Web應用安全：XSS蠕蟲瘋狂攻擊Twitter，技術人員多次修補未果；關注指數：高　　

從上周末開始，一個名為Stalkdaily的蠕蟲在知名的SNS網站以驚人的速度開始擴散，不斷有用戶抱怨“我被Stalkdaily蠕蟲感染了”，連Twitter很紅的應用之一TweetVisor也頻繁顯示警示。事發初期，技術網站Techcrunch就進行了報道（很少能有信息安全相關的新聞能上Techcrunch），并有網友在互聯網上公開了該蠕蟲的源代碼，Twitter的技術人員也很快修補了該蠕蟲所攻擊的XSS漏洞。

Twitter和用戶都沒有想到的是，該蠕蟲的作者很快就又找到Twitter新的漏洞，并使用了Java變形技術來逃避Twitter設置的內容過濾，在短短的一周時間內，Stalkdaily蠕蟲爆發了六次，Twitter也號稱修復了所有的XSS漏洞，然而沒過多久新一代的蠕蟲都會重新爆發，Twitter的技術人員也只能投入修復漏洞的重復勞動中。Stalkdaily蠕蟲的作者在攻擊事件發生不久浮出水面，令人意外的是影響如此大的蠕蟲攻擊，蠕蟲的作者居然只是一名17歲的少年Mikeyy，他的目的看起來只是想宣傳自己的網站Stalkdaily.com。

整個事件的經過與2005年19歲的Samy寫蠕蟲攻擊MySpace有驚人的相似，Samy最后被判了3年緩期和90天社區勞動——如果Twitter要追究法律責任的話，顯然Mikeyy的下場要比Samy更難過，因為Stalkdaily蠕蟲的第一、二代都帶有竊取受影響用戶的用戶名和Cookie，已經構成對Twitter及其用戶事實上的損害。
　　
當然，簡單如Twitter的界面仍會產生XSS漏洞并造成如此大的影響，也再次說明了XSS對Web應用的威脅之大；Twitter的技術人員修補了六次漏洞，仍讓Stalkdaily蠕蟲連續爆發，雖然每一代蠕蟲的特征代碼不同，但也說明了Twitter的修補方式實際上是錯誤的。Twitter采用的是通過黑名單來攔截蠕蟲所用的XSS攻擊字串，技術人員也誤認為這樣足夠防御XSS攻擊，但實際上采用白名單方式來控制輸入字串的形態、長度和字符集等，才是更有效的XSS防御方式。

網站防御XSS的最大難度在于，每一個網站的結構千差萬別，可能造成多層的字符串解碼操作，所以如何有效的防御XSS的攻擊，網站的開發人員必須熟悉XSS的成因，OWASP網站上的XSS特征列表就是一個相當好的參考資源。而對用戶來說，可以使用Firefox的NoScript插件或通過修改IE設置禁用掉JavaScript的執行，一勞永逸的解決掉XSS漏洞的攻擊問題，不過這樣也會對用戶的瀏覽體驗造成相當的損失，就看用戶是如何取舍安全和體驗這兩者了。

惡意軟件：新病毒將Mac轉化為僵尸網絡；最隱蔽的Rootkit浮出水面；關注指數：高　　

傳統意義上的僵尸網絡，往往是由大量采用Windows作為操作系統的PC或服務器所組成，隨著惡意軟件編寫技術的提升，僵尸網絡成員的類型已經今非昔比，除了在前兩期回顧中筆者曾介紹過的Linux路由器僵尸網絡外，Apple Mac系統也開始成為僵尸網絡的新成員。來自多個反病毒廠商的檢測結果，今年初出現的捆綁有新惡意軟件的盜版MacOS系統，已經成功的擴散到相當數量的用戶機器上，這些受感染系統已經開始被用在至少一次的大規模拒絕服務攻擊中。這種攻擊方式對PC用戶來說并無新意，在Windows盜版猖獗的前幾年，某些小工作室制作的所謂發行版常會捆綁不同的惡意軟件。

由于Mac系統上目前可用的反病毒軟件并不多，用戶對惡意軟件的防范意識也較為薄弱，因此這種針對Mac的攻擊行為還是應該引起Mac用戶的重視的。

最近反病毒廠商發現的Mebroot Rootkit新變種則顯示了Rootkit編寫技術有較大進步的現象。Mebroot Rootkit也稱為Torpig或Sinowal，最早是由EMC RSA的安全人員于去年底所發現的，通常還被集成到流行的黑客工具包Mpack里面。Mebroot的新變種與舊的相比更為隱蔽，主要表現在新變種增加了用于隱藏的新技術，在感染用戶的系統后不再嘗試鉤掛disk.sys驅動，而是會先判斷哪一個驅動程序是更為底層的，然后再對其進行感染。

因此在不同的系統上Mebroot新變種可能感染的驅動程序對象不同，在真實的PC和虛擬機系統之間也可能會有顯著的差異，Mebroot的作者還修正了以前存在的一個MBR修改bug，使得反病毒軟件更難從主引導區是否被修改來判斷Mebroot的存在與否。Mebroot的新變種目前主要通過存在漏洞的第三方軟件進行傳播，根據多個反病毒廠商的監測結果，該新變種流行并不廣泛，用戶注意更新自己的系統和反病毒軟件的話，要防御該Rootkit應該問題不大。另外，如果用戶懷疑自己曾被類似的惡意軟件感染過，下面是一個如何手工檢測和清除的指南，用戶可以參考一下。　　http://www.trustdefender.com/blog/2009/04/04/new-mebrootsinowalmbrtorpig-variant-in-the-wild-virtually-undetected-and-more-dangerous-than-ever/　　

安全新技術：研究人員提出人耳生物識別技術；關注指數：中　　

因為移動計算設備較小的體積和較弱的計算能力，傳統的生物識別技術在移動計算領域似乎都不太適用，但在政府、軍事等對安全要求較高的領域，對適用于移動設備的生物識別技術的需求也日益增長。英國工程和物理科學協會（EPSRC）就贊助南安普敦大學的研究人員進行這樣的一個研究項目，針對每個人能聽到的低頻聲音不同，以及對相同聲音不同的響應模式，來區別當前用戶是否是經過系統認證的合法用戶。

如果南安普敦大學的研究能夠成功，結合嵌入敏感麥克風的移動電話，預計可實現這兩個功能，識別用戶以進行安全的電話通信，或者在用戶的移動設備被盜之后，遠程禁用掉被盜的設備以防止泄密。不過這樣的技術即使開發成功，估計也只能夠是在法律、政府和軍事領域小規模使用，個人用戶也想用的話，可能是連輸入自己識別信息都很難操作，更別說要用更高級的功能了。　　

推薦閱讀：

1） 企業應用智能電話的3個安全要點；推薦指數：高

隨著成本的下降，智能電話已經成為企業網絡中一種常見的終端，但智能電話不同于傳統x86體系的諸多特點，以及高度定制化的軟件，也使得在企業環境中安全使用智能電話成為一個很難實現的目標。本周eWeek.com推出了一個文章《企業應用智能電話的3個安全要點》，相信會給目前遇到類似問題的朋友一些提示。文章的地址如下：

http://www.eweek.com/c/a/Security/3-Smartphone-Security-Considerations-for-Enterprises-205412/?kc=rss

2） 2009年數據泄露調查報告；推薦指數：高

數據泄露是對企業威脅最大的IT事故之一，即使是對從未發生過類似事件的企業來說也是一把高懸的利劍，如何防止敏感的數據外泄，也成為企業最為關鍵的任務。互聯網安全組織SANS本周推出的《2009數據泄露調查報告》，采用案例分析的方式介紹了眾多數據泄露相關的知識，推薦朋友們都了解一下。文章的地址如下：

http://isc.sans.org/diary.html?storyid=6202&rss

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】

【相關文章】

• 瀏覽更多信息安全要聞回顧