【51CTO.com 独家特稿】近期安全方面值得关注的新闻不少,微软本周都将推出安全更新,虽然也算是准时,但和上月愈演愈烈的漏洞攻击活动比起来还是稍嫌晚了点。说到漏洞就不能不说与之相关的软件安全问题,软件安全已经开始为软件厂商所关注,但软件界仍较缺乏对软件安全项目进行有效评估的工具,本周新鲜出炉的软件安全项目测评标准是否能担此重任?
搜索引擎排名本是方便商家网络推广的工具,但无孔不入的恶意软件也开始使用这一工具进行传播,本期回顾笔者将和朋友们一起关注Google Trends是如何被恶意软件所利用的。威胁趋势方面,日渐流行的轻省笔记本成为黑客攻击用户数据的新目标,而最为古老的黑客手段之一——战争拨号(War dialing)也重新开始成为黑客攻击企业用户的工具。在本期回顾的最后,笔者将为朋友们介绍一个开源的新安全工具,并同时准备了两篇推荐阅读文章。
本周的安全威胁等级为中。
漏洞攻击:
微软发布3月例行安全更新;报告显示去年Firefox漏洞远多于其他浏览器;关注指数:高
尽管这几个星期以来,各种针对微软产品漏洞的攻击和相关的恶意软件一直是安全圈子里的热门话题,但微软还是没有像去年11月那样推出多个紧急补丁,而是按部就班的发布例行的安全更新。本周又是微软每月推出例行安全更新的日期,根据微软之前发布的3月安全更新公告,微软将在本月例行安全更新中为用户提供3个补丁程序,都是针对Windows及其相关组件中存在的安全漏洞。其中的MS09-006 Windows图像处理漏洞,会导致Windows在处理EMF和WMF图形文件时出现不可预测的行为,从而运行恶意代码,黑客将可能用该漏洞制作成传播恶意软件的网页木马,并通过伪造或攻陷的合法网站威胁用户系统安全。笔者建议,用户应尽快从微软的站点下载或通过Windows Update服务应该针对该漏洞的补丁程序。另外,值得注意的是,微软仍没有针对上个月就曾发布安全公告的Office Excel中存在的远程代码执行漏洞提供补丁程序,因此,用户在使用Office Excel来处理各种文档文件时,仍应该注意不要开启来自不可信来源的Excel文件,以免感染恶意软件并造成敏感信息的丢失。
目前最不安全的浏览器是哪一个?本周安全厂商Securnia发布的研究报告可以给朋友们一个参考答案。根据Securnia这份2008年浏览器安全研究报告,开放源代码的浏览器Mozilla Firefox拿到了“漏洞最多的浏览器”这一称号,因为在2008年全年Firefox共报告了115个不同安全等级的漏洞,这个数字几乎是IE、Apple Safari等其他浏览器的在2008年漏洞数的两倍。不过漏洞多并不一定就说明是最不安全的,Securnia的报告也显示,Mozilla Firefox的漏洞修补速度也比其他厂商浏览器快得多,漏洞修补最慢的是微软IE,在2008年曾有漏洞在公开后294天才发布安全更新的历史。笔者认为,浏览器的选择其实主要要看使用环境和用户习惯,漏洞数只能作为一个参考指标,兼容性和稳定性等其他指标也同样重要,更重要的是用户要培养安全浏览的习惯,避免登录来源不明的网站,并保证系统补丁和反病毒软件等为最新,这样才能尽可能的保证用户浏览网站时不受恶意软件的侵袭。
软件安全:
Fortify和Cigital推出软件安全项目测评指标;关注指数:中
软件安全在近几年已经逐渐为软件厂商所接受,成为软件厂商在开发新产品时必定考虑的一个关键因素,几个领先的软件厂商也纷纷推出了各自的软件安全标准,但目前在如何成功的实施一个软件安全项目这个问题的解答上,许多软件厂商仍处在比较初级的探索阶段。
本周业界领先的软件安全厂商Fortify和咨询厂商Cigital合作推出了一个新的软件安全项目测评指标,就在帮助软件厂商实施软件安全项目方面提供了一个不错的指导。
Fortify和Cigital结合了目前市场上应用最为成功的九种不同软件安全标准的长处,研究人员还广泛的访问了包括EMC、微软、Adobe等知名软件厂商在内的25家厂商,从中吸取了很多软件安全领域的经验和教训,最终形成了这份名为《构建安全的成熟模式(Building Security In a Maturity Model,BSIMM)》的白皮书,有兴趣的朋友可以从www.bsi-mm.com网站获取这份白皮书的最新版本。
笔者通读过这份白皮书,认为确实很适合软件企业计划并实施软件安全项目,并衡量当前正在实施的软件安全项目是否足够完整和有效。笔者也将在未来的时间内更多的关注软件安全相关的技术和理念,并将用一系列的专题为朋友们介绍软件安全领域的知识,敬请期待!
恶意软件:
恶意软件借Google Trends扩散;关注指数:高
搜索排行榜是搜索引擎为方便用户找到最热门信息而推出的一个有效工具,广大的商家也可以通过搜索排行来推广自己的商品,然而根据反病毒厂商最近一段时间的研究结果,恶意软件也开始学着利用搜索排行来“推销”自己。
本周来自反病毒厂商McAfee Avert Labs实验室的研究人员称,目前已经有不少恶意软件作者通过用于分析用户搜索习惯的Google Trends,来分析用户最近搜索的热门关键词,然后将带有恶意软件的页面设置相同的关键词并使用搜索引擎优化的手段进行优化,当用户搜索这些热门关键词时,带有恶意软件的页面就会出现在搜索结果的前列。如果用户不小心点击了这些恶意网站,就有可能感染各种以盗窃用户信息为目的的恶意软件。
恶意软件这种传播方法并不算很新颖,去年10月份,就曾有研究人员警告网络犯罪集团正利用类似的手法来传播恶意软件,这次McAfee的警告显示已经有相当多的恶意软件开始使用搜索排行进行扩散的这一趋势。
另外,也从侧面暴露出一个问题:各搜索服务提供商的搜索安全技术,并不像它们所声称的那样拥有高准确率。笔者建议,用户在使用搜索引擎时,不要随意点击陌生的网站搜索结果,哪怕是排在搜索结果前列,说不定它就是一个黑客精心设计的恶意网站,另外有个小诀窍朋友们也可以试试,使用搜索引擎提供的快照功能会有一定的保护效果。
威胁趋势:
War Dialing攻击的新发展;轻省笔记本成为黑客新目标;关注指数:高
战争拨号(War Dialing)是历史最为悠久的黑客攻击手段之一,其实施过程并不复杂,黑客通过电话调制解调器向某个企业的电话号码进行拨号,如果正好某个号码上正好连着调制解调器,黑客就可能通过该调制解调器建立连接,并最终进入目标企业的内部网络。
随着各种宽带和高速网络技术的兴起,以及其他攻击手段的快速发展,许多新生代黑客并不知道传统的战争拨号攻击。不过黑客圈中并没有放弃对战争拨号攻击的研究,早在2002年就曾有一个研究人员声称90%的企业都可以通过调制解调器网络进入其内部网络,而在7年后的今天,随着VoIP等新技术的成熟和广泛应用,调制解调器网络仍然是许多企业忽视但又现实存在的严重安全威胁,尤其是使用了远程监视和数据采集系统(SCADA)的企业用户。
知名安全工具Metasploit的作者目前就正在开发一款名为Warvox的企业电话系统审计软件,该工具实际上就是利用VoIP技术,对指定范围的电话号码进行战争拨号攻击,据作者称,该工具只需要一个标准的宽带连接和标准的VoIP账户,而无需大量的电话线路,并且能够以每小时1000个号码的速度进行扫描。笔者觉得,虽然战争拨号技术历史已经很悠久,但要说它是完全过时的也有失偏颇,如果是在合法的渗透测试或司法取证中,这款工具的合理使用说不定就会起到出人意料的效果。
自从2007年华硕首先推出Eeepc以来,以低成本和轻小为卖点的轻省笔记本(Netbook)就开始广受用户的欢迎,大多数的计算机厂商也纷纷推出了此类产品。不过由于轻省笔记本在机能和软件配置上与当前主流的笔记本计算机有较大的差距,轻省笔记本正日益成为黑客攻击的新目标。
目前轻省笔记本大都使用Intel和VIA两家厂商的低能耗CPU,为了节省成本,内存大都是512M或1G,虽然能够流畅运行Windows XP和定制的Linux,但如果运行较多程序,速度和电池寿命上的衰减还是比较明显的,用户大多倾向于最简化轻省笔记本上的系统和软件,在轻省笔记本使用反病毒或防火墙等标准安全软件的用户也不多。
因此,轻省笔记本用户就成为黑客的新攻击目标,安全软件的缺失使得这些用户很容易感染各种恶意软件,而且轻省笔记本的便携性也让用户访问外界无线连接的机会增多,也增添了用户不安全使用无线连接造成的敏感信息泄漏风险。笔者认为,尽管可能会导致系统运行减慢,轻省笔记本用户在条件允许的情况下还是应该安装反病毒软件,选择占用系统资源较少的即可;同时不要随意在外界的不加密无线连接上使用自己账户等隐私信息,以防止自己的隐私信息在不经意间落入黑客手中。
工具推荐:OSSEC 2.0
OSSEC是一套功能强大的开放源代码主机IDS(HIDS),它能够执行主机日志分析、文件完整性检查、Rootkit检测、实时警告和响应等功能。本周OSSEC的最新版本2.0推出,除了上述功能外,还多了策略支持、多语言、新报告工具等新特性,并能运行在Windows和Unix的系统上,推荐朋友们在服务器上安装使用。OSSEC的官方网站为:http://www.ossec.net/main/ossec-v20-released
推荐阅读:
1) 促进安全战略的5个原则;推荐指数:高
如何建立一个高效率的信息安全战略,一直是企业实施安全管理的核心内容,当前的企业和信息安全专家除了要了解技术之外,熟悉如何将安全技术和业务紧密结合更为重要。Forrester Research本周提供的《促进安全战略的5个原则》,可以作为企业实施安全战略的一个有益参考,推荐有兴趣的朋友阅读一下。文章的地址如下:
http://www.itnews.com.au/News/98122,five-principles-underpinning-robust-security-strategies.aspx
2) 如何防止元数据泄漏你的隐私?推荐指数:中
前两期的回顾笔者曾提到过元数据对用户隐私信息可能造成的威胁。Darkreading.com的新文章《如何防止元数据泄漏你的隐私》就对这个问题提出了几个建议,对隐私保护有兴趣的朋友可以从以下地址读到这个文章:
http://www.darkreading.com/insiderthreat/security/vulnerabilities/showArticle.jhtml?articleID=215800964&subSection=Vulnerabilities+and+threats
【编辑推荐】