近期安全方面值得關注的新聞不少,微軟本週都將推出安全更新,雖然也算是準時,但和上月愈演愈烈的漏洞***活動比起來還是稍嫌晚了點。說到漏洞就不能不說與之相關的軟件安全問題,軟件安全已經開始爲軟件廠商所關注,但軟件界仍較缺乏對軟件安全項目進行有效評估的工具,本週新鮮出爐的軟件安全項目測評標準是否能擔此重任?
搜索引擎排名本是方便商家網絡推廣的工具,但無孔不入的惡意軟件也開始使用這一工具進行傳播,本期回顧筆者將和朋友們一起關注Google Trends是如何被惡意軟件所利用的。威脅趨勢方面,日漸流行的輕省筆記本成爲******用戶數據的新目標,而最爲古老的***手段之一——戰爭撥號(War dialing)也重新開始成爲******企業用戶的工具。在本期回顧的最後,筆者將爲朋友們介紹一個開源的新安全工具,並同時準備了兩篇推薦閱讀文章。
本週的安全威脅等級爲中。
漏洞***:
微軟發佈3月例行安全更新;報告顯示去年Firefox漏洞遠多於其他瀏覽器;關注指數:高
儘管這幾個星期以來,各種針對微軟產品漏洞的***和相關的惡意軟件一直是安全圈子裏的熱門話題,但微軟還是沒有像去年11月那樣推出多個緊急補丁,而是按部就班的發佈例行的安全更新。本週又是微軟每月推出例行安全更新的日期,根據微軟之前發佈的3月安全更新公告,微軟將在本月例行安全更新中爲用戶提供3個補丁程序,都是針對Windows及其相關組件中存在的安全漏洞。其中的MS09-006 Windows圖像處理漏洞,會導致Windows在處理EMF和WMF圖形文件時出現不可預測的行爲,從而運行惡意代碼,***將可能用該漏洞製作成傳播惡意軟件的網頁***,並通過僞造或攻陷的合法網站威脅用戶系統安全。筆者建議,用戶應儘快從微軟的站點下載或通過Windows Update服務應該針對該漏洞的補丁程序。另外,值得注意的是,微軟仍沒有針對上個月就曾發佈安全公告的Office Excel中存在的遠程代碼執行漏洞提供補丁程序,因此,用戶在使用Office Excel來處理各種文檔文件時,仍應該注意不要開啓來自不可信來源的Excel文件,以免感染惡意軟件並造成敏感信息的丟失。
目前最不安全的瀏覽器是哪一個?本週安全廠商Securnia發佈的研究報告可以給朋友們一個參考答案。根據Securnia這份2008年瀏覽器安全研究報告,開放源代碼的瀏覽器Mozilla Firefox拿到了“漏洞最多的瀏覽器”這一稱號,因爲在2008年全年Firefox共報告了115個不同安全等級的漏洞,這個數字幾乎是IE、Apple Safari等其他瀏覽器的在2008年漏洞數的兩倍。不過漏洞多並不一定就說明是最不安全的,Securnia的報告也顯示,Mozilla Firefox的漏洞修補速度也比其他廠商瀏覽器快得多,漏洞修補最慢的是微軟IE,在2008年曾有漏洞在公開後294天才發佈安全更新的歷史。筆者認爲,瀏覽器的選擇其實主要要看使用環境和用戶習慣,漏洞數只能作爲一個參考指標,兼容性和穩定性等其他指標也同樣重要,更重要的是用戶要培養安全瀏覽的習慣,避免登錄來源不明的網站,並保證系統補丁和反病毒軟件等爲最新,這樣才能儘可能的保證用戶瀏覽網站時不受惡意軟件的侵襲。
目前最不安全的瀏覽器是哪一個?本週安全廠商Securnia發佈的研究報告可以給朋友們一個參考答案。根據Securnia這份2008年瀏覽器安全研究報告,開放源代碼的瀏覽器Mozilla Firefox拿到了“漏洞最多的瀏覽器”這一稱號,因爲在2008年全年Firefox共報告了115個不同安全等級的漏洞,這個數字幾乎是IE、Apple Safari等其他瀏覽器的在2008年漏洞數的兩倍。不過漏洞多並不一定就說明是最不安全的,Securnia的報告也顯示,Mozilla Firefox的漏洞修補速度也比其他廠商瀏覽器快得多,漏洞修補最慢的是微軟IE,在2008年曾有漏洞在公開後294天才發佈安全更新的歷史。筆者認爲,瀏覽器的選擇其實主要要看使用環境和用戶習慣,漏洞數只能作爲一個參考指標,兼容性和穩定性等其他指標也同樣重要,更重要的是用戶要培養安全瀏覽的習慣,避免登錄來源不明的網站,並保證系統補丁和反病毒軟件等爲最新,這樣才能儘可能的保證用戶瀏覽網站時不受惡意軟件的侵襲。
軟件安全:
Fortify和Cigital推出軟件安全項目測評指標;關注指數:中
軟件安全在近幾年已經逐漸爲軟件廠商所接受,成爲軟件廠商在開發新產品時必定考慮的一個關鍵因素,幾個領先的軟件廠商也紛紛推出了各自的軟件安全標準,但目前在如何成功的實施一個軟件安全項目這個問題的解答上,許多軟件廠商仍處在比較初級的探索階段。
本週業界領先的軟件安全廠商Fortify和諮詢廠商Cigital合作推出了一個新的軟件安全項目測評指標,就在幫助軟件廠商實施軟件安全項目方面提供了一個不錯的指導。
Fortify和Cigital結合了目前市場上應用最爲成功的九種不同軟件安全標準的長處,研究人員還廣泛的訪問了包括EMC、微軟、Adobe等知名軟件廠商在內的25家廠商,從中吸取了很多軟件安全領域的經驗和教訓,最終形成了這份名爲《構建安全的成熟模式(Building Security In a Maturity Model,BSIMM)》的白皮書,有興趣的朋友可以從[url]www.bsi-mm.com[/url]網站獲取這份白皮書的最新版本。
筆者通讀過這份白皮書,認爲確實很適合軟件企業計劃並實施軟件安全項目,並衡量當前正在實施的軟件安全項目是否足夠完整和有效。筆者也將在未來的時間內更多的關注軟件安全相關的技術和理念,並將用一系列的專題爲朋友們介紹軟件安全領域的知識,敬請期待!
惡意軟件:
惡意軟件借Google Trends擴散;關注指數:高
搜索排行榜是搜索引擎爲方便用戶找到最熱門信息而推出的一個有效工具,廣大的商家也可以通過搜索排行來推廣自己的商品,然而根據反病毒廠商最近一段時間的研究結果,惡意軟件也開始學着利用搜索排行來“推銷”自己。
本週來自反病毒廠商McAfee Avert Labs實驗室的研究人員稱,目前已經有不少惡意軟件作者通過用於分析用戶搜索習慣的Google Trends,來分析用戶最近搜索的熱門關鍵詞,然後將帶有惡意軟件的頁面設置相同的關鍵詞並使用搜索引擎優化的手段進行優化,當用戶搜索這些熱門關鍵詞時,帶有惡意軟件的頁面就會出現在搜索結果的前列。如果用戶不小心點擊了這些惡意網站,就有可能感染各種以盜竊用戶信息爲目的的惡意軟件。
惡意軟件這種傳播方法並不算很新穎,去年10月份,就曾有研究人員警告網絡犯罪集團正利用類似的手法來傳播惡意軟件,這次McAfee的警告顯示已經有相當多的惡意軟件開始使用搜索排行進行擴散的這一趨勢。
另外,也從側面暴露出一個問題:各搜索服務提供商的搜索安全技術,並不像它們所聲稱的那樣擁有高準確率。筆者建議,用戶在使用搜索引擎時,不要隨意點擊陌生的網站搜索結果,哪怕是排在搜索結果前列,說不定它就是一個***精心設計的惡意網站,另外有個小訣竅朋友們也可以試試,使用搜索引擎提供的快照功能會有一定的保護效果。
威脅趨勢:
War Dialing***的新發展;輕省筆記本成爲***新目標;關注指數:高
戰爭撥號(War Dialing)是歷史最爲悠久的******手段之一,其實施過程並不複雜,***通過電話調制解調器向某個企業的電話號碼進行撥號,如果正好某個號碼上正好連着調制解調器,***就可能通過該調制解調器建立連接,並最終進入目標企業的內部網絡。
隨着各種寬帶和高速網絡技術的興起,以及其他***手段的快速發展,許多新生代***並不知道傳統的戰爭撥號***。不過***圈中並沒有放棄對戰爭撥號***的研究,早在2002年就曾有一個研究人員聲稱90%的企業都可以通過調制解調器網絡進入其內部網絡,而在7年後的今天,隨着VoIP等新技術的成熟和廣泛應用,調制解調器網絡仍然是許多企業忽視但又現實存在的嚴重安全威脅,尤其是使用了遠程監視和數據採集系統(SCADA)的企業用戶。
知名安全工具Metasploit的作者目前就正在開發一款名爲Warvox的企業電話系統審計軟件,該工具實際上就是利用VoIP技術,對指定範圍的電話號碼進行戰爭撥號***,據作者稱,該工具只需要一個標準的寬帶連接和標準的VoIP賬戶,而無需大量的電話線路,並且能夠以每小時1000個號碼的速度進行掃描。筆者覺得,雖然戰爭撥號技術歷史已經很悠久,但要說它是完全過時的也有失偏頗,如果是在合法的***測試或司法取證中,這款工具的合理使用說不定就會起到出人意料的效果。
自從2007年華碩首先推出Eeepc以來,以低成本和輕小爲賣點的輕省筆記本(Netbook)就開始廣受用戶的歡迎,大多數的計算機廠商也紛紛推出了此類產品。不過由於輕省筆記本在機能和軟件配置上與當前主流的筆記本計算機有較大的差距,輕省筆記本正日益成爲******的新目標。
目前輕省筆記本大都使用Intel和VIA兩家廠商的低能耗CPU,爲了節省成本,內存大都是512M或1G,雖然能夠流暢運行Windows XP和定製的Linux,但如果運行較多程序,速度和電池壽命上的衰減還是比較明顯的,用戶大多傾向於最簡化輕省筆記本上的系統和軟件,在輕省筆記本使用反病毒或防火牆等標準安全軟件的用戶也不多。
因此,輕省筆記本用戶就成爲***的新***目標,安全軟件的缺失使得這些用戶很容易感染各種惡意軟件,而且輕省筆記本的便攜性也讓用戶訪問外界無線連接的機會增多,也增添了用戶不安全使用無線連接造成的敏感信息泄漏風險。筆者認爲,儘管可能會導致系統運行減慢,輕省筆記本用戶在條件允許的情況下還是應該安裝反病毒軟件,選擇佔用系統資源較少的即可;同時不要隨意在外界的不加密無線連接上使用自己賬戶等隱私信息,以防止自己的隱私信息在不經意間落入***手中。
工具推薦:OSSEC 2.0
OSSEC是一套功能強大的開放源代碼主機IDS(HIDS),它能夠執行主機日誌分析、文件完整性檢查、Rootkit檢測、實時警告和響應等功能。本週OSSEC的最新版本2.0推出,除了上述功能外,還多了策略支持、多語言、新報告工具等新特性,並能運行在Windows和Unix的系統上,推薦朋友們在服務器上安裝使用。OSSEC的官方網站爲:[url]http://www.ossec.net/main/ossec-v20-released[/url]
推薦閱讀:
1) 促進安全戰略的5個原則;推薦指數:高
如何建立一個高效率的信息安全戰略,一直是企業實施安全管理的核心內容,當前的企業和信息安全專家除了要了解技術之外,熟悉如何將安全技術和業務緊密結合更爲重要。Forrester Research本週提供的《促進安全戰略的5個原則》,可以作爲企業實施安全戰略的一個有益參考,推薦有興趣的朋友閱讀一下。文章的地址如下:
[url]http://www.itnews.com.au/News/98122[/url],five-principles-underpinning-robust-security-strategies.aspx
[url]http://www.itnews.com.au/News/98122[/url],five-principles-underpinning-robust-security-strategies.aspx
2) 如何防止元數據泄漏你的隱私?推薦指數:中
前兩期的回顧筆者曾提到過元數據對用戶隱私信息可能造成的威脅。Darkreading.com的新文章《如何防止元數據泄漏你的隱私》就對這個問題提出了幾個建議,對隱私保護有興趣的朋友可以從以下地址讀到這個文章:
[url]http://www.darkreading.com/insiderthreat/security/vulnerabilities/showArticle.jhtml?articleID=215800964&subSection=Vulnerabilities+and+threats[/url]
[url]http://www.darkreading.com/insiderthreat/security/vulnerabilities/showArticle.jhtml?articleID=215800964&subSection=Vulnerabilities+and+threats[/url]