本週(080901至080907)的信息安全威脅等級爲低。但本週值得關注的新聞集中在Web瀏覽安全和虛擬化安全領域。Google發佈Chrome開源瀏覽器其安全性和用戶吸引力仍顯不足,而Hypervisor作爲虛擬機和真實機之間的橋樑,虛擬機的管理和安全問題是企業值得關注的。
推薦閱讀
1)對於數據泄漏防禦用戶應該瞭解的幾點;推薦指數:高
近兩年頻繁發生的敏感數據泄漏案件,以及隨之帶來的嚴重的經濟和聲譽形象損失,使得越來越多的企業逐漸開始關注如何保護自己的信息資產和敏感數據。數據泄漏防禦作爲一種能夠在數據全生命週期內有效實施保護的解決方案,成爲許多企業理想的選擇,但如何選擇適合自己的數據泄漏防禦產品,又成爲亟待解決的問題。
2)如何使用防火牆管理方案提升現有防火牆的安全性和性能;推薦指數:高
企業在部署防火牆之後,如何保持防火牆的安全性和性能,同時消除企業內部網絡中存在的風險因素,關鍵是保持防火牆的正確配置,而這也正是企業防火牆管理員最常面臨的挑戰之一。
企業在部署防火牆之後,如何保持防火牆的安全性和性能,同時消除企業內部網絡中存在的風險因素,關鍵是保持防火牆的正確配置,而這也正是企業防火牆管理員最常面臨的挑戰之一。
本週值得關注的新聞集中在Web瀏覽安全和虛擬化安全領域
Web瀏覽安全:Google發佈Chrome開源瀏覽器,但其安全性和用戶吸引力仍顯不足;關注指數:高
新聞1:9月2日,來自多家媒體的消息,搜索廠商Google準時發佈了開源瀏覽器產品的測試版——Google Chrome。Google稱,Chrome比目前市面上流行的其他瀏覽器產品速度更快、工作更好同時也能更好的保護用戶的數據。Google在同時發佈用於推廣Chrome的40頁漫畫書中介紹Chrome的多個特性,如每個選項卡使用獨立的進程空間,使用動態代碼生成以加速Java Script的運行,更好的自動完成和搜索功能,以及允許用戶直接拖動選項卡成爲獨立窗口等功能,在安全方面,Chrome還集成了全新的代碼沙箱和Google的惡意網站黑名單,有效的保證了用戶的Web瀏覽安全。
新聞2:9月3日,來自ZDnet.com的消息,以色列安全研究人員Aviv Raff在Google發佈開源瀏覽器Chrome的第二天,就公開了Chrome的漏洞信息。該漏洞存在於Chrome所用的引擎Webkit的較老版本中,其處理Java程序時存在缺陷,***者只需要通過一定的社會工程學手段對用戶進行欺騙,就可以讓用戶下載並執行一個惡意的Java小程序。 目前已知該Webkit漏洞已經由Apple公司修補。
分析:在聽說Google推出開源瀏覽器Chrome之後,筆者在第一時間下載試用,和Google的其他服務及產品一樣,Chrome在平淡中也有不少新意,如加速Java Script運行的動態代碼生成技術,用Chrome來瀏覽Java Script小程序較多的網頁時明顯感到速度的提升;每個選項卡使用獨立的進程,雖然用進程工具查看會發現有很多Chrome.exe進程,並佔用較多系統資源,然而Chrome的這種設計可以保證每個選項卡之間不互相干擾,也使得在某個選項卡如果發生意外退出的情況時不會影響其他的選項卡,這是目前市面上的其他瀏覽器無法做到的。
Chrome在安全性上更重要的改進在於集成了Google的惡意網站黑名單,能夠防止用戶意外訪問到存在風險的惡意網站,另外,Chrome也提供了不保存用戶任何信息的隱身瀏覽模式,在一定程度上保證了用戶的隱私。不過Google Chrome也並非完美無缺,系統資源佔用較大,無法使用其他瀏覽器的插件,許多帶Flash的網站無法正常顯示,也是Google下一步需要改進的地方。
筆者認爲:從目前的Google Chrome來看,Chrome尚不具備威脅到IE、Firefox和Opera這瀏覽器市場三大主力產品的能力,儘管Chrome提供了不少看起來很強大的安全功能,但仍不能算是一個劃時代的瀏覽器產品,如其重要的特點代碼執行沙箱功能,新一代的IE、Firefox和Opera 9.5上也即將採用,而另外一個重要的安全特性Google惡意網站黑名單功能,也是現有版本的IE、Firefox和Opera能夠通過SiteAdvisor等第三方插件可以實現的功能,而IE 8中自帶的隱私模式,也不弱於Chrome的隱私瀏覽模式。
目前Chrome也不支持IE的ActiveX控件和Firefox的擴展插件,這種設計雖然可以在一定程度防止用戶安裝惡意插件,但也明顯削弱了Chrome的可擴展性,用戶在使用網上銀行或其他需要安裝插件才能訪問的服務時,只能放棄Chrome而改用其他瀏覽器產品,Chrome對許多網站的兼容性問題、對系統資源的較大佔用,也會影響不少用戶的選擇。Chrome是否會成爲瀏覽器市場的一匹黑馬?現在下結論還爲時尚早。
虛擬化安全:Microsoft官員反駁關於其Hypervisor產品安全有問題的言論;關注指數:高
新聞3:9月5號,來自ZDnet.com.uk的消息,在澳大利亞悉尼的TechEd會上,Microsoft負責安全戰略的官員Steve Riley對上個月波蘭研究人員Rutkowska和她的同事Rafal Wojtchuk在黑帽安全會議上,發佈的關於Microsoft及其他軟件廠商Hypervisor產品安全容易受到威脅的言論進行了反駁,並稱Rutkowska的方法實際上並不可行,很容易被有經驗的管理員發現。
Hypervisor是虛擬化應用中的管理程序,所有的虛擬系統都需要通過Hypervisor和實際系統進行交互並完成執行。Rutkowska在上個月的黑帽安全會議上發佈了她最新的研究成果,一個能夠替代虛擬化系統中合法Hypervisor的惡意程序。
分析:新聞中提到的Rutkowska並不是安全業界的無名小卒,甚至可能說是國際上出名的女***。她在前年和去年的黑帽安全會議上曾分別發表過Vista內核安全的研究報告和據說很難檢測的基於虛擬機Hypervisor的Rootkit“Blue Pill”。儘管後者在發表後不久就被來自Symantec、Root Security等幾家廠商及安全研究機構的研究人員證明是錯誤的,但她的觀點仍爲安全業界認爲相當有新意。
Microsoft官員反駁的就是她今年的研究成果,可替換合法Hypervisor的惡意程序。從目前雙方公開的資料以及筆者的專業知識判斷,Rutkowska所公開的惡意Hypervisor程序,只是理論上能夠實現的試驗品,不會成爲虛擬化應用的實際威脅。因爲Hypervisor對虛擬機來說,相當於虛擬機和實體設備之間的橋樑,虛擬機必須通過Hypervisor才能訪問到實體設備,這就要求Hypervisor除了能夠實現管理虛擬機的功能之外;
同樣需要能夠兼容大部分流行的實體設備,這恰恰是***所編寫的惡意Hypervisor程序很難做到的,畢竟***的資源遠遠比不上提供Hypervisor的廠商,當然,類似XenSource這樣的開源Hypervisor產品也有遭受惡意修改的可能性,但一旦被修改,管理員是很容易發現***執行過的修改的。筆者認爲,企業在應用虛擬化技術時,更需要關注的是虛擬機的管理和安全問題,這纔是有可能會對企業內部網絡安全造成較大影響的潛在因素。