6月第2周安全回顾 合法网站提供恶意软件 智能手机威胁大

在下周二微软将要发布的6月补丁升级中，将修补Windows多个平台上的Internet Explorer、DirectX、蓝牙驱动和其他组件上存在的7个漏洞。尽管目前微软官方站点上并没有提供关于这7个漏洞的详细技术信息，但对企业用户来说，在进行补丁操作前了解这些补丁程序针对的漏洞及其影响是非常有必要的。

 

2）将敏感信息隐藏在VoIP数据流中的新方法

几个来自波兰的安全研究人员发现了如何将敏感信息隐藏在VoIP数据流中的新方法。传统的信息隐藏技术能够把敏感的信息隐藏在看似正常的图片和音频文件里，经常被用于情报战中。由于现有的如Skype等的VoIP技术都或多或少的采用了较强的加密手段，因此，隐藏在VoIP数据流里的敏感信息比隐藏在其他文件内的更难以发现和检查，这对意图监视敏感信息传递和交换的第三方来说并不是一个好消息。

 

3）现行法律规定的案件公开条款对制止身份窃贼毫无效果

来自卡内基梅隆大学的安全专家最近进行的一项研究发现，目前欧洲和美国现在法律，要求发生信用卡等敏感信息泄漏案件的企业向公众公开事件发生细节的条款，对制止身份窃贼的进一步威胁毫无效果。尽管这些法律条款的制定初衷是为了利用公众的压力使企业更为重视敏感信息的保护，但这几年的情况看来，这些条款实际上并没有起到其应有的效果，要制止身份窃贼的攻击还需要更为有效的法律。这个研究对目前我国相关法律的制定和施行相当有参考价值，推荐法律或相关行业的朋友阅读一下。

 

媒体方面，本周值得关注的新闻集中在恶意软件和移动安全领域。

 

恶意软件：调查显示68%的恶意软件来自合法网站；McAfee称香港为恶意网站最多地区；关注指数：高

 

新闻1：6月6日，来自DarkReading.com的消息，网站安全服务提供商ScanSafe在当天早些时候称，在2008年5月里使用其服务的企业用户，所拦截到的恶意软件有68%来自于合法网站，与去年同期相比有407%的惊人增长。

 

新闻2：6月4日，来自SecurityFocus.com的消息，反病毒厂商McAfee当天发表安全报告称，香港（.hk）、中国大陆(.cn)、菲律宾(.ph)和罗马尼亚(.ro)的顶级域名分别占据恶意网站数量榜的前列，香港是恶意网站最多的地区。这份报告表示，在McAfee产品SiteAdvisor中所能够检测的超过一千万的网站中，香港的恶意网站占了恶意网站总数的19.2%，而中国大陆的恶意网站则以11%名列第二。而在McAfee提供的2007年安全报告中，南太平洋小国托克劳是恶意网站最多的国家。

 

分析：香港和大陆登上恶意网站数量榜的前列，与国内这两年网络犯罪案件的大量出现有极大的关系。由于国内网络安全方面的立法较为薄弱，不承认用户对私人敏感信息、游戏账户等虚拟财产的所有权，相关政府部门的技术力量也较为一般，无法很有效的控制和惩治国内的网络犯罪活动。另一方面，越来越多的傻瓜式黑客工具和教程的出现，地下漏洞交易市场的日益火爆，也使得网络犯罪的技术门槛越来越低。国内大量的域名和主机注册代理商，并不严格的验证注册者的真实身份和注册服务的用途，从某种程度上来说也是导致中国成为恶意网站泛滥之地的原因之一，通过代理商匿名购买大陆或香港的网页空间、托管服务器，并低价注册网址，已经成为国内地下黑客团体最喜欢使用的恶意网站建设方式。恶意网站建设完成之后，黑客往往会再对规模较小、安全技术力量薄弱的合法站点进行入侵，插入指向事先构建好的恶意网站的代码。

 

笔者建议：如何防御无处不在的恶意网站？用户除了应该及时更新自己的操作系统和安全软件外，还应该及时更新操作系统上安装的第三方软件，防止第三方软件中存在的漏洞成为黑客入侵自己系统的门户。此外，新一代的浏览器，如新版本的Firefox([url]http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9023520[/url])和Opera（ [url]http://www.securityfocus.com/brief/750?ref=rss[/url]）都提供反恶意软件功能，Windows自带的IE浏览器尽管没有内置这样的功能，但许多安全厂商也推出了具有恶意站点拦截功能的浏览器插件，用户也可以选用这样的浏览器产品，以提高Web浏览的安全性。

 

移动安全：最新版本的Symbian操作系统发现漏洞；智能手机比笔记本电脑的威胁更大；关注指数：高

新闻1：6月5日，来自net-security.org的消息，安全厂商F-secure的研究人员最近发现，在广泛使用的手机操作系统Symbian上存在权限提升漏洞，黑客只需要通过一个自己编写的小程序，即可利用这个漏洞跳过Symbian上内置的安全控制措施，并访问到使用该操作系统的手机的文件系统，并任意读取用户的敏感信息。目前F-secure已经确认最新版本的Symbian操作系统也会受到该漏洞的影响。

 

新闻2：6月2号，来自Computerworld.com的消息，根据终端安全厂商Credant Technology最近的一份调查报告，智能手机的威胁正逐渐被企业认识。在接受调查的企业IT部门的高层人员中，有94%的人认为智能手机和PDA的安全威胁不容忽视，与此同时，分别由88%的人和80%的人认为移动存储设备及笔记本电脑的安全威胁不容忽视。调查还显示，目前智能手机带来的安全威胁主要发生在在用户将其用于电子邮件服务时。

 

分析：智能手机和PDA功能的不断增强，售价反而不断下降，越来越多的用户都开始用智能手机换下自己原来用的普通手机。而城市里越来越多的公共场所安装了无线AP，移动服务商也开始在国内提供Wi-Fi无线服务，这都极大满足了用户随时随地连接互联网的需求。但绝大部分的用户都没有意识到，智能手机的使用也会给自己带来相当大的安全风险，除了在上述新闻中提到的访问电子邮件服务时密码容易被盗之外，智能手机因为机能的限制，加密功能并不是很强，在公共场所访问免费无线服务时很容易被别有用心的攻击者拦截通讯，获取敏感信息。其次，智能手机比笔记本电脑更小，也就更容易被盗，导致被盗手机上的私人或企业敏感信息外泄。最重要的一点是，智能手机的操作系统是直接写入手机的ROM内的，一般用户很难对其进行升级或更新，即使换用相同操作系统的更新版本，也不见得一定能够支持现有的手机。智能手机这样设计带来的最大问题是，智能手机有个人电脑的大部分功能，却无法像个人电脑那样升级操作系统，或为操作系统打补丁，因此，一个操作系统存在漏洞的智能手机就如同定时炸弹一样，长期埋在企业的内部网络中，直到某一天被攻击者作为入侵企业内网的跳板。

 

笔者观点：由于智能手机设计和机能的限制，决定了企业只能从管理和控制上来尽可能减小用户使用智能手机带来的各种安全风险，但目前市场上看到的大多数智能手机安全产品只是针对智能手机本身的，从企业安全体系或网络访问控制的角度进行控制的产品还不多见，做移动安全的厂商可以适当关注这个领域。