朋友们,新年快乐!感谢在2008年里你们给予笔者及51CTO安全回顾栏目的支持,衷心的祝愿你们在新的一年里身体健康,万事如意,拥有更美好的2009!笔者和51CTO安全回顾栏目在新的一年里,将一如既往的为朋友们提供及时的安全要闻报道和深入的分析,笔者还将根据安全业界重大新闻和事件,不定期推出专题类型的安全要闻回顾,敬请期待!
本周(081229至090104)虽然是每年年底传统的Holiday Season,但不容乐观的经济形势还让安全业界假期缩短了不少。本周值得关注的新闻较多,总体上仍延续2008年末威胁显著上升的态势,漏洞攻击、网络安全、网络犯罪和通讯安全等领域均有需要注意的趋势。Web应用安全领域,笔者将和朋友一起关注最新的Web应用安全标准。在本期回顾的最后,笔者将向朋友们介绍两个功能强大的安全工具,同时还为朋友们精心挑选了两个值得一读的推荐阅读文章。
本周的信息安全威胁程度为低,当前的互联网攻击威胁水平维持在较低水平,朋友们只需要注意升级反病毒和防火墙软件,即可保证自己系统和互联网浏览的安全。
网络安全:新的SSL缺陷影响网站安全;关注指数:高
目前需要较高安全性的网站大多应用了SSL技术,作为保护用户与网站服务器之间通讯和数据安全的主要手段。数字证书则是SSL技术最为重要的组成,可用于验证网站服务器的身份,评价网站和用户间的SSL通讯是否安全,也主要看SSL数字证书的实现方法和安全程度。然而,最近的研究表明,新发现的数字证书签名缺陷将会对网站安全造成相当大的负面影响。根据12月30日Darkreading.com和Securityfocus.com的报道,在本周柏林举行的第25届Chaos Communication会议上,来自欧洲和美国的研究人员向与会者介绍了他们的最新研究成果:如何通过SSL数字证书的缺陷,攻击使用SSL的安全网站。该项研究主要针对当前互联网上应用范围最广的公钥加密体系(PKI),并使用了早先公开的MD5 Hash算法中的缺陷,该项研究成果能够建立一个虚假的证书授权(CA),并进一步发布虚假的SSL链接数字证书,而现有的所有浏览器都会将这些虚假的数字证书误认为是合法的。研究人员还称,如果网络犯罪组织使用了他们的研究成果,将可以建立虚假的证书授权和一系列伪造数字证书,并用于仿冒知名网站和对用户发起网络钓鱼攻击;同时由于这些可能的网络钓鱼攻击由SSL所加密,也使得安全业界更难发现和跟踪它们。研究人员在本周二已经通知了市场主流的浏览器厂商,但Mozilla和微软都在当天的回应中称,SSL数字证书缺陷带来的风险和责任,应当由目前6个主要使用MD5算法进行数字证书签名的合法CA所承担。
不过网站运营者不必对这个消息过于紧张,如果是正在使用不安全的MD5签名数字证书,可与自己的CA联系,让其换发使用SHA-2等更为安全的Hash算法签名的数字证书。而且从研究人员公开的细节来看,因为这种类型的攻击需要庞大的高性能计算能力来破解合法证书的MD5签名,研究人员使用了超过200台PS3游戏机组成的计算集群。因此, 在短时间内网络犯罪集团实施这样类型攻击的可能性不大,用户浏览器自带的或其他的第三方安全软件提供的防网络钓鱼保护是足够的。
漏洞攻击:微软称WMP漏洞危险度不大,但同时警告用户要注意修补老漏洞;关注指数:高
最近因为自家产品漏洞频发而忙得焦头烂额的微软,本周终于迎来了一个正面的消息。根据12月29日eWeek.com的报道,经过两周的调查和分析后,微软于当天宣布12月早些时候收到的Windows媒体播放器(WMP)中存在远程代码执行漏洞是不存在的。一个安全研究人员曾在上月早些时候称,WMP在处理某些特殊结构的WAV、MIDI和SND文件时,将会触发其设计上的缺陷并执行不可预测的代码,该漏洞会影响应用了最新补丁的Windows XP SP3系统上的WMP 9和11版本。换句话说,黑客可以通过向用户发送特定结构的媒体文件,从而通过这个WMP漏洞在用户系统上安装和执行恶意软件。当时互联网安全组织SANS也在自己的网站上刊登了类似的消息,还向其读者提供了一个演示该漏洞存在的测试代码。不过微软这两周的调查显示,这个存在于WMP中的漏洞并不会导致远程代码的执行行为,只会使WMP崩溃或失去响应,因此,微软调低了该漏洞的威胁等级,但没有说明什么时候会发布针对这个漏洞的补丁。笔者建议,使用Windows 2003 SP2的朋友无需担心该漏洞的影响,微软已经在Windows 2003 SP2中修正该问题,而使用其他版本Windows的用户可以开启Windows自带的数据执行保护(DEP)功能,并打全微软最新的安全补丁即可。
针对用户经常漏掉微软关键补丁的状况,本周末微软再次在其博客上发表了一篇文章,建议用户尽快应用微软最新的安全补丁以防止遭受恶意软件的攻击。根据1月2日eWeek.com的报道,由于互联网上出现一个专门攻击微软10月已修补漏洞的Conficker蠕虫新变种,并已开始在互联网上大规模扩散,因此微软建议还没有使用针对该漏洞补丁的用户尽快通过微软升级服务应用补丁。微软提到的漏洞是去年发现的存在于Windows Server服务中的一个远程代码执行漏洞,如果黑客成功攻击该漏洞,即可在用户的系统上安装恶意软件。微软已于去年10月23日推出了该漏洞的补丁,但最近的一系列的用户报告显示,没有及时应用该补丁的用户仍为数不少。笔者建议用户应尽快通过微软升级服务更新该补丁程序,此外,由于Conficker蠕虫还具有简单密码拆解的能力,能够感染企业内网中使用弱口令的Windows机器,建议用户尽快通过微软Baseline等工具,发现并修正内网机器的弱口令问题。
网络犯罪:专家称身份盗窃攻击在2009将更为猖獗;关注指数:高
身份盗窃攻击,指的是黑客和网络犯罪集团通过技术手段或社会工程学方法,从用户或电子商务商户的系统内盗取身份证号、信用卡号等个人身份识别信息,并将这些信息用于商业欺诈类犯罪活动中的攻击形式。身份盗窃攻击也是当前网络犯罪最活跃的类型之一。根据12月30日sun-sential.com的报道,互联网安全团体身份窃贼资源中心(Identify Thief Resource Center)的专家本月发表的报告称,在2008年内美国身份盗窃攻击事件大增,超过一千万的美国民众成为身份识别盗窃的受害者,美国的金融行业也损失大量资金。而在2009年,随着全球经济情况的进一步恶化,针对身份识别的攻击和犯罪活动将会进一步增加。除了传统的信用卡欺诈外,网络犯罪集团还将使用多种新形式的攻击方法,如针对失业民众的网络抵押欺诈,使用被盗或遗失的银行支票的支票欺诈和跨国的网络有组织犯罪。尽管目前国内关于身份识别盗窃攻击的报道并不多见,但随着我国金融行业的发展和电子商务的兴起,我国互联网用户遭遇此类攻击的风险将会越来越大,而这点却又是我国安全行业较为薄弱的地方。笔者和51CTO安全回顾频道在2009年将更多关注身份识别保护的相关领域,并将推出一系列专题文章,为读者带来相关领域最新的威胁分析和安全指南,敬请期待!
通讯安全:短消息拒绝服务攻击可导致手机瘫痪;关注指数:高
拒绝服务是黑客对网站或其他服务器攻击时常见的攻击手段,安全市场上也有很多能有效对抗拒绝服务攻击的产品。然而最新的一种拒绝服务攻击类型——短消息拒绝服务,可能就没有多少朋友听说过。根据1月2日Darkreading.com的消息,在29届Chaos Communication会议上,一位安全研究人员向与会者演示了如果通过一条简单的短消息,使特定操作系统类型的手机无法再使用短消息服务,目前已经确认存在这个弱点的手机操作系统包括Symbian S60的多个版本和索爱 UiQ系统 。安全厂商F-secure也证实了这一点,并确认即使是用户关闭手机电源并重启也不能停止这种攻击的影响。有兴趣的朋友还可以在以下链接找到这种攻击的演示视频:
[url]http://www.youtube.com/watch?v=qwC7oVPIPHQ&feature=channel_page[/url]
[url]http://www.youtube.com/watch?v=qwC7oVPIPHQ&feature=channel_page[/url]
虽然这种攻击方式对用户的威胁只相当于恶意的玩笑,不过笔者认为,这种利用手机操作系统漏洞的攻击方式,对很难进行软件升级的手机显然是相当致命,假设在某种特殊的场景下,黑客利用手机操作系统的漏洞攻击特定人群,也会造成相当大的破坏性。要防御这种攻击,最好不要轻易开启来自未知发件人的短消息,另外,使用手机版的防病毒软件是不错的选择,不过用户需要经常升级反病毒软件才会有比较好的效果。
Web应用安全:OWASP推出最新的Web应用安全标准;关注指数:高
根据12月29日的Darkreading.com,知名的Web应用安全组织OWASP当天推出了其最新的Web应用安全标准,这个开放的标准,旨在为网站运营者、开发人员和安全行业提供一个商业化及可操作的Web应用程序验证标准。这个标准值得关注的地方在于,它提供灵活的安全等级定义和一系列的安全指标,让Web应用的所有者清晰的了解自己的应用是否安全,和安全程度到底达到了什么样的等级。笔者认为,该标准有价值的地方在于,它定义了需要满足什么样条件的Web应用程序,才能用到什么安全等级需求的系统或用户方,从某种程度上说,如果该标准能够顺利投入使用,可能会成为最终用户对Web应用程序成品进行检测,并最终接受的通用标准。目前该标准正处于公开测试的阶段,有兴趣的朋友可以在以下链接中获得更多信息:
[url]http://www.owasp.org/index.php/Category:OWASP_[/url]
Application_Security_Verification_Standard_Project
[url]http://www.owasp.org/index.php/Category:OWASP_[/url]
Application_Security_Verification_Standard_Project
安全工具:
1) Memoryze: Memoryze是一个功能强大的Windows系统内存分析工具,能够用于对内存(包括磁盘上的分页文件)中的可疑进程进行分析,提供用于分析的充分信息,并能够将内存中的内容保存到磁盘上。推荐对调查取证或恶意软件分析有兴趣的朋友使用,下载地址如下:
[url]http://www.mandiant.com/software/memoryze.htm[/url]
2) Zerowine:Zerowine是一个恶意软件行为分析工具,只需要通过它提供的Web界面上传可疑的PE文件,Zerowine就会自动分析该进程所执行的所有操作,并给出详细的报告。下载地址如下:
[url]http://sourceforge.net/projects/zerowine[/url]
[url]http://www.mandiant.com/software/memoryze.htm[/url]
2) Zerowine:Zerowine是一个恶意软件行为分析工具,只需要通过它提供的Web界面上传可疑的PE文件,Zerowine就会自动分析该进程所执行的所有操作,并给出详细的报告。下载地址如下:
[url]http://sourceforge.net/projects/zerowine[/url]
推荐阅读:
1) 2008年最值得关注的10个安全新闻;推荐指数:中
12月29日的eWeek.com评出了2008年最值得关注的10个安全新闻,包括微软推出Live One Care、DNS漏洞等,朋友们从侧面可以了解一下2008年有哪些新闻会对2009年的安全业界产生深远影响。文章地址如下:
[url]http://www.eweek.com/c/a/Security/Top-10-Security-Stories-of-2008/?kc=rss[/url]
[url]http://www.eweek.com/c/a/Security/Top-10-Security-Stories-of-2008/?kc=rss[/url]
2) 2009年你可能没有注意到的4种威胁;推荐指数:高
新年里使你睡不好觉的安全威胁可能并不是你所能预见的——12月31日Darkreading.com推出了一篇有意思的文章《2009年你可能没有注意到的4种威胁》,观点很独特,推荐朋友们都阅读一下。文章地址如下:
[url]http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml;[/url]
jsessionid=PQPT2Q5FQL3U2QSNDLPCKH0CJUNN2JVN?articleID=212700328
[url]http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml;[/url]
jsessionid=PQPT2Q5FQL3U2QSNDLPCKH0CJUNN2JVN?articleID=212700328
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/125508,如需转载请自行联系原作者
