本週(080901至080907)的資訊保安威脅等級為低。但本週值得關注的新聞集中在Web瀏覽安全和虛擬化安全領域。Google釋出Chrome開源瀏覽器其安全性和使用者吸引力仍顯不足,而Hypervisor作為虛擬機器和真實機之間的橋樑,虛擬機器的管理和安全問題是企業值得關注的。
 
推薦閱讀
 
1)對於資料洩漏防禦使用者應該瞭解的幾點;推薦指數:高
近兩年頻繁發生的敏感資料洩漏案件,以及隨之帶來的嚴重的經濟和聲譽形象損失,使得越來越多的企業逐漸開始關注如何保護自己的資訊資產和敏感資料。資料洩漏防禦作為一種能夠在資料全生命週期內有效實施保護的解決方案,成為許多企業理想的選擇,但如何選擇適合自己的資料洩漏防禦產品,又成為亟待解決的問題。
 
2)如何使用防火牆管理方案提升現有防火牆的安全性和效能;推薦指數:高
企業在部署防火牆之後,如何保持防火牆的安全性和效能,同時消除企業內部網路中存在的風險因素,關鍵是保持防火牆的正確配置,而這也正是企業防火牆管理員最常面臨的挑戰之一。
 
本週值得關注的新聞集中在Web瀏覽安全和虛擬化安全領域
Web瀏覽安全:Google釋出Chrome開源瀏覽器,但其安全性和使用者吸引力仍顯不足;關注指數:高
 
新聞1:9月2日,來自多家媒體的訊息,搜尋廠商Google準時釋出了開源瀏覽器產品的測試版——Google Chrome。Google稱,Chrome比目前市面上流行的其他瀏覽器產品速度更快、工作更好同時也能更好的保護使用者的資料。Google在同時釋出用於推廣Chrome的40頁漫畫書中介紹Chrome的多個特性,如每個選項卡使用獨立的程式空間,使用動態程式碼生成以加速Java Script的執行,更好的自動完成和搜尋功能,以及允許使用者直接拖動選項卡成為獨立視窗等功能,在安全方面,Chrome還整合了全新的程式碼沙箱和Google的惡意網站黑名單,有效的保證了使用者的Web瀏覽安全。
 
新聞2:9月3日,來自ZDnet.com的訊息,以色列安全研究人員Aviv Raff在Google釋出開源瀏覽器Chrome的第二天,就公開了Chrome的漏洞資訊。該漏洞存在於Chrome所用的引擎Webkit的較老版本中,其處理Java程式時存在缺陷,***者只需要通過一定的社會工程學手段對使用者進行欺騙,就可以讓使用者下載並執行一個惡意的Java小程式。 目前已知該Webkit漏洞已經由Apple公司修補。
 
分析:在聽說Google推出開源瀏覽器Chrome之後,筆者在第一時間下載試用,和Google的其他服務及產品一樣,Chrome在平淡中也有不少新意,如加速Java Script執行的動態程式碼生成技術,用Chrome來瀏覽Java Script小程式較多的網頁時明顯感到速度的提升;每個選項卡使用獨立的程式,雖然用程式工具檢視會發現有很多Chrome.exe程式,並佔用較多系統資源,然而Chrome的這種設計可以保證每個選項卡之間不互相干擾,也使得在某個選項卡如果發生意外退出的情況時不會影響其他的選項卡,這是目前市面上的其他瀏覽器無法做到的。
Chrome在安全性上更重要的改進在於整合了Google的惡意網站黑名單,能夠防止使用者意外訪問到存在風險的惡意網站,另外,Chrome也提供了不儲存使用者任何資訊的隱身瀏覽模式,在一定程度上保證了使用者的隱私。不過Google Chrome也並非完美無缺,系統資源佔用較大,無法使用其他瀏覽器的外掛,許多帶Flash的網站無法正常顯示,也是Google下一步需要改進的地方。
 
筆者認為:從目前的Google Chrome來看,Chrome尚不具備威脅到IE、Firefox和Opera這瀏覽器市場三大主力產品的能力,儘管Chrome提供了不少看起來很強大的安全功能,但仍不能算是一個劃時代的瀏覽器產品,如其重要的特點程式碼執行沙箱功能,新一代的IE、Firefox和Opera 9.5上也即將採用,而另外一個重要的安全特性Google惡意網站黑名單功能,也是現有版本的IE、Firefox和Opera能夠通過SiteAdvisor等第三方外掛可以實現的功能,而IE 8中自帶的隱私模式,也不弱於Chrome的隱私瀏覽模式。
目前Chrome也不支援IE的ActiveX控制元件和Firefox的擴充套件外掛,這種設計雖然可以在一定程度防止使用者安裝惡意外掛,但也明顯削弱了Chrome的可擴充套件性,使用者在使用網上銀行或其他需要安裝外掛才能訪問的服務時,只能放棄Chrome而改用其他瀏覽器產品,Chrome對許多網站的相容性問題、對系統資源的較大佔用,也會影響不少使用者的選擇。Chrome是否會成為瀏覽器市場的一匹黑馬?現在下結論還為時尚早。
 
虛擬化安全:Microsoft官員反駁關於其Hypervisor產品安全有問題的言論;關注指數:高
新聞3:9月5號,來自ZDnet.com.uk的訊息,在澳大利亞悉尼的TechEd會上,Microsoft負責安全戰略的官員Steve Riley對上個月波蘭研究人員Rutkowska和她的同事Rafal Wojtchuk在黑帽安全會議上,釋出的關於Microsoft及其他軟體廠商Hypervisor產品安全容易受到威脅的言論進行了反駁,並稱Rutkowska的方法實際上並不可行,很容易被有經驗的管理員發現。
Hypervisor是虛擬化應用中的管理程式,所有的虛擬系統都需要通過Hypervisor和實際系統進行互動並完成執行。Rutkowska在上個月的黑帽安全會議上釋出了她最新的研究成果,一個能夠替代虛擬化系統中合法Hypervisor的惡意程式。
 
分析:新聞中提到的Rutkowska並不是安全業界的無名小卒,甚至可能說是國際上出名的女***。她在前年和去年的黑帽安全會議上曾分別發表過Vista核心安全的研究報告和據說很難檢測的基於虛擬機器Hypervisor的Rootkit“Blue Pill”。儘管後者在發表後不久就被來自Symantec、Root Security等幾家廠商及安全研究機構的研究人員證明是錯誤的,但她的觀點仍為安全業界認為相當有新意。
Microsoft官員反駁的就是她今年的研究成果,可替換合法Hypervisor的惡意程式。從目前雙方公開的資料以及筆者的專業知識判斷,Rutkowska所公開的惡意Hypervisor程式,只是理論上能夠實現的試驗品,不會成為虛擬化應用的實際威脅。因為Hypervisor對虛擬機器來說,相當於虛擬機器和實體裝置之間的橋樑,虛擬機器必須通過Hypervisor才能訪問到實體裝置,這就要求Hypervisor除了能夠實現管理虛擬機器的功能之外;
同樣需要能夠相容大部分流行的實體裝置,這恰恰是***所編寫的惡意Hypervisor程式很難做到的,畢竟***的資源遠遠比不上提供Hypervisor的廠商,當然,類似XenSource這樣的開源Hypervisor產品也有遭受惡意修改的可能性,但一旦被修改,管理員是很容易發現***執行過的修改的。筆者認為,企業在應用虛擬化技術時,更需要關注的是虛擬機器的管理和安全問題,這才是有可能會對企業內部網路安全造成較大影響的潛在因素。