4月第3周安全回顧惡意微處理器亮相垃圾郵件出新招

技術小美發表於2017-11-08
 
本週(080414至080420)資訊保安威脅程度為低。安全廠商Webroot週二釋出了一份名為《如何從邊界到終端保護業務免受惡意軟體》的白皮書,該白皮書中的四個關鍵點:部署業界認可的安全標準、使用技術方案進行安全區域分隔、在企業網路邊界攔截垃圾郵件和主動對員工進行安全教育,對企業的惡意軟體防禦工作相當有指導意義,建議從事企業資訊保安工作的朋友瞭解一下,相關的網址如下:
[url]http://www.darkreading.com/document.asp?doc_id=151134&f_src=darkreading_section_297[/url]
 
此外,本週值得關注的新聞集中在威脅趨勢、反垃圾郵件和電子商務安全領域。
 
威脅趨勢:惡意微處理器的首度公開亮相;關注指數:高
新聞:週二,在舊金山舉行的安全研究人員會議上,來自伊力諾依大學的研究人員展示了他們的最新研究成果——可執行計算機系統後門功能的惡意微處理器。該微處理器原本用於執行嵌入式的Linux,研究人員修改了該微處理器的韌體程式並加入系統後門功能。研究人員只需在網路上向該處理器傳送一個特定的資料包,然後輸入預先設好的密碼,便可跳過作業系統的控制得到整個系統的控制權。
筆者觀點:這個訊息值得關注的地方在於,它是可用於惡意用途的微處理器的首度公開亮相。伊力諾依大學的研究成果離現實成功還有較大距離,但這個研究成果已經在闡述這樣一種可能性:多年來惡意攻擊者一直試圖在使用者的軟體中尋找漏洞並進行攻擊,但現在攻擊者多了一個選擇,那就是利用預先埋設在微處理器中的後門,直接跳過作業系統的控制得到整個系統的控制權。此外,埋設在微處理器韌體中的後門,從使用者角度來看基本是不可能被發現的。
筆者認為,單從技術實現上來說,由於使用者日常接觸到的大部分微處理器都是可執行多種作業系統的通用型微處理器,攻擊者修改過的韌體很難適應使用者環境中可能執行的所有作業系統,因此在通用微處理器中埋設後門的攻擊方式在未來幾年內不太可能出現,即使出現,影響的範圍也極為有限。但在某些如交通運輸、金融行業、醫療等特殊行業中使用到的專用裝置上,專用微處理器和專用作業系統的搭配相當常見,上述攻擊方式的成功率將大為提高。
 
反垃圾郵件:垃圾郵件傳送者的新攻擊策略——你的裸體視訊;關注指數:高
新聞:週四,郵件安全廠商Marshal警告稱,目前垃圾郵件傳送者正在發動新一輪的垃圾郵件攻勢,並使用了新的攻擊策略。受到攻擊的電子郵件使用者會收到主題和內容包含“我們捕獲到你的裸體視訊”字樣的電子郵件,如果使用者不小心點選了該垃圾郵件中附帶的網址,使用者的系統將有可能感染殭屍類惡意軟體。
筆者觀點:和以往用中獎資訊、朋友問候等吸引使用者點選的傳統策略不同,這次垃圾郵件攻擊者使用了更為精巧的攻擊策略——通過垃圾郵件誇張的內容,誘騙好奇或憤怒的使用者點選垃圾郵件內的連結,並達到種植惡意軟體或盜取使用者敏感資訊的目的。儘管目前國內尚未出現有本地化的類似垃圾郵件攻擊,但經過今年年初的豔照門事件及網際網路上無處不在的偷拍風氣,相信國內的使用者也很容易受使用上述攻擊策略的垃圾郵件攻擊。
筆者建議,使用者在使用電子郵件服務時,不要輕易開啟來自不可信來源的電子郵件,也不要隨意點選電子郵件內所帶的網站連結,尤其是主題聳人聽聞,來歷不明的電子郵件更應該小心。另外,使用者應及時更新自己作業系統及軟體的補丁程式,並保持現有安全軟體的版本為最新,這樣即使是不小心點選到垃圾郵件中的網站連結,也不容易受到各種惡意軟體的侵襲。
 
電子商務安全:PayPal計劃阻止使用不安全瀏覽器的使用者;關注指數:中
新聞:週三,支付服務提供商PayPal(中文名:貝寶)計劃阻止使用不安全瀏覽器的使用者通過PayPal進行交易,該計劃所涉及的瀏覽器軟體包括所有不支援擴充套件SSL協議(EV SSL)的產品,如舊版本的Internet Explorer、Firefox、Opera和Apple Safari等。EV SSL是在現有SSL協議版本上進行功能擴充套件的新SSL版本,能夠在提供現有SSL協議的加密、簽名功能的基礎上,增加了對伺服器名進行校驗的功能,能夠有效防禦網路釣魚的攻擊。EV SSL協議需要客戶端的瀏覽器支援,目前主流的Internet Explorer 7、新版本的Firefox和Opera等瀏覽器產品均對EV SSL協議提供了支援。
筆者觀點:PayPal對不安全瀏覽器使用者的阻止計劃,商業上的意義遠大於其技術實現的意義,顯示PayPal在業務風險處置方面的新觀點:對使用者進行安全准入式的控制,降低因為使用者責任導致的業務損失和聲譽影響。從表面上看,PayPal的計劃過於激進,甚至有可能在短時間內使使用者數量出現明顯的下降,但因為技術條件已經成熟,即大部分使用者都已經在使用支援EV SSL協議的瀏覽器,Microsoft也通過Windows Update提供IE7的更新,事實上PayPal這樣對大多數使用者並沒有影響。PayPal還能夠降低用於防禦網路釣魚攻擊的開支及提高使用者的使用安全性,可謂是一舉多得。
筆者認為:PayPal的計劃如果能夠成功實現,將有可能成為網際網路電子商務網站爭相效仿的一種模式,安全准入制的使用者控制方法也有可能被非電子商務的大型網站所採用,並有可能創造電子商務安全市場的新增長點。但電子商務網站實施類似的計劃時,也應該關注使用者在不同安全體系下的切換體驗和相應的使用者宣傳教育。建議國內的線上支付服務商可適當關注PayPal的計劃實施情況。
本文轉自J0ker51CTO部落格,原文連結:http://blog.51cto.com/J0ker/72651,如需轉載請自行聯絡原作者


相關文章