8月第3周安全回顧:黑客攻擊肆虐電子商務安全須加強

本文同時釋出在：[url]http://netsecurity.51cto.com/art/200808/86067.htm[/url]

 

本週（080818至080824）資訊保安威脅等級為低。

 

對FBI網路犯罪部門專管的採訪；推薦指數：中

 

華盛頓郵報的記者週一採訪了FBI的網路犯罪部門專管James Finch，記者專門向Finch詢問了美國國內的電子商務和網路犯罪、線上攻擊現狀等熱點問題，Finch也詳細的進行了逐一回答。文章是該次採訪的摘要，推薦有興趣瞭解美國相關領域現狀的朋友看看。

 

要聞回顧：
    

媒體方面，本週值得關注的新聞集中在黑客攻擊和電子商務安全領域。

 

黑客攻擊：Red Hat和Fedora Linux社群伺服器被黑客入侵，關注指數：高

 

新聞： 8月22日，來自Securityfocus.com的訊息，知名Linux廠商Red Hat及其社群版本Fedora週五釋出安全警告稱，來源不明的黑客成功攻擊了Red Hat和Fedora社群使用的多臺伺服器，並迫使這些系統的管理員關閉系統一週。其中，影響最為顯著的是黑客成功入侵了Fedora社群用於對產品自動升級包進行數字簽名的系統，此外，黑客的攻擊也影響了Fedora社群的資料庫、代理伺服器和協作網路，Red Hat公司的少量系統也在本次攻擊受到影響。儘管目前沒有證據表明黑客在入侵之後已經成功獲取Fedora社群用於簽名自動升級包的主金鑰，但Fedora社群仍決定重新生成並分發新的金鑰，並檢查現有的自動升級包集合是否有黑客故意插入的惡意程式碼。

 

分析：Red Hat 和Fedora Linux是目前使用者範圍最廣的Linux版本之一，儘管目前其面臨來自SUSE、Ubuntu等發行版新秀的強力挑戰，但仍以其技術領先、廠商支援和使用者基礎雄厚等特點，廣泛應用於企業中高階領域和個人領域。黑客這次對Red Hat和Fedora社群伺服器的成功攻擊，最大的潛在威脅在於黑客攻擊的是Fedora社群用於對自動升級包進行數字簽名的系統，如果黑客成功獲得進行數字簽名用的主金鑰，就可以將惡意的升級包簽名並插入到資料庫中，並在使用者自動升級系統時進行感染和傳播惡意程式碼。此外，黑客還成功攻擊了Fedora社群的資料庫和代理伺服器，可能已經獲取相當多使用者的Fedora系統的技術細節，或者使用者的隱私資訊。

 

筆者觀點：由於Red Hat和Fedora社群在安全公告中並沒有公佈太多關於這次攻擊的細節，因此攻擊造成的影響如何尚無法評估，Red Hat和Fedora社群也計劃釋出一系列新的升級包，來修正目前對應Linux發行版中潛在的安全問題。筆者建議，Red Hat和Fedora Linux使用者應檢視最近一段時間系統進行過的自動升級操作日誌，檢查是否下載執行過被黑客篡改過的惡意升級包，並關注Red Hat和Fedora社群最近釋出的安全公告和補丁升級程式，及時修補系統中可能存在的安全漏洞。

 

電子商務安全：新版PCI DSS標準的細節被公開；關注指數：高

 

新聞：8月22日，來自ITnews.com.au的訊息，PCI安全標準委員會當天透露了新版PCI DSS（Payment Card Industry Data Security Standard，支付卡行業資料安全標準）標準的部分細節，它的內容及架構將和現在通行的PCI DSS 1.1版本沒有太大的區別，PCI安全標準委員會更多的是根據PCI DSS在過去兩年中實施的反饋進行了細節和需求上的修改，對許多細節上的定義也加入了更為清晰的描述，其中最顯著的變化有兩點：1.2版本要求根據行業最佳實踐，更全面的在基於公共網路的無線通訊上使用更強的加密措施，此外，1.2版本還將會對能夠在各作業系統平臺上防禦各種惡意軟體的反病毒軟體進行詳細的定義。目前PCI DSS 1.2版本仍處於評估和建議階段，最終版本的PCI DSS 1.2版本將於今年10月初推出。

 

分析：PCI DSS標準是一個為業界廣泛接受的電子商務安全標準，主要用於規範各種電子商務企業如何安全的儲存和使用使用者的支付卡資訊，PCI DSS最早是由兩家信用卡服務商Visa和MasterCard聯合推出的。在最近兩年國際零售業和政府部門頻繁發生嚴重的使用者身份識別資訊失竊案件之後，電子商務企業都意識到安全儲存和使用支付卡資訊的重要性，PCI DSS標準也逐漸成為行業內被廣泛接受的最佳實踐原則。PCI DSS標準在2005年推出第一個版本之後，根據在行業內實施的經驗和反饋，1.1版本進行了較大的修改。隨著電子商務企業使用的資訊科技和外部資訊保安威脅的不斷髮展，新的1.2版本在保持1.1版本的大體架構上，新增無線網路安全和反惡意軟體這兩個定義，顯然是為了應對最近幾年電子商務企業廣泛使用無線網路技術，以及殭屍網路及其他惡意軟體已經成為電子商務企業資料安全最大的安全威脅這兩個趨勢而制定的。但和國外的電子商務企業廣泛遵從或準備使用PCI DSS標準的現狀相比，國內只有極少幾家在美國上市的電子商務公司遵從了PCI DSS標準，而其他企業大多隻經過國內非官方組織或者安全企業的檢測認定，這在電子商務業務日益國際化，以及國際網路犯罪逐漸滲透國內的現狀下，仍是有較多不足之處的。

 

筆者觀點：遵從PCI DSS標準，可以為電子商務企業的業務和敏感資料安全增加多一層保障，如果國內的電子商務企業要開展國際業務，PCI DSS標準的遵從是首先要克服的技術門檻。而與之相對的，國內能夠提供PCI DSS標準服務的廠商、或標準遵從的自動化產品都不太多，這也需要引起國內安全行業的注意。