8月第4周安全要聞回顧：WEB攻擊更為隱蔽SSD驅動器欠佳

本文同時釋出在：[url]http://netsecurity.51cto.com/art/200809/88344.htm[/url]

 

本週（080825至080831）資訊保安威脅程度為低。

1）如何通過軟體安全開發流程提升應用程式安全；推薦指數：高

軟體安全和應用安全的缺失日益成為企業內部網路漏洞的主要來源，企業要提升IT架構的安全程度，使用軟體安全開發流程是一個必然的選擇。從2006年開始，應用安全逐漸為軟體及安全行業所關注，Microsoft也開始使用並推廣安全開發生命週期（SDL）。推薦軟體或有外包業務的朋友瞭解一下。
[url]http://www.eweek.com/c/a/Security/How-to-Increase-Application-Security-through-Secure-Software-Development/?kc=rss[/url]

 

2）社會網路網站使用的7個最致命行為；推薦指數：高

你是否瞭解當前和你交流的網友的真實身份？你有可能正在落入一個網路罪犯的陷阱——請關注Darkreading.com專題：社會網路網站的7個最致命行為

 

3）WiMax： 新的安全挑戰？；推薦指數：中

長期以來，廉價且容易使用的無線網路被認為是向移動使用者提供高速網路訪問的最佳方案，無線網路技術中使用最為廣泛的版本Wi-Fi，也在過去的幾年裡廣泛的應用到了家庭、辦公和公眾場合。正如任何廣泛應用的技術會面臨來自各種惡意攻擊的威脅一樣，無線網路，尤其是公眾場所中使用的Wi-Fi應用，一直是攻擊者最為喜歡的攻擊物件之一。作為Wi-Fi的廣域升級版，WiMax的部署和使用，是為移動使用者提供了新的上網選擇，抑或是又一個新的安全挑戰？


請關注Securityfocus.com文章：[url]http://www.securityfocus.com/infocus/1901?ref=rss[/url]

 

4）如何使用蜜罐（Honeypot）系統來增強網路安全；推薦指數：高

在傳統的觀念裡，網路安全應該是純防禦性的，人們在部署網路安全方案時，大都只使用防火牆、加密技術和入侵檢測等防禦性的方案。然而   隨著當前黑客攻擊技術和威脅的快速發展，企業面臨日益增大的安全壓力，蜜罐系統作為一個更積極主動的安全防禦方式，也開始進入企業安   全領域，有興趣的朋友可以通過eWeek.com文章：如何使用蜜罐系統來增強網路安全瞭解蜜罐的相關知識和應用。

 

本週值得關注的新聞集中在黑客攻擊和安全研究領域。

 

黑客攻擊：針對Linux的攻擊增多；流行Web攻擊手法變得更為隱蔽；關注指數：高

新聞1：8月26日，來自eWeek.com的訊息，美國應急響應中心USCERT警告稱，黑客目前正在使用存在弱點的SSH金鑰攻擊Linux系統，並在成功攻下的Linux上植入Rootkit惡意軟體以偷取更多的SSH金鑰。

 

分析：根據USCERT的進一步訊息，攻擊者的主要攻擊手段為通過偷來的SSH金鑰訪問存在缺陷的Linux系統，然後使用核心本地溢位漏洞的利用程式提升許可權，黑客成功攻擊後，還會植入一個名為phalanx2的Rootkit惡意軟體。從攻擊所用的技術來看，可能和年初時候所公開的Debian OpenSSL軟體包中存在的缺陷有關，該缺陷會使得加密內容洩漏給黑客。筆者建議，Linux系統管理員應迅速檢查系統中是否有元件或服務使用基於SSH金鑰的驗證服務，如果有的話可建議使用者為SSH金鑰增加密碼保護，以減少遭受上述攻擊的威脅風險和遭受攻擊後可能的損失。如果管理員已經確認遭受上述攻擊，可通過禁用基於SSH金鑰的受影響系統訪問，以減少損失。

 

新聞2：8月27日，來自DarkReading.com的訊息，安全廠商WhiteHat Security的研究人員稱，黑客正越來越多的使用編碼等方法，來使其慣常使用的Web攻擊手法——SQL隱碼攻擊、跨站指令碼攻擊等能夠躲避現有Web安全防禦的檢測。根據ScanSafe服務的每月Web攻擊報告，其在7月攔截的惡意軟體數量比6月上升了87%之多，其中有78%為黑客通過SQL隱碼攻擊而帶入受害網站的。

 

分析：作為國內外黑客最慣常使用的入侵手段，SQL隱碼攻擊和跨站指令碼攻擊被黑客廣泛的用於對合法站點，尤其是電子商務和媒體站點的攻擊上，黑客往往還將這兩種攻擊手法與各種惡意軟體相結合，通過受害網站向使用者傳播惡意軟體，盜取使用者的隱私和賬戶資訊，最近幾個月黑客更是使用這兩種攻擊手段，大規模的攻擊了國外站點。針對這種狀況，安全廠商紛紛推出了自己的安全防禦方案，並在相當多的網站上使用，但這些防禦方案中有相當一部分產品存在只能檢查流向伺服器的明文資料流，而無法檢查經過加密的資料，從而留下不小的隱患。WhiteHat Security的報告就顯示了黑客在近段時間越來越多的使用加密或編碼方式來穿透傳統 Web安全防禦的趨勢。

 

筆者建議：由於目前網上已經有相當多編碼和加密工具可以下載，黑客在實施SQL隱碼攻擊和跨站指令碼攻擊時可輕易的完成加密或編碼操作，從而穿透一些較弱的Web安全防禦措施，並實施攻擊。因此，建議目前已經採用Web安全防禦的網站也不要掉以輕心，網站管理員也可以通過使用日誌工具來檢查Web訪問日誌，從是否存在編碼過的Web請求來判斷是否曾遭受過加密SQL隱碼攻擊或跨站指令碼攻擊。

 

安全研究：SSD驅動器安全程度欠佳；關注指數：高

 

新聞：8月22日，來自Computerworld.com的訊息，來自半導體研究和諮詢企業Objective Analysis的研究人員稱，他們成功的使用低功率的鐳射清楚SSD驅動器控制晶片上的加密鎖，此外，SSD驅動器上刪除檔案也可以通過反刪除軟體方便的重現。

 

分析：隨著SSD固態儲存技術的快速發展，SSD驅動器正越來越多的出現在原本由硬碟佔據的場合，尤其在筆記本計算機、行動電話等移動計算裝置上，SSD驅動器的使用能夠有效降低裝置的重量，提高裝置的抗震能力，還能在節能的情況下提升資料訪問的速度。為了保證資料儲存安全性，已經在SSD驅動器丟失時保護敏感資料，許多廠商推出了加密型的SSD驅動器，其實現方式大多是通過在SSD驅動器的控制電路中寫入加密鎖，從而控制資料的讀出，只有少數高階的SSD驅動器是採用了加密資料的方式來保護儲存的資料。因此，只要有合適的裝置，攻擊者可以很容易的清除掉加密鎖，並使用普通的ROM閱讀器讀出本來不能讀出的敏感資料。此外，由於SSD驅動器與傳統的硬碟不同，在傳統硬碟上使用的資料安全軟體並不能很好的在SSD驅動器上工作，攻擊者也可以通過使用資料恢復軟體，來讀取SSD驅動器上存在的殘餘資料。這兩種威脅將會隨著使用SSD驅動器的移動計算裝置在企業中的廣泛擴散而越來越嚴重。

 

筆者建議：無論使用者購買或使用的SSD驅動器是否屬於加密型的驅動器，都建議使用第三方的資料加密軟體，如PGP、EFS或TrueCrypt等建立加密分割槽，並將敏感資料儲存在加密分割槽內。這樣，使用者的敏感資料能夠得到硬體和軟體的雙重加密保護，即使攻擊者攻破使用者的軟體或硬體加密保護，使用者也不至於洩漏敏感資訊。另外，使用者在刪除SSD驅動器上的敏感檔案時，建議使用安全刪除軟體來執行這個操作，防止攻擊者使用反刪除軟體進行恢復並造成洩密。