10月第3周安全回顧:惡意軟體肆虐Web安全重點關注

本文同時釋出在：[url]http://netsecurity.51cto.com/art/200810/94116.htm[/url]

 

安全業界呈現平靜下暗流湧動的態勢：安全業界在網際網路Botnet之戰中取得里程碑式的勝利，然而使用者也不能因此鬆一口氣，針對使用者移動裝置的攻擊浪潮正蓄勢待發。另外，最近一段時間第三方機構的測評和研究結果表明，目前安全產品和技術的發展開始出現落後於攻擊技術發展的苗頭；當然也並不是所有的新聞都是令人沮喪的，本週安全產品和市場方面也有些值得關注的積極訊息。

本週的資訊保安威脅程度提升為中，請朋友們及時更新系統和安全軟體，並在瀏覽網站及網路活動時保持安全的使用習慣。

在本期回顧的最後，筆者同樣精選了2個值得讀者一看的推薦閱讀文章。

 

如果問起網際網路上最為著名的殭屍網路是誰，估計大部分安全廠商都會回答是Storm 殭屍網路——在2006至2008年度，這個名為風暴的殭屍網路曾在網際網路上瘋狂肆虐，並一度感染了超過百萬的聯網計算機，而每到重要節日或出現什麼重大的事件之時，網際網路電子郵件系統中也總是充斥著由Storm殭屍網路發出的夾帶有惡意軟體或指向惡意網站連結的電子郵件，Storm殭屍網路還創造了多個第一，如變種速度最快、影響範圍最廣等。安全業界也沒有坐視Storm殭屍網路對使用者的嚴重威脅，針對殭屍網路的傳播機理研究及防禦技術、反垃圾郵件技術、主動防禦技術等都有了長足的發展，並最終在Storm殭屍網路出現兩年之後取得里程碑式的勝利。根據10月13日darkreading.com的報導，來自多個安全廠商的研究人員證實，在整個9月份，Storm殭屍網路基本趨於停止。

當然，一個月的安靜並不能說明Storm殭屍網路已經真正從網際網路歷史上消失，同時目前網際網路上的垃圾流量也沒有因為Storm殭屍網路活動的停止而降低，更嚴重的是，一個名為Kraken的新殭屍網路開始逐漸取代Storm殭屍網路的位置，這一切都說明，安全業界在打擊網際網路上流行的殭屍網路等惡意軟體的征途上還有很長的路要走。顯然不少安全廠商也認識到這一點，根據10月17日ITnews.com.au的報導，反病毒廠商卡巴斯基的CEO在本週訪問澳大利亞時，接受媒體採訪稱，因為本身的設計缺陷，目前的作業系統不可能做到足夠意義上的安全，即使是被認為比較安全的作業系統Linux和Mac OS，也同樣無法擺脫惡意軟體的陰影。能夠稱為安全作業系統的產品應該在設計中就加入多種安全控制措施，嚴格控制許可權，並拒絕所有未經數字簽名和認證的程式碼執行，實際上，這樣的作業系統可能只能應用於國防航空等極少數領域。

而使用者也是讓作業系統變得不安全的重要原因，例如Windows Vista中最重要的安全措施使用者賬戶控制UAC，很多使用者也因為覺得麻煩而關閉，從而使得Vista的安全等級下降到與Windows XP同一層次。Linux和Mac OS的安全情況也不容樂觀，使用者經常會忽略Linux系統的頻繁升級，針對Mac OS的惡意軟體數量在最近一段時間也有較為明顯的增加。筆者建議，即使使用者使用的是較為安全的作業系統，也不能過分依賴作業系統本身的安全性，有條件的話最好使用第三方廠商提供的安全軟體，安全的使用習慣也同樣重要。

 

大部分的使用者都認為，使用了最新的反病毒和防火牆軟體就可以保證自己的機器不受威脅，在網際網路上的所有行為都能得到有效保護，事實真的如此嗎？ 根據10月15日darkreading.com的訊息，安全廠商Secunia本週進行的一個研究顯示，在目前網際網路各種威脅廣泛擴散的情況下，反病毒軟體的效能正在顯著下降。Secunia研究準備了網際網路上能夠找到的300個漏洞利用程式，並使用12個市場上最暢銷的反病毒軟體對這些樣本進行檢測，然而結果出人意料，Symantec的產品取得了最好的檢測成績，檢出的數量比排名第二的產品多了差不多10倍，但是Symantec的產品也僅僅檢出了300個漏洞利用程式中的64個。

顯然，反病毒廠商需要加強對自己產品對惡意程式碼的檢測能力，而不能只關注於對病毒木馬等惡意軟體的查殺上——尤其是在國內的網際網路環境下，因為盜版Windows佔據主要地位，為了避免WGA問題使用者普遍關閉了自動更新，這使得反病毒軟體防禦各種漏洞攻擊特別是來自網頁的漏洞利用攻擊的能力對使用者來說尤為重要，當然反病毒軟體中增加漏洞檢測和修補功能，也能在很大程度上彌補對漏洞利用程式檢測不力的問題。不幸的是，安全技術落後於攻擊技術的現象不單在反病毒軟體的領域有所表現，根據10月16日ITnews.com.au的新聞，美國佐治亞技術資訊保安中心（GTISC）最近釋出的一期安全報告稱，儘管在2008年安全業界在協助和技術發展上取得了不小的成就，然而仍遠遠落後於黑客社群對攻擊技術的發展速度，尤其在無線、殭屍網路、Web 2.0攻擊和電信技術方面，黑客社群目前已經推出的技術明顯超過了安全業界的現有技術。

筆者在這點上是認同該報告的，目前安全廠商和使用者之間的交流程度確實有所欠缺，許多攻擊技術在出現很長時間後，主流的安全廠商也沒有為使用者提供相應的應對方案，安全廠商之間的協作也存在較大問題，安全技術研究的成果要轉化成對應的產品也不容易。

 

相信很多朋友還記得在安全回顧專欄中曾經介紹過的英國和荷蘭安全研究人員破解交通卡和門禁系統的新聞，荷蘭研究人員再次成功的對常見的交通卡上實施破解。根據10月11日theglobemail.com的訊息，來自荷蘭Radboud大學的研究人員通過一個特殊的讀卡器，將加拿大公交系統使用的交通卡上的個人資訊讀出，然後寫入一張空白卡中，從而獲得一張能夠在公交系統正常使用的克隆卡。儘管加拿大運輸部門迅速在媒體上駁斥了荷蘭研究人員的研究結論，並表示加拿大運輸部門還增加了額外的保護措施來保證交通卡使用的安全，但實際上，公交卡克隆只是最簡單的攻擊方法，黑客還有可能直接破解公交卡上的加密資訊，從而對公交卡的資料進行任意改寫，黑客還可能把針對公交卡的攻擊與身份識別資訊的竊取攻擊相結合，進一步的威脅公交系統的運營安全。目前國內大中城市已經開始普遍使用公交卡來代替傳統的票務系統，儘管目前沒有關於公交卡攻擊的相關新聞，但公交系統和相關安全廠商不應忽視這個新的威脅趨勢。

最近兩年逐漸被安全業界注意的移動計算裝置安全領域，本週也有不少值得關注的訊息，隨著移動裝置硬體機能和作業系統技術的快速發展，以及便攜性和連線能力的增強，許多原來只對PC有效的攻擊手段也將能在移動計算裝置上實施。根據GTISC的最新一期報告，在2009年黑客對移動計算裝置的攻擊將發展到一個新的高度，而最有可能出現的攻擊手段包括基於移動計算裝置的殭屍網路，個人資訊攻擊、VoIP攻擊等。筆者認為，隨著我國3G網路建設的逐步鋪開，高速互聯時代也越來越近，上述的移動裝置威脅趨勢不再是遙不可及的設想，但目前國內使用者對移動計算裝置安全的相關意識和技能都很薄弱，需要國內媒體和安全廠商在該領域投入更多關注。

 

本週Google也再次登上了安全回顧的Web安全分類。根據10月13日eWeek.com的報導，知名Web安全專家Aviv Raff 在其部落格上稱，Google應用程式存在的缺陷很容易使Google成為黑客攻擊使用者的幫凶。另一位研究人員Adrian Pastor也在GNUcitizen.org上發表了Google應用程式漏洞的演示程式碼，程式碼執行結果顯示，黑客可以構建一個虛假的登入頁面，並在瀏覽器的位址列顯示Google應用的合法地址，從而騙取使用者的敏感資訊。最近與Google攻擊研究有所增加，尤其是如何將Google和Web 2.0應用攻擊結合起來逐漸成為許多黑客社群的研究物件，安全業界和Google自己應該對這個趨勢加以關注。

 

Microsoft將在每月的例行補丁升級前向使用者提供名為 漏洞利用可能性索引 的新公告服務，該服務主要按照新漏洞被黑客利用及方法的不同進行分類，使用者可以根據該服務提供的資訊，決定補丁更新的優先度和進行風險評估。有興趣瞭解該服務細節和運作情況的朋友可以在下面的連結中找到更進一步的資訊。

請參考：

[url]http://www.computerworld.com/action/article.do?command=viewArticleBasi[/url] &articleId=9117018&intsrc=hm_list&f_src=darkreading_section_318_320

Net-security.org在10月14日對DNSstuff.com CTO Paul Paris進行了關於美國關鍵通訊設施安全性的專題採訪，其中談到了相當多無線、有線和網際網路通訊安全的問題和基礎知識，適合有一定技術背景的通訊、IT行業朋友閱讀。有興趣的朋友可以在下面的連結中找到該文章：

[url]http://www.net-security.org/article.php?id=1182&MENU&f_src=darkreading_section_318_320[/url]