近期安全方面值得關注的新聞不少,微軟本週都將推出安全更新,雖然也算是準時,但和上月愈演愈烈的漏洞***活動比起來還是稍嫌晚了點。說到漏洞就不能不說與之相關的軟體安全問題,軟體安全已經開始為軟體廠商所關注,但軟體界仍較缺乏對軟體安全專案進行有效評估的工具,本週新鮮出爐的軟體安全專案測評標準是否能擔此重任?
搜尋引擎排名本是方便商家網路推廣的工具,但無孔不入的惡意軟體也開始使用這一工具進行傳播,本期回顧筆者將和朋友們一起關注Google Trends是如何被惡意軟體所利用的。威脅趨勢方面,日漸流行的輕省筆記本成為******使用者資料的新目標,而最為古老的***手段之一——戰爭撥號(War dialing)也重新開始成為******企業使用者的工具。在本期回顧的最後,筆者將為朋友們介紹一個開源的新安全工具,並同時準備了兩篇推薦閱讀文章。
本週的安全威脅等級為中。
 
漏洞***:
微軟釋出3月例行安全更新;報告顯示去年Firefox漏洞遠多於其他瀏覽器;關注指數:高
儘管這幾個星期以來,各種針對微軟產品漏洞的***和相關的惡意軟體一直是安全圈子裡的熱門話題,但微軟還是沒有像去年11月那樣推出多個緊急補丁,而是按部就班的釋出例行的安全更新。本週又是微軟每月推出例行安全更新的日期,根據微軟之前釋出的3月安全更新公告,微軟將在本月例行安全更新中為使用者提供3個補丁程式,都是針對Windows及其相關元件中存在的安全漏洞。其中的MS09-006 Windows影像處理漏洞,會導致Windows在處理EMF和WMF圖形檔案時出現不可預測的行為,從而執行惡意程式碼,***將可能用該漏洞製作成傳播惡意軟體的網頁***,並通過偽造或攻陷的合法網站威脅使用者系統安全。筆者建議,使用者應儘快從微軟的站點下載或通過Windows Update服務應該針對該漏洞的補丁程式。另外,值得注意的是,微軟仍沒有針對上個月就曾釋出安全公告的Office Excel中存在的遠端程式碼執行漏洞提供補丁程式,因此,使用者在使用Office Excel來處理各種文件檔案時,仍應該注意不要開啟來自不可信來源的Excel檔案,以免感染惡意軟體並造成敏感資訊的丟失。
目前最不安全的瀏覽器是哪一個?本週安全廠商Securnia釋出的研究報告可以給朋友們一個參考答案。根據Securnia這份2008年瀏覽器安全研究報告,開放原始碼的瀏覽器Mozilla Firefox拿到了“漏洞最多的瀏覽器”這一稱號,因為在2008年全年Firefox共報告了115個不同安全等級的漏洞,這個數字幾乎是IE、Apple Safari等其他瀏覽器的在2008年漏洞數的兩倍。不過漏洞多並不一定就說明是最不安全的,Securnia的報告也顯示,Mozilla Firefox的漏洞修補速度也比其他廠商瀏覽器快得多,漏洞修補最慢的是微軟IE,在2008年曾有漏洞在公開後294天才釋出安全更新的歷史。筆者認為,瀏覽器的選擇其實主要要看使用環境和使用者習慣,漏洞數只能作為一個參考指標,相容性和穩定性等其他指標也同樣重要,更重要的是使用者要培養安全瀏覽的習慣,避免登入來源不明的網站,並保證系統補丁和反病毒軟體等為最新,這樣才能儘可能的保證使用者瀏覽網站時不受惡意軟體的侵襲。
 
軟體安全:
Fortify和Cigital推出軟體安全專案測評指標;關注指數:中
軟體安全在近幾年已經逐漸為軟體廠商所接受,成為軟體廠商在開發新產品時必定考慮的一個關鍵因素,幾個領先的軟體廠商也紛紛推出了各自的軟體安全標準,但目前在如何成功的實施一個軟體安全專案這個問題的解答上,許多軟體廠商仍處在比較初級的探索階段。
本週業界領先的軟體安全廠商Fortify和諮詢廠商Cigital合作推出了一個新的軟體安全專案測評指標,就在幫助軟體廠商實施軟體安全專案方面提供了一個不錯的指導。
Fortify和Cigital結合了目前市場上應用最為成功的九種不同軟體安全標準的長處,研究人員還廣泛的訪問了包括EMC、微軟、Adobe等知名軟體廠商在內的25家廠商,從中吸取了很多軟體安全領域的經驗和教訓,最終形成了這份名為《構建安全的成熟模式(Building Security In a Maturity Model,BSIMM)》的白皮書,有興趣的朋友可以從[url]www.bsi-mm.com[/url]網站獲取這份白皮書的最新版本。
筆者通讀過這份白皮書,認為確實很適合軟體企業計劃並實施軟體安全專案,並衡量當前正在實施的軟體安全專案是否足夠完整和有效。筆者也將在未來的時間內更多的關注軟體安全相關的技術和理念,並將用一系列的專題為朋友們介紹軟體安全領域的知識,敬請期待!
惡意軟體:
惡意軟體借Google Trends擴散;關注指數:高
搜尋排行榜是搜尋引擎為方便使用者找到最熱門資訊而推出的一個有效工具,廣大的商家也可以通過搜尋排行來推廣自己的商品,然而根據反病毒廠商最近一段時間的研究結果,惡意軟體也開始學著利用搜尋排行來“推銷”自己。
本週來自反病毒廠商McAfee Avert Labs實驗室的研究人員稱,目前已經有不少惡意軟體作者通過用於分析使用者搜尋習慣的Google Trends,來分析使用者最近搜尋的熱門關鍵詞,然後將帶有惡意軟體的頁面設定相同的關鍵詞並使用搜尋引擎優化的手段進行優化,當使用者搜尋這些熱門關鍵詞時,帶有惡意軟體的頁面就會出現在搜尋結果的前列。如果使用者不小心點選了這些惡意網站,就有可能感染各種以盜竊使用者資訊為目的的惡意軟體。
惡意軟體這種傳播方法並不算很新穎,去年10月份,就曾有研究人員警告網路犯罪集團正利用類似的手法來傳播惡意軟體,這次McAfee的警告顯示已經有相當多的惡意軟體開始使用搜尋排行進行擴散的這一趨勢。
另外,也從側面暴露出一個問題:各搜尋服務提供商的搜尋安全技術,並不像它們所聲稱的那樣擁有高準確率。筆者建議,使用者在使用搜尋引擎時,不要隨意點選陌生的網站搜尋結果,哪怕是排在搜尋結果前列,說不定它就是一個***精心設計的惡意網站,另外有個小訣竅朋友們也可以試試,使用搜尋引擎提供的快照功能會有一定的保護效果。
威脅趨勢:
War Dialing***的新發展;輕省筆記本成為***新目標;關注指數:高
戰爭撥號(War Dialing)是歷史最為悠久的******手段之一,其實施過程並不複雜,***通過電話調變解調器向某個企業的電話號碼進行撥號,如果正好某個號碼上正好連著調變解調器,***就可能通過該調變解調器建立連線,並最終進入目標企業的內部網路。
隨著各種寬頻和高速網路技術的興起,以及其他***手段的快速發展,許多新生代***並不知道傳統的戰爭撥號***。不過***圈中並沒有放棄對戰爭撥號***的研究,早在2002年就曾有一個研究人員聲稱90%的企業都可以通過調變解調器網路進入其內部網路,而在7年後的今天,隨著VoIP等新技術的成熟和廣泛應用,調變解調器網路仍然是許多企業忽視但又現實存在的嚴重安全威脅,尤其是使用了遠端監視和資料採集系統(SCADA)的企業使用者。
知名安全工具Metasploit的作者目前就正在開發一款名為Warvox的企業電話系統審計軟體,該工具實際上就是利用VoIP技術,對指定範圍的電話號碼進行戰爭撥號***,據作者稱,該工具只需要一個標準的寬頻連線和標準的VoIP賬戶,而無需大量的電話線路,並且能夠以每小時1000個號碼的速度進行掃描。筆者覺得,雖然戰爭撥號技術歷史已經很悠久,但要說它是完全過時的也有失偏頗,如果是在合法的***測試或司法取證中,這款工具的合理使用說不定就會起到出人意料的效果。
自從2007年華碩首先推出Eeepc以來,以低成本和輕小為賣點的輕省筆記本(Netbook)就開始廣受使用者的歡迎,大多數的計算機廠商也紛紛推出了此類產品。不過由於輕省筆記本在機能和軟體配置上與當前主流的筆記本計算機有較大的差距,輕省筆記本正日益成為******的新目標。
目前輕省筆記本大都使用Intel和VIA兩家廠商的低能耗CPU,為了節省成本,記憶體大都是512M或1G,雖然能夠流暢執行Windows XP和定製的Linux,但如果執行較多程式,速度和電池壽命上的衰減還是比較明顯的,使用者大多傾向於最簡化輕省筆記本上的系統和軟體,在輕省筆記本使用反病毒或防火牆等標準安全軟體的使用者也不多。
因此,輕省筆記本使用者就成為***的新***目標,安全軟體的缺失使得這些使用者很容易感染各種惡意軟體,而且輕省筆記本的便攜性也讓使用者訪問外界無線連線的機會增多,也增添了使用者不安全使用無線連線造成的敏感資訊洩漏風險。筆者認為,儘管可能會導致系統執行減慢,輕省筆記本使用者在條件允許的情況下還是應該安裝反病毒軟體,選擇佔用系統資源較少的即可;同時不要隨意在外界的不加密無線連線上使用自己賬戶等隱私資訊,以防止自己的隱私資訊在不經意間落入***手中。
工具推薦:OSSEC 2.0
OSSEC是一套功能強大的開放原始碼主機IDS(HIDS),它能夠執行主機日誌分析、檔案完整性檢查、Rootkit檢測、實時警告和響應等功能。本週OSSEC的最新版本2.0推出,除了上述功能外,還多了策略支援、多語言、新報告工具等新特性,並能執行在Windows和Unix的系統上,推薦朋友們在伺服器上安裝使用。OSSEC的官方網站為:[url]http://www.ossec.net/main/ossec-v20-released[/url]
推薦閱讀:
1) 促進安全戰略的5個原則;推薦指數:高
如何建立一個高效率的資訊保安戰略,一直是企業實施安全管理的核心內容,當前的企業和資訊保安專家除了要了解技術之外,熟悉如何將安全技術和業務緊密結合更為重要。Forrester Research本週提供的《促進安全戰略的5個原則》,可以作為企業實施安全戰略的一個有益參考,推薦有興趣的朋友閱讀一下。文章的地址如下:
[url]http://www.itnews.com.au/News/98122[/url],five-principles-underpinning-robust-security-strategies.aspx
2) 如何防止後設資料洩漏你的隱私?推薦指數:中
前兩期的回顧筆者曾提到過後設資料對使用者隱私資訊可能造成的威脅。Darkreading.com的新文章《如何防止後設資料洩漏你的隱私》就對這個問題提出了幾個建議,對隱私保護有興趣的朋友可以從以下地址讀到這個文章:
[url]http://www.darkreading.com/insiderthreat/security/vulnerabilities/showArticle.jhtml?articleID=215800964&subSection=Vulnerabilities+and+threats[/url]