XSS蠕虫疯狂攻击知名SNS网站Twitter,技术人员多次修补漏洞未果,可以说是本周当之无愧的最值得关注新闻,在本期回顾中笔者将和朋友们一起关注该事件的发展;恶意软件方面也相当热闹,新型病毒将Mac系统转化为僵尸网络,新一代隐蔽Rootkit Mebroot浮出水面。安全新技术领域,研究人员提出用耳朵作为验证因素的新型生物验证技术,朋友们可以在本期回顾中了解这个新技术有哪些有趣的新特点。在本期回顾的最后,笔者为朋友们精心挑选了两篇值得一读的推荐阅读文章。
本周(090413至090419)安全要闻回顾
本周的信息安全威胁为低。
Web应用安全:XSS蠕虫疯狂攻击Twitter,技术人员多次修补未果;关注指数:高
从上周末开始,一个名为Stalkdaily的蠕虫在知名的SNS网站以惊人的速度开始扩散,不断有用户抱怨“我被Stalkdaily蠕虫感染了”,连Twitter很红的应用之一TweetVisor也频繁显示警示。事发初期,技术网站Techcrunch就进行了报道(很少能有信息安全相关的新闻能上Techcrunch),并有网友在互联网上公开了该蠕虫的源代码,Twitter的技术人员也很快修补了该蠕虫所攻击的XSS漏洞。
Twitter和用户都没有想到的是,该蠕虫的作者很快就又找到Twitter新的漏洞,并使用了Java变形技术来逃避Twitter设置的内容过滤,在短短的一周时间内,Stalkdaily蠕虫爆发了六次,Twitter也号称修复了所有的XSS漏洞,然而没过多久新一代的蠕虫都会重新爆发,Twitter的技术人员也只能投入修复漏洞的重复劳动中。Stalkdaily蠕虫的作者在攻击事件发生不久浮出水面,令人意外的是影响如此大的蠕虫攻击,蠕虫的作者居然只是一名17岁的少年Mikeyy,他的目的看起来只是想宣传自己的网站Stalkdaily.com。
整个事件的经过与2005年19岁的Samy写蠕虫攻击MySpace有惊人的相似,Samy最后被判了3年缓期和90天社区劳动——如果Twitter要追究法律责任的话,显然Mikeyy的下场要比Samy更难过,因为Stalkdaily蠕虫的第一、二代都带有窃取受影响用户的用户名和Cookie,已经构成对Twitter及其用户事实上的损害。
当然,简单如Twitter的界面仍会产生XSS漏洞并造成如此大的影响,也再次说明了XSS对Web应用的威胁之大;Twitter的技术人员修补了六次漏洞,仍让Stalkdaily蠕虫连续爆发,虽然每一代蠕虫的特征代码不同,但也说明了Twitter的修补方式实际上是错误的。Twitter采用的是通过黑名单来拦截蠕虫所用的XSS攻击字串,技术人员也误认为这样足够防御XSS攻击,但实际上采用白名单方式来控制输入字串的形态、长度和字符集等,才是更有效的XSS防御方式。
当然,简单如Twitter的界面仍会产生XSS漏洞并造成如此大的影响,也再次说明了XSS对Web应用的威胁之大;Twitter的技术人员修补了六次漏洞,仍让Stalkdaily蠕虫连续爆发,虽然每一代蠕虫的特征代码不同,但也说明了Twitter的修补方式实际上是错误的。Twitter采用的是通过黑名单来拦截蠕虫所用的XSS攻击字串,技术人员也误认为这样足够防御XSS攻击,但实际上采用白名单方式来控制输入字串的形态、长度和字符集等,才是更有效的XSS防御方式。
网站防御XSS的最大难度在于,每一个网站的结构千差万别,可能造成多层的字符串解码操作,所以如何有效的防御XSS的攻击,网站的开发人员必须熟悉XSS的成因,OWASP网站上的XSS特征列表就是一个相当好的参考资源。而对用户来说,可以使用Firefox的NoScript插件或通过修改IE设置禁用掉JavaScript的执行,一劳永逸的解决掉XSS漏洞的攻击问题,不过这样也会对用户的浏览体验造成相当的损失,就看用户是如何取舍安全和体验这两者了。
恶意软件:新病毒将Mac转化为僵尸网络;最隐蔽的Rootkit浮出水面;关注指数:高
传统意义上的僵尸网络,往往是由大量采用Windows作为操作系统的PC或服务器所组成,随着恶意软件编写技术的提升,僵尸网络成员的类型已经今非昔比,除了在前两期回顾中笔者曾介绍过的Linux路由器僵尸网络外,Apple Mac系统也开始成为僵尸网络的新成员。来自多个反病毒厂商的检测结果,今年初出现的捆绑有新恶意软件的盗版MacOS系统,已经成功的扩散到相当数量的用户机器上,这些受感染系统已经开始被用在至少一次的大规模拒绝服务攻击中。这种攻击方式对PC用户来说并无新意,在Windows盗版猖獗的前几年,某些小工作室制作的所谓发行版常会捆绑不同的恶意软件。
由于Mac系统上目前可用的反病毒软件并不多,用户对恶意软件的防范意识也较为薄弱,因此这种针对Mac的攻击行为还是应该引起Mac用户的重视的。
最近反病毒厂商发现的Mebroot Rootkit新变种则显示了Rootkit编写技术有较大进步的现象。Mebroot Rootkit也称为Torpig或Sinowal,最早是由EMC RSA的安全人员于去年底所发现的,通常还被集成到流行的黑客工具包Mpack里面。Mebroot的新变种与旧的相比更为隐蔽,主要表现在新变种增加了用于隐藏的新技术,在感染用户的系统后不再尝试钩挂disk.sys驱动,而是会先判断哪一个驱动程序是更为底层的,然后再对其进行感染。
因此在不同的系统上Mebroot新变种可能感染的驱动程序对象不同,在真实的PC和虚拟机系统之间也可能会有显著的差异,Mebroot的作者还修正了以前存在的一个MBR修改bug,使得反病毒软件更难从主引导区是否被修改来判断Mebroot的存在与否。Mebroot的新变种目前主要通过存在漏洞的第三方软件进行传播,根据多个反病毒厂商的监测结果,该新变种流行并不广泛,用户注意更新自己的系统和反病毒软件的话,要防御该Rootkit应该问题不大。另外,如果用户怀疑自己曾被类似的恶意软件感染过,下面是一个如何手工检测和清除的指南,用户可以参考一下。
http://www.trustdefender.com/blog/2009/04/04/new-mebrootsinowalmbrtorpig-variant-in-the-wild-virtually-undetected-and-more-dangerous-than-ever/
安全新技术:研究人员提出人耳生物识别技术;关注指数:中
因为移动计算设备较小的体积和较弱的计算能力,传统的生物识别技术在移动计算领域似乎都不太适用,但在政府、军事等对安全要求较高的领域,对适用于移动设备的生物识别技术的需求也日益增长。英国工程和物理科学协会(EPSRC)就赞助南安普敦大学的研究人员进行这样的一个研究项目,针对每个人能听到的低频声音不同,以及对相同声音不同的响应模式,来区别当前用户是否是经过系统认证的合法用户。
如果南安普敦大学的研究能够成功,结合嵌入敏感麦克风的移动电话,预计可实现这两个功能,识别用户以进行安全的电话通信,或者在用户的移动设备被盗之后,远程禁用掉被盗的设备以防止泄密。不过这样的技术即使开发成功,估计也只能够是在法律、政府和军事领域小规模使用,个人用户也想用的话,可能是连输入自己识别信息都很难操作,更别说要用更高级的功能了。
推荐阅读:
1) 企业应用智能电话的3个安全要点;推荐指数:高
随着成本的下降,智能电话已经成为企业网络中一种常见的终端,但智能电话不同于传统x86体系的诸多特点,以及高度定制化的软件,也使得在企业环境中安全使用智能电话成为一个很难实现的目标。本周eWeek.com推出了一个文章《企业应用智能电话的3个安全要点》,相信会给目前遇到类似问题的朋友一些提示。文章的地址如下:
2) 2009年数据泄露调查报告;推荐指数:高
数据泄露是对企业威胁最大的IT事故之一,即使是对从未发生过类似事件的企业来说也是一把高悬的利剑,如何防止敏感的数据外泄,也成为企业最为关键的任务。互联网安全组织SANS本周推出的《2009数据泄露调查报告》,采用案例分析的方式介绍了众多数据泄露相关的知识,推荐朋友们都了解一下。文章的地址如下:
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/156075,如需转载请自行联系原作者
