http://blog.51cto.com/J0ker/133319
本周(090209至090215)安全领域值得关注的新闻仍主要集中在漏洞攻击和恶意软件方面:微软按时发布二月更新,但其修补的漏洞仍有较高的攻击风险; Google Andorid手机操作系统的未修补漏洞对其用户存在不小的威胁。
本周周末恰逢情人节,经济危机开始后久违的繁荣景象也让网络犯罪集团蠢蠢欲动,大肆发起网络攻击和扩散恶意软件;另外,针对目前仍在疯狂扩散的Confickr蠕虫,微软不但对其作者开出了巨额悬赏,也开始与美国主要ISP协作消除其影响。
安全报告方面,笔者和朋友们一起关注IBM ISS安全分公司发布的2008年安全报告。在本期回顾的最后,笔者将向大家介绍反病毒厂商F-secure的在线病毒测试,另外,还为朋友们准备了两个值得一读的推荐阅读文章。
本周的信息安全威胁等级为中,利用微软及Apple等厂商软件漏洞发起的网络攻击威胁较高,请朋友们及时通过各厂商对应的官方站点升级,并开启反病毒和防火墙软件。
漏洞攻击:微软已修补漏洞仍存较大风险;Google Andorid手机系统未修补漏洞威胁显著;
漏洞攻击:微软已修补漏洞仍存较大风险;Google Andorid手机系统未修补漏洞威胁显著;
关注指数:高
本周二微软按时发布了二月的例行更新,并修补了在微软Windows操作系统、Office和其他应用服务器上存在的多个漏洞,相信很多朋友在周三当天或稍晚时候已经通过Windows Update或其他的漏洞管理工具应用,下载并应用了这些安全补丁程序。
但由于微软本月修补的漏洞存在被黑客用于网络攻击的较大风险,用户还应继续对这些漏洞保持关注。根据来自多个媒体的消息,微软与本月漏洞更新同期公布的漏洞利用列表(Exploitation Index)显示,二月安全更新中包括的IE7 MS09-002安全更新和SQL Server MS09-004存在较高被黑客攻击的风险。
其中,IE7 MS09-002漏洞被微软认为是很容易制作漏洞应用的漏洞,按照过往的经验来看,类似的漏洞常被用于制作通过合法或伪造的网站,对用户进行恶意软件传播的网页木马,黑客还会通过网页代码加密、变形等技术使其存活相当长的一段时间,对没有更新对应补丁的用户威胁巨大。笔者建议用户通过Windows Update、微软官方升级站点或第三方补丁管理工具,下载并应有该更新程序,尤其是拥有较大规模内部网络的企业用户更应该注意此类漏洞的危险。
另外,SQL Server MS09-004漏洞已经有公开的漏洞利用程序,可以在正确登录SQL Server后进行攻击并获得其所在系统的控制权,因此黑客会将该类漏洞用于初步入侵后的权限提升操作,或在大范围内网中自动扩散的蠕虫上配套使用,鉴于MS09-004漏洞的危险程度,笔者建议Web网站运营者和企业网络管理员应尽快下载并应用该安全更新,并对现有的SQL Server设置权限控制,以免遭受各种基于此类漏洞攻击的威胁。
广受关注的Google Android手机操作系统本周再次发现新漏洞,根据eweek.com的消息,在本周华盛顿举行的ShmooCon安全会议上,研究人员Chales Miller公开了其对Google Android手机操作系统的最新研究结果,由于Android使用了存在缺陷的PacketVideo的OpenCore媒体库,作为浏览器的媒体播放插件,当用户通过浏览器播放特定的MP3程序时,会产生缓冲区溢出并运行特定的代码。黑客可以很容易通过一个特定制作的网站页面和包含有攻击代码的MP3文件,对用户实施攻击。
Google一个发言人在稍后确认了该研究人员的结果,并称移动运营商T-mobile将很快推出针对该漏洞的安全更新。不过根据后续的研究结果,这个新发现漏洞的威胁可能并不如想象中的高,因为OpenCore的媒体库组件运行在自己的应用程序沙箱中,与Android浏览器的并不重合,因此该漏洞对用户的使用和数据安全的威胁并不高。
笔者认为,Google Android作为一个功能强大,扩展性强的手机操作系统,已经成为智能手机系统的新选择,不少新推出的Netbook也选择Android作为操作系统之一,针对Android的漏洞挖掘和攻击显然也将会进一步增加,安全业界可对相关领域投入更多的关注。
恶意软件:黑客利用情人节广泛散布恶意软件;微软致力于消灭Confickr蠕虫;
关注指数:高
情人节不单是恋人们的节日,对网络犯罪集团和黑客来说,情人节也是一个很好的恶意软件和垃圾邮件攻击机会。根据eweek.com的消息,专业的反垃圾邮件厂商Mashal称,网络犯罪集团早在半个月前就开始利用多个僵尸网络,对用户展开利用垃圾邮件和病毒相结合的情人节主题攻击。大部分的垃圾邮件来自于名为Waledac的僵尸网络,通常是采用电子贺卡的形式向用户发送携带了恶意软件的电子邮件,而名为Pushdo和其他较小的僵尸网络也采用类似的手法对用户发起攻击。
自从去年九月著名的Storm蠕虫停止活动之后,基于垃圾邮件加病毒的僵尸网络活动进入了低潮期,去年圣诞节和今年情人节的垃圾邮件攻击表明此类僵尸网络再次活跃,并开始采用更具有迷惑性的社会工程方法来吸引用户的注意力。笔者建议,用户应尽量不要打开来源不明的电子邮件,尤其是特定节日或有特殊事件时,更应注意包含有可疑附件的电子邮件,使用反垃圾邮件工具或支持邮件客户端的反病毒软件会对防御此类攻击有不错的效果。
针对继续在互联网上疯狂扩散的Confickr蠕虫,本周微软进一步加大了对抗的力度。根据eWeek.com的消息,为了从源头上消灭Confickr蠕虫的影响,微软本周开出了25万美元的悬赏,能够提供与Confickr蠕虫作者相关线索的人,查实后都将有机会获得微软的奖金。
另外微软还和国际互联网域名管理机构ICANN、互联网服务提供商AOL、反病毒厂商Symantec和F-Secure,以及其他的安全和网络相关厂商一道,组成了Confickr蠕虫的防御联盟,共同应对目前愈演愈烈的Confickr蠕虫攻击。从去年九月Storm蠕虫的消灭过程来看,互联网域名管理机构、互联网服务商和安全厂商的密切配合,对防御和消除大规模的网络攻击效果显著。
不过笔者也认为,安全和网络厂商通力协作消除大规模网络攻击的做法,值得国内的政府部门、网络和安全厂商借鉴。但Confickr蠕虫的影响在短时间内仍将继续,微软二月修补漏洞的攻击风险较高,也可能进一步加剧Confickr蠕虫的危害,用户仍应及时使用厂商提供的安全更新程序,同时部署最新的反病毒和防火墙软件。
安全报告: IBM称应关注网络犯罪经济的度量;
安全报告: IBM称应关注网络犯罪经济的度量;
关注指数:高
网络犯罪已经成为近两年来对用户威胁最大的网络威胁,其对用户造成的影响和损失与日俱增,然而目前各安全厂商正在使用的威胁评级体系,却明显落后于网络威胁的发展。在IBM的安全分公司ISS最新推出的2008年年度安全报告中,就建议安全业界应将网络犯罪作为当前的威胁评级体系的新成分,因为目前用户面临的来自Web的漏洞及攻击快速增长,现有的威胁评级体系已经不适应新形势的发展,安全业界应重新定义威胁评级体系,并将新漏洞及攻击方式被网络犯罪利用的容易程度作为威胁评级的计算因素之一。
笔者认为,IBM ISS年度安全报告中,对现有的威胁评级体系提出的建议有较大的现实意义,传统的通用弱点评价体系CVSS,只是根据某个特定漏洞的实现原理和利用后果,对该漏洞的威胁程度进行分级,并没有考虑某个漏洞是否容易被黑客所利用,或因为对应产品的广泛分布而可能造成的巨大威胁。此外,微软每月安全更新公告中新增的利用威胁列表(Exploitation Index),实际上已经从攻击的难易程度上对漏洞进行了分级。不过,要在更广泛的范围上实施加入攻击难易度的漏洞威胁分级体系并非易事,如何制定更为客观的标准还有赖于安全业界更为深入的协作及评估。
安全产品介绍:
安全产品介绍:
1)F-Secure的在线可疑文件检查工具
相信许多朋友都尝试过Virustotal.com网站提供的免费可疑文件在线检查服务,不过在享受它多个强大的扫毒引擎的同时,朋友们可能也会因为没法对每次检查任务进行归档而感到遗憾。反病毒厂商F-secure最新推出的在线可疑文件检查工具采用了基于卡巴斯基和其他两个厂商的反病毒引擎,并已经支持每次扫描任务的归档和查看,有兴趣的朋友可以尝试一下。
推荐阅读:
1)黑客如何利用用户的相关数据;
推荐指数:高
如果要窃取用户的真实身份信息,黑客不一定需要直接攻陷用户的系统,只需要拿到几个由目标用户创建的文件,就可能通过分析文档的相关数据来获取用户相当多的身份隐私信息。听起来很神奇? 其实黑客只是利用了相关数据的基本分析技能。有兴趣的朋友可以从darkreading.com文章《黑客如何利用用户的相关数据》了解更多:
[url]http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=214200389&subSection=Vulnerabilities+and+threats[/url]
[url]http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=214200389&subSection=Vulnerabilities+and+threats[/url]
2)如何在不影响业务的前提下消除内部人威胁?
推荐指数:高
由于内部人员熟悉业务和防范机制,因此来自内部人员的威胁是企业和机构用户最难防御的威胁。然而,担心对现有业务或流程造成干扰,造成工作效率的下降,往往又是众多企业和机构一直无法实施有效的内部控制的首要因素。如何在不影响业务的前提下消除内部人威胁? 相信eweek.com的这篇文章能够给朋友们一些启示:
[url]http://www.eweek.com/c/a/Security/How-to-Mitigate-Insider-Threat-without-Disrupting-Business/?kc=rss[/url]
[url]http://www.eweek.com/c/a/Security/How-to-Mitigate-Insider-Threat-without-Disrupting-Business/?kc=rss[/url]
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/133319,如需转载请自行联系原作者
