本周(081215至081221)安全方面的新闻众多,主要集中在攻击与威胁趋势方面。浏览器安全方向波澜起伏,微软推出了针对上周公开的IE7新漏洞的紧急安全补丁,但目前互联网上针对该漏洞的大规模攻击仍在继续,黑客攻击的手法也变得更为多样和隐蔽;Firefox也在本周进行了一次漏洞更新,但其他的第三方浏览器则又再次被发现存在安全隐患。威胁趋势方面,本期回顾将就SSL的部署安全、2009年的垃圾邮件攻击和SNS网站的用户安全这三个方面进行深入的关注。在本期回顾的最后部分,笔者还将向朋友们介绍一款上周推出的拒绝服务检测工具,并为朋友们带来2个值得一读的推荐阅读文章。
本周的信息安全威胁等级为低。
浏览器安全:针对IE7新漏洞的攻击仍在继续,微软推出紧急补丁;Chrome和Safari再报弱点;关注指数:高
在上周微软IE7浏览器爆出严重的远程代码执行漏洞之后,安全行业就检测到黑客对该漏洞发起的大规模攻击,微软和安全厂商也紧急的向用户提供了防御该漏洞攻击的应对措施和建议。但从多个安全厂商本周的监测情况来看,黑客针对该漏洞的大规模攻击目前仍在继续,攻击的手法也开始变得更为多样和隐蔽。根据12月15日eWeek.com的消息,黑客正在大规模的对合法网站进行攻击,并将攻下的合法网站用于通过IE7新漏洞进行的恶意软件散布,微软及其他安全厂商的报告也证实了这一点,微软称已经检测到感染恶意软件的IE7用户显著增加,而反病毒厂商趋势科技也在另外一份报告中称,截至上周末为止,已经至少有6000多个网站被黑客攻陷并放置IE7新漏洞的利用程序,用户浏览合法网站的风险显著上升。另外,除了常规的基于网站发起的攻击之外,黑客还将恶意网站与其他的技术相结合,发起更有针对性的攻击:根据12月17日反病毒厂商McAfee的消息,McAfee AvertLabs根据用户提交的文件样本,发现了黑客使用了将IE7新漏洞的漏洞利用程序与微软的Word文档相结合的新攻击方法。该攻击的实现方法并不复杂,黑客在Word文档中嵌入一个打开网页的活动控件,并将其开启目标指向包含有IE7新漏洞攻击程序的恶意页面,然后黑客可将该文件通过电子邮件等方式发送给用户,如果用户不慎开启该文件,则会自动开启黑客预先设置的恶意网站,并在用户系统上下载并运行恶意软件,不太熟悉技术的用户最易遭受这种类型的攻击。针对当前严峻的IE7浏览器威胁形势,微软继上周向用户提供修补漏洞的紧急措施之后,本周终于推出了针对该漏洞的紧急安全补丁。根据12月18日ITnews.com.au的报道,微软当天推出了针对IE7漏洞的紧急安全补丁,笔者建议IE7用户应尽快通过自动升级或自己从微软网站上下载安全更新,以修补IE7中存在的严重漏洞。在同一天,微软在浏览器市场上的主要竞争对手Firefox也推出了安全更新程序,主要修补Firefox 2和3在前一段时间被安全厂商发现的多个漏洞,建议Firefox用户也尽快通过自动更新下载安装。不过Firefox用户需要注意,如果使用的是Firefox 2.0.0.19版本,应尽快升级到最新的Firefox版本,Mozilla在本次安全更新之后,将不再对Firefox 2.0.0.19版本提供安全更新支持。
微软IE7和Firefox用户本周终于等到了安全更新,但别的第三方浏览器的用户却暂时不能放松,根据12月15日eWeek.com的消息,安全厂商Chapin Information Service日前对市场上流行的5个浏览器进行了一系列密码管理相关的测试,结果显示,Firefox和Opera是密码管理保护最为到位的两个浏览器产品,微软IE7的表现只能用平庸来评价,而Google Chrome及Apple Safari浏览器只能通过极少几项测试,被评测厂商评为密码管理保护最差的浏览器。不过经验表明,虽然浏览器的保存密码功能能够帮助用户管理密码,但各厂商的浏览器产品都或多或少的存在密码管理上的缺陷,如果用户的密码个数不多,建议用户不用使用浏览器来记录密码,通过第三方的密码管理软件,或简单如笔和纸这样的安全性还会高一点。
威胁趋势:SSL部署安全问题突出;2009年垃圾邮件威胁将明显上升;SNS站点安全影响超过预计;关注指数:高
在关键的网页服务上使用SSL来加强用户数据传输的安全性,是网站运营商常见的做法,朋友们平时浏览网站时,如果遇到浏览器的地址栏显示为https时,就是网站的SSL加密链接正在保护用户的数据传输安全。但最近安全厂商的研究表明,不安全的SSL部署方法,不单无法有效的保护用户数据的传输安全,而且还会因为SSL的存在带给用户虚假的安全感。根据12月16日Darkreading.com的消息,在本月底柏林即将举行的Chaos Communication Camp黑客会议上,安全厂商Canola & Jones的研究人员将为与会者演示当前SSL部署所面临的31个严重安全问题。根据目前透露出来的消息,SSL部署的威胁主要集中在签名管理、加密方式及使用方法上,安全研究人员发现不少主流网站使用的SSL证书已经过期或是采用自签名方式,而在加密方式的选择上,不少网站选择了已知存在缺陷的SSL v2和40位加密的RC-4方法,这样的加密通信很容易被黑客所破解。而当前互联网上数量众多的证书提供商(CA),其缺乏统一标准及管理的现状也使得SSL部署的安全性无法得到较好的保证。对于SSL部署的安全问题,笔者在前半年的回顾中,曾推荐过VeriSign公司的扩展证书EV SSL技术算是比较好的解决方案,最近国内有不少金融机构都开始使用EV SSL以提供额外的安全验证保护,推荐有较高安全需求的网站运营商了解一下EV SSL的相关信息。
而在对用户影响较大的垃圾邮件攻击方面,安全厂商对明年给出了较为悲观的预测。根据12月18日ITnews.com.au的消息,反垃圾邮件厂商Barracuda当天发布2009年垃圾邮件威胁预测报告称,尽管在2008年内,垃圾邮件在电子邮件总量中的百分比与上年持平,仍保持在90至95%之间,但在2009年内垃圾邮件的数量将会明显上升,并有可能到达并超过电子邮件总数95%这个数字。Barracuda还称,在2008年末几个月内,安全行业和互联网服务提供商相互协作,摧毁了一系列以发送垃圾邮件为主要目的 的黑客网络,但这几个月中垃圾邮件的数量并没有明显的下降,显示了垃圾邮件发送网络生命力的顽强,同时垃圾邮件与网络钓鱼攻击、恶意软件发送等攻击行为的相互结合,也将在2009年有进一步发展的趋势。笔者建议,作为一个全球性的信息安全问题,垃圾邮件的威胁短时间内仍将保持上升的势头,但对企业用户来说,一个有效的反垃圾邮件解决方案就足以比较有效的防御外界垃圾邮件的侵袭;笔者也建议个人用户培养良好的安全上网习惯,不随意开启来源不明的电子邮件,也能保护自己不至于成为电子邮件病毒的受害者。
今年在国内广为流行的社会关系网络网站(SNS网站),也再次成为2009年主要的安全威胁。根据12月17日eWeek.com的报道,多个安全厂商的研究人员都认为,SNS网站的流行,吸引了大量用户的参与,也直接为这些用户所属的企业造成了越来越严重的安全威胁。而最近一系列针对SNS网站的攻击活动也表明,黑客对SNS网站的各种攻击,不单会影响SNS用户的账户安全,黑客也有可能借助SNS网站用户的弱点,攻击用户所属的企业及其网络设施,这一点在今年拉斯维加斯举行的黑帽会议上已经得到证实。许多企业单纯的使用网站地址过滤等方法限制用户在上班时间访问SNS网站,但效果并不尽如人意,用户也倾向于使用代理等技术来突破企业的封锁。笔者建议,企业对用户使用SNS网站的现象,除了常规的应用技术手段进行封禁之外,也应该同时采用管理和培训的方式,加强用户的安全意识,在有条件的情况下,可引导用户合理的根据企业安全策略使用SNS网站,并未企业的经营创造价值。
安全工具:免费拒绝服务攻击测试工具;推荐指数:高
根据12月16日Darkreading.com的消息,一个意大利的安全研究人员Acri Emanuele在一个安全社区发布了其最新的拒绝服务攻击(DOS)测试工具,该工具能够模拟TCP会话连接的三个阶段,并能在短时间内让TCP服务器停止服务。有兴趣的朋友可以用它来测试一下自己的网站或服务器能够抵御怎样强度的拒绝服务工具,不过笔者要提醒一句,不要用这个工具来测试其他的合法网站,否则后果自负。
该工具的下载地址如下:
推荐阅读:
1)
2008年最酷的5个黑客攻击方式;推荐指数:高
Darkreading.com 日前评出了2008年最酷的5个黑客攻击方式,这5个攻击方式都是构思巧妙,也会造成可怕后果的类型,包括公路电子收费系统、永久拒绝服务攻击等,推荐有兴趣的朋友了解一下。
文章的地址如下:
2)
美国针对电子医疗档案的新隐私保护指导;推荐指数:高
目前越来越多的医疗机构采用电子形式来保存电子档案,但不少的机构往往不太了解如何有效的保护这些敏感数据。根据美国新总统奥巴马的策略,美国卫生部最近制定了一个新的电子医疗档案隐私保护指导,推荐相关部门和医疗行业的朋友们了解一下。
文章的地址如下:
[url]http://news.cnet.com/8301-13578_3-10123549-38.html[/url]
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/123978,如需转载请自行联系原作者
