安全业界呈现平静下暗流涌动的态势:安全业界在互联网Botnet之战中取得里程碑式的胜利,然而用户也不能因此松一口气,针对用户移动设备的攻击浪潮正蓄势待发。另外,最近一段时间第三方机构的测评和研究结果表明,目前安全产品和技术的发展开始出现落后于攻击技术发展的苗头;当然也并不是所有的新闻都是令人沮丧的,本周安全产品和市场方面也有些值得关注的积极消息。
本周(081013至081019)安全要闻回顾
本周的信息安全威胁程度提升为中,请朋友们及时更新系统和安全软件,并在浏览网站及网络活动时保持安全的使用习惯。
在本期回顾的最后,笔者同样精选了2个值得读者一看的推荐阅读文章。
恶意软件:Storm Botnet活动趋于停止;卡巴斯基称操作系统仍不安全;关注指数:中
如果问起互联网上最为著名的僵尸网络是谁,估计大部分安全厂商都会回答是Storm 僵尸网络——在2006至2008年度,这个名为风暴的僵尸网络曾在互联网上疯狂肆虐,并一度感染了超过百万的联网计算机,而每到重要节日或出现什么重大的事件之时,互联网电子邮件系统中也总是充斥着由Storm僵尸网络发出的夹带有恶意软件或指向恶意网站链接的电子邮件,Storm僵尸网络还创造了多个第一,如变种速度最快、影响范围最广等。安全业界也没有坐视Storm僵尸网络对用户的严重威胁,针对僵尸网络的传播机理研究及防御技术、反垃圾邮件技术、主动防御技术等都有了长足的发展,并最终在Storm僵尸网络出现两年之后取得里程碑式的胜利。根据10月13日darkreading.com的报道,来自多个安全厂商的研究人员证实,在整个9月份,Storm僵尸网络基本趋于停止。
当然,一个月的安静并不能说明Storm僵尸网络已经真正从互联网历史上消失,同时目前互联网上的垃圾流量也没有因为Storm僵尸网络活动的停止而降低,更严重的是,一个名为Kraken的新僵尸网络开始逐渐取代Storm僵尸网络的位置,这一切都说明,安全业界在打击互联网上流行的僵尸网络等恶意软件的征途上还有很长的路要走。显然不少安全厂商也认识到这一点,根据10月17日ITnews.com.au的报道,反病毒厂商卡巴斯基的CEO在本周访问澳大利亚时,接受媒体采访称,因为本身的设计缺陷,目前的操作系统不可能做到足够意义上的安全,即使是被认为比较安全的操作系统Linux和Mac OS,也同样无法摆脱恶意软件的阴影。能够称为安全操作系统的产品应该在设计中就加入多种安全控制措施,严格控制权限,并拒绝所有未经数字签名和认证的代码执行,实际上,这样的操作系统可能只能应用于国防航空等极少数领域。
而用户也是让操作系统变得不安全的重要原因,例如Windows Vista中最重要的安全措施用户账户控制UAC,很多用户也因为觉得麻烦而关闭,从而使得Vista的安全等级下降到与Windows XP同一层次。Linux和Mac OS的安全情况也不容乐观,用户经常会忽略Linux系统的频繁升级,针对Mac OS的恶意软件数量在最近一段时间也有较为明显的增加。笔者建议,即使用户使用的是较为安全的操作系统,也不能过分依赖操作系统本身的安全性,有条件的话最好使用第三方厂商提供的安全软件,安全的使用习惯也同样重要。
安全报告:反病毒软件的效能正在下降;安全技术的发展落后于攻击技术;关注指数:高
大部分的用户都认为,使用了最新的反病毒和防火墙软件就可以保证自己的机器不受威胁,在互联网上的所有行为都能得到有效保护,事实真的如此吗? 根据10月15日darkreading.com的消息,安全厂商Secunia本周进行的一个研究显示,在目前互联网各种威胁广泛扩散的情况下,反病毒软件的效能正在显著下降。Secunia研究准备了互联网上能够找到的300个漏洞利用程序,并使用12个市场上最畅销的反病毒软件对这些样本进行检测,然而结果出人意料,Symantec的产品取得了最好的检测成绩,检出的数量比排名第二的产品多了差不多10倍,但是Symantec的产品也仅仅检出了300个漏洞利用程序中的64个。
显然,反病毒厂商需要加强对自己产品对恶意代码的检测能力,而不能只关注于对病毒木马等恶意软件的查杀上——尤其是在国内的互联网环境下,因为盗版Windows占据主要地位,为了避免WGA问题用户普遍关闭了自动更新,这使得反病毒软件防御各种漏洞攻击特别是来自网页的漏洞利用攻击的能力对用户来说尤为重要,当然反病毒软件中增加漏洞检测和修补功能,也能在很大程度上弥补对漏洞利用程序检测不力的问题。不幸的是,安全技术落后于攻击技术的现象不单在反病毒软件的领域有所表现,根据10月16日ITnews.com.au的新闻,美国佐治亚技术信息安全中心(GTISC)最近发布的一期安全报告称,尽管在2008年安全业界在协助和技术发展上取得了不小的成就,然而仍远远落后于黑客社群对攻击技术的发展速度,尤其在无线、僵尸网络、Web 2.0攻击和电信技术方面,黑客社群目前已经推出的技术明显超过了安全业界的现有技术。
笔者在这点上是认同该报告的,目前安全厂商和用户之间的交流程度确实有所欠缺,许多攻击技术在出现很长时间后,主流的安全厂商也没有为用户提供相应的应对方案,安全厂商之间的协作也存在较大问题,安全技术研究的成果要转化成对应的产品也不容易。
威胁趋势:研究专家警告交通卡风险;移动设备攻击技术快速发展;关注指数:高
相信很多朋友还记得在安全回顾专栏中曾经介绍过的英国和荷兰安全研究人员破解交通卡和门禁系统的新闻,荷兰研究人员再次成功的对常见的交通卡上实施破解。根据10月11日theglobemail.com的消息,来自荷兰Radboud大学的研究人员通过一个特殊的读卡器,将加拿大公交系统使用的交通卡上的个人信息读出,然后写入一张空白卡中,从而获得一张能够在公交系统正常使用的克隆卡。尽管加拿大运输部门迅速在媒体上驳斥了荷兰研究人员的研究结论,并表示加拿大运输部门还增加了额外的保护措施来保证交通卡使用的安全,但实际上,公交卡克隆只是最简单的攻击方法,黑客还有可能直接破解公交卡上的加密信息,从而对公交卡的数据进行任意改写,黑客还可能把针对公交卡的攻击与身份识别信息的窃取攻击相结合,进一步的威胁公交系统的运营安全。目前国内大中城市已经开始普遍使用公交卡来代替传统的票务系统,尽管目前没有关于公交卡攻击的相关新闻,但公交系统和相关安全厂商不应忽视这个新的威胁趋势。
最近两年逐渐被安全业界注意的移动计算设备安全领域,本周也有不少值得关注的消息,随着移动设备硬件机能和操作系统技术的快速发展,以及便携性和连接能力的增强,许多原来只对PC有效的攻击手段也将能在移动计算设备上实施。根据GTISC的最新一期报告,在2009年黑客对移动计算设备的攻击将发展到一个新的高度,而最有可能出现的攻击手段包括基于移动计算设备的僵尸网络,个人信息攻击、VoIP攻击等。笔者认为,随着我国3G网络建设的逐步铺开,高速互联时代也越来越近,上述的移动设备威胁趋势不再是遥不可及的设想,但目前国内用户对移动计算设备安全的相关意识和技能都很薄弱,需要国内媒体和安全厂商在该领域投入更多关注。
Web安全:Google再次充当黑客帮凶;关注指数:高
本周Google也再次登上了安全回顾的Web安全分类。根据10月13日eWeek.com的报道,知名Web安全专家Aviv Raff 在其博客上称,Google应用程序存在的缺陷很容易使Google成为黑客攻击用户的帮凶。另一位研究人员Adrian Pastor也在GNUcitizen.org上发表了Google应用程序漏洞的演示代码,代码运行结果显示,黑客可以构建一个虚假的登录页面,并在浏览器的地址栏显示Google应用的合法地址,从而骗取用户的敏感信息。最近与Google攻击研究有所增加,尤其是如何将Google和Web 2.0应用攻击结合起来逐渐成为许多黑客社群的研究对象,安全业界和Google自己应该对这个趋势加以关注。
推荐阅读:
1) Microsoft即将推出攻击预报;推荐指数:中
Microsoft将在每月的例行补丁升级前向用户提供名为 漏洞利用可能性索引 的新公告服务,该服务主要按照新漏洞被黑客利用及方法的不同进行分类,用户可以根据该服务提供的信息,决定补丁更新的优先度和进行风险评估。有兴趣了解该服务细节和运作情况的朋友可以在下面的链接中找到更进一步的信息。
请参考:
[url]http://www.computerworld.com/action/article.do?command=viewArticleBasi[/url] &articleId=9117018&intsrc=hm_list&f_src=darkreading_section_318_320
2) 关于美国关键通信设施安全性的问答;推荐指数:高
Net-security.org在10月14日对DNSstuff.com CTO Paul Paris进行了关于美国关键通讯设施安全性的专题采访,其中谈到了相当多无线、有线和互联网通信安全的问题和基础知识,适合有一定技术背景的通信、IT行业朋友阅读。有兴趣的朋友可以在下面的链接中找到该文章:
[url]http://www.net-security.org/article.php?id=1182&MENU&f_src=darkreading_section_318_320[/url]
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/107506,如需转载请自行联系原作者