本周(080818至080824)信息安全威胁等级为低。
推荐阅读:
对FBI网络犯罪部门专管的采访;推荐指数:中
华盛顿邮报的记者周一采访了FBI的网络犯罪部门专管James Finch,记者专门向Finch询问了美国国内的电子商务和网络犯罪、在线攻击现状等热点问题,Finch也详细的进行了逐一回答。文章是该次采访的摘要,推荐有兴趣了解美国相关领域现状的朋友看看。
要闻回顾:
媒体方面,本周值得关注的新闻集中在黑客攻击和电子商务安全领域。
媒体方面,本周值得关注的新闻集中在黑客攻击和电子商务安全领域。
黑客攻击:Red Hat和Fedora Linux社区服务器被黑客入侵,关注指数:高
新闻: 8月22日,来自Securityfocus.com的消息,知名Linux厂商Red Hat及其社区版本Fedora周五发布安全警告称,来源不明的黑客成功攻击了Red Hat和Fedora社区使用的多台服务器,并迫使这些系统的管理员关闭系统一周。其中,影响最为显著的是黑客成功入侵了Fedora社区用于对产品自动升级包进行数字签名的系统,此外,黑客的攻击也影响了Fedora社区的数据库、代理服务器和协作网络,Red Hat公司的少量系统也在本次攻击受到影响。尽管目前没有证据表明黑客在入侵之后已经成功获取Fedora社区用于签名自动升级包的主密钥,但Fedora社区仍决定重新生成并分发新的密钥,并检查现有的自动升级包集合是否有黑客故意插入的恶意代码。
分析:Red Hat 和Fedora Linux是目前用户范围最广的Linux版本之一,尽管目前其面临来自SUSE、Ubuntu等发行版新秀的强力挑战,但仍以其技术领先、厂商支持和用户基础雄厚等特点,广泛应用于企业中高端领域和个人领域。黑客这次对Red Hat和Fedora社区服务器的成功攻击,最大的潜在威胁在于黑客攻击的是Fedora社区用于对自动升级包进行数字签名的系统,如果黑客成功获得进行数字签名用的主密钥,就可以将恶意的升级包签名并插入到数据库中,并在用户自动升级系统时进行感染和传播恶意代码。此外,黑客还成功攻击了Fedora社区的数据库和代理服务器,可能已经获取相当多用户的Fedora系统的技术细节,或者用户的隐私信息。
笔者观点:由于Red Hat和Fedora社区在安全公告中并没有公布太多关于这次攻击的细节,因此攻击造成的影响如何尚无法评估,Red Hat和Fedora社区也计划发布一系列新的升级包,来修正目前对应Linux发行版中潜在的安全问题。笔者建议,Red Hat和Fedora Linux用户应查看最近一段时间系统进行过的自动升级操作日志,检查是否下载运行过被黑客篡改过的恶意升级包,并关注Red Hat和Fedora社区最近发布的安全公告和补丁升级程序,及时修补系统中可能存在的安全漏洞。
电子商务安全:新版PCI DSS标准的细节被公开;关注指数:高
新闻:8月22日,来自ITnews.com.au的消息,PCI安全标准委员会当天透露了新版PCI DSS(Payment Card Industry Data Security Standard,支付卡行业数据安全标准)标准的部分细节,它的内容及架构将和现在通行的PCI DSS 1.1版本没有太大的区别,PCI安全标准委员会更多的是根据PCI DSS在过去两年中实施的反馈进行了细节和需求上的修改,对许多细节上的定义也加入了更为清晰的描述,其中最显著的变化有两点:1.2版本要求根据行业最佳实践,更全面的在基于公共网络的无线通讯上使用更强的加密措施,此外,1.2版本还将会对能够在各操作系统平台上防御各种恶意软件的反病毒软件进行详细的定义。目前PCI DSS 1.2版本仍处于评估和建议阶段,最终版本的PCI DSS 1.2版本将于今年10月初推出。
分析:PCI DSS标准是一个为业界广泛接受的电子商务安全标准,主要用于规范各种电子商务企业如何安全的存储和使用用户的支付卡信息,PCI DSS最早是由两家信用卡服务商Visa和MasterCard联合推出的。在最近两年国际零售业和政府部门频繁发生严重的用户身份识别信息失窃案件之后,电子商务企业都意识到安全存储和使用支付卡信息的重要性,PCI DSS标准也逐渐成为行业内被广泛接受的最佳实践原则。PCI DSS标准在2005年推出第一个版本之后,根据在行业内实施的经验和反馈,1.1版本进行了较大的修改。随着电子商务企业使用的信息技术和外部信息安全威胁的不断发展,新的1.2版本在保持1.1版本的大体架构上,新增无线网络安全和反恶意软件这两个定义,显然是为了应对最近几年电子商务企业广泛使用无线网络技术,以及僵尸网络及其他恶意软件已经成为电子商务企业数据安全最大的安全威胁这两个趋势而制定的。但和国外的电子商务企业广泛遵从或准备使用PCI DSS标准的现状相比,国内只有极少几家在美国上市的电子商务公司遵从了PCI DSS标准,而其他企业大多只经过国内非官方组织或者安全企业的检测认定,这在电子商务业务日益国际化,以及国际网络犯罪逐渐渗透国内的现状下,仍是有较多不足之处的。
笔者观点:遵从PCI DSS标准,可以为电子商务企业的业务和敏感数据安全增加多一层保障,如果国内的电子商务企业要开展国际业务,PCI DSS标准的遵从是首先要克服的技术门槛。而与之相对的,国内能够提供PCI DSS标准服务的厂商、或标准遵从的自动化产品都不太多,这也需要引起国内安全行业的注意。
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/94998,如需转载请自行联系原作者
