3月第一週安全要聞回顧：惡意軟件谷歌忙 Firefox成漏洞王

本文同時發佈在： [url]http://netsecurity.51cto.com/art/200903/114337.htm[/url]

 

近期安全方面值得關注的新聞很多，微軟本週都將推出安全更新，雖然也算是準時，但和上月愈演愈烈的漏洞***活動比起來仍是稍嫌晚了點。說到漏洞就不能不說與之相關的軟件安全問題，軟件安全已經開始爲軟件廠商所關注，但軟件界仍較缺少對軟件安全項目進行有效評估的工具，本週新鮮出爐的軟件安全項目測評標準是否能擔此重任？

搜索引擎排名本是方便商家網絡推廣的工具，但無孔不入的惡意軟件也開始使用這一工具進行傳播，本期回顧筆者將和朋友們一塊兒關注Google Trends是如何被惡意軟件所利用的。威脅趨勢方面，日漸流行的輕省筆記本成爲******用戶數據的新目標，而最爲古老的***手段之一——戰爭撥號（War dialing）也從新開始成爲******企業用戶的工具。在本期回顧的最後，筆者將爲朋友們介紹一個開源的新安全工具，並同時準備了兩篇推薦閱讀文章。

本週的安全威脅等級爲中。

 

漏洞***：

微軟發佈3月例行安全更新；報告顯示去年Firefox漏洞遠多於其餘瀏覽器；關注指數：高

儘管這幾個星期以來，各類針對微軟產品漏洞的***和相關的惡意軟件一直是安全圈子裏的熱門話題，但微軟仍是沒有像去年11月那樣推出多個緊急補丁，而是循序漸進的發佈例行的安全更新。本週又是微軟每個月推出例行安全更新的日期，根據微軟以前發佈的3月安全更新公告，微軟將在本月例行安全更新中爲用戶提供3個補丁程序，都是針對Windows及其相關組件中存在的安全漏洞。其中的MS09-006 Windows圖像處理漏洞，會致使Windows在處理EMF和WMF圖形文件時出現不可預測的行爲，從而運行惡意代碼，***將可能用該漏洞製做成傳播惡意軟件的網頁***，並經過僞造或攻陷的合法網站威脅用戶系統安全。筆者建議，用戶應儘快從微軟的站點下載或經過Windows Update服務應該針對該漏洞的補丁程序。另外，值得注意的是，微軟仍沒有針對上個月就曾發佈安全公告的Office Excel中存在的遠程代碼執行漏洞提供補丁程序，所以，用戶在使用Office Excel來處理各類文檔文件時，仍應該注意不要開啓來自不可信來源的Excel文件，以避免感染惡意軟件並形成敏感信息的丟失。
目前最不安全的瀏覽器是哪個？本週安全廠商Securnia發佈的研究報告能夠給朋友們一個參考答案。根據Securnia這份2008年瀏覽器安全研究報告，開放源代碼的瀏覽器Mozilla Firefox拿到了「漏洞最多的瀏覽器」這一稱號，由於在2008年整年Firefox共報告了115個不一樣安全等級的漏洞，這個數字幾乎是IE、Apple Safari等其餘瀏覽器的在2008年漏洞數的兩倍。不過漏洞多並不必定就說明是最不安全的，Securnia的報告也顯示，Mozilla Firefox的漏洞修補速度也比其餘廠商瀏覽器快得多，漏洞修補最慢的是微軟IE，在2008年曾有漏洞在公開後294天才發佈安全更新的歷史。筆者認爲，瀏覽器的選擇其實主要要看使用環境和用戶習慣，漏洞數只能做爲一個參考指標，兼容性和穩定性等其餘指標也一樣重要，更重要的是用戶要培養安全瀏覽的習慣，避免登陸來源不明的網站，並保證系統補丁和反病毒軟件等爲最新，這樣才能儘量的保證用戶瀏覽網站時不受惡意軟件的侵襲。

 

軟件安全：

Fortify和Cigital推出軟件安全項目測評指標；關注指數：中

軟件安全在近幾年已經逐漸爲軟件廠商所接受，成爲軟件廠商在開發新產品時一定考慮的一個關鍵因素，幾個領先的軟件廠商也紛紛推出了各自的軟件安全標準，但目前在如何成功的實施一個軟件安全項目這個問題的解答上，許多軟件廠商仍處在比較初級的探索階段。

本週業界領先的軟件安全廠商Fortify和諮詢廠商Cigital合做推出了一個新的軟件安全項目測評指標，就在幫助軟件廠商實施軟件安全項目方面提供了一個不錯的指導。

Fortify和Cigital結合了目前市場上應用最爲成功的九種不一樣軟件安全標準的長處，研究人員還普遍的訪問了包括EMC、微軟、Adobe等知名軟件廠商在內的25家廠商，從中吸收了不少軟件安全領域的經驗和教訓，最終造成了這份名爲《構建安全的成熟模式（Building Security In a Maturity Model，BSIMM）》的白皮書，有興趣的朋友能夠從 [url]www.bsi-mm.com[/url]網站獲取這份白皮書的最新版本。

筆者通讀過這份白皮書，認爲確實很適合軟件企業計劃並實施軟件安全項目，並衡量當前正在實施的軟件安全項目是否足夠完整和有效。筆者也將在將來的時間內更多的關注軟件安全相關的技術和理念，並將用一系列的專題爲朋友們介紹軟件安全領域的知識，敬請期待！

惡意軟件：

惡意軟件借Google Trends擴散；關注指數：高

搜索排行榜是搜索引擎爲方便用戶找到最熱門信息而推出的一個有效工具，廣大的商家也能夠經過搜索排行來推廣本身的商品，然而根據反病毒廠商最近一段時間的研究結果，惡意軟件也開始學着利用搜索排行來「推銷」本身。

本週來自反病毒廠商McAfee Avert Labs實驗室的研究人員稱，目前已經有很多惡意軟件做者經過用於分析用戶搜索習慣的Google Trends，來分析用戶最近搜索的熱門關鍵詞，而後將帶有惡意軟件的頁面設置相同的關鍵詞並使用搜索引擎優化的手段進行優化，當用戶搜索這些熱門關鍵詞時，帶有惡意軟件的頁面就會出如今搜索結果的前列。若是用戶不當心點擊了這些惡意網站，就有可能感染各類以盜竊用戶信息爲目的的惡意軟件。

惡意軟件這種傳播方法並不算很新穎，去年10月份，就曾有研究人員警告網絡犯罪集團正利用相似的手法來傳播惡意軟件，此次McAfee的警告顯示已經有至關多的惡意軟件開始使用搜索排行進行擴散的這一趨勢。

另外，也從側面暴露出一個問題：各搜索服務提供商的搜索安全技術，並不像它們所聲稱的那樣擁有高準確率。筆者建議，用戶在使用搜索引擎時，不要隨意點擊陌生的網站搜索結果，哪怕是排在搜索結果前列，說不定它就是一個***精心設計的惡意網站，另外有個小訣竅朋友們也能夠試試，使用搜索引擎提供的快照功能會有必定的保護效果。

威脅趨勢：

War Dialing***的新發展；輕省筆記本成爲***新目標；關注指數：高

戰爭撥號（War Dialing）是歷史最爲悠久的******手段之一，其實施過程並不複雜，***經過電話調制解調器向某個企業的電話號碼進行撥號，若是正好某個號碼上正好連着調制解調器，***就可能經過該調制解調器創建鏈接，並最終進入目標企業的內部網絡。

隨着各類寬帶和高速網絡技術的興起，以及其餘***手段的快速發展，許多新生代***並不知道傳統的戰爭撥號***。不過***圈中並無放棄對戰爭撥號***的研究，早在2002年就曾有一個研究人員聲稱90%的企業均可以經過調制解調器網絡進入其內部網絡，而在7年後的今天，隨着VoIP等新技術的成熟和普遍應用，調制解調器網絡仍然是許多企業忽視但又現實存在的嚴重安全威脅，尤爲是使用了遠程監視和數據採集系統（SCADA）的企業用戶。

知名安全工具Metasploit的做者目前就正在開發一款名爲Warvox的企業電話系統審計軟件，該工具實際上就是利用VoIP技術，對指定範圍的電話號碼進行戰爭撥號***，據做者稱，該工具只須要一個標準的寬帶鏈接和標準的VoIP帳戶，而無需大量的電話線路，而且可以以每小時1000個號碼的速度進行掃描。筆者以爲，雖然戰爭撥號技術歷史已經很悠久，但要說它是徹底過期的也有失偏頗，若是是在合法的***測試或司法取證中，這款工具的合理使用說不定就會起到出人意料的效果。

自從2007年華碩首先推出Eeepc以來，以低成本和輕小爲賣點的輕省筆記本（Netbook）就開始廣受用戶的歡迎，大多數的計算機廠商也紛紛推出了此類產品。不過因爲輕省筆記本在機能和軟件配置上與當前主流的筆記本計算機有較大的差距，輕省筆記本正日益成爲******的新目標。

目前輕省筆記本大都使用Intel和VIA兩家廠商的低能耗CPU，爲了節省成本，內存大都是512M或1G，雖然可以流暢運行Windows XP和定製的Linux，但若是運行較多程序，速度和電池壽命上的衰減仍是比較明顯的，用戶大多傾向於最簡化輕省筆記本上的系統和軟件，在輕省筆記本使用反病毒或防火牆等標準安全軟件的用戶也很少。

所以，輕省筆記本用戶就成爲***的新***目標，安全軟件的缺失使得這些用戶很容易感染各類惡意軟件，並且輕省筆記本的便攜性也讓用戶訪問外界無線鏈接的機會增多，也增添了用戶不安全使用無線鏈接形成的敏感信息泄漏風險。筆者認爲，儘管可能會致使系統運行減慢，輕省筆記本用戶在條件容許的狀況下仍是應該安裝反病毒軟件，選擇佔用系統資源較少的便可；同時不要隨意在外界的不加密無線鏈接上使用本身帳戶等隱私信息，以防止本身的隱私信息在不經意間落入***手中。

工具推薦：OSSEC 2.0

OSSEC是一套功能強大的開放源代碼主機IDS（HIDS），它可以執行主機日誌分析、文件完整性檢查、Rootkit檢測、實時警告和響應等功能。本週OSSEC的最新版本2.0推出，除了上述功能外，還多了策略支持、多語言、新報告工具等新特性，並能運行在Windows和Unix的系統上，推薦朋友們在服務器上安裝使用。OSSEC的官方網站爲： [url]http://www.ossec.net/main/ossec-v20-released[/url]

推薦閱讀：

1） 促進安全戰略的5個原則；推薦指數：高

如何創建一個高效率的信息安全戰略，一直是企業實施安全管理的核心內容，當前的企業和信息安全專家除了要了解技術以外，熟悉如何將安全技術和業務緊密結合更爲重要。Forrester Research本週提供的《促進安全戰略的5個原則》，能夠做爲企業實施安全戰略的一個有益參考，推薦有興趣的朋友閱讀一下。文章的地址以下：
[url]http://www.itnews.com.au/News/98122[/url],five-principles-underpinning-robust-security-strategies.aspx

2） 如何防止元數據泄漏你的隱私？推薦指數：中

前兩期的回顧筆者曾提到過元數據對用戶隱私信息可能形成的威脅。Darkreading.com的新文章《如何防止元數據泄漏你的隱私》就對這個問題提出了幾個建議，對隱私保護有興趣的朋友能夠從如下地址讀到這個文章：
[url]http://www.darkreading.com/insiderthreat/security/vulnerabilities/showArticle.jhtml?articleID=215800964&subSection=Vulnerabilities+and+threats[/url]