四月第3周安全回顧：Twitter遭遇瘋狂XSS Mac被病毒感染變殭屍

本文同時發表在： http://netsecurity.51cto.com/art/200904/121369.htm

 

XSS蠕蟲瘋狂***知名SNS網站Twitter，技術人員屢次修補漏洞未果，能夠說是本週當之無愧的最值得關注新聞，在本期回顧中筆者將和朋友們一塊兒關注該事件的發展；惡意軟件方面也至關熱鬧，新型病毒將Mac系統轉化爲僵屍網絡，新一代隱蔽Rootkit Mebroot浮出水面。安全新技術領域，研究人員提出用耳朵做爲驗證因素的新型生物驗證技術，朋友們能夠在本期回顧中瞭解這個新技術有哪些有趣的新特色。在本期回顧的最後，筆者爲朋友們精心挑選了兩篇值得一讀的推薦閱讀文章。

本週（090413至090419）安全要聞回顧

本週的信息安全威脅爲低。

Web應用安全：XSS蠕蟲瘋狂***Twitter，技術人員屢次修補未果；關注指數：高

從上週末開始，一個名爲Stalkdaily的蠕蟲在知名的SNS網站以驚人的速度開始擴散，不斷有用戶抱怨「我被Stalkdaily蠕蟲感染了」，連Twitter很紅的應用之一TweetVisor也頻繁顯示警示。事發初期，技術網站Techcrunch就進行了報道（不多能有信息安全相關的新聞能上Techcrunch），並有網友在互聯網上公開了該蠕蟲的源代碼，Twitter的技術人員也很快修補了該蠕蟲所***的XSS漏洞。

Twitter和用戶都沒有想到的是，該蠕蟲的做者很快就又找到Twitter新的漏洞，並使用了Java變形技術來逃避Twitter設置的內容過濾，在短短的一週時間內，Stalkdaily蠕蟲爆發了六次，Twitter也號稱修復了全部的XSS漏洞，然而沒過多久新一代的蠕蟲都會從新爆發，Twitter的技術人員也只能投入修復漏洞的重複勞動中。Stalkdaily蠕蟲的做者在***事件發生不久浮出水面，使人意外的是影響如此大的蠕蟲***，蠕蟲的做者竟然只是一名17歲的少年Mikeyy，他的目的看起來只是想宣傳本身的網站Stalkdaily.com。

整個事件的通過與2005年19歲的Samy寫蠕蟲***MySpace有驚人的類似，Samy最後被判了3年緩期和90天社區勞動——若是Twitter要追究法律責任的話，顯然Mikeyy的下場要比Samy更難過，由於Stalkdaily蠕蟲的第1、二代都帶有竊取受影響用戶的用戶名和Cookie，已經構成對Twitter及其用戶事實上的損害。
固然，簡單如Twitter的界面仍會產生XSS漏洞並形成如此大的影響，也再次說明了XSS對Web應用的威脅之大；Twitter的技術人員修補了六次漏洞，仍讓Stalkdaily蠕蟲連續爆發，雖然每一代蠕蟲的特徵代碼不一樣，但也說明了Twitter的修補方式其實是錯誤的。Twitter採用的是經過黑名單來攔截蠕蟲所用的XSS***字串，技術人員也誤認爲這樣足夠防護XSS***，但實際上採用白名單方式來控制輸入字串的形態、長度和字符集等，纔是更有效的XSS防護方式。

網站防護XSS的最大難度在於，每個網站的結構千差萬別，可能形成多層的字符串解碼操做，因此如何有效的防護XSS的***，網站的開發人員必須熟悉XSS的成因，OWASP網站上的XSS特徵列表就是一個至關好的參考資源。而對用戶來講，可使用Firefox的NoScript插件或經過修改IE設置禁用掉JavaScript的執行，一勞永逸的解決掉XSS漏洞的***問題，不過這樣也會對用戶的瀏覽體驗形成至關的損失，就看用戶是如何取捨安全和體驗這二者了。

惡意軟件：新病毒將Mac轉化爲僵屍網絡；最隱蔽的Rootkit浮出水面；關注指數：高

傳統意義上的僵屍網絡，每每是由大量採用Windows做爲操做系統的PC或服務器所組成，隨着惡意軟件編寫技術的提高，僵屍網絡成員的類型已經今非昔比，除了在前兩期回顧中筆者曾介紹過的Linux路由器僵屍網絡外，Apple Mac系統也開始成爲僵屍網絡的新成員。來自多個反病毒廠商的檢測結果，今年初出現的捆綁有新惡意軟件的盜版MacOS系統，已經成功的擴散到至關數量的用戶機器上，這些受感染系統已經開始被用在至少一次的大規模拒絕服務***中。這種***方式對PC用戶來講並沒有新意，在Windows盜版猖獗的前幾年，某些小工做室製做的所謂發行版常會捆綁不一樣的惡意軟件。

因爲Mac系統上目前可用的反病毒軟件並很少，用戶對惡意軟件的防範意識也較爲薄弱，所以這種針對Mac的***行爲仍是應該引發Mac用戶的重視的。

最近反病毒廠商發現的Mebroot Rootkit新變種則顯示了Rootkit編寫技術有較大進步的現象。Mebroot Rootkit也稱爲Torpig或Sinowal，最先是由EMC RSA的安全人員於去年末所發現的，一般還被集成到流行的***工具包Mpack裏面。Mebroot的新變種與舊的相比更爲隱蔽，主要表如今新變種增長了用於隱藏的新技術，在感染用戶的系統後再也不嘗試鉤掛disk.sys驅動，而是會先判斷哪個驅動程序是更爲底層的，而後再對其進行感染。

所以在不一樣的系統上Mebroot新變種可能感染的驅動程序對象不一樣，在真實的PC和虛擬機系統之間也可能會有顯著的差別，Mebroot的做者還修正了之前存在的一個MBR修改bug，使得反病毒軟件更難從主引導區是否被修改來判斷Mebroot的存在與否。Mebroot的新變種目前主要經過存在漏洞的第三方軟件進行傳播，根據多個反病毒廠商的監測結果，該新變種流行並不普遍，用戶注意更新本身的系統和反病毒軟件的話，要防護該Rootkit應該問題不大。另外，若是用戶懷疑本身曾被相似的惡意軟件感染過，下面是一個如何手工檢測和清除的指南，用戶能夠參考一下。 http://www.trustdefender.com/blog/2009/04/04/new-mebrootsinowalmbrtorpig-variant-in-the-wild-virtually-undetected-and-more-dangerous-than-ever/

安全新技術：研究人員提出人耳生物識別技術；關注指數：中

由於移動計算設備較小的體積和較弱的計算能力，傳統的生物識別技術在移動計算領域彷佛都不太適用，但在政府、軍事等對安全要求較高的領域，對適用於移動設備的生物識別技術的需求也日益增加。英國工程和物理科學協會（EPSRC）就贊助南安普敦大學的研究人員進行這樣的一個研究項目，針對每一個人能聽到的低頻聲音不一樣，以及對相同聲音不一樣的響應模式，來區別當前用戶是不是通過系統認證的合法用戶。

若是南安普敦大學的研究可以成功，結合嵌入敏感麥克風的移動電話，預計可實現這兩個功能，識別用戶以進行安全的電話通訊，或者在用戶的移動設備被盜以後，遠程禁用掉被盜的設備以防止泄密。不過這樣的技術即便開發成功，估計也只可以是在法律、政府和軍事領域小規模使用，我的用戶也想用的話，多是連輸入本身識別信息都很難操做，更別說要用更高級的功能了。

推薦閱讀：

1） 企業應用智能電話的3個安全要點；推薦指數：高

隨着成本的降低，智能電話已經成爲企業網絡中一種常見的終端，但智能電話不一樣於傳統x86體系的諸多特色，以及高度定製化的軟件，也使得在企業環境中安全使用智能電話成爲一個很難實現的目標。本週eWeek.com推出了一個文章《企業應用智能電話的3個安全要點》，相信會給目前遇到相似問題的朋友一些提示。文章的地址以下：

http://www.eweek.com/c/a/Security/3-Smartphone-Security-Considerations-for-Enterprises-205412/?kc=rss

2） 2009年數據泄露調查報告；推薦指數：高

數據泄露是對企業威脅最大的IT事故之一，即便是對從未發生過相似事件的企業來講也是一把高懸的利劍，如何防止敏感的數據外泄，也成爲企業最爲關鍵的任務。互聯網安全組織SANS本週推出的《2009數據泄露調查報告》，採用案例分析的方式介紹了衆多數據泄露相關的知識，推薦朋友們都瞭解一下。文章的地址以下：

http://isc.sans.org/diary.html?storyid=6202&rss