3月第三週安全要聞回顧：雲計算有風險 ATM機成駭客新寵

安全方面值得關注的消息較多，雲計算的安全問題還是近期的熱點，上週Google Docs泄漏用戶敏感文件的風波剛過，雲計算服務對現有安全標準和法律法規在聽從性方面的缺失再次被安全行業所關注。惡意軟件的威脅在近段時間進一步提高，安全廠商已經捕獲到基於DHCP協議和專門針對ATM自動櫃員機的惡意軟件樣本。在本期回顧的最後，筆者仍爲朋友們精心挑選了兩個值得一讀的推薦閱讀文章。

近期（090316至090322）安全要聞回顧

本週的信息安全風險爲低，軟件廠商Adobe在3月18日爲旗下產品Adobe Acrobat和Reader的七、八、9版本分別推出了安全更新程序，主要修補此前發現的可以致使用戶系統感染惡意軟件的遠程代碼執行漏洞雲計，建議用戶儘快使用Adobe Updater自動升級，或從Adobe網站上下載並應用程序。

 

雲計算安全：雲計算方案的合規性聽從風險引人關注；關注指數：高

因爲最近一段時間全球的經濟情況持續惡化，雲計算做爲一種廉價高效的信息存儲和處理方式，就成爲許多關注於下降IT運維成本的企業的選擇。雲計算方案的提供商也應時提供了多種靈活的解決方案供用戶企業選擇，如Google和Amazon都容許用戶企業在其雲計算平臺服務器上運行用戶本身的互聯網應用程序，而Salesforce等其餘的服務提供商則向其用戶企業提供了多個特定用途的服務。

雲計算市場份額快速擴張的同時，由於其不一樣於傳統應用系統的架構和安全形式，也使得安全業界和衆多用戶對雲計算的安全性產生了顧慮。在上期回顧中筆者曾經和朋友們一塊兒關注過Google Docs存在泄漏用戶文件和隱私信息的消息，Google在收到受影響用戶的反饋以後，迅速經過移除用戶文件共享權限等操做來修補該漏洞，但這個事件仍是給不少用戶留下了雲計算不夠安全的壞印象。

本週在波士頓舉行的SOURCE安全會議上，安全專家向公衆揭示了雲計算方案在安全上的又一個潛在風險——合規性聽從（Compliance）。儘管雲計算服務商都向用戶承諾其服務的可靠性，保證7×24的在線率，但如何保證用戶存放在雲計算平臺上的數據的安全，仍不在大多數雲計算服務商的承諾範圍以內，用戶在絕大多數狀況下，也沒法經過數據加密等傳統手段得到更好的數據安全性。

固然，用戶企業能夠與雲計算服務商簽署服務級別協議（SLA）和第三方的安全協議，經過書面的方式來進一步保證雲計算的安全性，但調查顯示許多用戶企業仍對其存儲在雲計算平臺上的數據安全心存顧慮。此外，對現有的行業安全標準及法律法規的聽從性，也是用戶在選擇雲計算方案做爲業務數據存儲和處理平臺時要考慮的一個潛在風險，它存在於兩個方面：首先，用戶不可能瞭解到所選擇的雲計算方案具體的實現和運做形式，更不可能根據本身業務的需求對雲計算進行功能和實現上的自定義；其次，當前使用的很多安全標準，具體規定和設置要求都不適用於雲計算領域——如在網上支付領域普遍使用的PCI DSS標準，就只規定了物理服務器應該如何進行安全設置和操做。

筆者以爲，儘管使用雲計算和企業的其餘IT外包項目並沒有太大區別，但企業也應該意識到使用雲計算方案並不等於將數據安全的責任也外包到雲計算服務提供商的身上。在當前雲計算的運營模式沒有發生利於用戶數據安全需求的變化，以及現有安全標準對雲計算應用作出相應的修改以前，建議用戶仍是不要將敏感和涉及商業機密的信息存儲到雲計算平臺上，省得未來遇到衆多沒必要要的風險。

 

惡意軟件：惡意軟件技術快速發展，基於DHCP和專門針對ATM的惡意軟件出現；關注指數：高

***爲了在企業的內部網絡中擴散他們的惡意軟件，所用的手段能夠說是無所不用其極，除了慣用的遠程漏洞***和弱口令掃描等傳統***方法外，***也打起了企業內部網絡中各類常見服務的主意。根據互聯網安全組織SANS近段時間的監測結果，一個基於DHCP服務的新惡意軟件目前正在互聯網上快速擴散。該惡意軟件的工做原理與去年年末發現的Trojan.Flush.M***相相似，在感染企業內部網絡中的一個系統以後，該惡意軟件會在受感染系統上安裝一個DHCP服務器，其後進入企業內部網絡的其餘系統均可能被該惡意的DHCP服務器所欺騙，全部互聯網訪問的域名解析都會轉向至***預先設置的惡意DNS服務器。

雖然如今這類基於DHCP服務的惡意軟件並很少見，但由於它比前兩年流行的ARP欺騙型惡意軟件更爲隱蔽，用戶也更能發現、定位和消除在本身內部網絡中存在的該類風險。筆者建議，用戶可經過嗅探器、IDS等網絡工具監視網絡中DHCP服務器的活動狀況，同時觀察是否存在訪問不是已知DNS服務器的狀況存在，若是有就證實可能感染了上述類型的惡意軟件（固然也多是有內網用戶私自設置使用第三方的DNS服務器）。若是用戶使用了Windows域服務之類的內網管理方案，防禦基於DHCP或DNS服務的惡意軟件就更爲簡單，只需經過防火牆禁用除內網受權DNS服務器外的全部外部DNS查詢請求便可。

自動櫃員機ATM是犯罪集團最常***的目標之一，使用附加的卡×××、經過網絡釣魚獲取用戶信息並製造僞卡，甚至使用×××來爆破，***的手段可謂是種類繁多——反病毒廠商Sophos的新發現，又暴露了犯罪集團對ATM機***的一種新手段：惡意軟件。本週來自Sophos的研究人員稱，犯罪集團正利用可以在ATM機上運行的新一代惡意軟件，偷取ATM用戶所輸入的各類信息。

根據惡意軟件樣本分析的結果，這種***最先在今年初出如今俄羅斯，***破解了ATM廠商Diebold在一月份爲其基於Windows的產品發佈的軟件更新補丁，並在其中插入了一個惡意軟件。在稍後的調查顯示，***必須經過物理接觸ATM機纔可以在ATM機上安裝上述惡意軟件，但在***自己是金融機構內部人員或獲得內部人員的協助的狀況下，並不難達到這一目的。

儘管Diebold在稍後的消息發佈中稱，在ATM機上安裝惡意軟件的***者已被抓獲，並正在進行調查，但這種對ATM機的惡意軟件***趨勢仍值得咱們關注，只需熟悉ATM機的內部軟件運做機理和銀行的業務流程，一個有編程經驗的***是可以寫出能夠在ATM機運行的惡意軟件，再加上有銀行內部人員的配合，一次針對ATM機的惡意軟件***就能夠實施，並且這種威脅和傳統的ATM***手法比起來，無需添加額外的設備，所以也更爲隱蔽和難於消除。筆者以爲，ATM廠商和金融機構應該開始關注ATM機的軟件和網絡安全問題，並將其提高到和物理安全同等重要的地位，而目前大多數的ATM系統仍沒有專門針對惡意軟件或對其軟件的惡意修改部署防護措施，網絡邊界安全措施也有所缺失，這一點也值得安全行業所關注。

 

推薦閱讀：

1） DIY安全測試實驗室；推薦指數：中

許多朋友有興趣於測試安全工具、分析惡意軟件和漏洞或學習安全技能，一些企業的IT部門也經常須要對一些安全工具進行適應性測試，所以，使用手頭上的資源DIY小安全測試實驗室是一個不錯的解決辦法。Darkreading.com文章《DIY安全測試實驗室》介紹了在這個過程當中的主要注意事項，推薦有這方面興趣的朋友瞭解下。文章的地址以下：

[url]http://www.darkreading.com/security/management/showArticle.jhtml?articleID=215901457&subSection=Security+administration/management[/url]

2） E-Health可能面臨的14個安全風險；推薦指數：高

醫療過程的信息化是將來發展的一個趨勢，儘管在國內尚未大面積的推廣醫療信息化技術和方案，但事先了解E-Health可能遇到的各類問題，能夠做爲醫療行業在實施信息化過程當中的重要參考。歐盟網絡安全機構ENISA在前段時間推出了一個調查報告《E-Health可能面臨的14個安全風險》，推薦醫療和IT行業的朋友閱讀下。

報告的地址以下：

[url]http://www.darkreading.com/security/app-security/showArticle.jhtml?articleID=216000012&subSection=Attacks/breaches[/url]