三月第2周安全要聞回顧：駭客套裝明碼標價按年付費 安全標準呼聲漸高

本文同時發佈在： [url]http://netsecurity.51cto.com/art/200903/115531.htm[/url]

 

信息安全方面值得關注的熱點較爲散亂，雲計算是這兩年IT業界的新熱點，然而云計算的先行者Google卻在本週爆出了其產品Google Docs泄漏用戶文檔和敏感數據的醜聞。沉寂一段時間的網絡犯罪領域再次升溫，按服務形式提供的網絡***和惡意軟件開始擡頭，數家安全廠商也報告稱Google、Yahoo等搜索服務成爲網絡犯罪組織手中的新利器。安全管理方面，安全行業對制定一個可行的安全性度量標準的呼聲漸高。在本期回顧的最後，筆者仍爲朋友們帶來一篇值得一讀的推薦閱讀文章。

本週（090309至090315）安全要聞回顧

本週的信息安全威脅等級爲低。儘管本週又是微軟推出安全更新的時間段，但目前安全行業沒有發現互聯網上有針對微軟已修補漏洞發起的大規模***活動，用戶只需及時從微軟網站下載並應用補丁便可。

 

雲計算安全：Google Docs泄漏用戶敏感文檔；關注指數：高

雲計算是近兩年來IT業界的新熱點，隨着Google Docs和SaleForce等一批先行者的成功，衆多的軟件廠商和互聯網服務商都紛紛進軍這個領域，然而本週Google Docs爆出泄漏用戶文檔和敏感數據的醜聞，無疑爲雲計算領域的創業者和經營者敲響了警鐘。

問題出如今Google Docs對用戶對文檔權限和協做共享設置的處理上，若是用戶曾經對文件設置過共享，那麼用戶的其餘文件可能會被其餘登陸Google Docs系統的用戶訪問或修改。Google在Google Docs的支持論壇上獲知此漏洞的存在後，迅速對受影響的用戶文檔採起移除共享用戶和權限的操做——這對至關多的正經常使用戶產生了一些操做上的影響。

Google過後在Google Docs官方博客上稱，這次Google Docs服務出現問題，受影響的用戶只佔Google Docs服務總用戶不到0.5%的比例，另外這次Google Docs的問題只會影響文本文檔和PPT文件，而表格文件不受影響。Google在處理此次問題上雖然動做也算是夠快，但仍然會對Google Docs的安全性產生負面影響，也再次提醒了其餘服務提供商和用戶，數據安全和服務可用性還是雲計算主要面臨的問題。

筆者認爲，儘管採用雲計算類的解決方案能夠有效的下降用戶花費在採購軟硬件上的開銷，同時也能夠實現只要有網絡數據就能隨人走這個理想狀態，但如今的雲計算服務，感受更適合預算有限的小企業和我的用戶，對數據安全和可用性要求比較高的政府部門和企業用戶來講，建議仍是應當謹慎選擇雲計算服務，儘可能不要將帶有敏感數據的文檔或其餘資料存放到雲計算平臺上進行處理，若是是對成本比較敏感，用戶能夠考慮選擇成熟並且更爲安全的開源軟件產品。

 

網絡犯罪：服務形式的網絡犯罪開始擡頭；搜索引擎成爲網絡犯罪組織的新幫兇；關注指數：高

項目外包是企業在進行IT項目時最爲常見的實施方式，企業能夠藉助將項目外包有效的節省人力物力成本和時間——不幸的是，網絡犯罪集團也開始借鑑和使用這一有效的實施方式。

本週在悉尼舉行的一個銀行業會議上，安全專家就向與會者描述了網絡犯罪這樣的趨勢：因爲網絡犯罪已經造成完整的地下產業鏈，網絡犯罪組織也開始將惡意軟件編寫、配置和服務器設置等一系列更爲專業的操做外包給專業的惡意軟件做者和***。根據會議上舉例的一個來自網絡犯罪軟件做者的郵件顯示，惡意軟件做者向網絡犯罪組織提供了託管的惡意軟件製做和服務器維護服務，只須要支付400美圓，一個只有基本計算機技能的用戶就能得到一個可以盜取用戶銀行帳戶的最基本***套裝，並獲得惡意軟件做者爲期一年的不間斷支持。

顯然將這一趨勢將在2009年有所增強，因爲我國在今年2月底經過了刑法修正案（七）第285條的修訂版，將提供惡意軟件和控制他人計算機歸入犯罪的認定，以及近段時間有關部門進一步加大對網絡犯罪的打擊力度，國內網絡犯罪組織和惡意軟件編寫者會加快將「業務」轉移到國外的進程，同時來自國外網絡犯罪組織的***也有可能進一步增多，建議國內用戶應提升警戒。

在上期的回顧中筆者曾給你們介紹過惡意軟件藉助Google Trends進行擴散的新聞，這方面消息在本週有了進一步的深刻：安全行業在近一段時間的研究和分析中發現，惡意軟件藉助Google Trends擴散的背後，隱藏着Yahoo、Google等知名搜索引擎正成爲網絡犯罪組織***的新幫兇這一趨勢。

Symantec的研究人員在3月10號稱，網絡犯罪組織利用付費的Yahoo搜索廣告功能，欺騙用戶下載一個名爲「AntiVirus & Security」的假冒反病毒產品，用戶若是不慎運行了這個程序，將有可能丟失用戶帳戶等敏感信息。另一個安全廠商McAfee也在同一天稱，網絡犯罪組織利用Google對Democrats.org網站較高的Page Ranking，提高他們的惡意軟件和惡意網站連接在搜索結果中的排名順序，以增大感染警戒性較低的用戶的可能性。

安全行業對搜索引擎愈來愈不安全這個趨勢也並不是不做爲，多個廠商都推出了可以爲用戶提供站點安全性建議的瀏覽器插件，內置的網頁內容和腳本掃描引擎也成爲大多數反病毒軟件及防火牆的標準配置，可是安全技術和產品總歸只能起到一個輔助和預防的做用，安全的使用搜索引擎和培養安全的網站瀏覽習慣，纔是防護經過搜索引擎擴散的惡意軟件的最好辦法。

 

安全管理：安全度量標準呼聲漸高；關注指數：中

在3月13日波士頓舉行的SOURCE會議上，前美國國土安所有網絡組的組長向與會者發表了一個主題爲信息安全的演講，期間他呼籲安全行業應儘快制定一個安全度量標準，以供各行業的用戶能對本身的信息安全現狀有更清晰的瞭解。這是一個至關有意思的話題，儘管目前安全行業和政府等其餘部門已經制定了許多不一樣類型的安全標準，但接觸過信息安全領域或實施過相關項目的朋友可能會問這樣一個問題：我知道個人企業/機構進行過什麼樣的信息安全項目，可是我怎麼知道在項目實施以後個人企業/機構的安全程度如何？

沒錯，這是個很難回答的問題，在實踐中咱們能夠說咱們的用戶實施過什麼樣的信息安全標準，如ISO2700一、等級保護條例等，或者是在這樣的標準下咱們的用戶已經可以知足多少個條例，然而如今確實沒有一個獲得普遍認可的安全度量標準，來衡量一個企業/機構的信息安全到底達到什麼樣的水平，究竟是及格，仍是良好或者優秀？

由於每個用戶都有本身與其餘用戶十分不一樣的IT設施、安全策略和IT管理水平，要在這種狀況下去衡量每個用戶的信息安全水平，並肯定一個有可比性的數據，顯然是一個幾乎不可能完成的任務。筆者以爲，從短時間來看，由於行業和個體的差別性過於明顯，要制定一個普適性較好的安全度量標準仍不現實，不一樣行業的用戶建議仍是多關注本行業的信息安全標準的實施，或應用通用性更好的ISO2700一、PCI等標準。

 

推薦閱讀：

2007年愛沙尼亞網絡戰的背後

2007年中由於選舉等政治問題，愛沙尼亞國內曾發生過民衆騷亂等事件，並出現大規模的網絡拒絕服務***，致使該國衆多的公衆和政治網站沒法正常運做。這個事件的背後真相如何？有興趣的朋友能夠看看最近公開的對此事件進行深度分析的文章《2007年愛沙尼亞網絡戰的背後》

文章的地址以下：

[url]http://www.rferl.org/Content/Behind_The_Estonia_Cyberattacks/1505613.html[/url]