1月第1周要聞回顧：年底威脅上升的態勢仍延續

本文同時發表在 [url]http://netsecurity.51cto.com/art/200901/105472.htm[/url]

 

朋友們，新年快樂！感謝在2008年裏大家給予筆者及51CTO安全回顧欄目的支持，衷心的祝願大家在新的一年裏身體健康，萬事如意，擁有更美好的2009！筆者和51CTO安全回顧欄目在新的一年裏，將一如既往的爲朋友們提供及時的安全要聞報道和深刻的分析，筆者還將根據安全業界重大新聞和事件，不按期推出專題類型的安全要聞回顧，敬請期待！

 

本週（081229至090104）雖然是每一年年末傳統的Holiday Season，但不容樂觀的經濟形勢還讓安全業界假期縮短了很多。本週值得關注的新聞較多，整體上仍延續2008年底威脅顯著上升的態勢，漏洞***、網絡安全、網絡犯罪和通信安全等領域均有須要注意的趨勢。Web應用安全領域，筆者將和朋友一塊兒關注最新的Web應用安全標準。在本期回顧的最後，筆者將向朋友們介紹兩個功能強大的安全工具，同時還爲朋友們精心挑選了兩個值得一讀的推薦閱讀文章。

本週的信息安全威脅程度爲低，當前的互聯網***威脅水平維持在較低水平，朋友們只須要注意升級反病毒和防火牆軟件，便可保證本身系統和互聯網瀏覽的安全。

 

網絡安全：新的SSL缺陷影響網站安全；關注指數：高

目前須要較高安全性的網站大多應用了SSL技術，做爲保護用戶與網站服務器之間通信和數據安全的主要手段。數字證書則是SSL技術最爲重要的組成，可用於驗證網站服務器的身份，評價網站和用戶間的SSL通信是否安全，也主要看SSL數字證書的實現方法和安全程度。然而，最近的研究代表，新發現的數字證書籤名缺陷將會對網站安全形成至關大的負面影響。根據12月30日Darkreading.com和Securityfocus.com的報道，在本週柏林舉行的第25屆Chaos Communication會議上，來自歐洲和美國的研究人員向與會者介紹了他們的最新研究成果：如何經過SSL數字證書的缺陷，***使用SSL的安全網站。該項研究主要針對當前互聯網上應用範圍最廣的公鑰加密體系（PKI），並使用了早先公開的MD5 Hash算法中的缺陷，該項研究成果可以創建一個虛假的證書受權（CA），並進一步發佈虛假的SSL連接數字證書，而現有的全部瀏覽器都會將這些虛假的數字證書誤認爲是合法的。研究人員還稱，若是網絡犯罪組織使用了他們的研究成果，將能夠創建虛假的證書受權和一系列僞造數字證書，並用於仿冒知名網站和對用戶發起網絡釣魚***；同時因爲這些可能的網絡釣魚***由SSL所加密，也使得安全業界更難發現和跟蹤它們。研究人員在本週二已經通知了市場主流的瀏覽器廠商，但Mozilla和微軟都在當天的迴應中稱，SSL數字證書缺陷帶來的風險和責任，應當由目前6個主要使用MD5算法進行數字證書籤名的合法CA所承擔。

不過網站運營者沒必要對這個消息過於緊張，若是是正在使用不安全的MD5簽名數字證書，可與本身的CA聯繫，讓其換髮使用SHA-2等更爲安全的Hash算法簽名的數字證書。並且從研究人員公開的細節來看，由於這種類型的***須要龐大的高性能計算能力來破解合法證書的MD5簽名，研究人員使用了超過200臺PS3遊戲機組成的計算集羣。所以, 在短期內網絡犯罪集團實施這樣類型***的可能性不大，用戶瀏覽器自帶的或其餘的第三方安全軟件提供的防網絡釣魚保護是足夠的。

 

漏洞***：微軟稱WMP漏洞危險度不大，但同時警告用戶要注意修補老漏洞；關注指數：高

最近由於自家產品漏洞頻發而忙得焦頭爛額的微軟，本週終於迎來了一個正面的消息。根據12月29日eWeek.com的報道，通過兩週的調查和分析後，微軟於當天宣佈12月早些時候收到的Windows媒體播放器（WMP）中存在遠程代碼執行漏洞是不存在的。一個安全研究人員曾在上月早些時候稱，WMP在處理某些特殊結構的WAV、MIDI和SND文件時，將會觸發其設計上的缺陷並執行不可預測的代碼，該漏洞會影響應用了最新補丁的Windows XP SP3系統上的WMP 9和11版本。換句話說，***能夠經過向用戶發送特定結構的媒體文件，從而經過這個WMP漏洞在用戶系統上安裝和執行惡意軟件。當時互聯網安全組織SANS也在本身的網站上刊登了相似的消息，還向其讀者提供了一個演示該漏洞存在的測試代碼。不過微軟這兩週的調查顯示，這個存在於WMP中的漏洞並不會致使遠程代碼的執行行爲，只會使WMP崩潰或失去響應，所以，微軟調低了該漏洞的威脅等級，但沒有說明何時會發布針對這個漏洞的補丁。筆者建議，使用Windows 2003 SP2的朋友無需擔憂該漏洞的影響，微軟已經在Windows 2003 SP2中修正該問題，而使用其餘版本Windows的用戶能夠開啓Windows自帶的數據執行保護（DEP）功能，並打全微軟最新的安全補丁便可。

針對用戶常常漏掉微軟關鍵補丁的情況，本週末微軟再次在其博客上發表了一篇文章，建議用戶儘快應用微軟最新的安全補丁以防止遭受惡意軟件的***。根據1月2日eWeek.com的報道，因爲互聯網上出現一個專門***微軟10月已修補漏洞的Conficker蠕蟲新變種，並已開始在互聯網上大規模擴散，所以微軟建議尚未使用針對該漏洞補丁的用戶儘快經過微軟升級服務應用補丁。微軟提到的漏洞是去年發現的存在於Windows Server服務中的一個遠程代碼執行漏洞，若是***成功***該漏洞，便可在用戶的系統上安裝惡意軟件。微軟已於去年10月23日推出了該漏洞的補丁，但最近的一系列的用戶報告顯示，沒有及時應用該補丁的用戶仍爲數很多。筆者建議用戶應儘快經過微軟升級服務更新該補丁程序，此外，因爲Conficker蠕蟲還具備簡單密碼拆解的能力，可以感染企業內網中使用弱口令的Windows機器，建議用戶儘快經過微軟Baseline等工具，發現並修正內網機器的弱口令問題。

 

網絡犯罪：專家稱身份盜竊***在2009將更爲猖獗；關注指數：高

身份盜竊***，指的是***和網絡犯罪集團經過技術手段或社會工程學方法，從用戶或電子商務商戶的系統內盜取×××號、信用卡號等我的身份識別信息，並將這些信息用於商業欺詐類犯罪活動中的***形式。身份盜竊***也是當前網絡犯罪最活躍的類型之一。根據12月30日sun-sential.com的報道，互聯網安全團體身份竊賊資源中心（Identify Thief Resource Center）的專家本月發表的報告稱，在2008年內美國身份盜竊***事件大增，超過一千萬的美國民衆成爲身份識別盜竊的受害者，美國的金融行業也損失大量資金。而在2009年，隨着全球經濟狀況的進一步惡化，針對身份識別的***和犯罪活動將會進一步增長。除了傳統的信用卡欺詐外，網絡犯罪集團還將使用多種新形式的***方法，如針對失業民衆的網絡抵押欺詐，使用被盜或遺失的銀行支票的支票欺詐和跨國的網絡有組織犯罪。儘管目前國內關於身份識別盜竊***的報道並很少見，但隨着我國金融行業的發展和電子商務的興起，我國互聯網用戶遭遇此類***的風險將會愈來愈大，而這點卻又是我國安全行業較爲薄弱的地方。筆者和51CTO安全回顧頻道在2009年將更多關注身份識別保護的相關領域，並將推出一系列專題文章，爲讀者帶來相關領域最新的威脅分析和安全指南，敬請期待！

 

通信安全：短消息拒絕服務***可致使手機癱瘓；關注指數：高

拒絕服務是***對網站或其餘服務器***時常見的***手段，安全市場上也有不少能有效對抗拒絕服務***的產品。然而最新的一種拒絕服務***類型——短消息拒絕服務，可能就沒有多少朋友據說過。根據1月2日Darkreading.com的消息，在29屆Chaos Communication會議上，一位安全研究人員向與會者演示了若是經過一條簡單的短消息，使特定操做系統類型的手機沒法再使用短消息服務，目前已經確認存在這個弱點的手機操做系統包括Symbian S60的多個版本和索愛 UiQ系統 。安全廠商F-secure也證明了這一點，並確認即便是用戶關閉手機電源並重啓也不能中止這種***的影響。有興趣的朋友還能夠在如下連接找到這種***的演示視頻：
[url]http://www.youtube.com/watch?v=qwC7oVPIPHQ&feature=channel_page[/url]

雖然這種***方式對用戶的威脅只至關於惡意的玩笑，不過筆者認爲，這種利用手機操做系統漏洞的***方式，對很難進行軟件升級的手機顯然是至關致命，假設在某種特殊的場景下，***利用手機操做系統的漏洞***特定人羣，也會形成至關大的破壞性。要防護這種***，最好不要輕易開啓來自未知發件人的短消息，另外，使用手機版的防病毒軟件是不錯的選擇，不過用戶須要常常升級反病毒軟件纔會有比較好的效果。

 

Web應用安全：OWASP推出最新的Web應用安全標準；關注指數：高

根據12月29日的Darkreading.com，知名的Web應用安全組織OWASP當天推出了其最新的Web應用安全標準，這個開放的標準，旨在爲網站運營者、開發人員和安全行業提供一個商業化及可操做的Web應用程序驗證標準。這個標準值得關注的地方在於，它提供靈活的安全等級定義和一系列的安全指標，讓Web應用的全部者清晰的瞭解本身的應用是否安全，和安全程度到底達到了什麼樣的等級。筆者認爲，該標準有價值的地方在於，它定義了須要知足什麼樣條件的Web應用程序，才能用到什麼安全等級需求的系統或用戶方，從某種程度上說，若是該標準可以順利投入使用，可能會成爲最終用戶對Web應用程序成品進行檢測，並最終接受的通用標準。目前該標準正處於公開測試的階段，有興趣的朋友能夠在如下連接中得到更多信息：
[url]http://www.owasp.org/index.php/Category:OWASP_[/url]
Application_Security_Verification_Standard_Project

 

安全工具：

1） Memoryze： Memoryze是一個功能強大的Windows系統內存分析工具，可以用於對內存（包括磁盤上的分頁文件）中的可疑進程進行分析，提供用於分析的充分信息，並可以將內存中的內容保存到磁盤上。推薦對調查取證或惡意軟件分析有興趣的朋友使用，下載地址以下：
[url]http://www.mandiant.com/software/memoryze.htm[/url]
2） Zerowine：Zerowine是一個惡意軟件行爲分析工具，只須要經過它提供的Web界面上傳可疑的PE文件，Zerowine就會自動分析該進程所執行的全部操做，並給出詳細的報告。下載地址以下：
[url]http://sourceforge.net/projects/zerowine[/url]

 

推薦閱讀：

1） 2008年最值得關注的10個安全新聞；推薦指數：中

12月29日的eWeek.com評出了2008年最值得關注的10個安全新聞，包括微軟推出Live One Care、DNS漏洞等，朋友們從側面能夠了解一下2008年有哪些新聞會對2009年的安全業界產生深遠影響。文章地址以下：
[url]http://www.eweek.com/c/a/Security/Top-10-Security-Stories-of-2008/?kc=rss[/url]

2） 2009年你可能沒有注意到的4種威脅；推薦指數：高

新年裏使你睡很差覺的安全威脅可能並非你所能預見的——12月31日Darkreading.com推出了一篇有意思的文章《2009年你可能沒有注意到的4種威脅》，觀點很獨特，推薦朋友們都閱讀一下。文章地址以下：
[url]http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml;[/url]jsessionid=PQPT2Q5FQL3U2QSNDLPCKH0CJUNN2JVN?articleID=212700328