上週安全方面值得關注的新聞衆多。道高一尺,魔高一丈,針對Linux家用路由器和可以感染主板BIOS的惡意軟件的出現,惡意軟件再次領先於現有反病毒軟件所用的技術。軟硬件廠商本週也發出多個安全漏洞公告,Mozilla、HP和Cisco的產品均不能倖免。在本期回顧的安全技術和趨勢欄目裏面,筆者將和朋友們一塊兒關注最近推出的三個安全及***領域的新技術。在本期回顧的最後,筆者將向朋友們推薦一篇值得一讀的推薦閱讀文章。
本週的信息安全威脅等級爲低。
惡意軟件:僵屍網絡針對Linux家用路由器;新技術使惡意軟件能感染BIOS;關注指數:高
在互聯網發展的最先期,路由交換等網絡通訊的功能都是由採用Unix系統的服務器所完成,用後門對這種網絡底層服務器發起***的***手法曾風靡一時,曾有美軍歐洲骨幹網絡的核心路由器被***攻陷並安裝×××的記錄。
隨着近二十年來嵌入式技術的飛速發展,兼職的Unix服務器漸漸爲功能及性能都更強的交換機、路由器等專用網絡設備所取代,針對這類目標的***也主要變成***並修改設置這種手法爲主。
不過由於這幾年低成本的Linux路由器大量進入家用市場,針對這類路由器進行惡意軟件***的現象再次出現。根據安全研究組織DroneBL最近發表的一份研究報告,一個名爲PSYB0T的僵屍網絡從去年末開始,就專門針對基於MIPS架構,並採用嵌入式Linux做爲操做系統的路由器、調制解調器等家用網絡設備進行***,被成功感染的家用網絡設備將成爲PSYB0T僵屍網絡的一員,並在該僵屍網絡做者的控制之下向目標發起拒絕服務***。
安全人員的進一步研究代表,目前PSYB0T僵屍網絡所***的家用網絡設備主要是Netcomm公司的NB5調制解調器,但相信採用與該調制解調器類似軟硬件架構的其餘家用網絡設備也都存在受***的可能。據信目前已經感染PSYB0T的調制解調器數量已達數萬,它們都存在弱口令這一漏洞並對互聯網開放遠程登陸功能,PSYB0T將經過遠程登陸功能登陸存在弱點的設備,下載並執行一個PSYB0T的副本,絕大多數用戶在遭受此類***時並不知情。
筆者認爲,儘管目前受PSYB0T影響的家用網絡設備在歐洲和中西亞國家使用較多,但其餘廠商相似架構的家用網絡設備也有可能受此***,同時對PSYB0T的代碼進行少許的修改,***者就能實施更爲高級的DNS欺騙,密碼攔截等***,威脅用戶敏感信息的安全。不過防護PSYB0T的方法也很簡單,對網絡設備設置一個複雜的登陸密碼,並禁用互聯網用戶登陸網絡設備進行遠程管理,若是懷疑本身的相似網絡設備已經被惡意軟件感染,直接REST設備便可。
除了上述可以感染家用網絡設備的跨平臺惡意軟件外,爲了逃避反病毒軟件的查殺,更長久控制用戶的系統,惡意軟件的隱藏和生存技術也有了較大的發展。本週來自安全廠商Core Security的兩名研究人員就發佈了一個新的***技術:將Rootkit惡意軟件寫入商業化的BIOS中,這個過程可經過他們提供的另外一Python程序,在BIOS升級或從新刷新的過程當中完成。
在成功的將這樣的Rootkit安裝進主板的BIOS後,這個Rootkit便可在操做系統啓動前運行,並經過BIOS自身提供的網絡堆棧,訪問並***網絡中的其餘系統,而無需訪問系統磁盤或內存。這個基於BIOS的Rootkit與系統中安裝的操做系統關係不大,研究人員就給出了對OpenBSD和Windows操做系統的成功***案例,另外,由於虛擬機軟件如Vmware等也將BIOS的功能集成於軟件內部,所以這種***方式對虛擬機也能湊效。
這種***方式存在須要在用戶系統上有管理員權限才能成功實施的缺陷,不過***者能夠很容易經過僞造虛假的BIOS升級程序等方式,欺騙用戶將帶有Rootkit代碼的更新程序刷入本身主板的BIOS中。
因爲基於BIOS的Rootkit可以在操做系統啓動以前搶先運行,並經過BIOS提供的底層功能隱藏本身的痕跡,所以現有的操做系統和反病毒軟件可能沒法有效的檢測和清除這類惡意軟件。筆者以爲,要防護這種基於BIOS的Rootkit,現有最可行的方法仍是將BIOS的寫保護選項打開,防止用戶誤操做或被惡意軟件刷新BIOS;用戶若是決定要更新BIOS,在進行刷新操做前最好使用MD5或數字簽名方式,驗證該BIOS更新程序是安全的。
漏洞***:多個軟硬件廠商產品紛紛爆出漏洞;關注指數:高
在三月份的最後一週(也是第一季度的最後一週)裏,各軟硬件廠商發佈的漏洞公告再次成爲安全業界一道特別的風景線:瀏覽器廠商Mozilla確認,其主流的瀏覽器Firefox 3.0.x版本中存在一個內存錯誤漏洞,特定條件下觸發將會引發瀏覽器執行不可預測的行爲,***者能夠利用該漏洞在Firefox用戶的系統上安裝惡意軟件,據信利用該漏洞的示例代碼已經發布到互聯網上。Mozilla的開發人員已經在針對該漏洞編寫更新程序,並計劃於4月初推出,到時Firefox用戶注意開啓瀏覽器的自動更新功能便可。
惠普HP在市場上廣受歡迎的網絡管理系統HP OpenView在本週也爆出多個嚴重的安全漏洞,這些漏洞存在於HP OpenView的Web服務器對HTTP請求的處理過程,***者在瞭解這些漏洞的前提下,只須要經過特定格式的HTTP請求就能經過這些漏洞在HP OpenView服務器上執行命令。
因爲網絡管理系統能有效提高企業對大型網絡和服務器羣的管理能力,***者對企業內網中的網絡管理服務器發起***,將可能更容易的得到網絡中其餘服務器的控制權,最起碼也能縮短管理員得知***的時間。惠普已確認HP OpenView中這些漏洞的存在,並以發佈相應的支持信息,用戶可經過HP技術支持網站了解信息和下載修補這些漏洞的更新補丁。
安全技術和研究:安全和***新技術層出不窮;關注指數:高
傳統的鍵盤記錄***技術基本上能夠分紅軟件和硬件兩類,用特定的鍵盤記錄軟件插入到用戶的系統上,自動記錄用戶輸入的每個字符;或經過在鍵盤和主機之間插入一個小的擊鍵記錄設備,完成鍵盤記錄***。不過上述的鍵盤***方式都是須要修改目標系統的軟硬件環境,容易被用戶所察覺。在上週的CanSecWest會議上,研究人員推出了一種新的鍵盤記錄方式,即經過激光來記錄用戶的擊鍵記錄。
這種***方式相似於傳統的激光竊聽手段,首先,***者須要有可以直接看到目標用戶計算機的視線距離,而後經過激光麥克風,***者可以收集到目標用戶每次敲擊鍵盤的聲音。因爲鍵盤上每個鍵的敲擊聲音與其餘的有所區別,***者只須要收集到足夠多的樣本,並結合字典自動匹配技術,就能完整的還原出用戶在鍵盤上的每一次擊鍵。這種鍵盤記錄方式不會對用戶系統產生影響,所以目標用戶很難發現本身已經被別人監控,尤爲是在公共場合如咖啡廳等使用本身的筆記本計算機更是如此。這個研究看起來挺科幻?說不定如今使用這種***原理的鍵盤記錄產品已經裝備到私家偵探或其餘調查人員手上了。
如何有效的對紙質的文檔進行管理,是政府部門和企業至關頭疼的一個事情,尤爲是在須要限制文檔的使用或散發的場景中,每每須要將紙質文檔和使用者一一對應,並且在使用事後還須要確認該紙質文檔是否曾經被複制過。普林斯頓大學的一羣研究人員對此就提出了一個至關有意思的想法,由於每一張紙都存在相似人的指紋這樣獨一無二的紋理特徵,只須要經過特殊的顯微掃描儀,就能記錄下每一張紙的特徵。在實際環境中只須要對比某張紙上的紋理特徵和數據庫中所存數據,便可確認這張紙對應的使用者或出處。
筆者認爲,這種方式其實也挺適合用於傳遞加密的密鑰,只須要按照必定的算法將空白紙上的紋理處理成加密密鑰,這張白紙就能做爲加密密文的密鑰進行存儲和交換,而不清楚狀況的第三方也不可思議一張什麼都沒有記錄有的白紙就是解密重要信息的密鑰。
測謊儀是歐美國家中經常使用的對目標人物進行真實性測試的工具,然而在現實生活中卻很是罕見。而在平常的電話溝通中相信不少朋友都但願可以經過某種方式,瞭解到正在電話的對象所說的話是否真實——如今有個好消息,電話版的測謊儀已經開發成功,並在本週開始上線爲用戶提供服務,這個由語音分析廠商Teltech推出的名爲LiarCard的服務,可以經過分析電話通話時雙方的語音、語氣和延時信息,嘗試分析出對話雙方當前的心理狀態,從而得出目標人物是否說真話的結論,目前LiarCard服務採用在線服務的方式提供給用戶。
筆者以爲,先不說這個在線語音分析技術效果如何,用戶在使用前仍是得考慮將本身和別人的電話通話交給第三方進行分析是否安全,隱私和敏感信息泄露的風險可比知道對方是否說真話的重要性可大了很多。
推薦閱讀:
1) 本週知名的Web安全廠商Finjin向公衆發佈了一份最新的網絡犯罪報告,其中着重對當前互聯網用戶面臨的各類安全威脅,以及網絡犯罪組織頻繁使用的***手段進行了詳細的介紹,包括最近流行的利用搜索引擎優化技術來散佈惡意軟件等,推薦對Web安全有興趣的朋友們瞭解一下。