10月第1周安全回顧 微軟下週發補丁包 小型僵屍網絡增多

本文同時發表在： [url]http://netsecurity.51cto.com/art/200710/57550.htm[/url]

 

上週(1001至1007)天氣晴好，你們應該都過了一個快樂的長假，J0ker也順祝你們明天上班順利——信息安全無休假，本週安全領域值得關注的新聞集中在漏洞補丁、安全規範、惡意軟件和***趨勢方面。

 

漏洞補丁：Microsoft 十月補丁包下週二發佈，關注指數：高

新聞：週四，來自Microsoft的消息，Microsoft十月份的例行補丁包將於下週二，也即10月9號推出。該補丁包 包括9個補丁（其中有4個是關鍵更新）,補丁對象爲Windows、Internet Explorer和Office， Windows Vista有3個補丁，其中有2個爲關鍵更新。此外，根據Microsoft的公告，本次補丁包中4個關鍵更新都是修補遠程代碼執行漏洞的補丁。

筆者觀點：Microsoft每個月的例行升級總會給Windows及其餘平臺Microsoft產品的用戶帶來不大不小的額外勞動，長假以後的第一個星期二，用戶又將面對Microsoft產品的十月升級。值得注意的是，本月的4個關鍵補丁都是修補遠程代碼執行漏洞的補丁，包括Windows、IE、Office、Outlook Express/Windows Mail，這些待修正漏洞都屬於容易被***者或蠕蟲使用的漏洞，雖然Microsoft所發佈的安全公告沒有說明這些漏洞的具體狀況，但根據以往補丁推出以後的兩至三週是當月補丁所補漏洞***的高峯期這一規律判斷，針對IE及Office十月漏洞的***將有可能出現一個高峯，也有可能在這段時間內出現利用本月所補Windows漏洞的蠕蟲。另外，本次補丁升級中有3個針對Windows Vista的升級，其中兩個爲遠程代碼執行漏洞的補丁，顯示Windows Vista的漏洞正逐漸隨着它使用範圍的增大而愈來愈多的被發現，並開始出現遠程代碼執行這類嚴重漏洞。筆者建議，用戶應及時利用Windows Update更新本身的Microsoft產品，對於因爲各類緣由沒法使用Windows Update的用戶，能夠根據Microsoft所發佈的安全公告，到Microsoft下載網站上手工下載補丁文件進行升級，同時也及時更新本身的反病毒軟件。此外，Microsoft最近將去除IE7在Win XP上安裝時進行的Windows正版檢查，建議Win XP用戶升級本身系統的IE版本，以下降互聯網瀏覽時受IE漏洞和惡意軟件***的可能性。

 

安全規範：CERT加強安全編碼規範，關注指數：高

新聞：週二，國際信息安全機構CERT當天宣佈，正在和Fortify Security公司合做將軟件開發中的安全編碼規範轉換爲自動的軟件解決方案，特別是轉換CERT原有的C及C++安全編碼規範。目前CERT正在將其安全編碼規範轉換成Fortify 的產品Source Code Analysis Tool能夠識別的代碼，最終產品將放在CERT的官方站點上，以供開發人員免費下載使用，另外CERT也容許其餘安全編碼產品廠商使用規範所轉換成的結果代碼。

筆者觀點：各類應用程序的緩衝區溢出漏洞是大部分系統安全事件的來源，網站中常見的代碼泄漏、遠程引用、SQL注入和跨站腳本漏洞，也是網站遭受惡意***的大部分來源，要從根本上解決這些安全問題，須要從程序的開發就加入安全要素。儘管06年以前IT業界推出過一些軟件開發中的安全編碼資料，但都不成體系，從去年中開始，編碼安全逐漸被安全業界所重視，各類編碼安全規範和代碼檢查產品紛紛推出，CERT正在進行的將安全編碼規範轉換爲自動的軟件解決方案即是其中一個縮影。從筆者所得到的信息來看，國內外安全編碼技術目前正在發展中，許多流行的編程語言也沒有對應的安全編碼規範，也沒有按照行業進行分類的安全編碼規範，這兩個將是安全編碼技術的主要發展方向。此外，現有的代碼檢查產品的也不夠完美，還有很多提高的空間，國內目前也沒有推出自有知識產權的代碼安全產品。筆者還認爲，成體系的安全編碼教育培訓以及代碼安全諮詢、代碼審覈等業務也會至關有市場。

 

惡意軟件：小型微型Botnet逐漸增多，關注指數：中

新聞：週一，反病毒廠商F-secure的研究人員說，因爲安全業界的持續打擊和用戶安全意識的提升，僵屍網絡（Botnet）的生存空間正日益縮小。***者目前經過減少本身控制的Botnet的規模、增長Botnet惡意軟件的變種等多種方法來逃避安全業界的封殺。

筆者觀點：僵屍網絡一直是各類惡意軟件傳播及控制的最大來源，也是對用戶的使用安全威脅最大的來源。儘管安全廠商不斷推出各類反惡意軟件或反Botnet產品，但目前的僵屍網絡的控制方式已經從傳統的IRC方式擴展到Web、P2P方式，Botnet惡意軟件的製做方式也從單一的複雜代碼形式變爲使用生成工具批量生成的傻瓜化操做時代，如今用戶經常使用的利用防火牆對IRC通信進行封堵、或單純使用反病毒軟件進行防禦的防禦體系顯得至關脆弱。筆者認爲，在將來一段時間內，結合IM、VoIP、Mail和Web***方式的Botnet仍將是對用戶威脅最大的惡意軟件來源，反病毒軟件檢測不出的小型微型Botnet將佔用戶感染總數的大部分，如何應對小型微型Botnet所帶來的嚴重威脅，並構建更可靠的Botnet防禦體系，是擺在安全廠商和用戶面前的嚴峻考驗。

 

***趨勢：來自老朋友的惡意軟件***，關注指數：高

新聞：週五，反病毒廠商Sophos警告說，***者正在利用在Blog、在線交友等社會網絡網站上所收集到的信息，假裝成用戶長時間沒有聯繫的老朋友進行惡意軟件***。目前Sophos捕獲好的e-mail及惡意軟件樣本分析顯示，***者使用的欺騙郵件是老同窗的聯繫郵件，惡意軟件被用戶下載並執行後會盜取用戶系統中存儲和使用中輸入的密碼。

筆者觀點：利用社會網絡網站上所收集的信息逐漸成爲***者針對特定用戶類型發起***的慣用手法，而最多見的手段除了上述的直接發送惡意軟件以外，還包括經過留言提供惡意網站地址、或進行各類網絡釣魚及其餘欺詐行爲。用戶在社會網絡網站上不經意間泄漏的我的相關信息，也有可能成爲***者針對用戶所在組織發起***的契機。筆者認爲，企業增強用戶對本身相關信息的保密和安全教育十分有必要，還可經過安全策略及內容控制等方案對內網用戶在工做時間訪問社會網絡網站的行爲進行控制，我的用戶在平時使用時也應該注意不要將太多太詳細的關於本身的信息泄漏到互聯網上。筆者的blog上也有相關社會網絡網站***與防禦的文章，有興趣的朋友也可瞭解一下。