本文同时发表在: [url]http://netsecurity.51cto.com/art/200902/111734.htm[/url]
本周(090216至090222)安全领域值得关注的要闻较多。黑客圈子里知名的会议黑帽大会本周在美国华盛顿举行,会上发布了相当多有代表性的新漏洞、攻击手法和技术,本期回顾将介绍并分析其中几个有意思的新闻。
移动安全方面,本周安全厂商McAfee发布的2009移动安全报告值得关注,该报告所包含的内容也在一定程度上说明了安全业界对未来一段时间移动安全走势的看法。在本期回顾的最后,笔者将向朋友们介绍安全市场上的两个新产品,并送上一篇值得朋友们一读的推荐阅读文章。
本周的信息安全威胁等级为中,目前互联网上针对各主要软件厂商产品漏洞发起的攻击行为仍较为频繁,用户应及时从厂商网站获取已安装软件的最新版本或安全更新,同时不要打开来源不明的文件。
黑帽会议综述:场面热闹但创新技术不多;关注指数:高
每年举办几次的黑帽会议是黑客圈中难得的盛事,本周在美国华盛顿举行的今年第一次黑帽会议就吸引了公众的广泛关注。本次黑帽大会上来自世界各地的研究人员发表各自的最新研究成果,内容涵盖了最新的安全漏洞、攻击手段和技术,从选题上来看,针对的主要是去年安全业界关注较多的Web 2.0、网络基础设施和网络应用等热门领域。
虽然看起来挺热闹,但更多是去年一些概念性技术或理念的进一步发展,并没有出现太多创新的或趋势性的新攻击技术,本次黑帽大会上还有另外一个挺有意思的特点,如越南、意大利等小国家的安全研究人员也开始在黑帽大会上发言,显示了小国家在信息安全和黑客技术领域的发展同样有其独到之处。下面我们来了解一下本次黑帽大会上公开的几个比较有特点的技术:
1) 用XSS构建匿名浏览网络:跨站脚本攻击XSS漏洞,通常被黑客用于在知名的站点尤其是电子商务或在线金融站点上窃取用户的账号密码,或是用于通过外部网站向用户的系统中植入恶意软件。
本次黑帽大会上有研究人员提到,XSS也能用于构建匿名的浏览网络,从而用于隐藏攻击者的痕迹――实际上该技术也可以认为是XSS用于植入恶意软件这种攻击手法的扩展,黑客通过XSS来向目标用户的浏览器恶意代码,指令目标用户的浏览器浏览特定的网站并将该网站的数据返回到黑客指定的第二个网站上,从而使黑客能够通过目标用户的浏览器访问到特定的网站,同时不留下访问痕迹,不过这种技术存在不能正常处理非文本信息的缺陷。
笔者觉得,这种技术有可能发展成XSS与系统漏洞利用程序相结合,并在用户的系统上植入能够完成代理功能的恶意软件,最终通过众多受害者的系统组成代理网络,供黑客实施攻击之用。
2) 不可靠的脸部识别验证方法:用户只需在摄像头前露一下脸,系统就会自动确认是否用户身份,而无需用户再输入密码,这种脸部识别技术听起来相当的强,市场上也有数个厂商已经开始推广使用这种脸部识别技术的笔记本计算机。
但这种生物识别方法不见得是很安全,在本次黑帽大会上来自越南的安全研究人员提出,目前在联想、东芝和华硕三计算机厂商的笔记本计算机产品上使用的脸部识别技术并不可靠,很容易通过特定的技术绕过其保护直接访问用户的计算机。
研究人员称,脸部识别技术最大的缺陷在于,无法识别照片和用户真人之间的区别,在使用低分辨率的摄像头时该问题更加严重。黑客只需要获得用户的多张照片,就能通过这些照片计算出用户的脸部特征并制作成足以通过脸部识别保护的数码照片。
笔者认为,该研究人员提到的问题确实存在,就目前的脸部识别技术的准确率来看,笔记本计算机上通过内置摄像头实现脸部识别并不实用,会给用户带来相当大的潜在风险。如果厂商是打算为用户提供低成本的生物特征识别技术,其实还不如采用密码加用户击键习惯进行生物特征验证的双重验证方式,这样安全性会提高很多。
3) SSL/TLS中间人攻击:传统的SSL/TLS中间人攻击方法,都是利用了SSL/TLS本身加密算法上的缺陷或者通过调换加密证书的方式,来达到黑客获取用户账号密码的目的。
但研究人员在本次黑帽大会上发布的新SSL中间人攻击方式却采取了另外的途径,黑客通过TOR代理网络劫持等方式拦截用户的通讯之后,通过一个名为SSLstrip的程序将用户与真实网站的加密连接转换成普通HTTP连接,并通过伪造安全图标等方式,让用户相信自己正在安全的浏览真实站点,实际上黑客已经可以通过嗅探的方法来获得用户的账号密码。
用户要防御这种攻击手段其实并不困难,只要尽量不要在不安全的地点或通过不安全的网络连接(包括各种代理),访问电子商务或网络金融类站点即可。
移动安全:移动安全仍不容乐观;关注指数:高
本周安全厂商McAfee发布了最新的2009移动安全报告,该报告总结了从2006年开始到2008年底,移动设备的技术发展和其面临的安全威胁,并预测了在未来一段时间内用户将可能面临的移动安全相关问题。
尽管安全业界通常将传统的智能手机Blackberry、Iphone和SmartPhone,以及正在快速发展的移动计算、内建3G功能的上网本和Intenet tablet等设备归类到移动设备,但在本报告中, McAfee并没有定义移动设备是什么,报告也更为关注于SmartPhone。报告显示,网络和服务商问题、病毒感染、语音和文字垃圾短信、第三方应用、用户数据丢失、网络钓鱼攻击、隐私问题和拒绝服务攻击仍是移动设备用户面临的主要安全威胁,攻击的发生频度也在近两年有跨越式的发展。
除此之外,本次报告还首次对移动设备厂商进行了调查,结果显示大多数的移动设备厂商都已经意识到,安全问题已经对他们的业务产生至关重要的影响,并赞同对移动设备售出后的软件更新和修正会明显影响业务这一观点,另外,移动设备厂商对用户的移动支付、软件安装和无线/蓝牙连接性三个方面所存在的安全威胁较为关注。
笔者认为,从厂商的反应来看,移动设备安全的重要性已经成为业界的共识,但大多数的移动设备厂商并不了解要如何为移动设备提供安全解决方案,针对移动设备的售后安全服务也基本是空白,显然安全业界与移动设备厂商仍需要建立更紧密的协作关系。
推荐工具:
1) Dshield Web Honeypot:SQL注入、XSS、密码拆解等攻击手段是互联网网站经常面临的威胁,然而因为传统的IDS和防火墙并不能检查来自Web上的攻击数据,网站管理员很难及时发现攻击行动的存在,往往在黑客攻击成功乃至很长时间之后,才发现已经遭受攻击。Dshield是一个开源的Web 攻击蜜罐,它能够通过日志分析及时发现黑客的攻击尝试并向管理员发出警告,安装和维护也较为简单,朋友们可以在以下的连接中找到它。
[url]http://sites.google.com/site/webhoneypotsite/[/url]
2) 趋势推出运行在路由器上的反病毒软件:趋势科技日本公司本周推出了能够运行在Cisco Linksys特定型号家用路由器上的反病毒软件,能够在数据进入用户网络前进行前期的安全扫描,为用户网络安全增添一层安全保障。该产品也是世界上首个运行在路由器上的安全解决方案,虽然目前尚无法评价其实际效果,但其设计理念非常值得其他安全厂商借鉴。
推荐阅读:
1) 5步实施PCI策略;推荐指数:高
对许多需要处理在线支付的电子商务企业来说,实施支付卡安全行业标准(PCI)并不是一件很容易的事情,即使是实力雄厚的大型电子商务企业,也已经发生过多起因为不满足PCI导致的起诉和罚款事件。
eWeek.com文章《5步实施PCI策略》通过将PCI策略的整个实施过程划分为5个阶段,并为用户提供了多个简单易行的建议,推荐电子商务行业的朋友都来了解一下。
文章的地址如下:
[url]http://www.eweek.com/c/a/Security/How-to-Achieve-Payment-Card-Industry-Compliance-5-Simple-Steps/?kc=rss[/url]