【51CTO.com 獨家報道】朋友們，新年快樂！感謝在2008年里你們給予筆者及51CTO安全回顧欄目的支持，衷心的祝愿你們在新的一年里身體健康，萬事如意，擁有更美好的2009！筆者和51CTO安全回顧欄目在新的一年里，將一如既往的為朋友們提供及時的安全要聞報道和深入的分析，筆者還將根據(jù)安全業(yè)界重大新聞和事件，不定期推出專題類型的安全要聞回顧，敬請期待！

本周（081229至090104）雖然是每年年底傳統(tǒng)的Holiday Season，但不容樂觀的經(jīng)濟形勢還讓安全業(yè)界假期縮短了不少。本周值得關(guān)注的新聞較多，總體上仍延續(xù)2008年末威脅顯著上升的態(tài)勢，漏洞攻擊、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)犯罪和通訊安全等領(lǐng)域均有需要注意的趨勢。Web應(yīng)用安全領(lǐng)域，筆者將和朋友一起關(guān)注最新的Web應(yīng)用安全標準。在本期回顧的最后，筆者將向朋友們介紹兩個功能強大的安全工具，同時還為朋友們精心挑選了兩個值得一讀的推薦閱讀文章。

本周的信息安全威脅程度為低，當(dāng)前的互聯(lián)網(wǎng)攻擊威脅水平維持在較低水平，朋友們只需要注意升級反病毒和防火墻軟件，即可保證自己系統(tǒng)和互聯(lián)網(wǎng)瀏覽的安全。

網(wǎng)絡(luò)安全：新的SSL缺陷影響網(wǎng)站安全；關(guān)注指數(shù)：高

目前需要較高安全性的網(wǎng)站大多應(yīng)用了SSL技術(shù)，作為保護用戶與網(wǎng)站服務(wù)器之間通訊和數(shù)據(jù)安全的主要手段。數(shù)字證書則是SSL技術(shù)最為重要的組成，可用于驗證網(wǎng)站服務(wù)器的身份，評價網(wǎng)站和用戶間的SSL通訊是否安全，也主要看SSL數(shù)字證書的實現(xiàn)方法和安全程度。然而，最近的研究表明，新發(fā)現(xiàn)的數(shù)字證書簽名缺陷將會對網(wǎng)站安全造成相當(dāng)大的負面影響。根據(jù)12月30日Darkreading.com和Securityfocus.com的報道，在本周柏林舉行的第25屆Chaos Communication會議上，來自歐洲和美國的研究人員向與會者介紹了他們的最新研究成果：如何通過SSL數(shù)字證書的缺陷，攻擊使用SSL的安全網(wǎng)站。該項研究主要針對當(dāng)前互聯(lián)網(wǎng)上應(yīng)用范圍最廣的公鑰加密體系（PKI），并使用了早先公開的MD5 Hash算法中的缺陷，該項研究成果能夠建立一個虛假的證書授權(quán)（CA），并進一步發(fā)布虛假的SSL鏈接數(shù)字證書，而現(xiàn)有的所有瀏覽器都會將這些虛假的數(shù)字證書誤認為是合法的。研究人員還稱，如果網(wǎng)絡(luò)犯罪組織使用了他們的研究成果，將可以建立虛假的證書授權(quán)和一系列偽造數(shù)字證書，并用于仿冒知名網(wǎng)站和對用戶發(fā)起網(wǎng)絡(luò)釣魚攻擊；同時由于這些可能的網(wǎng)絡(luò)釣魚攻擊由SSL所加密，也使得安全業(yè)界更難發(fā)現(xiàn)和跟蹤它們。研究人員在本周二已經(jīng)通知了市場主流的瀏覽器廠商，但Mozilla和微軟都在當(dāng)天的回應(yīng)中稱，SSL數(shù)字證書缺陷帶來的風(fēng)險和責(zé)任，應(yīng)當(dāng)由目前6個主要使用MD5算法進行數(shù)字證書簽名的合法CA所承擔(dān)。

不過網(wǎng)站運營者不必對這個消息過于緊張，如果是正在使用不安全的MD5簽名數(shù)字證書，可與自己的CA聯(lián)系，讓其換發(fā)使用SHA-2等更為安全的Hash算法簽名的數(shù)字證書。而且從研究人員公開的細節(jié)來看，因為這種類型的攻擊需要龐大的高性能計算能力來破解合法證書的MD5簽名，研究人員使用了超過200臺PS3游戲機組成的計算集群。因此, 在短時間內(nèi)網(wǎng)絡(luò)犯罪集團實施這樣類型攻擊的可能性不大，用戶瀏覽器自帶的或其他的第三方安全軟件提供的防網(wǎng)絡(luò)釣魚保護是足夠的。

漏洞攻擊：微軟稱WMP漏洞危險度不大，但同時警告用戶要注意修補老漏洞；關(guān)注指數(shù)：高

最近因為自家產(chǎn)品漏洞頻發(fā)而忙得焦頭爛額的微軟，本周終于迎來了一個正面的消息。根據(jù)12月29日eWeek.com的報道，經(jīng)過兩周的調(diào)查和分析后，微軟于當(dāng)天宣布12月早些時候收到的Windows媒體播放器（WMP）中存在遠程代碼執(zhí)行漏洞是不存在的。一個安全研究人員曾在上月早些時候稱，WMP在處理某些特殊結(jié)構(gòu)的WAV、MIDI和SND文件時，將會觸發(fā)其設(shè)計上的缺陷并執(zhí)行不可預(yù)測的代碼，該漏洞會影響應(yīng)用了最新補丁的Windows XP SP3系統(tǒng)上的WMP 9和11版本。換句話說，黑客可以通過向用戶發(fā)送特定結(jié)構(gòu)的媒體文件，從而通過這個WMP漏洞在用戶系統(tǒng)上安裝和執(zhí)行惡意軟件。當(dāng)時互聯(lián)網(wǎng)安全組織SANS也在自己的網(wǎng)站上刊登了類似的消息，還向其讀者提供了一個演示該漏洞存在的測試代碼。不過微軟這兩周的調(diào)查顯示，這個存在于WMP中的漏洞并不會導(dǎo)致遠程代碼的執(zhí)行行為，只會使WMP崩潰或失去響應(yīng)，因此，微軟調(diào)低了該漏洞的威脅等級，但沒有說明什么時候會發(fā)布針對這個漏洞的補丁。筆者建議，使用Windows 2003 SP2的朋友無需擔(dān)心該漏洞的影響，微軟已經(jīng)在Windows 2003 SP2中修正該問題，而使用其他版本W(wǎng)indows的用戶可以開啟Windows自帶的數(shù)據(jù)執(zhí)行保護（DEP）功能，并打全微軟最新的安全補丁即可。

針對用戶經(jīng)常漏掉微軟關(guān)鍵補丁的狀況，本周末微軟再次在其博客上發(fā)表了一篇文章，建議用戶盡快應(yīng)用微軟最新的安全補丁以防止遭受惡意軟件的攻擊。根據(jù)1月2日eWeek.com的報道，由于互聯(lián)網(wǎng)上出現(xiàn)一個專門攻擊微軟10月已修補漏洞的Conficker蠕蟲新變種，并已開始在互聯(lián)網(wǎng)上大規(guī)模擴散，因此微軟建議還沒有使用針對該漏洞補丁的用戶盡快通過微軟升級服務(wù)應(yīng)用補丁。微軟提到的漏洞是去年發(fā)現(xiàn)的存在于Windows Server服務(wù)中的一個遠程代碼執(zhí)行漏洞，如果黑客成功攻擊該漏洞，即可在用戶的系統(tǒng)上安裝惡意軟件。微軟已于去年10月23日推出了該漏洞的補丁，但最近的一系列的用戶報告顯示，沒有及時應(yīng)用該補丁的用戶仍為數(shù)不少。筆者建議用戶應(yīng)盡快通過微軟升級服務(wù)更新該補丁程序，此外，由于Conficker蠕蟲還具有簡單密碼拆解的能力，能夠感染企業(yè)內(nèi)網(wǎng)中使用弱口令的Windows機器，建議用戶盡快通過微軟Baseline等工具，發(fā)現(xiàn)并修正內(nèi)網(wǎng)機器的弱口令問題。

網(wǎng)絡(luò)犯罪：專家稱身份盜竊攻擊在2009將更為猖獗；關(guān)注指數(shù)：高

身份盜竊攻擊，指的是黑客和網(wǎng)絡(luò)犯罪集團通過技術(shù)手段或社會工程學(xué)方法，從用戶或電子商務(wù)商戶的系統(tǒng)內(nèi)盜取身份證號、信用卡號等個人身份識別信息，并將這些信息用于商業(yè)欺詐類犯罪活動中的攻擊形式。身份盜竊攻擊也是當(dāng)前網(wǎng)絡(luò)犯罪最活躍的類型之一。根據(jù)12月30日sun-sential.com的報道，互聯(lián)網(wǎng)安全團體身份竊賊資源中心（Identify Thief Resource Center）的專家本月發(fā)表的報告稱，在2008年內(nèi)美國身份盜竊攻擊事件大增，超過一千萬的美國民眾成為身份識別盜竊的受害者，美國的金融行業(yè)也損失大量資金。而在2009年，隨著全球經(jīng)濟情況的進一步惡化，針對身份識別的攻擊和犯罪活動將會進一步增加。除了傳統(tǒng)的信用卡欺詐外，網(wǎng)絡(luò)犯罪集團還將使用多種新形式的攻擊方法，如針對失業(yè)民眾的網(wǎng)絡(luò)抵押欺詐，使用被盜或遺失的銀行支票的支票欺詐和跨國的網(wǎng)絡(luò)有組織犯罪。盡管目前國內(nèi)關(guān)于身份識別盜竊攻擊的報道并不多見，但隨著我國金融行業(yè)的發(fā)展和電子商務(wù)的興起，我國互聯(lián)網(wǎng)用戶遭遇此類攻擊的風(fēng)險將會越來越大，而這點卻又是我國安全行業(yè)較為薄弱的地方。筆者和51CTO安全回顧頻道在2009年將更多關(guān)注身份識別保護的相關(guān)領(lǐng)域，并將推出一系列專題文章，為讀者帶來相關(guān)領(lǐng)域最新的威脅分析和安全指南，敬請期待！

通訊安全：短消息拒絕服務(wù)攻擊可導(dǎo)致手機癱瘓；關(guān)注指數(shù)：高

拒絕服務(wù)是黑客對網(wǎng)站或其他服務(wù)器攻擊時常見的攻擊手段，安全市場上也有很多能有效對抗拒絕服務(wù)攻擊的產(chǎn)品。然而最新的一種拒絕服務(wù)攻擊類型——短消息拒絕服務(wù)，可能就沒有多少朋友聽說過。根據(jù)1月2日Darkreading.com的消息，在29屆Chaos Communication會議上，一位安全研究人員向與會者演示了如果通過一條簡單的短消息，使特定操作系統(tǒng)類型的手機無法再使用短消息服務(wù)，目前已經(jīng)確認存在這個弱點的手機操作系統(tǒng)包括Symbian S60的多個版本和索愛 UiQ系統(tǒng) 。安全廠商F-secure也證實了這一點，并確認即使是用戶關(guān)閉手機電源并重啟也不能停止這種攻擊的影響。有興趣的朋友還可以在以下鏈接找到這種攻擊的演示視頻：

http://www.youtube.com/watch?v=qwC7oVPIPHQ&feature=channel_page

雖然這種攻擊方式對用戶的威脅只相當(dāng)于惡意的玩笑，不過筆者認為，這種利用手機操作系統(tǒng)漏洞的攻擊方式，對很難進行軟件升級的手機顯然是相當(dāng)致命，假設(shè)在某種特殊的場景下，黑客利用手機操作系統(tǒng)的漏洞攻擊特定人群，也會造成相當(dāng)大的破壞性。要防御這種攻擊，最好不要輕易開啟來自未知發(fā)件人的短消息，另外，使用手機版的防病毒軟件是不錯的選擇，不過用戶需要經(jīng)常升級反病毒軟件才會有比較好的效果。

Web應(yīng)用安全：OWASP推出最新的Web應(yīng)用安全標準；關(guān)注指數(shù)：高

根據(jù)12月29日的Darkreading.com，知名的Web應(yīng)用安全組織OWASP當(dāng)天推出了其最新的Web應(yīng)用安全標準，這個開放的標準，旨在為網(wǎng)站運營者、開發(fā)人員和安全行業(yè)提供一個商業(yè)化及可操作的Web應(yīng)用程序驗證標準。這個標準值得關(guān)注的地方在于，它提供靈活的安全等級定義和一系列的安全指標，讓W(xué)eb應(yīng)用的所有者清晰的了解自己的應(yīng)用是否安全，和安全程度到底達到了什么樣的等級。筆者認為，該標準有價值的地方在于，它定義了需要滿足什么樣條件的Web應(yīng)用程序，才能用到什么安全等級需求的系統(tǒng)或用戶方，從某種程度上說，如果該標準能夠順利投入使用，可能會成為最終用戶對Web應(yīng)用程序成品進行檢測，并最終接受的通用標準。目前該標準正處于公開測試的階段，有興趣的朋友可以在以下鏈接中獲得更多信息：

http://www.owasp.org/index.php/Category:OWASP_
Application_Security_Verification_Standard_Project

安全工具：

1） Memoryze： Memoryze是一個功能強大的Windows系統(tǒng)內(nèi)存分析工具，能夠用于對內(nèi)存（包括磁盤上的分頁文件）中的可疑進程進行分析，提供用于分析的充分信息，并能夠?qū)?nèi)存中的內(nèi)容保存到磁盤上。推薦對調(diào)查取證或惡意軟件分析有興趣的朋友使用，下載地址如下：
http://www.mandiant.com/software/memoryze.htm

2） Zerowine：Zerowine是一個惡意軟件行為分析工具，只需要通過它提供的Web界面上傳可疑的PE文件，Zerowine就會自動分析該進程所執(zhí)行的所有操作，并給出詳細的報告。下載地址如下：
        http://sourceforge.net/projects/zerowine

推薦閱讀：

1） 2008年最值得關(guān)注的10個安全新聞；推薦指數(shù)：中

12月29日的eWeek.com評出了2008年最值得關(guān)注的10個安全新聞，包括微軟推出Live One Care、DNS漏洞等，朋友們從側(cè)面可以了解一下2008年有哪些新聞會對2009年的安全業(yè)界產(chǎn)生深遠影響。文章地址如下：
http://www.eweek.com/c/a/Security/Top-10-Security-Stories-of-2008/?kc=rss

2） 2009年你可能沒有注意到的4種威脅；推薦指數(shù)：高

新年里使你睡不好覺的安全威脅可能并不是你所能預(yù)見的——12月31日Darkreading.com推出了一篇有意思的文章《2009年你可能沒有注意到的4種威脅》，觀點很獨特，推薦朋友們都閱讀一下。文章地址如下：
http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml;
jsessionid=PQPT2Q5FQL3U2QSNDLPCKH0CJUNN2JVN?articleID=212700328

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【相關(guān)文章】

• 更多安全要聞