【51CTO.com 獨(dú)家特稿】本周（090209至090215）安全領(lǐng)域值得關(guān)注的新聞仍主要集中在漏洞攻擊和惡意軟件方面：微軟按時(shí)發(fā)布二月更新，但其修補(bǔ)的漏洞仍有較高的攻擊風(fēng)險(xiǎn)； Google Andorid手機(jī)操作系統(tǒng)的未修補(bǔ)漏洞對(duì)其用戶(hù)存在不小的威脅。

本周周末恰逢情人節(jié)，經(jīng)濟(jì)危機(jī)開(kāi)始后久違的繁榮景象也讓網(wǎng)絡(luò)犯罪集團(tuán)蠢蠢欲動(dòng)，大肆發(fā)起網(wǎng)絡(luò)攻擊和擴(kuò)散惡意軟件；另外，針對(duì)目前仍在瘋狂擴(kuò)散的Confickr蠕蟲(chóng)，微軟不但對(duì)其作者開(kāi)出了巨額懸賞，也開(kāi)始與美國(guó)主要ISP協(xié)作消除其影響。

安全報(bào)告方面，筆者和朋友們一起關(guān)注IBM ISS安全分公司發(fā)布的2008年安全報(bào)告。在本期回顧的最后，筆者將向大家介紹反病毒廠商F-secure的在線病毒測(cè)試，另外，還為朋友們準(zhǔn)備了兩個(gè)值得一讀的推薦閱讀文章。

本周的信息安全威脅等級(jí)為中，利用微軟及Apple等廠商軟件漏洞發(fā)起的網(wǎng)絡(luò)攻擊威脅較高，請(qǐng)朋友們及時(shí)通過(guò)各廠商對(duì)應(yīng)的官方站點(diǎn)升級(jí)，并開(kāi)啟反病毒和防火墻軟件。
　
漏洞攻擊：微軟已修補(bǔ)漏洞仍存較大風(fēng)險(xiǎn)；Google Andorid手機(jī)系統(tǒng)未修補(bǔ)漏洞威脅顯著；

關(guān)注指數(shù)：高

本周二微軟按時(shí)發(fā)布了二月的例行更新，并修補(bǔ)了在微軟Windows操作系統(tǒng)、Office和其他應(yīng)用服務(wù)器上存在的多個(gè)漏洞，相信很多朋友在周三當(dāng)天或稍晚時(shí)候已經(jīng)通過(guò)Windows Update或其他的漏洞管理工具應(yīng)用，下載并應(yīng)用了這些安全補(bǔ)丁程序。

但由于微軟本月修補(bǔ)的漏洞存在被黑客用于網(wǎng)絡(luò)攻擊的較大風(fēng)險(xiǎn)，用戶(hù)還應(yīng)繼續(xù)對(duì)這些漏洞保持關(guān)注。根據(jù)來(lái)自多個(gè)媒體的消息，微軟與本月漏洞更新同期公布的漏洞利用列表（Exploitation Index）顯示，二月安全更新中包括的IE7 MS09-002安全更新和SQL Server MS09-004存在較高被黑客攻擊的風(fēng)險(xiǎn)。

其中，IE7 MS09-002漏洞被微軟認(rèn)為是很容易制作漏洞應(yīng)用的漏洞，按照過(guò)往的經(jīng)驗(yàn)來(lái)看，類(lèi)似的漏洞常被用于制作通過(guò)合法或偽造的網(wǎng)站，對(duì)用戶(hù)進(jìn)行惡意軟件傳播的網(wǎng)頁(yè)木馬，黑客還會(huì)通過(guò)網(wǎng)頁(yè)代碼加密、變形等技術(shù)使其存活相當(dāng)長(zhǎng)的一段時(shí)間，對(duì)沒(méi)有更新對(duì)應(yīng)補(bǔ)丁的用戶(hù)威脅巨大。筆者建議用戶(hù)通過(guò)Windows Update、微軟官方升級(jí)站點(diǎn)或第三方補(bǔ)丁管理工具，下載并應(yīng)有該更新程序，尤其是擁有較大規(guī)模內(nèi)部網(wǎng)絡(luò)的企業(yè)用戶(hù)更應(yīng)該注意此類(lèi)漏洞的危險(xiǎn)。

另外，SQL Server MS09-004漏洞已經(jīng)有公開(kāi)的漏洞利用程序，可以在正確登錄SQL Server后進(jìn)行攻擊并獲得其所在系統(tǒng)的控制權(quán)，因此黑客會(huì)將該類(lèi)漏洞用于初步入侵后的權(quán)限提升操作，或在大范圍內(nèi)網(wǎng)中自動(dòng)擴(kuò)散的蠕蟲(chóng)上配套使用，鑒于MS09-004漏洞的危險(xiǎn)程度，筆者建議Web網(wǎng)站運(yùn)營(yíng)者和企業(yè)網(wǎng)絡(luò)管理員應(yīng)盡快下載并應(yīng)用該安全更新，并對(duì)現(xiàn)有的SQL Server設(shè)置權(quán)限控制，以免遭受各種基于此類(lèi)漏洞攻擊的威脅。

廣受關(guān)注的Google Android手機(jī)操作系統(tǒng)本周再次發(fā)現(xiàn)新漏洞，根據(jù)eweek.com的消息，在本周華盛頓舉行的ShmooCon安全會(huì)議上，研究人員Chales Miller公開(kāi)了其對(duì)Google Android手機(jī)操作系統(tǒng)的最新研究結(jié)果，由于Android使用了存在缺陷的PacketVideo的OpenCore媒體庫(kù)，作為瀏覽器的媒體播放插件，當(dāng)用戶(hù)通過(guò)瀏覽器播放特定的MP3程序時(shí)，會(huì)產(chǎn)生緩沖區(qū)溢出并運(yùn)行特定的代碼。黑客可以很容易通過(guò)一個(gè)特定制作的網(wǎng)站頁(yè)面和包含有攻擊代碼的MP3文件，對(duì)用戶(hù)實(shí)施攻擊。

Google一個(gè)發(fā)言人在稍后確認(rèn)了該研究人員的結(jié)果，并稱(chēng)移動(dòng)運(yùn)營(yíng)商T-mobile將很快推出針對(duì)該漏洞的安全更新。不過(guò)根據(jù)后續(xù)的研究結(jié)果，這個(gè)新發(fā)現(xiàn)漏洞的威脅可能并不如想象中的高，因?yàn)镺penCore的媒體庫(kù)組件運(yùn)行在自己的應(yīng)用程序沙箱中，與Android瀏覽器的并不重合，因此該漏洞對(duì)用戶(hù)的使用和數(shù)據(jù)安全的威脅并不高。

筆者認(rèn)為，Google Android作為一個(gè)功能強(qiáng)大，擴(kuò)展性強(qiáng)的手機(jī)操作系統(tǒng)，已經(jīng)成為智能手機(jī)系統(tǒng)的新選擇，不少新推出的Netbook也選擇Android作為操作系統(tǒng)之一，針對(duì)Android的漏洞挖掘和攻擊顯然也將會(huì)進(jìn)一步增加，安全業(yè)界可對(duì)相關(guān)領(lǐng)域投入更多的關(guān)注。

惡意軟件：黑客利用情人節(jié)廣泛散布惡意軟件；微軟致力于消滅Confickr蠕蟲(chóng)；

關(guān)注指數(shù)：高

情人節(jié)不單是戀人們的節(jié)日，對(duì)網(wǎng)絡(luò)犯罪集團(tuán)和黑客來(lái)說(shuō)，情人節(jié)也是一個(gè)很好的惡意軟件和垃圾郵件攻擊機(jī)會(huì)。根據(jù)eweek.com的消息，專(zhuān)業(yè)的反垃圾郵件廠商Mashal稱(chēng)，網(wǎng)絡(luò)犯罪集團(tuán)早在半個(gè)月前就開(kāi)始利用多個(gè)僵尸網(wǎng)絡(luò)，對(duì)用戶(hù)展開(kāi)利用垃圾郵件和病毒相結(jié)合的情人節(jié)主題攻擊。大部分的垃圾郵件來(lái)自于名為Waledac的僵尸網(wǎng)絡(luò)，通常是采用電子賀卡的形式向用戶(hù)發(fā)送攜帶了惡意軟件的電子郵件，而名為Pushdo和其他較小的僵尸網(wǎng)絡(luò)也采用類(lèi)似的手法對(duì)用戶(hù)發(fā)起攻擊。

自從去年九月著名的Storm蠕蟲(chóng)停止活動(dòng)之后，基于垃圾郵件加病毒的僵尸網(wǎng)絡(luò)活動(dòng)進(jìn)入了低潮期，去年圣誕節(jié)和今年情人節(jié)的垃圾郵件攻擊表明此類(lèi)僵尸網(wǎng)絡(luò)再次活躍，并開(kāi)始采用更具有迷惑性的社會(huì)工程方法來(lái)吸引用戶(hù)的注意力。筆者建議，用戶(hù)應(yīng)盡量不要打開(kāi)來(lái)源不明的電子郵件，尤其是特定節(jié)日或有特殊事件時(shí)，更應(yīng)注意包含有可疑附件的電子郵件，使用反垃圾郵件工具或支持郵件客戶(hù)端的反病毒軟件會(huì)對(duì)防御此類(lèi)攻擊有不錯(cuò)的效果。

針對(duì)繼續(xù)在互聯(lián)網(wǎng)上瘋狂擴(kuò)散的Confickr蠕蟲(chóng)，本周微軟進(jìn)一步加大了對(duì)抗的力度。根據(jù)eWeek.com的消息，為了從源頭上消滅Confickr蠕蟲(chóng)的影響，微軟本周開(kāi)出了25萬(wàn)美元的懸賞，能夠提供與Confickr蠕蟲(chóng)作者相關(guān)線索的人，查實(shí)后都將有機(jī)會(huì)獲得微軟的獎(jiǎng)金。

另外微軟還和國(guó)際互聯(lián)網(wǎng)域名管理機(jī)構(gòu)ICANN、互聯(lián)網(wǎng)服務(wù)提供商AOL、反病毒廠商Symantec和F-Secure，以及其他的安全和網(wǎng)絡(luò)相關(guān)廠商一道，組成了Confickr蠕蟲(chóng)的防御聯(lián)盟，共同應(yīng)對(duì)目前愈演愈烈的Confickr蠕蟲(chóng)攻擊。從去年九月Storm蠕蟲(chóng)的消滅過(guò)程來(lái)看，互聯(lián)網(wǎng)域名管理機(jī)構(gòu)、互聯(lián)網(wǎng)服務(wù)商和安全廠商的密切配合，對(duì)防御和消除大規(guī)模的網(wǎng)絡(luò)攻擊效果顯著。

不過(guò)筆者也認(rèn)為，安全和網(wǎng)絡(luò)廠商通力協(xié)作消除大規(guī)模網(wǎng)絡(luò)攻擊的做法，值得國(guó)內(nèi)的政府部門(mén)、網(wǎng)絡(luò)和安全廠商借鑒。但Confickr蠕蟲(chóng)的影響在短時(shí)間內(nèi)仍將繼續(xù)，微軟二月修補(bǔ)漏洞的攻擊風(fēng)險(xiǎn)較高，也可能進(jìn)一步加劇Confickr蠕蟲(chóng)的危害，用戶(hù)仍應(yīng)及時(shí)使用廠商提供的安全更新程序，同時(shí)部署最新的反病毒和防火墻軟件。
　
安全報(bào)告： IBM稱(chēng)應(yīng)關(guān)注網(wǎng)絡(luò)犯罪經(jīng)濟(jì)的度量；

關(guān)注指數(shù)：高

網(wǎng)絡(luò)犯罪已經(jīng)成為近兩年來(lái)對(duì)用戶(hù)威脅最大的網(wǎng)絡(luò)威脅，其對(duì)用戶(hù)造成的影響和損失與日俱增，然而目前各安全廠商正在使用的威脅評(píng)級(jí)體系，卻明顯落后于網(wǎng)絡(luò)威脅的發(fā)展。在IBM的安全分公司ISS最新推出的2008年年度安全報(bào)告中，就建議安全業(yè)界應(yīng)將網(wǎng)絡(luò)犯罪作為當(dāng)前的威脅評(píng)級(jí)體系的新成分，因?yàn)槟壳坝脩?hù)面臨的來(lái)自Web的漏洞及攻擊快速增長(zhǎng)，現(xiàn)有的威脅評(píng)級(jí)體系已經(jīng)不適應(yīng)新形勢(shì)的發(fā)展，安全業(yè)界應(yīng)重新定義威脅評(píng)級(jí)體系，并將新漏洞及攻擊方式被網(wǎng)絡(luò)犯罪利用的容易程度作為威脅評(píng)級(jí)的計(jì)算因素之一。

筆者認(rèn)為，IBM ISS年度安全報(bào)告中，對(duì)現(xiàn)有的威脅評(píng)級(jí)體系提出的建議有較大的現(xiàn)實(shí)意義，傳統(tǒng)的通用弱點(diǎn)評(píng)價(jià)體系CVSS，只是根據(jù)某個(gè)特定漏洞的實(shí)現(xiàn)原理和利用后果，對(duì)該漏洞的威脅程度進(jìn)行分級(jí)，并沒(méi)有考慮某個(gè)漏洞是否容易被黑客所利用，或因?yàn)閷?duì)應(yīng)產(chǎn)品的廣泛分布而可能造成的巨大威脅。此外，微軟每月安全更新公告中新增的利用威脅列表（Exploitation Index），實(shí)際上已經(jīng)從攻擊的難易程度上對(duì)漏洞進(jìn)行了分級(jí)。不過(guò)，要在更廣泛的范圍上實(shí)施加入攻擊難易度的漏洞威脅分級(jí)體系并非易事，如何制定更為客觀的標(biāo)準(zhǔn)還有賴(lài)于安全業(yè)界更為深入的協(xié)作及評(píng)估。
　
安全產(chǎn)品介紹：

1）F-Secure的在線可疑文件檢查工具

相信許多朋友都嘗試過(guò)Virustotal.com網(wǎng)站提供的免費(fèi)可疑文件在線檢查服務(wù)，不過(guò)在享受它多個(gè)強(qiáng)大的掃毒引擎的同時(shí)，朋友們可能也會(huì)因?yàn)闆](méi)法對(duì)每次檢查任務(wù)進(jìn)行歸檔而感到遺憾。反病毒廠商F-secure最新推出的在線可疑文件檢查工具采用了基于卡巴斯基和其他兩個(gè)廠商的反病毒引擎，并已經(jīng)支持每次掃描任務(wù)的歸檔和查看，有興趣的朋友可以嘗試一下。

該在線檢查工具的地址如下：https://analysis.f-secure.com/portal/login.html

推薦閱讀：

1）黑客如何利用用戶(hù)的相關(guān)數(shù)據(jù)；

推薦指數(shù)：高

如果要竊取用戶(hù)的真實(shí)身份信息，黑客不一定需要直接攻陷用戶(hù)的系統(tǒng)，只需要拿到幾個(gè)由目標(biāo)用戶(hù)創(chuàng)建的文件，就可能通過(guò)分析文檔的相關(guān)數(shù)據(jù)來(lái)獲取用戶(hù)相當(dāng)多的身份隱私信息。聽(tīng)起來(lái)很神奇？ 其實(shí)黑客只是利用了相關(guān)數(shù)據(jù)的基本分析技能。有興趣的朋友可以從darkreading.com文章《黑客如何利用用戶(hù)的相關(guān)數(shù)據(jù)》了解更多：
http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=214200389&subSection=Vulnerabilities+and+threats

2）如何在不影響業(yè)務(wù)的前提下消除內(nèi)部人威脅？

推薦指數(shù)：高

由于內(nèi)部人員熟悉業(yè)務(wù)和防范機(jī)制，因此來(lái)自?xún)?nèi)部人員的威脅是企業(yè)和機(jī)構(gòu)用戶(hù)最難防御的威脅。然而，擔(dān)心對(duì)現(xiàn)有業(yè)務(wù)或流程造成干擾，造成工作效率的下降，往往又是眾多企業(yè)和機(jī)構(gòu)一直無(wú)法實(shí)施有效的內(nèi)部控制的首要因素。如何在不影響業(yè)務(wù)的前提下消除內(nèi)部人威脅？ 相信eweek.com的這篇文章能夠給朋友們一些啟示：
http://www.eweek.com/c/a/Security/How-to-Mitigate-Insider-Threat-without-Disrupting-Business/?kc=rss

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】