【51CTO.com 獨(dú)家特稿】近期安全方面值得關(guān)注的新聞不少，微軟本周都將推出安全更新，雖然也算是準(zhǔn)時(shí)，但和上月愈演愈烈的漏洞攻擊活動比起來還是稍嫌晚了點(diǎn)。說到漏洞就不能不說與之相關(guān)的軟件安全問題，軟件安全已經(jīng)開始為軟件廠商所關(guān)注，但軟件界仍較缺乏對軟件安全項(xiàng)目進(jìn)行有效評估的工具，本周新鮮出爐的軟件安全項(xiàng)目測評標(biāo)準(zhǔn)是否能擔(dān)此重任？

搜索引擎排名本是方便商家網(wǎng)絡(luò)推廣的工具，但無孔不入的惡意軟件也開始使用這一工具進(jìn)行傳播，本期回顧筆者將和朋友們一起關(guān)注Google Trends是如何被惡意軟件所利用的。威脅趨勢方面，日漸流行的輕省筆記本成為黑客攻擊用戶數(shù)據(jù)的新目標(biāo)，而最為古老的黑客手段之一——戰(zhàn)爭撥號（War dialing）也重新開始成為黑客攻擊企業(yè)用戶的工具。在本期回顧的最后，筆者將為朋友們介紹一個(gè)開源的新安全工具，并同時(shí)準(zhǔn)備了兩篇推薦閱讀文章。

本周的安全威脅等級為中。

漏洞攻擊：

微軟發(fā)布3月例行安全更新；報(bào)告顯示去年Firefox漏洞遠(yuǎn)多于其他瀏覽器；關(guān)注指數(shù)：高

盡管這幾個(gè)星期以來，各種針對微軟產(chǎn)品漏洞的攻擊和相關(guān)的惡意軟件一直是安全圈子里的熱門話題，但微軟還是沒有像去年11月那樣推出多個(gè)緊急補(bǔ)丁，而是按部就班的發(fā)布例行的安全更新。本周又是微軟每月推出例行安全更新的日期，根據(jù)微軟之前發(fā)布的3月安全更新公告，微軟將在本月例行安全更新中為用戶提供3個(gè)補(bǔ)丁程序，都是針對Windows及其相關(guān)組件中存在的安全漏洞。其中的MS09-006 Windows圖像處理漏洞，會導(dǎo)致Windows在處理EMF和WMF圖形文件時(shí)出現(xiàn)不可預(yù)測的行為，從而運(yùn)行惡意代碼，黑客將可能用該漏洞制作成傳播惡意軟件的網(wǎng)頁木馬，并通過偽造或攻陷的合法網(wǎng)站威脅用戶系統(tǒng)安全。筆者建議，用戶應(yīng)盡快從微軟的站點(diǎn)下載或通過Windows Update服務(wù)應(yīng)該針對該漏洞的補(bǔ)丁程序。另外，值得注意的是，微軟仍沒有針對上個(gè)月就曾發(fā)布安全公告的Office Excel中存在的遠(yuǎn)程代碼執(zhí)行漏洞提供補(bǔ)丁程序，因此，用戶在使用Office Excel來處理各種文檔文件時(shí)，仍應(yīng)該注意不要開啟來自不可信來源的Excel文件，以免感染惡意軟件并造成敏感信息的丟失。
　　目前最不安全的瀏覽器是哪一個(gè)？本周安全廠商Securnia發(fā)布的研究報(bào)告可以給朋友們一個(gè)參考答案。根據(jù)Securnia這份2008年瀏覽器安全研究報(bào)告，開放源代碼的瀏覽器Mozilla Firefox拿到了“漏洞最多的瀏覽器”這一稱號，因?yàn)樵?008年全年Firefox共報(bào)告了115個(gè)不同安全等級的漏洞，這個(gè)數(shù)字幾乎是IE、Apple Safari等其他瀏覽器的在2008年漏洞數(shù)的兩倍。不過漏洞多并不一定就說明是最不安全的，Securnia的報(bào)告也顯示，Mozilla Firefox的漏洞修補(bǔ)速度也比其他廠商瀏覽器快得多，漏洞修補(bǔ)最慢的是微軟IE，在2008年曾有漏洞在公開后294天才發(fā)布安全更新的歷史。筆者認(rèn)為，瀏覽器的選擇其實(shí)主要要看使用環(huán)境和用戶習(xí)慣，漏洞數(shù)只能作為一個(gè)參考指標(biāo)，兼容性和穩(wěn)定性等其他指標(biāo)也同樣重要，更重要的是用戶要培養(yǎng)安全瀏覽的習(xí)慣，避免登錄來源不明的網(wǎng)站，并保證系統(tǒng)補(bǔ)丁和反病毒軟件等為最新，這樣才能盡可能的保證用戶瀏覽網(wǎng)站時(shí)不受惡意軟件的侵襲。

軟件安全：

Fortify和Cigital推出軟件安全項(xiàng)目測評指標(biāo)；關(guān)注指數(shù)：中

軟件安全在近幾年已經(jīng)逐漸為軟件廠商所接受，成為軟件廠商在開發(fā)新產(chǎn)品時(shí)必定考慮的一個(gè)關(guān)鍵因素，幾個(gè)領(lǐng)先的軟件廠商也紛紛推出了各自的軟件安全標(biāo)準(zhǔn)，但目前在如何成功的實(shí)施一個(gè)軟件安全項(xiàng)目這個(gè)問題的解答上，許多軟件廠商仍處在比較初級的探索階段。

本周業(yè)界領(lǐng)先的軟件安全廠商Fortify和咨詢廠商Cigital合作推出了一個(gè)新的軟件安全項(xiàng)目測評指標(biāo)，就在幫助軟件廠商實(shí)施軟件安全項(xiàng)目方面提供了一個(gè)不錯(cuò)的指導(dǎo)。

Fortify和Cigital結(jié)合了目前市場上應(yīng)用最為成功的九種不同軟件安全標(biāo)準(zhǔn)的長處，研究人員還廣泛的訪問了包括EMC、微軟、Adobe等知名軟件廠商在內(nèi)的25家廠商，從中吸取了很多軟件安全領(lǐng)域的經(jīng)驗(yàn)和教訓(xùn)，最終形成了這份名為《構(gòu)建安全的成熟模式（Building Security In a Maturity Model，BSIMM）》的白皮書，有興趣的朋友可以從www.bsi-mm.com網(wǎng)站獲取這份白皮書的最新版本。

筆者通讀過這份白皮書，認(rèn)為確實(shí)很適合軟件企業(yè)計(jì)劃并實(shí)施軟件安全項(xiàng)目，并衡量當(dāng)前正在實(shí)施的軟件安全項(xiàng)目是否足夠完整和有效。筆者也將在未來的時(shí)間內(nèi)更多的關(guān)注軟件安全相關(guān)的技術(shù)和理念，并將用一系列的專題為朋友們介紹軟件安全領(lǐng)域的知識，敬請期待！
　　
惡意軟件：

惡意軟件借Google Trends擴(kuò)散；關(guān)注指數(shù)：高

搜索排行榜是搜索引擎為方便用戶找到最熱門信息而推出的一個(gè)有效工具，廣大的商家也可以通過搜索排行來推廣自己的商品，然而根據(jù)反病毒廠商最近一段時(shí)間的研究結(jié)果，惡意軟件也開始學(xué)著利用搜索排行來“推銷”自己。

本周來自反病毒廠商McAfee Avert Labs實(shí)驗(yàn)室的研究人員稱，目前已經(jīng)有不少惡意軟件作者通過用于分析用戶搜索習(xí)慣的Google Trends，來分析用戶最近搜索的熱門關(guān)鍵詞，然后將帶有惡意軟件的頁面設(shè)置相同的關(guān)鍵詞并使用搜索引擎優(yōu)化的手段進(jìn)行優(yōu)化，當(dāng)用戶搜索這些熱門關(guān)鍵詞時(shí)，帶有惡意軟件的頁面就會出現(xiàn)在搜索結(jié)果的前列。如果用戶不小心點(diǎn)擊了這些惡意網(wǎng)站，就有可能感染各種以盜竊用戶信息為目的的惡意軟件。

惡意軟件這種傳播方法并不算很新穎，去年10月份，就曾有研究人員警告網(wǎng)絡(luò)犯罪集團(tuán)正利用類似的手法來傳播惡意軟件，這次McAfee的警告顯示已經(jīng)有相當(dāng)多的惡意軟件開始使用搜索排行進(jìn)行擴(kuò)散的這一趨勢。

另外，也從側(cè)面暴露出一個(gè)問題：各搜索服務(wù)提供商的搜索安全技術(shù)，并不像它們所聲稱的那樣擁有高準(zhǔn)確率。筆者建議，用戶在使用搜索引擎時(shí)，不要隨意點(diǎn)擊陌生的網(wǎng)站搜索結(jié)果，哪怕是排在搜索結(jié)果前列，說不定它就是一個(gè)黑客精心設(shè)計(jì)的惡意網(wǎng)站，另外有個(gè)小訣竅朋友們也可以試試，使用搜索引擎提供的快照功能會有一定的保護(hù)效果。
　　
威脅趨勢：

War Dialing攻擊的新發(fā)展；輕省筆記本成為黑客新目標(biāo)；關(guān)注指數(shù)：高

戰(zhàn)爭撥號（War Dialing）是歷史最為悠久的黑客攻擊手段之一，其實(shí)施過程并不復(fù)雜，黑客通過電話調(diào)制解調(diào)器向某個(gè)企業(yè)的電話號碼進(jìn)行撥號，如果正好某個(gè)號碼上正好連著調(diào)制解調(diào)器，黑客就可能通過該調(diào)制解調(diào)器建立連接，并最終進(jìn)入目標(biāo)企業(yè)的內(nèi)部網(wǎng)絡(luò)。

隨著各種寬帶和高速網(wǎng)絡(luò)技術(shù)的興起，以及其他攻擊手段的快速發(fā)展，許多新生代黑客并不知道傳統(tǒng)的戰(zhàn)爭撥號攻擊。不過黑客圈中并沒有放棄對戰(zhàn)爭撥號攻擊的研究，早在2002年就曾有一個(gè)研究人員聲稱90%的企業(yè)都可以通過調(diào)制解調(diào)器網(wǎng)絡(luò)進(jìn)入其內(nèi)部網(wǎng)絡(luò)，而在7年后的今天，隨著VoIP等新技術(shù)的成熟和廣泛應(yīng)用，調(diào)制解調(diào)器網(wǎng)絡(luò)仍然是許多企業(yè)忽視但又現(xiàn)實(shí)存在的嚴(yán)重安全威脅，尤其是使用了遠(yuǎn)程監(jiān)視和數(shù)據(jù)采集系統(tǒng)（SCADA）的企業(yè)用戶。

知名安全工具M(jìn)etasploit的作者目前就正在開發(fā)一款名為Warvox的企業(yè)電話系統(tǒng)審計(jì)軟件，該工具實(shí)際上就是利用VoIP技術(shù)，對指定范圍的電話號碼進(jìn)行戰(zhàn)爭撥號攻擊，據(jù)作者稱，該工具只需要一個(gè)標(biāo)準(zhǔn)的寬帶連接和標(biāo)準(zhǔn)的VoIP賬戶，而無需大量的電話線路，并且能夠以每小時(shí)1000個(gè)號碼的速度進(jìn)行掃描。筆者覺得，雖然戰(zhàn)爭撥號技術(shù)歷史已經(jīng)很悠久，但要說它是完全過時(shí)的也有失偏頗，如果是在合法的滲透測試或司法取證中，這款工具的合理使用說不定就會起到出人意料的效果。

自從2007年華碩首先推出Eeepc以來，以低成本和輕小為賣點(diǎn)的輕省筆記本（Netbook）就開始廣受用戶的歡迎，大多數(shù)的計(jì)算機(jī)廠商也紛紛推出了此類產(chǎn)品。不過由于輕省筆記本在機(jī)能和軟件配置上與當(dāng)前主流的筆記本計(jì)算機(jī)有較大的差距，輕省筆記本正日益成為黑客攻擊的新目標(biāo)。

目前輕省筆記本大都使用Intel和VIA兩家廠商的低能耗CPU，為了節(jié)省成本，內(nèi)存大都是512M或1G，雖然能夠流暢運(yùn)行Windows XP和定制的Linux，但如果運(yùn)行較多程序，速度和電池壽命上的衰減還是比較明顯的，用戶大多傾向于最簡化輕省筆記本上的系統(tǒng)和軟件，在輕省筆記本使用反病毒或防火墻等標(biāo)準(zhǔn)安全軟件的用戶也不多。

因此，輕省筆記本用戶就成為黑客的新攻擊目標(biāo)，安全軟件的缺失使得這些用戶很容易感染各種惡意軟件，而且輕省筆記本的便攜性也讓用戶訪問外界無線連接的機(jī)會增多，也增添了用戶不安全使用無線連接造成的敏感信息泄漏風(fēng)險(xiǎn)。筆者認(rèn)為，盡管可能會導(dǎo)致系統(tǒng)運(yùn)行減慢，輕省筆記本用戶在條件允許的情況下還是應(yīng)該安裝反病毒軟件，選擇占用系統(tǒng)資源較少的即可；同時(shí)不要隨意在外界的不加密無線連接上使用自己賬戶等隱私信息，以防止自己的隱私信息在不經(jīng)意間落入黑客手中。
　　
工具推薦：OSSEC 2.0

OSSEC是一套功能強(qiáng)大的開放源代碼主機(jī)IDS（HIDS），它能夠執(zhí)行主機(jī)日志分析、文件完整性檢查、Rootkit檢測、實(shí)時(shí)警告和響應(yīng)等功能。本周OSSEC的最新版本2.0推出，除了上述功能外，還多了策略支持、多語言、新報(bào)告工具等新特性，并能運(yùn)行在Windows和Unix的系統(tǒng)上，推薦朋友們在服務(wù)器上安裝使用。OSSEC的官方網(wǎng)站為：http://www.ossec.net/main/ossec-v20-released
　　
推薦閱讀：

1） 促進(jìn)安全戰(zhàn)略的5個(gè)原則；推薦指數(shù)：高

如何建立一個(gè)高效率的信息安全戰(zhàn)略，一直是企業(yè)實(shí)施安全管理的核心內(nèi)容，當(dāng)前的企業(yè)和信息安全專家除了要了解技術(shù)之外，熟悉如何將安全技術(shù)和業(yè)務(wù)緊密結(jié)合更為重要。Forrester Research本周提供的《促進(jìn)安全戰(zhàn)略的5個(gè)原則》，可以作為企業(yè)實(shí)施安全戰(zhàn)略的一個(gè)有益參考，推薦有興趣的朋友閱讀一下。文章的地址如下：
http://www.itnews.com.au/News/98122,five-principles-underpinning-robust-security-strategies.aspx

2） 如何防止元數(shù)據(jù)泄漏你的隱私？推薦指數(shù)：中

前兩期的回顧筆者曾提到過元數(shù)據(jù)對用戶隱私信息可能造成的威脅。Darkreading.com的新文章《如何防止元數(shù)據(jù)泄漏你的隱私》就對這個(gè)問題提出了幾個(gè)建議，對隱私保護(hù)有興趣的朋友可以從以下地址讀到這個(gè)文章：
http://www.darkreading.com/insiderthreat/security/vulnerabilities/showArticle.jhtml?articleID=215800964&subSection=Vulnerabilities+and+threats

【編輯推薦】

1. 白帽黑客友情提示：CCTV華軍軟件均含跨站漏洞
2. 安全專家詳談：對付惡意軟件的策略及方法
3. 經(jīng)濟(jì)低潮中 網(wǎng)管更應(yīng)筑好安全堡壘
4. Adobe Reader半月練劍 0day夢魘終于完結(jié)
5. 諾頓再次誤升級 廠商可無視用戶許可?
6. 加強(qiáng)路由器安全的十四個(gè)方法