【51CTO.com 專家特稿】XSS蠕蟲瘋狂攻擊知名SNS網(wǎng)站Twitter，技術(shù)人員多次修補漏洞未果，可以說是本周當(dāng)之無愧的最值得關(guān)注新聞，在本期回顧中筆者將和朋友們一起關(guān)注該事件的發(fā)展；惡意軟件方面也相當(dāng)熱鬧，新型病毒將Mac系統(tǒng)轉(zhuǎn)化為僵尸網(wǎng)絡(luò)，新一代隱蔽Rootkit Mebroot浮出水面。安全新技術(shù)領(lǐng)域，研究人員提出用耳朵作為驗證因素的新型生物驗證技術(shù)，朋友們可以在本期回顧中了解這個新技術(shù)有哪些有趣的新特點。在本期回顧的最后，筆者為朋友們精心挑選了兩篇值得一讀的推薦閱讀文章?！　?/P>

本周（090413至090419）安全要聞回顧

本周的信息安全威脅為低。

Web應(yīng)用安全：XSS蠕蟲瘋狂攻擊Twitter，技術(shù)人員多次修補未果；關(guān)注指數(shù)：高　　

從上周末開始，一個名為Stalkdaily的蠕蟲在知名的SNS網(wǎng)站以驚人的速度開始擴散，不斷有用戶抱怨“我被Stalkdaily蠕蟲感染了”，連Twitter很紅的應(yīng)用之一TweetVisor也頻繁顯示警示。事發(fā)初期，技術(shù)網(wǎng)站Techcrunch就進(jìn)行了報道（很少能有信息安全相關(guān)的新聞能上Techcrunch），并有網(wǎng)友在互聯(lián)網(wǎng)上公開了該蠕蟲的源代碼，Twitter的技術(shù)人員也很快修補了該蠕蟲所攻擊的XSS漏洞。

Twitter和用戶都沒有想到的是，該蠕蟲的作者很快就又找到Twitter新的漏洞，并使用了Java變形技術(shù)來逃避Twitter設(shè)置的內(nèi)容過濾，在短短的一周時間內(nèi)，Stalkdaily蠕蟲爆發(fā)了六次，Twitter也號稱修復(fù)了所有的XSS漏洞，然而沒過多久新一代的蠕蟲都會重新爆發(fā)，Twitter的技術(shù)人員也只能投入修復(fù)漏洞的重復(fù)勞動中。Stalkdaily蠕蟲的作者在攻擊事件發(fā)生不久浮出水面，令人意外的是影響如此大的蠕蟲攻擊，蠕蟲的作者居然只是一名17歲的少年Mikeyy，他的目的看起來只是想宣傳自己的網(wǎng)站Stalkdaily.com。

整個事件的經(jīng)過與2005年19歲的Samy寫蠕蟲攻擊MySpace有驚人的相似，Samy最后被判了3年緩期和90天社區(qū)勞動——如果Twitter要追究法律責(zé)任的話，顯然Mikeyy的下場要比Samy更難過，因為Stalkdaily蠕蟲的第一、二代都帶有竊取受影響用戶的用戶名和Cookie，已經(jīng)構(gòu)成對Twitter及其用戶事實上的損害。
　　
當(dāng)然，簡單如Twitter的界面仍會產(chǎn)生XSS漏洞并造成如此大的影響，也再次說明了XSS對Web應(yīng)用的威脅之大；Twitter的技術(shù)人員修補了六次漏洞，仍讓Stalkdaily蠕蟲連續(xù)爆發(fā)，雖然每一代蠕蟲的特征代碼不同，但也說明了Twitter的修補方式實際上是錯誤的。Twitter采用的是通過黑名單來攔截蠕蟲所用的XSS攻擊字串，技術(shù)人員也誤認(rèn)為這樣足夠防御XSS攻擊，但實際上采用白名單方式來控制輸入字串的形態(tài)、長度和字符集等，才是更有效的XSS防御方式。

網(wǎng)站防御XSS的最大難度在于，每一個網(wǎng)站的結(jié)構(gòu)千差萬別，可能造成多層的字符串解碼操作，所以如何有效的防御XSS的攻擊，網(wǎng)站的開發(fā)人員必須熟悉XSS的成因，OWASP網(wǎng)站上的XSS特征列表就是一個相當(dāng)好的參考資源。而對用戶來說，可以使用Firefox的NoScript插件或通過修改IE設(shè)置禁用掉JavaScript的執(zhí)行，一勞永逸的解決掉XSS漏洞的攻擊問題，不過這樣也會對用戶的瀏覽體驗造成相當(dāng)?shù)膿p失，就看用戶是如何取舍安全和體驗這兩者了。

惡意軟件：新病毒將Mac轉(zhuǎn)化為僵尸網(wǎng)絡(luò)；最隱蔽的Rootkit浮出水面；關(guān)注指數(shù)：高　　

傳統(tǒng)意義上的僵尸網(wǎng)絡(luò)，往往是由大量采用Windows作為操作系統(tǒng)的PC或服務(wù)器所組成，隨著惡意軟件編寫技術(shù)的提升，僵尸網(wǎng)絡(luò)成員的類型已經(jīng)今非昔比，除了在前兩期回顧中筆者曾介紹過的Linux路由器僵尸網(wǎng)絡(luò)外，Apple Mac系統(tǒng)也開始成為僵尸網(wǎng)絡(luò)的新成員。來自多個反病毒廠商的檢測結(jié)果，今年初出現(xiàn)的捆綁有新惡意軟件的盜版MacOS系統(tǒng)，已經(jīng)成功的擴散到相當(dāng)數(shù)量的用戶機器上，這些受感染系統(tǒng)已經(jīng)開始被用在至少一次的大規(guī)模拒絕服務(wù)攻擊中。這種攻擊方式對PC用戶來說并無新意，在Windows盜版猖獗的前幾年，某些小工作室制作的所謂發(fā)行版常會捆綁不同的惡意軟件。

由于Mac系統(tǒng)上目前可用的反病毒軟件并不多，用戶對惡意軟件的防范意識也較為薄弱，因此這種針對Mac的攻擊行為還是應(yīng)該引起Mac用戶的重視的。

最近反病毒廠商發(fā)現(xiàn)的Mebroot Rootkit新變種則顯示了Rootkit編寫技術(shù)有較大進(jìn)步的現(xiàn)象。Mebroot Rootkit也稱為Torpig或Sinowal，最早是由EMC RSA的安全人員于去年底所發(fā)現(xiàn)的，通常還被集成到流行的黑客工具包Mpack里面。Mebroot的新變種與舊的相比更為隱蔽，主要表現(xiàn)在新變種增加了用于隱藏的新技術(shù)，在感染用戶的系統(tǒng)后不再嘗試鉤掛disk.sys驅(qū)動，而是會先判斷哪一個驅(qū)動程序是更為底層的，然后再對其進(jìn)行感染。

因此在不同的系統(tǒng)上Mebroot新變種可能感染的驅(qū)動程序?qū)ο蟛煌谡鎸嵉腜C和虛擬機系統(tǒng)之間也可能會有顯著的差異，Mebroot的作者還修正了以前存在的一個MBR修改bug，使得反病毒軟件更難從主引導(dǎo)區(qū)是否被修改來判斷Mebroot的存在與否。Mebroot的新變種目前主要通過存在漏洞的第三方軟件進(jìn)行傳播，根據(jù)多個反病毒廠商的監(jiān)測結(jié)果，該新變種流行并不廣泛，用戶注意更新自己的系統(tǒng)和反病毒軟件的話，要防御該Rootkit應(yīng)該問題不大。另外，如果用戶懷疑自己曾被類似的惡意軟件感染過，下面是一個如何手工檢測和清除的指南，用戶可以參考一下?！　?A >http://www.trustdefender.com/blog/2009/04/04/new-mebrootsinowalmbrtorpig-variant-in-the-wild-virtually-undetected-and-more-dangerous-than-ever/　　

安全新技術(shù)：研究人員提出人耳生物識別技術(shù)；關(guān)注指數(shù)：中　　

因為移動計算設(shè)備較小的體積和較弱的計算能力，傳統(tǒng)的生物識別技術(shù)在移動計算領(lǐng)域似乎都不太適用，但在政府、軍事等對安全要求較高的領(lǐng)域，對適用于移動設(shè)備的生物識別技術(shù)的需求也日益增長。英國工程和物理科學(xué)協(xié)會（EPSRC）就贊助南安普敦大學(xué)的研究人員進(jìn)行這樣的一個研究項目，針對每個人能聽到的低頻聲音不同，以及對相同聲音不同的響應(yīng)模式，來區(qū)別當(dāng)前用戶是否是經(jīng)過系統(tǒng)認(rèn)證的合法用戶。

如果南安普敦大學(xué)的研究能夠成功，結(jié)合嵌入敏感麥克風(fēng)的移動電話，預(yù)計可實現(xiàn)這兩個功能，識別用戶以進(jìn)行安全的電話通信，或者在用戶的移動設(shè)備被盜之后，遠(yuǎn)程禁用掉被盜的設(shè)備以防止泄密。不過這樣的技術(shù)即使開發(fā)成功，估計也只能夠是在法律、政府和軍事領(lǐng)域小規(guī)模使用，個人用戶也想用的話，可能是連輸入自己識別信息都很難操作，更別說要用更高級的功能了?！　?/P>

推薦閱讀：

1） 企業(yè)應(yīng)用智能電話的3個安全要點；推薦指數(shù)：高

隨著成本的下降，智能電話已經(jīng)成為企業(yè)網(wǎng)絡(luò)中一種常見的終端，但智能電話不同于傳統(tǒng)x86體系的諸多特點，以及高度定制化的軟件，也使得在企業(yè)環(huán)境中安全使用智能電話成為一個很難實現(xiàn)的目標(biāo)。本周eWeek.com推出了一個文章《企業(yè)應(yīng)用智能電話的3個安全要點》，相信會給目前遇到類似問題的朋友一些提示。文章的地址如下：

http://www.eweek.com/c/a/Security/3-Smartphone-Security-Considerations-for-Enterprises-205412/?kc=rss

2） 2009年數(shù)據(jù)泄露調(diào)查報告；推薦指數(shù)：高

數(shù)據(jù)泄露是對企業(yè)威脅最大的IT事故之一，即使是對從未發(fā)生過類似事件的企業(yè)來說也是一把高懸的利劍，如何防止敏感的數(shù)據(jù)外泄，也成為企業(yè)最為關(guān)鍵的任務(wù)。互聯(lián)網(wǎng)安全組織SANS本周推出的《2009數(shù)據(jù)泄露調(diào)查報告》，采用案例分析的方式介紹了眾多數(shù)據(jù)泄露相關(guān)的知識，推薦朋友們都了解一下。文章的地址如下：

http://isc.sans.org/diary.html?storyid=6202&rss

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【相關(guān)文章】

• 瀏覽更多信息安全要聞回顧