【51CTO.com快譯自1月5日外電頭條】計算機技術(shù)總是在不斷發(fā)生變化，應用程序正在大步朝云遷移，移動設備改變了人與人之間的通信和連接到互聯(lián)網(wǎng)的方式，實時信息已經(jīng)變得越來越重要，安全威脅也在發(fā)生變化。

我們剛剛走進2010，正是時候思考未來的安全威脅，上個月的最大威脅與圣誕節(jié)有關(guān)，網(wǎng)絡犯罪者變得越來越聰明，他們可以通過有線網(wǎng)絡和無線網(wǎng)絡進入計算機，盜走有價值的信息。

針對這種安全威脅，需要在安全防御方面有投入，對于大多數(shù)IT專業(yè)人員而言，最好是在黑客讀取數(shù)據(jù)時自動接收到一封標題為“我正在偷取你電腦中的數(shù)據(jù)”的電子郵件。

雖然預測未來的安全挑戰(zhàn)可能會弄巧成拙，黑客們可能會故意繞開這里預測的領(lǐng)域，轉(zhuǎn)而尋找其它突破口，但思考一下過去和當前的威脅，可以深入了解明天即將面臨的威脅也不失為一件好事。

下面是對可能出現(xiàn)的計算機威脅做出的預測，僅供參考。

1、垃圾郵件、網(wǎng)絡詐騙開始轉(zhuǎn)向社交網(wǎng)絡和實時信息

來自Websense，Breach Security，IBM互聯(lián)網(wǎng)安全系統(tǒng)公司X-Force（IBM ISS X-Force）和Symantec的安全研究人員普遍認為網(wǎng)絡犯罪人員會擴大對社交網(wǎng)絡站點的攻擊，如Facebook，MySpace和LinkedIn，以及實時社會化網(wǎng)站，如Twitter。使用Google和Bing搜索引擎，更不用提Google Wave集成的實時功能，騙子知道他們的機會越來越多，要辨別一個惡意鏈接或文件往往需要很多時間，無論采取什么對策，總會有一些受害者。

反方觀點：對于那些從來沒有使用過社交網(wǎng)絡的人，這種危險就不存在，速度可能是Google最珍視的目標，但也增加了危險的速度。

2、云中的犯罪

安全廠家AVG，M86和RSA預測犯罪人員會攻擊云服務，并利用它們來指揮和控制攻擊，網(wǎng)絡犯罪工具箱已被廣泛使用，對于網(wǎng)絡犯罪人員來說，轉(zhuǎn)移到云服務只是一小步，IBM ISS X-Force研究人員預計會有更多的“攻擊作為一種服務”出現(xiàn)，當亞馬遜AWS被用于托管一個惡意命令和控制服務器時，時很難做出努力去解決的。

RSA產(chǎn)品管理兼戰(zhàn)略副總裁Sam Curry說：“2010年，如何緩解云服務風險將會備受關(guān)注”。

反方觀點：雖然網(wǎng)絡犯罪人員已經(jīng)嘗試使用如Google的App Engine來控制攻擊，但云服務提供商一般都會進行監(jiān)督，更不用說它需要錢購買才能使用，而那些不安全的網(wǎng)站才是托管惡意軟件的理想場所，又何必要冒充付費客戶，去破壞其它人的機器呢。

3、劫持信任網(wǎng)站

攻擊技術(shù)的發(fā)展已經(jīng)威脅到受信任的網(wǎng)站，如果成功在受信任網(wǎng)站上加載惡意軟件，危害面將會非常大，SQL注入技術(shù)已經(jīng)被證明是非常成功的攻擊技術(shù)，對于犯罪份子，通過受信任的第三方來傳播惡意軟件顯得更有實際意義，成功率會更高。

反方觀點：隨裁員浪潮和.com泡沫的破裂，將會涌現(xiàn)大量的博客，也沒有那么多人去經(jīng)營網(wǎng)站了，犯罪份子有機可乘的目標不會太多，加之人們開始轉(zhuǎn)向移動電話，Tablet和Chrome OS上網(wǎng)本，這些設備將會減少用戶出錯的機會，因此安全也將會得到改善?！?1CTO王文文：到2010年1月5日為止，Chrome OS上網(wǎng)本對國內(nèi)用戶還只是個傳說，筆者測試完流出來的Chromium OS（Chrome OS開源版）之后，感覺Chrome OS的安全性未必像傳說中那么牢靠。

4、蘋果電腦（最后）將會受到大量的影響

安全公司一直對Mac電腦垂涎欲滴，Websense公司表示，2010年我們將看到對Mac OS X中Safari的攻擊，黑客將會更加關(guān)注Mac平臺。

Symantec也同樣擔心，未得到保護的Mac用戶可以購買其殺毒軟件，每年只需支付30美元，其它安全公司如Sophos也持同樣的看法。Zscaler公司認為，蘋果將會投入更多的資金保護Mac的安全，使其設備具有更好的抗攻擊能力。

反方觀點：運行安全軟件的Mac用戶只是為了法規(guī)遵從需要，除非Windows市場份額下降80%，或Mac市場份額下降20%，否則是不會改變的，如果有一個漏洞，對Mac影響非常廣，那它也可能是Adobe Flash漏洞引起的。

5、更多的搜索結(jié)果含毒

利用人們對搜索引擎的信任，網(wǎng)絡犯罪份子將會在信任網(wǎng)站上投入更多精力，他們會使用搜索引擎和廣告感染未受保護的網(wǎng)站，AVG，Websense和M86預計黑客對搜索結(jié)果的破壞將會加劇，同時會利用熱點新聞，重大節(jié)日燈搜索結(jié)果進行惡意軟件的傳播。

也許2010年將會是網(wǎng)絡犯罪人員創(chuàng)建假新聞流行的一年，導致大量的網(wǎng)站感染惡意軟件，最終形成一個大的惡意網(wǎng)站鏈。

反方觀點：Google和微軟將繼續(xù)合作，保證搜素和廣告的安全，它們充分認識到不能失去用戶的信任，預計將會大張旗鼓地打擊流氓廣告網(wǎng)絡?！?1CTO王文文：Google很早就開始做這方面的工作了，但是微軟Bing和百度現(xiàn)在還沒見有這方面的動作，但國內(nèi)有金山網(wǎng)盾之類的產(chǎn)品已經(jīng)帶上這方面的防護功能。

6、越來越多的僵尸程序

僵尸網(wǎng)絡將給犯罪份子帶來更多的收入來源，對于安全廠商，它們認為僵尸程序?qū)兊酶鼮閺碗s，Symantec聲稱僵尸網(wǎng)絡已經(jīng)成為網(wǎng)絡犯罪份子發(fā)起攻擊的基礎。

Websense 的CTO Dan Hubbard說：“也有一些關(guān)于僵尸程序的好消息，那就是在安全社區(qū)和執(zhí)法方面加強了交流，相對過去，有更多的僵尸網(wǎng)絡被阻止和瓦解”。

但由于僵尸網(wǎng)絡能給犯罪份子帶來現(xiàn)金收入，他預計更多的犯罪團伙會選擇更容易構(gòu)建僵尸網(wǎng)絡的途徑：例如劫持一個由其它犯罪團伙操縱的僵尸網(wǎng)絡，這種沖突會限制僵尸網(wǎng)絡的增長。

反方觀點：僵尸網(wǎng)絡不僅要防衛(wèi)安全專家，還要防衛(wèi)其它僵尸網(wǎng)絡操縱者，Websense公司認為僵尸網(wǎng)絡團伙之間會發(fā)生沖突，類似的已經(jīng)出現(xiàn)過Bredolab僵尸網(wǎng)絡關(guān)閉Zeus/Zbot感染的計算機。

7、使用盜版風險增大

09年12月初，微軟做了許多努力減少軟件盜版，但它接收到越來越多的正版用戶的投訴，如果微軟不處理，這些用戶就會轉(zhuǎn)而使用盜版Windows。

看起來盜版軟件越來越容易受到惡意軟件的感染，IBM互聯(lián)網(wǎng)安全系統(tǒng)公司X-Force的研究人員預計使用盜版軟件將會更容易遭受惡意軟件的感染。

反方觀點：難道要所有桌面軟件用戶都將搬到云中，在云中我們就不用擔心偽造問題了？但至少要有人來為我們修改DNS host文件吧。

8、移動安全成為現(xiàn)實問題

Websense的Hubbard說“蘋果對App Store的封閉措施和Google對Android Market的開放措施形成了鮮明的對比，在安全領(lǐng)域我們也將看到雙方有趣的故事發(fā)生”?！?1CTO王文文：想得到安全公司的青睞，必須得先獲得大多數(shù)用戶的青睞，比如諾基亞。因此很遺憾，iPhone和Android現(xiàn)在還不是安全公司的重點保護對象。

反方觀點：IBM ISS X-Force的研究人員相信移動電話攻擊仍然很少，在移動電話上基于網(wǎng)絡的攻擊可能也相對罕見，但物理攻擊將會上升：搶奪和抓取攻擊比網(wǎng)絡攻擊相對要容易得多，產(chǎn)生的數(shù)據(jù)和物理項目可能被出售。另外，由于失業(yè)率已經(jīng)超過了10%，未經(jīng)請求的電話收集可能會成為一個迅速發(fā)展的行業(yè)。

9、一些大的盜竊丑聞內(nèi)幕將會浮出水面

正在進行的網(wǎng)絡安全改進將會促使有組織的犯罪團伙開始思考未來的打算，或許明年在某個地方，某個能夠訪問大型組織數(shù)據(jù)的人將會為網(wǎng)絡犯罪團伙工作。身份盜竊資源中心預計，不遵守工作場所安全協(xié)議的個案將會上升。

反方觀點：出現(xiàn)這種事情，組織一般會掩蓋事情真相，至少會掩蓋到2011年，這個預測在明年被證明是錯誤的也很困難。

10、點擊劫持（Clickjacking）反擊

Zscaler相信點擊劫持漏洞 — 一種通過修改Web應用程序用戶界面欺騙用戶的方法，如使用一個隱藏按鈕 — 會使攻擊更加頻繁，WhiteHat 安全公司的創(chuàng)始人和CTO Jeremiah Grossman，SecTheory公司的創(chuàng)始人和CTORobert "RSnake" Hansen披露了2008年10月的技術(shù)信息，雖然已經(jīng)通過努力減輕了點擊劫持風險，Zscaler說這項技術(shù)仍然有效，特別是在社交工程攻擊中。

反方觀點：當你可以啟動一個窗口，顯示一個虛假的安全掃描，何必讓一無所知的用戶為偽造的安全軟件付費呢？無知的確是致命的弱點，是很難用補丁修補的。

【51CTO.com譯稿，非經(jīng)授權(quán)請勿轉(zhuǎn)載。合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容。】

原文：Top 10 Security Challenges For 2010  作者：Thomas Claburn

【編輯推薦】

1. 圖文詳解攻擊BitLocker引導過程 
2. SSL竊聽攻擊實操 拿下vip.sohu.com
3. Red Hat Enterprise Linux4.0功能與安全
4. 安全使用RedHat Linux系統(tǒng)
5. Red Hat PXE Server DHCP包遠程拒絕服務漏洞