【51CTO.com 獨(dú)家報(bào)道】朋友們，新年快樂(lè)！感謝在2008年里你們給予筆者及51CTO安全回顧欄目的支持，衷心的祝愿你們?cè)谛碌囊荒昀锷眢w健康，萬(wàn)事如意，擁有更美好的2009！筆者和51CTO安全回顧欄目在新的一年里，將一如既往的為朋友們提供及時(shí)的安全要聞報(bào)道和深入的分析，筆者還將根據(jù)安全業(yè)界重大新聞和事件，不定期推出專題類型的安全要聞回顧，敬請(qǐng)期待！

本周（081229至090104）雖然是每年年底傳統(tǒng)的Holiday Season，但不容樂(lè)觀的經(jīng)濟(jì)形勢(shì)還讓安全業(yè)界假期縮短了不少。本周值得關(guān)注的新聞?shì)^多，總體上仍延續(xù)2008年末威脅顯著上升的態(tài)勢(shì)，漏洞攻擊、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)犯罪和通訊安全等領(lǐng)域均有需要注意的趨勢(shì)。Web應(yīng)用安全領(lǐng)域，筆者將和朋友一起關(guān)注最新的Web應(yīng)用安全標(biāo)準(zhǔn)。在本期回顧的最后，筆者將向朋友們介紹兩個(gè)功能強(qiáng)大的安全工具，同時(shí)還為朋友們精心挑選了兩個(gè)值得一讀的推薦閱讀文章。

本周的信息安全威脅程度為低，當(dāng)前的互聯(lián)網(wǎng)攻擊威脅水平維持在較低水平，朋友們只需要注意升級(jí)反病毒和防火墻軟件，即可保證自己系統(tǒng)和互聯(lián)網(wǎng)瀏覽的安全。

網(wǎng)絡(luò)安全：新的SSL缺陷影響網(wǎng)站安全；關(guān)注指數(shù)：高

目前需要較高安全性的網(wǎng)站大多應(yīng)用了SSL技術(shù)，作為保護(hù)用戶與網(wǎng)站服務(wù)器之間通訊和數(shù)據(jù)安全的主要手段。數(shù)字證書(shū)則是SSL技術(shù)最為重要的組成，可用于驗(yàn)證網(wǎng)站服務(wù)器的身份，評(píng)價(jià)網(wǎng)站和用戶間的SSL通訊是否安全，也主要看SSL數(shù)字證書(shū)的實(shí)現(xiàn)方法和安全程度。然而，最近的研究表明，新發(fā)現(xiàn)的數(shù)字證書(shū)簽名缺陷將會(huì)對(duì)網(wǎng)站安全造成相當(dāng)大的負(fù)面影響。根據(jù)12月30日Darkreading.com和Securityfocus.com的報(bào)道，在本周柏林舉行的第25屆Chaos Communication會(huì)議上，來(lái)自歐洲和美國(guó)的研究人員向與會(huì)者介紹了他們的最新研究成果：如何通過(guò)SSL數(shù)字證書(shū)的缺陷，攻擊使用SSL的安全網(wǎng)站。該項(xiàng)研究主要針對(duì)當(dāng)前互聯(lián)網(wǎng)上應(yīng)用范圍最廣的公鑰加密體系（PKI），并使用了早先公開(kāi)的MD5 Hash算法中的缺陷，該項(xiàng)研究成果能夠建立一個(gè)虛假的證書(shū)授權(quán)（CA），并進(jìn)一步發(fā)布虛假的SSL鏈接數(shù)字證書(shū)，而現(xiàn)有的所有瀏覽器都會(huì)將這些虛假的數(shù)字證書(shū)誤認(rèn)為是合法的。研究人員還稱，如果網(wǎng)絡(luò)犯罪組織使用了他們的研究成果，將可以建立虛假的證書(shū)授權(quán)和一系列偽造數(shù)字證書(shū)，并用于仿冒知名網(wǎng)站和對(duì)用戶發(fā)起網(wǎng)絡(luò)釣魚(yú)攻擊；同時(shí)由于這些可能的網(wǎng)絡(luò)釣魚(yú)攻擊由SSL所加密，也使得安全業(yè)界更難發(fā)現(xiàn)和跟蹤它們。研究人員在本周二已經(jīng)通知了市場(chǎng)主流的瀏覽器廠商，但Mozilla和微軟都在當(dāng)天的回應(yīng)中稱，SSL數(shù)字證書(shū)缺陷帶來(lái)的風(fēng)險(xiǎn)和責(zé)任，應(yīng)當(dāng)由目前6個(gè)主要使用MD5算法進(jìn)行數(shù)字證書(shū)簽名的合法CA所承擔(dān)。

不過(guò)網(wǎng)站運(yùn)營(yíng)者不必對(duì)這個(gè)消息過(guò)于緊張，如果是正在使用不安全的MD5簽名數(shù)字證書(shū)，可與自己的CA聯(lián)系，讓其換發(fā)使用SHA-2等更為安全的Hash算法簽名的數(shù)字證書(shū)。而且從研究人員公開(kāi)的細(xì)節(jié)來(lái)看，因?yàn)檫@種類型的攻擊需要龐大的高性能計(jì)算能力來(lái)破解合法證書(shū)的MD5簽名，研究人員使用了超過(guò)200臺(tái)PS3游戲機(jī)組成的計(jì)算集群。因此, 在短時(shí)間內(nèi)網(wǎng)絡(luò)犯罪集團(tuán)實(shí)施這樣類型攻擊的可能性不大，用戶瀏覽器自帶的或其他的第三方安全軟件提供的防網(wǎng)絡(luò)釣魚(yú)保護(hù)是足夠的。

漏洞攻擊：微軟稱WMP漏洞危險(xiǎn)度不大，但同時(shí)警告用戶要注意修補(bǔ)老漏洞；關(guān)注指數(shù)：高

最近因?yàn)樽约耶a(chǎn)品漏洞頻發(fā)而忙得焦頭爛額的微軟，本周終于迎來(lái)了一個(gè)正面的消息。根據(jù)12月29日eWeek.com的報(bào)道，經(jīng)過(guò)兩周的調(diào)查和分析后，微軟于當(dāng)天宣布12月早些時(shí)候收到的Windows媒體播放器（WMP）中存在遠(yuǎn)程代碼執(zhí)行漏洞是不存在的。一個(gè)安全研究人員曾在上月早些時(shí)候稱，WMP在處理某些特殊結(jié)構(gòu)的WAV、MIDI和SND文件時(shí)，將會(huì)觸發(fā)其設(shè)計(jì)上的缺陷并執(zhí)行不可預(yù)測(cè)的代碼，該漏洞會(huì)影響應(yīng)用了最新補(bǔ)丁的Windows XP SP3系統(tǒng)上的WMP 9和11版本。換句話說(shuō)，黑客可以通過(guò)向用戶發(fā)送特定結(jié)構(gòu)的媒體文件，從而通過(guò)這個(gè)WMP漏洞在用戶系統(tǒng)上安裝和執(zhí)行惡意軟件。當(dāng)時(shí)互聯(lián)網(wǎng)安全組織SANS也在自己的網(wǎng)站上刊登了類似的消息，還向其讀者提供了一個(gè)演示該漏洞存在的測(cè)試代碼。不過(guò)微軟這兩周的調(diào)查顯示，這個(gè)存在于WMP中的漏洞并不會(huì)導(dǎo)致遠(yuǎn)程代碼的執(zhí)行行為，只會(huì)使WMP崩潰或失去響應(yīng)，因此，微軟調(diào)低了該漏洞的威脅等級(jí)，但沒(méi)有說(shuō)明什么時(shí)候會(huì)發(fā)布針對(duì)這個(gè)漏洞的補(bǔ)丁。筆者建議，使用Windows 2003 SP2的朋友無(wú)需擔(dān)心該漏洞的影響，微軟已經(jīng)在Windows 2003 SP2中修正該問(wèn)題，而使用其他版本W(wǎng)indows的用戶可以開(kāi)啟Windows自帶的數(shù)據(jù)執(zhí)行保護(hù)（DEP）功能，并打全微軟最新的安全補(bǔ)丁即可。

針對(duì)用戶經(jīng)常漏掉微軟關(guān)鍵補(bǔ)丁的狀況，本周末微軟再次在其博客上發(fā)表了一篇文章，建議用戶盡快應(yīng)用微軟最新的安全補(bǔ)丁以防止遭受惡意軟件的攻擊。根據(jù)1月2日eWeek.com的報(bào)道，由于互聯(lián)網(wǎng)上出現(xiàn)一個(gè)專門(mén)攻擊微軟10月已修補(bǔ)漏洞的Conficker蠕蟲(chóng)新變種，并已開(kāi)始在互聯(lián)網(wǎng)上大規(guī)模擴(kuò)散，因此微軟建議還沒(méi)有使用針對(duì)該漏洞補(bǔ)丁的用戶盡快通過(guò)微軟升級(jí)服務(wù)應(yīng)用補(bǔ)丁。微軟提到的漏洞是去年發(fā)現(xiàn)的存在于Windows Server服務(wù)中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，如果黑客成功攻擊該漏洞，即可在用戶的系統(tǒng)上安裝惡意軟件。微軟已于去年10月23日推出了該漏洞的補(bǔ)丁，但最近的一系列的用戶報(bào)告顯示，沒(méi)有及時(shí)應(yīng)用該補(bǔ)丁的用戶仍為數(shù)不少。筆者建議用戶應(yīng)盡快通過(guò)微軟升級(jí)服務(wù)更新該補(bǔ)丁程序，此外，由于Conficker蠕蟲(chóng)還具有簡(jiǎn)單密碼拆解的能力，能夠感染企業(yè)內(nèi)網(wǎng)中使用弱口令的Windows機(jī)器，建議用戶盡快通過(guò)微軟Baseline等工具，發(fā)現(xiàn)并修正內(nèi)網(wǎng)機(jī)器的弱口令問(wèn)題。

網(wǎng)絡(luò)犯罪：專家稱身份盜竊攻擊在2009將更為猖獗；關(guān)注指數(shù)：高

身份盜竊攻擊，指的是黑客和網(wǎng)絡(luò)犯罪集團(tuán)通過(guò)技術(shù)手段或社會(huì)工程學(xué)方法，從用戶或電子商務(wù)商戶的系統(tǒng)內(nèi)盜取身份證號(hào)、信用卡號(hào)等個(gè)人身份識(shí)別信息，并將這些信息用于商業(yè)欺詐類犯罪活動(dòng)中的攻擊形式。身份盜竊攻擊也是當(dāng)前網(wǎng)絡(luò)犯罪最活躍的類型之一。根據(jù)12月30日sun-sential.com的報(bào)道，互聯(lián)網(wǎng)安全團(tuán)體身份竊賊資源中心（Identify Thief Resource Center）的專家本月發(fā)表的報(bào)告稱，在2008年內(nèi)美國(guó)身份盜竊攻擊事件大增，超過(guò)一千萬(wàn)的美國(guó)民眾成為身份識(shí)別盜竊的受害者，美國(guó)的金融行業(yè)也損失大量資金。而在2009年，隨著全球經(jīng)濟(jì)情況的進(jìn)一步惡化，針對(duì)身份識(shí)別的攻擊和犯罪活動(dòng)將會(huì)進(jìn)一步增加。除了傳統(tǒng)的信用卡欺詐外，網(wǎng)絡(luò)犯罪集團(tuán)還將使用多種新形式的攻擊方法，如針對(duì)失業(yè)民眾的網(wǎng)絡(luò)抵押欺詐，使用被盜或遺失的銀行支票的支票欺詐和跨國(guó)的網(wǎng)絡(luò)有組織犯罪。盡管目前國(guó)內(nèi)關(guān)于身份識(shí)別盜竊攻擊的報(bào)道并不多見(jiàn)，但隨著我國(guó)金融行業(yè)的發(fā)展和電子商務(wù)的興起，我國(guó)互聯(lián)網(wǎng)用戶遭遇此類攻擊的風(fēng)險(xiǎn)將會(huì)越來(lái)越大，而這點(diǎn)卻又是我國(guó)安全行業(yè)較為薄弱的地方。筆者和51CTO安全回顧頻道在2009年將更多關(guān)注身份識(shí)別保護(hù)的相關(guān)領(lǐng)域，并將推出一系列專題文章，為讀者帶來(lái)相關(guān)領(lǐng)域最新的威脅分析和安全指南，敬請(qǐng)期待！

通訊安全：短消息拒絕服務(wù)攻擊可導(dǎo)致手機(jī)癱瘓；關(guān)注指數(shù)：高

拒絕服務(wù)是黑客對(duì)網(wǎng)站或其他服務(wù)器攻擊時(shí)常見(jiàn)的攻擊手段，安全市場(chǎng)上也有很多能有效對(duì)抗拒絕服務(wù)攻擊的產(chǎn)品。然而最新的一種拒絕服務(wù)攻擊類型——短消息拒絕服務(wù)，可能就沒(méi)有多少朋友聽(tīng)說(shuō)過(guò)。根據(jù)1月2日Darkreading.com的消息，在29屆Chaos Communication會(huì)議上，一位安全研究人員向與會(huì)者演示了如果通過(guò)一條簡(jiǎn)單的短消息，使特定操作系統(tǒng)類型的手機(jī)無(wú)法再使用短消息服務(wù)，目前已經(jīng)確認(rèn)存在這個(gè)弱點(diǎn)的手機(jī)操作系統(tǒng)包括Symbian S60的多個(gè)版本和索愛(ài) UiQ系統(tǒng) 。安全廠商F-secure也證實(shí)了這一點(diǎn)，并確認(rèn)即使是用戶關(guān)閉手機(jī)電源并重啟也不能停止這種攻擊的影響。有興趣的朋友還可以在以下鏈接找到這種攻擊的演示視頻：

http://www.youtube.com/watch?v=qwC7oVPIPHQ&feature=channel_page

雖然這種攻擊方式對(duì)用戶的威脅只相當(dāng)于惡意的玩笑，不過(guò)筆者認(rèn)為，這種利用手機(jī)操作系統(tǒng)漏洞的攻擊方式，對(duì)很難進(jìn)行軟件升級(jí)的手機(jī)顯然是相當(dāng)致命，假設(shè)在某種特殊的場(chǎng)景下，黑客利用手機(jī)操作系統(tǒng)的漏洞攻擊特定人群，也會(huì)造成相當(dāng)大的破壞性。要防御這種攻擊，最好不要輕易開(kāi)啟來(lái)自未知發(fā)件人的短消息，另外，使用手機(jī)版的防病毒軟件是不錯(cuò)的選擇，不過(guò)用戶需要經(jīng)常升級(jí)反病毒軟件才會(huì)有比較好的效果。

Web應(yīng)用安全：OWASP推出最新的Web應(yīng)用安全標(biāo)準(zhǔn)；關(guān)注指數(shù)：高

根據(jù)12月29日的Darkreading.com，知名的Web應(yīng)用安全組織OWASP當(dāng)天推出了其最新的Web應(yīng)用安全標(biāo)準(zhǔn)，這個(gè)開(kāi)放的標(biāo)準(zhǔn)，旨在為網(wǎng)站運(yùn)營(yíng)者、開(kāi)發(fā)人員和安全行業(yè)提供一個(gè)商業(yè)化及可操作的Web應(yīng)用程序驗(yàn)證標(biāo)準(zhǔn)。這個(gè)標(biāo)準(zhǔn)值得關(guān)注的地方在于，它提供靈活的安全等級(jí)定義和一系列的安全指標(biāo)，讓W(xué)eb應(yīng)用的所有者清晰的了解自己的應(yīng)用是否安全，和安全程度到底達(dá)到了什么樣的等級(jí)。筆者認(rèn)為，該標(biāo)準(zhǔn)有價(jià)值的地方在于，它定義了需要滿足什么樣條件的Web應(yīng)用程序，才能用到什么安全等級(jí)需求的系統(tǒng)或用戶方，從某種程度上說(shuō)，如果該標(biāo)準(zhǔn)能夠順利投入使用，可能會(huì)成為最終用戶對(duì)Web應(yīng)用程序成品進(jìn)行檢測(cè)，并最終接受的通用標(biāo)準(zhǔn)。目前該標(biāo)準(zhǔn)正處于公開(kāi)測(cè)試的階段，有興趣的朋友可以在以下鏈接中獲得更多信息：

http://www.owasp.org/index.php/Category:OWASP_
Application_Security_Verification_Standard_Project

安全工具：

1） Memoryze： Memoryze是一個(gè)功能強(qiáng)大的Windows系統(tǒng)內(nèi)存分析工具，能夠用于對(duì)內(nèi)存（包括磁盤(pán)上的分頁(yè)文件）中的可疑進(jìn)程進(jìn)行分析，提供用于分析的充分信息，并能夠?qū)?nèi)存中的內(nèi)容保存到磁盤(pán)上。推薦對(duì)調(diào)查取證或惡意軟件分析有興趣的朋友使用，下載地址如下：
http://www.mandiant.com/software/memoryze.htm

2） Zerowine：Zerowine是一個(gè)惡意軟件行為分析工具，只需要通過(guò)它提供的Web界面上傳可疑的PE文件，Zerowine就會(huì)自動(dòng)分析該進(jìn)程所執(zhí)行的所有操作，并給出詳細(xì)的報(bào)告。下載地址如下：
        http://sourceforge.net/projects/zerowine

推薦閱讀：

1） 2008年最值得關(guān)注的10個(gè)安全新聞；推薦指數(shù)：中

12月29日的eWeek.com評(píng)出了2008年最值得關(guān)注的10個(gè)安全新聞，包括微軟推出Live One Care、DNS漏洞等，朋友們從側(cè)面可以了解一下2008年有哪些新聞會(huì)對(duì)2009年的安全業(yè)界產(chǎn)生深遠(yuǎn)影響。文章地址如下：
http://www.eweek.com/c/a/Security/Top-10-Security-Stories-of-2008/?kc=rss

2） 2009年你可能沒(méi)有注意到的4種威脅；推薦指數(shù)：高

新年里使你睡不好覺(jué)的安全威脅可能并不是你所能預(yù)見(jiàn)的——12月31日Darkreading.com推出了一篇有意思的文章《2009年你可能沒(méi)有注意到的4種威脅》，觀點(diǎn)很獨(dú)特，推薦朋友們都閱讀一下。文章地址如下：
http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml;
jsessionid=PQPT2Q5FQL3U2QSNDLPCKH0CJUNN2JVN?articleID=212700328

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】

【相關(guān)文章】

• 更多安全要聞