上周(1001至1007)天气晴好,大家应该都过了一个快乐的长假,J0ker也顺祝大家明天上班顺利——信息安全无休假,本周安全领域值得关注的新闻集中在漏洞补丁、安全规范、恶意软件和攻击趋势方面。
漏洞补丁:Microsoft 十月补丁包下周二发布,关注指数:高
新闻:周四,来自Microsoft的消息,Microsoft十月份的例行补丁包将于下周二,也即10月9号推出。该补丁包 包括9个补丁(其中有4个是关键更新),补丁对象为Windows、Internet Explorer和Office, Windows Vista有3个补丁,其中有2个为关键更新。此外,根据Microsoft的公告,本次补丁包中4个关键更新都是修补远程代码执行漏洞的补丁。
笔者观点:Microsoft每月的例行升级总会给Windows及其他平台Microsoft产品的用户带来不大不小的额外劳动,长假之后的第一个星期二,用户又将面对Microsoft产品的十月升级。值得注意的是,本月的4个关键补丁都是修补远程代码执行漏洞的补丁,包括Windows、IE、Office、Outlook Express/Windows Mail,这些待修正漏洞都属于容易被攻击者或蠕虫使用的漏洞,虽然Microsoft所发布的安全公告没有说明这些漏洞的具体情况,但根据以往补丁推出之后的两至三周是当月补丁所补漏洞攻击的高峰期这一规律判断,针对IE及Office十月漏洞的攻击将有可能出现一个高峰,也有可能在这段时间内出现利用本月所补Windows漏洞的蠕虫。另外,本次补丁升级中有3个针对Windows Vista的升级,其中两个为远程代码执行漏洞的补丁,显示Windows Vista的漏洞正逐渐随着它使用范围的增大而越来越多的被发现,并开始出现远程代码执行这类严重漏洞。笔者建议,用户应及时利用Windows Update更新自己的Microsoft产品,对于由于各种原因无法使用Windows Update的用户,可以根据Microsoft所发布的安全公告,到Microsoft下载网站上手工下载补丁文件进行升级,同时也及时更新自己的反病毒软件。此外,Microsoft最近将去除IE7在Win XP上安装时进行的Windows正版检查,建议Win XP用户升级自己系统的IE版本,以降低互联网浏览时受IE漏洞和恶意软件攻击的可能性。
安全规范:CERT增强安全编码规范,关注指数:高
新闻:周二,国际信息安全机构CERT当天宣布,正在和Fortify Security公司合作将软件开发中的安全编码规范转换为自动的软件解决方案,特别是转换CERT原有的C及C++安全编码规范。目前CERT正在将其安全编码规范转换成Fortify 的产品Source Code Analysis Tool可以识别的代码,最终产品将放在CERT的官方站点上,以供开发人员免费下载使用,另外CERT也允许其他安全编码产品厂商使用规范所转换成的结果代码。
笔者观点:各种应用程序的缓冲区溢出漏洞是大部分系统安全事件的来源,网站中常见的代码泄漏、远程引用、SQL注入和跨站脚本漏洞,也是网站遭受恶意攻击的大部分来源,要从根本上解决这些安全问题,需要从程序的开发就加入安全要素。尽管06年之前IT业界推出过一些软件开发中的安全编码资料,但都不成体系,从去年中开始,编码安全逐渐被安全业界所重视,各种编码安全规范和代码检查产品纷纷推出,CERT正在进行的将安全编码规范转换为自动的软件解决方案便是其中一个缩影。从笔者所获得的信息来看,国内外安全编码技术目前正在发展中,许多流行的编程语言也没有对应的安全编码规范,也没有按照行业进行分类的安全编码规范,这两个将是安全编码技术的主要发展方向。此外,现有的代码检查产品的也不够完美,还有不少提升的空间,国内目前也没有推出自有知识产权的代码安全产品。笔者还认为,成体系的安全编码教育培训以及代码安全咨询、代码审核等业务也会相当有市场。
恶意软件:小型微型Botnet逐渐增多,关注指数:中
新闻:周一,反病毒厂商F-secure的研究人员说,由于安全业界的持续打击和用户安全意识的提高,僵尸网络(Botnet)的生存空间正日益缩小。攻击者目前通过减小自己控制的Botnet的规模、增加Botnet恶意软件的变种等多种方法来逃避安全业界的封杀。
笔者观点:僵尸网络一直是各种恶意软件传播及控制的最大来源,也是对用户的使用安全威胁最大的来源。尽管安全厂商不断推出各种反恶意软件或反Botnet产品,但目前的僵尸网络的控制方式已经从传统的IRC方式扩展到Web、P2P方式,Botnet恶意软件的制作方式也从单一的复杂代码形式变为使用生成工具批量生成的傻瓜化操作时代,现在用户常用的利用防火墙对IRC通讯进行封堵、或单纯使用反病毒软件进行防护的防护体系显得相当脆弱。笔者认为,在未来一段时间内,结合IM、VoIP、Mail和Web攻击方式的Botnet仍将是对用户威胁最大的恶意软件来源,反病毒软件检测不出的小型微型Botnet将占用户感染总数的大部分,如何应对小型微型Botnet所带来的严重威胁,并构建更可靠的Botnet防护体系,是摆在安全厂商和用户面前的严峻考验。
攻击趋势:来自老朋友的恶意软件攻击,关注指数:高
新闻:周五,反病毒厂商Sophos警告说,攻击者正在利用在Blog、在线交友等社会网络网站上所收集到的信息,伪装成用户长时间没有联系的老朋友进行恶意软件攻击。目前Sophos捕获好的e-mail及恶意软件样本分析显示,攻击者使用的欺骗邮件是老同学的联系邮件,恶意软件被用户下载并执行后会盗取用户系统中存储和使用中输入的密码。
笔者观点:利用社会网络网站上所收集的信息逐渐成为攻击者针对特定用户类型发起攻击的惯用手法,而最常见的手段除了上述的直接发送恶意软件之外,还包括通过留言提供恶意网站地址、或进行各种网络钓鱼及其他欺诈行为。用户在社会网络网站上不经意间泄漏的个人相关信息,也有可能成为攻击者针对用户所在组织发起攻击的契机。笔者认为,企业加强用户对自己相关信息的保密和安全教育十分有必要,还可通过安全策略及内容控制等方案对内网用户在工作时间访问社会网络网站的行为进行控制,个人用户在平时使用时也应该注意不要将太多太详细的关于自己的信息泄漏到互联网上。笔者的blog上也有相关社会网络网站攻击与防护的文章,有兴趣的朋友也可了解一下。
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/45493,如需转载请自行联系原作者
