本文同时发表在 [url]http://netsecurity.51cto.com/art/200901/105472.htm[/url]
朋友们,新年快乐!感谢在2008年里你们给予笔者及51CTO安全回顾栏目的支持,衷心的祝愿你们在新的一年里身体健康,万事如意,拥有更美好的2009!笔者和51CTO安全回顾栏目在新的一年里,将一如既往的为朋友们提供及时的安全要闻报道和深入的分析,笔者还将根据安全业界重大新闻和事件,不定期推出专题类型的安全要闻回顾,敬请期待!
本周(081229至090104)虽然是每年年底传统的Holiday Season,但不容乐观的经济形势还让安全业界假期缩短了不少。本周值得关注的新闻较多,总体上仍延续2008年末威胁显著上升的态势,漏洞***、网络安全、网络犯罪和通讯安全等领域均有需要注意的趋势。Web应用安全领域,笔者将和朋友一起关注最新的Web应用安全标准。在本期回顾的最后,笔者将向朋友们介绍两个功能强大的安全工具,同时还为朋友们精心挑选了两个值得一读的推荐阅读文章。
本周的信息安全威胁程度为低,当前的互联网***威胁水平维持在较低水平,朋友们只需要注意升级反病毒和防火墙软件,即可保证自己系统和互联网浏览的安全。
网络安全:新的SSL缺陷影响网站安全;关注指数:高
目前需要较高安全性的网站大多应用了SSL技术,作为保护用户与网站服务器之间通讯和数据安全的主要手段。数字证书则是SSL技术最为重要的组成,可用于验证网站服务器的身份,评价网站和用户间的SSL通讯是否安全,也主要看SSL数字证书的实现方法和安全程度。然而,最近的研究表明,新发现的数字证书签名缺陷将会对网站安全造成相当大的负面影响。根据12月30日Darkreading.com和Securityfocus.com的报道,在本周柏林举行的第25届Chaos Communication会议上,来自欧洲和美国的研究人员向与会者介绍了他们的最新研究成果:如何通过SSL数字证书的缺陷,***使用SSL的安全网站。该项研究主要针对当前互联网上应用范围最广的公钥加密体系(PKI),并使用了早先公开的MD5 Hash算法中的缺陷,该项研究成果能够建立一个虚假的证书授权(CA),并进一步发布虚假的SSL链接数字证书,而现有的所有浏览器都会将这些虚假的数字证书误认为是合法的。研究人员还称,如果网络犯罪组织使用了他们的研究成果,将可以建立虚假的证书授权和一系列伪造数字证书,并用于仿冒知名网站和对用户发起网络钓鱼***;同时由于这些可能的网络钓鱼***由SSL所加密,也使得安全业界更难发现和跟踪它们。研究人员在本周二已经通知了市场主流的浏览器厂商,但Mozilla和微软都在当天的回应中称,SSL数字证书缺陷带来的风险和责任,应当由目前6个主要使用MD5算法进行数字证书签名的合法CA所承担。
不过网站运营者不必对这个消息过于紧张,如果是正在使用不安全的MD5签名数字证书,可与自己的CA联系,让其换发使用SHA-2等更为安全的Hash算法签名的数字证书。而且从研究人员公开的细节来看,因为这种类型的***需要庞大的高性能计算能力来破解合法证书的MD5签名,研究人员使用了超过200台PS3游戏机组成的计算集群。因此, 在短时间内网络犯罪集团实施这样类型***的可能性不大,用户浏览器自带的或其他的第三方安全软件提供的防网络钓鱼保护是足够的。
漏洞***:微软称WMP漏洞危险度不大,但同时警告用户要注意修补老漏洞;关注指数:高
最近因为自家产品漏洞频发而忙得焦头烂额的微软,本周终于迎来了一个正面的消息。根据12月29日eWeek.com的报道,经过两周的调查和分析后,微软于当天宣布12月早些时候收到的Windows媒体播放器(WMP)中存在远程代码执行漏洞是不存在的。一个安全研究人员曾在上月早些时候称,WMP在处理某些特殊结构的WAV、MIDI和SND文件时,将会触发其设计上的缺陷并执行不可预测的代码,该漏洞会影响应用了最新补丁的Windows XP SP3系统上的WMP 9和11版本。换句话说,***可以通过向用户发送特定结构的媒体文件,从而通过这个WMP漏洞在用户系统上安装和执行恶意软件。当时互联网安全组织SANS也在自己的网站上刊登了类似的消息,还向其读者提供了一个演示该漏洞存在的测试代码。不过微软这两周的调查显示,这个存在于WMP中的漏洞并不会导致远程代码的执行行为,只会使WMP崩溃或失去响应,因此,微软调低了该漏洞的威胁等级,但没有说明什么时候会发布针对这个漏洞的补丁。笔者建议,使用Windows 2003 SP2的朋友无需担心该漏洞的影响,微软已经在Windows 2003 SP2中修正该问题,而使用其他版本Windows的用户可以开启Windows自带的数据执行保护(DEP)功能,并打全微软最新的安全补丁即可。
针对用户经常漏掉微软关键补丁的状况,本周末微软再次在其博客上发表了一篇文章,建议用户尽快应用微软最新的安全补丁以防止遭受恶意软件的***。根据1月2日eWeek.com的报道,由于互联网上出现一个专门***微软10月已修补漏洞的Conficker蠕虫新变种,并已开始在互联网上大规模扩散,因此微软建议还没有使用针对该漏洞补丁的用户尽快通过微软升级服务应用补丁。微软提到的漏洞是去年发现的存在于Windows Server服务中的一个远程代码执行漏洞,如果***成功***该漏洞,即可在用户的系统上安装恶意软件。微软已于去年10月23日推出了该漏洞的补丁,但最近的一系列的用户报告显示,没有及时应用该补丁的用户仍为数不少。笔者建议用户应尽快通过微软升级服务更新该补丁程序,此外,由于Conficker蠕虫还具有简单密码拆解的能力,能够感染企业内网中使用弱口令的Windows机器,建议用户尽快通过微软Baseline等工具,发现并修正内网机器的弱口令问题。
网络犯罪:专家称身份盗窃***在2009将更为猖獗;关注指数:高
身份盗窃***,指的是***和网络犯罪集团通过技术手段或社会工程学方法,从用户或电子商务商户的系统内盗取×××号、信用卡号等个人身份识别信息,并将这些信息用于商业欺诈类犯罪活动中的***形式。身份盗窃***也是当前网络犯罪最活跃的类型之一。根据12月30日sun-sential.com的报道,互联网安全团体身份窃贼资源中心(Identify Thief Resource Center)的专家本月发表的报告称,在2008年内美国身份盗窃***事件大增,超过一千万的美国民众成为身份识别盗窃的受害者,美国的金融行业也损失大量资金。而在2009年,随着全球经济情况的进一步恶化,针对身份识别的***和犯罪活动将会进一步增加。除了传统的信用卡欺诈外,网络犯罪集团还将使用多种新形式的***方法,如针对失业民众的网络抵押欺诈,使用被盗或遗失的银行支票的支票欺诈和跨国的网络有组织犯罪。尽管目前国内关于身份识别盗窃***的报道并不多见,但随着我国金融行业的发展和电子商务的兴起,我国互联网用户遭遇此类***的风险将会越来越大,而这点却又是我国安全行业较为薄弱的地方。笔者和51CTO安全回顾频道在2009年将更多关注身份识别保护的相关领域,并将推出一系列专题文章,为读者带来相关领域最新的威胁分析和安全指南,敬请期待!
通讯安全:短消息拒绝服务***可导致手机瘫痪;关注指数:高
拒绝服务是***对网站或其他服务器***时常见的***手段,安全市场上也有很多能有效对抗拒绝服务***的产品。然而最新的一种拒绝服务***类型——短消息拒绝服务,可能就没有多少朋友听说过。根据1月2日Darkreading.com的消息,在29届Chaos Communication会议上,一位安全研究人员向与会者演示了如果通过一条简单的短消息,使特定操作系统类型的手机无法再使用短消息服务,目前已经确认存在这个弱点的手机操作系统包括Symbian S60的多个版本和索爱 UiQ系统 。安全厂商F-secure也证实了这一点,并确认即使是用户关闭手机电源并重启也不能停止这种***的影响。有兴趣的朋友还可以在以下链接找到这种***的演示视频:
[url]http://www.youtube.com/watch?v=qwC7oVPIPHQ&feature=channel_page[/url]
虽然这种***方式对用户的威胁只相当于恶意的玩笑,不过笔者认为,这种利用手机操作系统漏洞的***方式,对很难进行软件升级的手机显然是相当致命,假设在某种特殊的场景下,***利用手机操作系统的漏洞***特定人群,也会造成相当大的破坏性。要防御这种***,最好不要轻易开启来自未知发件人的短消息,另外,使用手机版的防病毒软件是不错的选择,不过用户需要经常升级反病毒软件才会有比较好的效果。
Web应用安全:OWASP推出最新的Web应用安全标准;关注指数:高
根据12月29日的Darkreading.com,知名的Web应用安全组织OWASP当天推出了其最新的Web应用安全标准,这个开放的标准,旨在为网站运营者、开发人员和安全行业提供一个商业化及可操作的Web应用程序验证标准。这个标准值得关注的地方在于,它提供灵活的安全等级定义和一系列的安全指标,让Web应用的所有者清晰的了解自己的应用是否安全,和安全程度到底达到了什么样的等级。笔者认为,该标准有价值的地方在于,它定义了需要满足什么样条件的Web应用程序,才能用到什么安全等级需求的系统或用户方,从某种程度上说,如果该标准能够顺利投入使用,可能会成为最终用户对Web应用程序成品进行检测,并最终接受的通用标准。目前该标准正处于公开测试的阶段,有兴趣的朋友可以在以下链接中获得更多信息:
[url]http://www.owasp.org/index.php/Category:OWASP_[/url]
Application_Security_Verification_Standard_Project
安全工具:
1) Memoryze: Memoryze是一个功能强大的Windows系统内存分析工具,能够用于对内存(包括磁盘上的分页文件)中的可疑进程进行分析,提供用于分析的充分信息,并能够将内存中的内容保存到磁盘上。推荐对调查取证或恶意软件分析有兴趣的朋友使用,下载地址如下:
[url]http://www.mandiant.com/software/memoryze.htm[/url]
2) Zerowine:Zerowine是一个恶意软件行为分析工具,只需要通过它提供的Web界面上传可疑的PE文件,Zerowine就会自动分析该进程所执行的所有操作,并给出详细的报告。下载地址如下:
[url]http://sourceforge.net/projects/zerowine[/url]
推荐阅读:
1) 2008年最值得关注的10个安全新闻;推荐指数:中
12月29日的eWeek.com评出了2008年最值得关注的10个安全新闻,包括微软推出Live One Care、DNS漏洞等,朋友们从侧面可以了解一下2008年有哪些新闻会对2009年的安全业界产生深远影响。文章地址如下:
[url]http://www.eweek.com/c/a/Security/Top-10-Security-Stories-of-2008/?kc=rss[/url]
2) 2009年你可能没有注意到的4种威胁;推荐指数:高
新年里使你睡不好觉的安全威胁可能并不是你所能预见的——12月31日Darkreading.com推出了一篇有意思的文章《2009年你可能没有注意到的4种威胁》,观点很独特,推荐朋友们都阅读一下。文章地址如下:
[url]http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml;[/url]
jsessionid=PQPT2Q5FQL3U2QSNDLPCKH0CJUNN2JVN?articleID=212700328

转载于:https://blog.51cto.com/J0ker/125508

1月第1周要闻回顾:年末威胁上升的态势仍延续相关推荐

  1. 9月第4周要闻回顾:云安全奇虎啸金山 不开源Novell忙赚钱

    [51CTO.com独家特稿]上周的业内事件不多,但是绝对让人诧异的便是金山毒霸和奇虎360安全卫士因为"云"安全的争论.事情的缘由是在9月15日360安全卫士6.0的发布会.36 ...

  2. 11月第2周要闻回顾:漏洞修补缓慢遭质疑 反恶软行业标准推出

    本文同时发布在:[url]http://netsecurity.51cto.com/art/200811/98087.htm[/url] 本周(081110至081116)安全行业热闹不断.微软本月补 ...

  3. 3月第3周新闻回顾:3Com案三日动荡 珊瑚虫作者入狱3年

    [本文为51CTO.com编辑赵毅原创,老杨未作修改.]   51CTO的每周新闻回顾总是很难写开头,不是因为没素材,而是因为"料"很好很强大.对于过去的一周可谓是旧瓶换新酒,折腾 ...

  4. EOS区块链一周要闻回顾(2.24-3.01)

    盘点 EOS 区块链上周大事要闻,一文速览 EOSIO 动态.BM 上周 "剧透".BB 最赞推文.Voice 消息以及 DAPP 进展. EOSIO 动态 近期,Coinbase ...

  5. 1月第3周安全回顾:企业安全面临新威胁

    本文同时发布在:[url]http://netsecurity.51cto.com/art/200811/99085.htm[/url] 本周(081117至081123)安全业界热点较为散乱,最值得 ...

  6. EOS区块链一周要闻回顾(2.17-2.23)

    EOS 账户数 截至 2 月 23 日晚,EOS 账户数为 1,741,474 个,EOSIO 挑战赛报名人数 386 人. BM:追求言论自由,热爱不同而非强求遵从 BM 在推特上就文明社会话题发表 ...

  7. 10月第1周安全回顾 微软下周发补丁包 小型僵尸网络增多

    本文同时发表在:[url]http://netsecurity.51cto.com/art/200710/57550.htm[/url] 上周(1001至1007)天气晴好,大家应该都过了一个快乐的长 ...

  8. 2月第1周安全回顾:移动设备威胁增加 常用软件补丁密集

    本文同时发表在: [url]http://netsecurity.51cto.com/art/200902/109451.htm[/url] 本周(090201至090208)安全业界值得关注的新闻集 ...

  9. 9月第1周安全回顾 IM安全威胁严重 企业增加无线安全投入

    本文同时发表在:[url]http://netsecurity.51cto.com/art/200709/55180.htm[/url] 本周(0827至0902)安全方面值得关注的新闻集中在安全产品 ...

最新文章

  1. c语言写的跳转心理测试,求各位大神赐教!我做了一个“心理测试的答题卷”编程,总共有1...
  2. Bootstrap下拉菜单组件
  3. Python中dict用法详解
  4. B组前导码功率偏移(messagePowerOffsetGroupB)
  5. 第1章 Qt概述和下载安装及创建工程
  6. java 求数组最大子序列之和
  7. c++编写手机小游戏代码_玩过自己开发的贪吃蛇吗?点这里,教你用Python写一个贪吃蛇小游戏!(附源代码)...
  8. A卡比N卡画质好,真有此事吗?
  9. 在.NET中调用Oracle9i存储过程经验总结
  10. 用java处理图片(压缩成小尺寸;加文字和logo水印)
  11. javascript location.href 参数详解
  12. UNITY读取图片素材的URL并使用
  13. 怎么更改wifi频段_wifi信道和频段怎么设置?
  14. 程序设计框架图和框架加载流程
  15. 什么是代理服务器(Proxy)
  16. Linux如何卸载坚果云,解决ubuntu16.04安装坚果云闪两下打不开问题(示例代码)
  17. 优卡仕广告一体机——商用显示设备专家
  18. 主语从句、宾语从句、表语从句、同位语从句
  19. Python查询12306车票和使用selenium进行买票
  20. maya腿的蒙皮旋转枢轴_MAYA更改、移动枢轴点

热门文章

  1. 视觉里程计 | 关于Stereo DSO中的高斯牛顿的一点注释
  2. java map初始化方式_java中Map和List初始化的两种方法
  3. python的原则_python 类的使用原则
  4. rust(71)-for、while循环表达式
  5. visual basic.net 2019-Visual Basic 16.0新功能
  6. 【职场】税前110万
  7. 【Python】利用 Python 分析了一波月饼,我得出的结论是?
  8. ResNet最强改进版来了!ResNeSt:Split-Attention Networks
  9. Python地信专题 | 基于geopandas的空间数据分析—数据结构篇
  10. 一文看尽8篇目标检测最新论文(EfficientDet/EdgeNet/ASFF/RoIMix/SCL/EFGRNet等)