【51CTO.com 獨家報道】朋友們，新年快樂！感謝在2008年里你們給予筆者及51CTO安全回顧欄目的支持，衷心的祝愿你們在新的一年里身體健康，萬事如意，擁有更美好的2009！筆者和51CTO安全回顧欄目在新的一年里，將一如既往的為朋友們提供及時的安全要聞報道和深入的分析，筆者還將根據安全業界重大新聞和事件，不定期推出專題類型的安全要聞回顧，敬請期待！

本周（081229至090104）雖然是每年年底傳統的Holiday Season，但不容樂觀的經濟形勢還讓安全業界假期縮短了不少。本周值得關注的新聞較多，總體上仍延續2008年末威脅顯著上升的態勢，漏洞攻擊、網絡安全、網絡犯罪和通訊安全等領域均有需要注意的趨勢。Web應用安全領域，筆者將和朋友一起關注最新的Web應用安全標準。在本期回顧的最后，筆者將向朋友們介紹兩個功能強大的安全工具，同時還為朋友們精心挑選了兩個值得一讀的推薦閱讀文章。

本周的信息安全威脅程度為低，當前的互聯網攻擊威脅水平維持在較低水平，朋友們只需要注意升級反病毒和防火墻軟件，即可保證自己系統和互聯網瀏覽的安全。

網絡安全：新的SSL缺陷影響網站安全；關注指數：高

目前需要較高安全性的網站大多應用了SSL技術，作為保護用戶與網站服務器之間通訊和數據安全的主要手段。數字證書則是SSL技術最為重要的組成，可用于驗證網站服務器的身份，評價網站和用戶間的SSL通訊是否安全，也主要看SSL數字證書的實現方法和安全程度。然而，最近的研究表明，新發現的數字證書簽名缺陷將會對網站安全造成相當大的負面影響。根據12月30日Darkreading.com和Securityfocus.com的報道，在本周柏林舉行的第25屆Chaos Communication會議上，來自歐洲和美國的研究人員向與會者介紹了他們的最新研究成果：如何通過SSL數字證書的缺陷，攻擊使用SSL的安全網站。該項研究主要針對當前互聯網上應用范圍最廣的公鑰加密體系（PKI），并使用了早先公開的MD5 Hash算法中的缺陷，該項研究成果能夠建立一個虛假的證書授權（CA），并進一步發布虛假的SSL鏈接數字證書，而現有的所有瀏覽器都會將這些虛假的數字證書誤認為是合法的。研究人員還稱，如果網絡犯罪組織使用了他們的研究成果，將可以建立虛假的證書授權和一系列偽造數字證書，并用于仿冒知名網站和對用戶發起網絡釣魚攻擊；同時由于這些可能的網絡釣魚攻擊由SSL所加密，也使得安全業界更難發現和跟蹤它們。研究人員在本周二已經通知了市場主流的瀏覽器廠商，但Mozilla和微軟都在當天的回應中稱，SSL數字證書缺陷帶來的風險和責任，應當由目前6個主要使用MD5算法進行數字證書簽名的合法CA所承擔。

不過網站運營者不必對這個消息過于緊張，如果是正在使用不安全的MD5簽名數字證書，可與自己的CA聯系，讓其換發使用SHA-2等更為安全的Hash算法簽名的數字證書。而且從研究人員公開的細節來看，因為這種類型的攻擊需要龐大的高性能計算能力來破解合法證書的MD5簽名，研究人員使用了超過200臺PS3游戲機組成的計算集群。因此, 在短時間內網絡犯罪集團實施這樣類型攻擊的可能性不大，用戶瀏覽器自帶的或其他的第三方安全軟件提供的防網絡釣魚保護是足夠的。

漏洞攻擊：微軟稱WMP漏洞危險度不大，但同時警告用戶要注意修補老漏洞；關注指數：高

最近因為自家產品漏洞頻發而忙得焦頭爛額的微軟，本周終于迎來了一個正面的消息。根據12月29日eWeek.com的報道，經過兩周的調查和分析后，微軟于當天宣布12月早些時候收到的Windows媒體播放器（WMP）中存在遠程代碼執行漏洞是不存在的。一個安全研究人員曾在上月早些時候稱，WMP在處理某些特殊結構的WAV、MIDI和SND文件時，將會觸發其設計上的缺陷并執行不可預測的代碼，該漏洞會影響應用了最新補丁的Windows XP SP3系統上的WMP 9和11版本。換句話說，黑客可以通過向用戶發送特定結構的媒體文件，從而通過這個WMP漏洞在用戶系統上安裝和執行惡意軟件。當時互聯網安全組織SANS也在自己的網站上刊登了類似的消息，還向其讀者提供了一個演示該漏洞存在的測試代碼。不過微軟這兩周的調查顯示，這個存在于WMP中的漏洞并不會導致遠程代碼的執行行為，只會使WMP崩潰或失去響應，因此，微軟調低了該漏洞的威脅等級，但沒有說明什么時候會發布針對這個漏洞的補丁。筆者建議，使用Windows 2003 SP2的朋友無需擔心該漏洞的影響，微軟已經在Windows 2003 SP2中修正該問題，而使用其他版本Windows的用戶可以開啟Windows自帶的數據執行保護（DEP）功能，并打全微軟最新的安全補丁即可。

針對用戶經常漏掉微軟關鍵補丁的狀況，本周末微軟再次在其博客上發表了一篇文章，建議用戶盡快應用微軟最新的安全補丁以防止遭受惡意軟件的攻擊。根據1月2日eWeek.com的報道，由于互聯網上出現一個專門攻擊微軟10月已修補漏洞的Conficker蠕蟲新變種，并已開始在互聯網上大規模擴散，因此微軟建議還沒有使用針對該漏洞補丁的用戶盡快通過微軟升級服務應用補丁。微軟提到的漏洞是去年發現的存在于Windows Server服務中的一個遠程代碼執行漏洞，如果黑客成功攻擊該漏洞，即可在用戶的系統上安裝惡意軟件。微軟已于去年10月23日推出了該漏洞的補丁，但最近的一系列的用戶報告顯示，沒有及時應用該補丁的用戶仍為數不少。筆者建議用戶應盡快通過微軟升級服務更新該補丁程序，此外，由于Conficker蠕蟲還具有簡單密碼拆解的能力，能夠感染企業內網中使用弱口令的Windows機器，建議用戶盡快通過微軟Baseline等工具，發現并修正內網機器的弱口令問題。

網絡犯罪：專家稱身份盜竊攻擊在2009將更為猖獗；關注指數：高

身份盜竊攻擊，指的是黑客和網絡犯罪集團通過技術手段或社會工程學方法，從用戶或電子商務商戶的系統內盜取身份證號、信用卡號等個人身份識別信息，并將這些信息用于商業欺詐類犯罪活動中的攻擊形式。身份盜竊攻擊也是當前網絡犯罪最活躍的類型之一。根據12月30日sun-sential.com的報道，互聯網安全團體身份竊賊資源中心（Identify Thief Resource Center）的專家本月發表的報告稱，在2008年內美國身份盜竊攻擊事件大增，超過一千萬的美國民眾成為身份識別盜竊的受害者，美國的金融行業也損失大量資金。而在2009年，隨著全球經濟情況的進一步惡化，針對身份識別的攻擊和犯罪活動將會進一步增加。除了傳統的信用卡欺詐外，網絡犯罪集團還將使用多種新形式的攻擊方法，如針對失業民眾的網絡抵押欺詐，使用被盜或遺失的銀行支票的支票欺詐和跨國的網絡有組織犯罪。盡管目前國內關于身份識別盜竊攻擊的報道并不多見，但隨著我國金融行業的發展和電子商務的興起，我國互聯網用戶遭遇此類攻擊的風險將會越來越大，而這點卻又是我國安全行業較為薄弱的地方。筆者和51CTO安全回顧頻道在2009年將更多關注身份識別保護的相關領域，并將推出一系列專題文章，為讀者帶來相關領域最新的威脅分析和安全指南，敬請期待！

通訊安全：短消息拒絕服務攻擊可導致手機癱瘓；關注指數：高

拒絕服務是黑客對網站或其他服務器攻擊時常見的攻擊手段，安全市場上也有很多能有效對抗拒絕服務攻擊的產品。然而最新的一種拒絕服務攻擊類型——短消息拒絕服務，可能就沒有多少朋友聽說過。根據1月2日Darkreading.com的消息，在29屆Chaos Communication會議上，一位安全研究人員向與會者演示了如果通過一條簡單的短消息，使特定操作系統類型的手機無法再使用短消息服務，目前已經確認存在這個弱點的手機操作系統包括Symbian S60的多個版本和索愛 UiQ系統 。安全廠商F-secure也證實了這一點，并確認即使是用戶關閉手機電源并重啟也不能停止這種攻擊的影響。有興趣的朋友還可以在以下鏈接找到這種攻擊的演示視頻：

http://www.youtube.com/watch?v=qwC7oVPIPHQ&feature=channel_page

雖然這種攻擊方式對用戶的威脅只相當于惡意的玩笑，不過筆者認為，這種利用手機操作系統漏洞的攻擊方式，對很難進行軟件升級的手機顯然是相當致命，假設在某種特殊的場景下，黑客利用手機操作系統的漏洞攻擊特定人群，也會造成相當大的破壞性。要防御這種攻擊，最好不要輕易開啟來自未知發件人的短消息，另外，使用手機版的防病毒軟件是不錯的選擇，不過用戶需要經常升級反病毒軟件才會有比較好的效果。

Web應用安全：OWASP推出最新的Web應用安全標準；關注指數：高

根據12月29日的Darkreading.com，知名的Web應用安全組織OWASP當天推出了其最新的Web應用安全標準，這個開放的標準，旨在為網站運營者、開發人員和安全行業提供一個商業化及可操作的Web應用程序驗證標準。這個標準值得關注的地方在于，它提供靈活的安全等級定義和一系列的安全指標，讓Web應用的所有者清晰的了解自己的應用是否安全，和安全程度到底達到了什么樣的等級。筆者認為，該標準有價值的地方在于，它定義了需要滿足什么樣條件的Web應用程序，才能用到什么安全等級需求的系統或用戶方，從某種程度上說，如果該標準能夠順利投入使用，可能會成為最終用戶對Web應用程序成品進行檢測，并最終接受的通用標準。目前該標準正處于公開測試的階段，有興趣的朋友可以在以下鏈接中獲得更多信息：

http://www.owasp.org/index.php/Category:OWASP_
Application_Security_Verification_Standard_Project

安全工具：

1） Memoryze： Memoryze是一個功能強大的Windows系統內存分析工具，能夠用于對內存（包括磁盤上的分頁文件）中的可疑進程進行分析，提供用于分析的充分信息，并能夠將內存中的內容保存到磁盤上。推薦對調查取證或惡意軟件分析有興趣的朋友使用，下載地址如下：
http://www.mandiant.com/software/memoryze.htm

2） Zerowine：Zerowine是一個惡意軟件行為分析工具，只需要通過它提供的Web界面上傳可疑的PE文件，Zerowine就會自動分析該進程所執行的所有操作，并給出詳細的報告。下載地址如下：
        http://sourceforge.net/projects/zerowine

推薦閱讀：

1） 2008年最值得關注的10個安全新聞；推薦指數：中

12月29日的eWeek.com評出了2008年最值得關注的10個安全新聞，包括微軟推出Live One Care、DNS漏洞等，朋友們從側面可以了解一下2008年有哪些新聞會對2009年的安全業界產生深遠影響。文章地址如下：
http://www.eweek.com/c/a/Security/Top-10-Security-Stories-of-2008/?kc=rss

2） 2009年你可能沒有注意到的4種威脅；推薦指數：高

新年里使你睡不好覺的安全威脅可能并不是你所能預見的——12月31日Darkreading.com推出了一篇有意思的文章《2009年你可能沒有注意到的4種威脅》，觀點很獨特，推薦朋友們都閱讀一下。文章地址如下：
http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml;
jsessionid=PQPT2Q5FQL3U2QSNDLPCKH0CJUNN2JVN?articleID=212700328

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】

【相關文章】

• 更多安全要聞