上周安全方面值得關注的新聞眾多�。道高一尺,魔高一丈��,針對Linux家用路由器和能夠感染主板BIOS的惡意軟件的出現(xiàn),惡意軟件再次領先于現(xiàn)有反病毒軟件所用的技術��。軟硬件廠商本周也發(fā)出多個安全漏洞公告��,Mozilla��、HP和 Cisco的產(chǎn)品均不能幸免����。在本期回顧的安全技術和趨勢欄目里面��,筆者將和朋友們一起關注最近推出的三個安全及攻擊領域的新技術�。在本期回顧的最后,筆者將向朋友們推薦一篇值得一讀的推薦閱讀文章����。
本周的信息安全威脅等級為低。
惡意軟件:僵尸網(wǎng)絡針對Linux家用路由器�����;新技術使惡意軟件能感染BIOS�����;關注指數(shù):高
在互聯(lián)網(wǎng)發(fā)展的最早期,路由交換等網(wǎng)絡通信的功能都是由采用Unix系統(tǒng)的服務器所完成����,用后門對這種網(wǎng)絡底層服務器發(fā)起攻擊的入侵手法曾風靡一時,曾有美軍歐洲骨干網(wǎng)絡的核心路由器被黑客攻陷并安裝監(jiān)聽軟件的記錄�����。
隨著近二十年來嵌入式技術的飛速發(fā)展�,兼職的Unix服務器漸漸為功能及性能都更強的交換機、路由器等專用網(wǎng)絡設備所取代�,針對這類目標的攻擊也主要變成入侵并修改設置這種手法為主。
不過因為這幾年低成本的Linux路由器大量進入家用市場��,針對這類路由器進行惡意軟件攻擊的現(xiàn)象再次出現(xiàn)��。根據(jù)安全研究組織DroneBL 最近發(fā)表的一份研究報告�����,一個名為PSYB0T的僵尸網(wǎng)絡從去年底開始��,就專門針對基于MIPS架構���,并采用嵌入式Linux作為操作系統(tǒng)的路由器���、調制解調器等家用網(wǎng)絡設備進行攻擊����,被成功感染的家用網(wǎng)絡設備將成為PSYB0T僵尸網(wǎng)絡的一員�,并在該僵尸網(wǎng)絡作者的控制之下向目標發(fā)起拒絕服務攻擊。
安全人員的進一步研究表明���,目前PSYB0T僵尸網(wǎng)絡所攻擊的家用網(wǎng)絡設備主要是Netcomm公司的NB5調制解調器,但相信采用與該調制解調器相似軟硬件架構的其他家用網(wǎng)絡設備也都存在受攻擊的可能��。據(jù)信目前已經(jīng)感染PSYB0T的調制解調器數(shù)量已達數(shù)萬���,它們都存在弱口令這一漏洞并對互聯(lián)網(wǎng)開放遠程登錄功能�,PSYB0T將通過遠程登錄功能登錄存在弱點的設備��,下載并執(zhí)行一個PSYB0T的副本��,絕大多數(shù)用戶在遭受此類攻擊時并不知情�����。
筆者認為���,盡管目前受PSYB0T影響的家用網(wǎng)絡設備在歐洲和中西亞國家使用較多���,但其他廠商類似架構的家用網(wǎng)絡設備也有可能受此攻擊���,同時對PSYB0T的代碼進行少量的修改,攻擊者就能實施更為高級的DNS欺騙�,密碼攔截等攻擊,威脅用戶敏感信息的安全��。不過防御PSYB0T的方法也很簡單���,對網(wǎng)絡設備設置一個復雜的登錄密碼�,并禁用互聯(lián)網(wǎng)用戶登錄網(wǎng)絡設備進行遠程管理����,如果懷疑自己的類似網(wǎng)絡設備已經(jīng)被惡意軟件感染,直接REST設備即可����。
除了上述能夠感染家用網(wǎng)絡設備的跨平臺惡意軟件外,為了逃避反病毒軟件的查殺���,更長久控制用戶的系統(tǒng)����,惡意軟件的隱藏和生存技術也有了較大的發(fā)展。本周來自安全廠商Core Security的兩名研究人員就發(fā)布了一個新的攻擊技術:將Rootkit惡意軟件寫入商業(yè)化的BIOS中�����,這個過程可通過他們提供的另一Python 程序�,在BIOS升級或重新刷新的過程中完成。
在成功的將這樣的Rootkit安裝進主板的BIOS后��,這個Rootkit即可在操作系統(tǒng)啟動前運行����,并通過BIOS自身提供的網(wǎng)絡堆棧�����,訪問并攻擊網(wǎng)絡中的其他系統(tǒng)�,而無需訪問系統(tǒng)磁盤或內存。這個基于BIOS的Rootkit與系統(tǒng)中安裝的操作系統(tǒng)關系不大��,研究人員就給出了對OpenBSD和Windows操作系統(tǒng)的成功攻擊案例��,另外���,因為虛擬機軟件如Vmware等也將BIOS的功能集成于軟件內部�����,因此這種攻擊方式對虛擬機也能湊效���。
這種攻擊方式存在需要在用戶系統(tǒng)上有管理員權限才能成功實施的缺陷�����,不過攻擊者可以很容易通過偽造虛假的BIOS升級程序等方式���,欺騙用戶將帶有Rootkit代碼的更新程序刷入自己主板的BIOS中。
由于基于BIOS的Rootkit能夠在操作系統(tǒng)啟動之前搶先運行���,并通過BIOS提供的底層功能隱藏自己的痕跡�,因此現(xiàn)有的操作系統(tǒng)和反病毒軟件可能無法有效的檢測和清除這類惡意軟件�。筆者覺得,要防御這種基于BIOS的Rootkit��,現(xiàn)有最可行的方法還是將BIOS的寫保護選項打開����,防止用戶誤操作或被惡意軟件刷新BIOS���;用戶如果決定要更新BIOS,在進行刷新操作前最好使用MD5或數(shù)字簽名方式�,驗證該BIOS更新程序是安全的。
漏洞攻擊:多個軟硬件廠商產(chǎn)品紛紛爆出漏洞�����;關注指數(shù):高
在三月份的最后一周(也是第一季度的最后一周)里��,各軟硬件廠商發(fā)布的漏洞公告再次成為安全業(yè)界一道特別的風景線:瀏覽器廠商Mozilla 確認����,其主流的瀏覽器Firefox 3.0.x版本中存在一個內存錯誤漏洞,特定條件下觸發(fā)將會引起瀏覽器執(zhí)行不可預測的行為���,攻擊者可以利用該漏洞在Firefox用戶的系統(tǒng)上安裝惡意軟件,據(jù)信利用該漏洞的示例代碼已經(jīng)發(fā)布到互聯(lián)網(wǎng)上��。Mozilla的開發(fā)人員已經(jīng)在針對該漏洞編寫更新程序����,并計劃于4月初推出,到時Firefox用戶注意開啟瀏覽器的自動更新功能即可���。
惠普HP 在市場上廣受歡迎的網(wǎng)絡管理系統(tǒng)HP OpenView在本周也爆出多個嚴重的安全漏洞���,這些漏洞存在于HP OpenView的Web服務器對HTTP請求的處理過程�����,攻擊者在了解這些漏洞的前提下���,只需要通過特定格式的HTTP請求就能通過這些漏洞在HP OpenView服務器上執(zhí)行命令。
由于網(wǎng)絡管理系統(tǒng)能有效提升企業(yè)對大型網(wǎng)絡和服務器群的管理能力�����,攻擊者對企業(yè)內網(wǎng)中的網(wǎng)絡管理服務器發(fā)起攻擊�,將可能更容易的獲得網(wǎng)絡中其他服務器的控制權,最起碼也能縮短管理員得知攻擊的時間��?;萜找汛_認HP OpenView中這些漏洞的存在,并以發(fā)布相應的支持信息�����,用戶可通過HP技術支持網(wǎng)站了解信息和下載修補這些漏洞的更新補丁�。
網(wǎng)絡設備廠商Cisco也在本周初發(fā)布了漏洞安全公告��,確認在其多個網(wǎng)絡設備產(chǎn)品上使用的IOS存在多個漏洞����,其中涉及到的應用領域包括 TCP����、UDP、移動應用和VPN等�。這些漏洞大多是拒絕服務攻擊漏洞,可導致存在漏洞的網(wǎng)絡設備效率降低或停止響應�����,不過也有少數(shù)的幾個是權限提升漏洞����。Cisco已經(jīng)就本次安全公告涉及的漏洞提供解決步驟和軟件更新,建議使用Cisco網(wǎng)絡設備的用戶登錄以下站點以獲得進一步的操作指南和更新程序:
http://www.cisco.com/warp/public ... 090325-bundle.shtml
安全技術和研究:安全和攻擊新技術層出不窮���;關注指數(shù):高
傳統(tǒng)的鍵盤記錄攻擊技術基本上可以分成軟件和硬件兩類,用特定的鍵盤記錄軟件插入到用戶的系統(tǒng)上���,自動記錄用戶輸入的每一個字符�;或通過在鍵盤和主機之間插入一個小的擊鍵記錄設備,完成鍵盤記錄攻擊���。不過上述的鍵盤攻擊方式都是需要修改目標系統(tǒng)的軟硬件環(huán)境���,容易被用戶所察覺。在上周的 CanSecWest會議上����,研究人員推出了一種新的鍵盤記錄方式,即通過激光來記錄用戶的擊鍵記錄���。
這種攻擊方式類似于傳統(tǒng)的激光竊聽手段��,首先��,攻擊者需要有能夠直接看到目標用戶計算機的視線距離�����,然后通過激光麥克風����,攻擊者能夠收集到目標用戶每次敲擊鍵盤的聲音。由于鍵盤上每一個鍵的敲擊聲音與其他的有所區(qū)別��,攻擊者只需要收集到足夠多的樣本���,并結合字典自動匹配技術�����,就能完整的還原出用戶在鍵盤上的每一次擊鍵�。這種鍵盤記錄方式不會對用戶系統(tǒng)產(chǎn)生影響�����,因此目標用戶很難發(fā)現(xiàn)自己已經(jīng)被別人監(jiān)控���,尤其是在公共場合如咖啡廳等使用自己的筆記本計算機更是如此�����。這個研究看起來挺科幻�����?說不定現(xiàn)在使用這種攻擊原理的鍵盤記錄產(chǎn)品已經(jīng)裝備到私家偵探或其他調查人員手上了�。
如何有效的對紙質的文檔進行管理,是政府部門和企業(yè)相當頭疼的一個事情�����,尤其是在需要限制文檔的使用或散發(fā)的場景中�,往往需要將紙質文檔和使用者一一對應���,而且在使用過后還需要確認該紙質文檔是否曾經(jīng)被復制過�。普林斯頓大學的一群研究人員對此就提出了一個相當有意思的想法�����,因為每一張紙都存在類似人的指紋這樣獨一無二的紋理特征�����,只需要通過特殊的顯微掃描儀����,就能記錄下每一張紙的特征。在實際環(huán)境中只需要對比某張紙上的紋理特征和數(shù)據(jù)庫中所存數(shù)據(jù)��,即可確認這張紙對應的使用者或出處��。
筆者認為,這種方式其實也挺適合用于傳遞加密的密鑰�,只需要按照一定的算法將空白紙上的紋理處理成加密密鑰,這張白紙就能作為加密密文的密鑰進行存儲和交換����,而不清楚情況的第三方也難以想象一張什么都沒有記錄有的白紙就是解密重要信息的密鑰。
測謊儀是歐美國家中常用的對目標人物進行真實性測試的工具��,然而在現(xiàn)實生活中卻非常罕見�����。而在日常的電話溝通中相信很多朋友都希望能夠通過某種方式��,了解到正在電話的對象所說的話是否真實——現(xiàn)在有個好消息�,電話版的測謊儀已經(jīng)開發(fā)成功,并在本周開始上線為用戶提供服務����,這個由語音分析廠商 Teltech推出的名為LiarCard的服務,能夠通過分析電話通話時雙方的語音���、語氣和延時信息�,嘗試分析出對話雙方當前的心理狀態(tài)��,從而得出目標人物是否說真話的結論,目前LiarCard服務采用在線服務的方式提供給用戶���。
筆者覺得���,先不說這個在線語音分析技術效果如何�,用戶在使用前還是得考慮將自己和別人的電話通話交給第三方進行分析是否安全,隱私和敏感信息泄露的風險可比知道對方是否說真話的重要性可大了不少��。
安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程