上周安全方面值得關(guān)注的新聞眾多���。道高一尺���,魔高一丈,針對(duì)Linux家用路由器和能夠感染主板BIOS的惡意軟件的出現(xiàn)����,惡意軟件再次領(lǐng)先于現(xiàn)有反病毒軟件所用的技術(shù)����。軟硬件廠(chǎng)商本周也發(fā)出多個(gè)安全漏洞公告����,Mozilla、HP和 Cisco的產(chǎn)品均不能幸免�����。在本期回顧的安全技術(shù)和趨勢(shì)欄目里面���,筆者將和朋友們一起關(guān)注最近推出的三個(gè)安全及攻擊領(lǐng)域的新技術(shù)����。在本期回顧的最后����,筆者將向朋友們推薦一篇值得一讀的推薦閱讀文章。
本周的信息安全威脅等級(jí)為低�。
惡意軟件:僵尸網(wǎng)絡(luò)針對(duì)Linux家用路由器;新技術(shù)使惡意軟件能感染BIOS;關(guān)注指數(shù):高
在互聯(lián)網(wǎng)發(fā)展的最早期�����,路由交換等網(wǎng)絡(luò)通信的功能都是由采用Unix系統(tǒng)的服務(wù)器所完成�����,用后門(mén)對(duì)這種網(wǎng)絡(luò)底層服務(wù)器發(fā)起攻擊的入侵手法曾風(fēng)靡一時(shí)��,曾有美軍歐洲骨干網(wǎng)絡(luò)的核心路由器被黑客攻陷并安裝監(jiān)聽(tīng)軟件的記錄����。
隨著近二十年來(lái)嵌入式技術(shù)的飛速發(fā)展���,兼職的Unix服務(wù)器漸漸為功能及性能都更強(qiáng)的交換機(jī)��、路由器等專(zhuān)用網(wǎng)絡(luò)設(shè)備所取代����,針對(duì)這類(lèi)目標(biāo)的攻擊也主要變成入侵并修改設(shè)置這種手法為主�����。
不過(guò)因?yàn)檫@幾年低成本的Linux路由器大量進(jìn)入家用市場(chǎng),針對(duì)這類(lèi)路由器進(jìn)行惡意軟件攻擊的現(xiàn)象再次出現(xiàn)���。根據(jù)安全研究組織DroneBL 最近發(fā)表的一份研究報(bào)告����,一個(gè)名為PSYB0T的僵尸網(wǎng)絡(luò)從去年底開(kāi)始����,就專(zhuān)門(mén)針對(duì)基于MIPS架構(gòu),并采用嵌入式Linux作為操作系統(tǒng)的路由器���、調(diào)制解調(diào)器等家用網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊���,被成功感染的家用網(wǎng)絡(luò)設(shè)備將成為PSYB0T僵尸網(wǎng)絡(luò)的一員,并在該僵尸網(wǎng)絡(luò)作者的控制之下向目標(biāo)發(fā)起拒絕服務(wù)攻擊���。
安全人員的進(jìn)一步研究表明�����,目前PSYB0T僵尸網(wǎng)絡(luò)所攻擊的家用網(wǎng)絡(luò)設(shè)備主要是Netcomm公司的NB5調(diào)制解調(diào)器�,但相信采用與該調(diào)制解調(diào)器相似軟硬件架構(gòu)的其他家用網(wǎng)絡(luò)設(shè)備也都存在受攻擊的可能���。據(jù)信目前已經(jīng)感染PSYB0T的調(diào)制解調(diào)器數(shù)量已達(dá)數(shù)萬(wàn)����,它們都存在弱口令這一漏洞并對(duì)互聯(lián)網(wǎng)開(kāi)放遠(yuǎn)程登錄功能,PSYB0T將通過(guò)遠(yuǎn)程登錄功能登錄存在弱點(diǎn)的設(shè)備�����,下載并執(zhí)行一個(gè)PSYB0T的副本����,絕大多數(shù)用戶(hù)在遭受此類(lèi)攻擊時(shí)并不知情��。
筆者認(rèn)為����,盡管目前受PSYB0T影響的家用網(wǎng)絡(luò)設(shè)備在歐洲和中西亞國(guó)家使用較多���,但其他廠(chǎng)商類(lèi)似架構(gòu)的家用網(wǎng)絡(luò)設(shè)備也有可能受此攻擊���,同時(shí)對(duì)PSYB0T的代碼進(jìn)行少量的修改,攻擊者就能實(shí)施更為高級(jí)的DNS欺騙����,密碼攔截等攻擊���,威脅用戶(hù)敏感信息的安全。不過(guò)防御PSYB0T的方法也很簡(jiǎn)單�,對(duì)網(wǎng)絡(luò)設(shè)備設(shè)置一個(gè)復(fù)雜的登錄密碼,并禁用互聯(lián)網(wǎng)用戶(hù)登錄網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理��,如果懷疑自己的類(lèi)似網(wǎng)絡(luò)設(shè)備已經(jīng)被惡意軟件感染����,直接REST設(shè)備即可。
除了上述能夠感染家用網(wǎng)絡(luò)設(shè)備的跨平臺(tái)惡意軟件外�,為了逃避反病毒軟件的查殺,更長(zhǎng)久控制用戶(hù)的系統(tǒng)�����,惡意軟件的隱藏和生存技術(shù)也有了較大的發(fā)展����。本周來(lái)自安全廠(chǎng)商Core Security的兩名研究人員就發(fā)布了一個(gè)新的攻擊技術(shù):將Rootkit惡意軟件寫(xiě)入商業(yè)化的BIOS中��,這個(gè)過(guò)程可通過(guò)他們提供的另一Python 程序�����,在BIOS升級(jí)或重新刷新的過(guò)程中完成。
在成功的將這樣的Rootkit安裝進(jìn)主板的BIOS后�����,這個(gè)Rootkit即可在操作系統(tǒng)啟動(dòng)前運(yùn)行�,并通過(guò)BIOS自身提供的網(wǎng)絡(luò)堆棧��,訪(fǎng)問(wèn)并攻擊網(wǎng)絡(luò)中的其他系統(tǒng)���,而無(wú)需訪(fǎng)問(wèn)系統(tǒng)磁盤(pán)或內(nèi)存����。這個(gè)基于BIOS的Rootkit與系統(tǒng)中安裝的操作系統(tǒng)關(guān)系不大���,研究人員就給出了對(duì)OpenBSD和Windows操作系統(tǒng)的成功攻擊案例,另外����,因?yàn)?a href="http://europeautoinsurance.com/key/xuniji/" target="_blank">虛擬機(jī)軟件如Vmware等也將BIOS的功能集成于軟件內(nèi)部���,因此這種攻擊方式對(duì)虛擬機(jī)也能湊效。
這種攻擊方式存在需要在用戶(hù)系統(tǒng)上有管理員權(quán)限才能成功實(shí)施的缺陷����,不過(guò)攻擊者可以很容易通過(guò)偽造虛假的BIOS升級(jí)程序等方式,欺騙用戶(hù)將帶有Rootkit代碼的更新程序刷入自己主板的BIOS中�����。
由于基于BIOS的Rootkit能夠在操作系統(tǒng)啟動(dòng)之前搶先運(yùn)行��,并通過(guò)BIOS提供的底層功能隱藏自己的痕跡���,因此現(xiàn)有的操作系統(tǒng)和反病毒軟件可能無(wú)法有效的檢測(cè)和清除這類(lèi)惡意軟件。筆者覺(jué)得�,要防御這種基于BIOS的Rootkit,現(xiàn)有最可行的方法還是將BIOS的寫(xiě)保護(hù)選項(xiàng)打開(kāi)�,防止用戶(hù)誤操作或被惡意軟件刷新BIOS;用戶(hù)如果決定要更新BIOS����,在進(jìn)行刷新操作前最好使用MD5或數(shù)字簽名方式,驗(yàn)證該BIOS更新程序是安全的���。
漏洞攻擊:多個(gè)軟硬件廠(chǎng)商產(chǎn)品紛紛爆出漏洞���;關(guān)注指數(shù):高
在三月份的最后一周(也是第一季度的最后一周)里���,各軟硬件廠(chǎng)商發(fā)布的漏洞公告再次成為安全業(yè)界一道特別的風(fēng)景線(xiàn):瀏覽器廠(chǎng)商Mozilla 確認(rèn),其主流的瀏覽器Firefox 3.0.x版本中存在一個(gè)內(nèi)存錯(cuò)誤漏洞���,特定條件下觸發(fā)將會(huì)引起瀏覽器執(zhí)行不可預(yù)測(cè)的行為��,攻擊者可以利用該漏洞在Firefox用戶(hù)的系統(tǒng)上安裝惡意軟件�����,據(jù)信利用該漏洞的示例代碼已經(jīng)發(fā)布到互聯(lián)網(wǎng)上��。Mozilla的開(kāi)發(fā)人員已經(jīng)在針對(duì)該漏洞編寫(xiě)更新程序���,并計(jì)劃于4月初推出,到時(shí)Firefox用戶(hù)注意開(kāi)啟瀏覽器的自動(dòng)更新功能即可���。
惠普HP 在市場(chǎng)上廣受歡迎的網(wǎng)絡(luò)管理系統(tǒng)HP OpenView在本周也爆出多個(gè)嚴(yán)重的安全漏洞,這些漏洞存在于HP OpenView的Web服務(wù)器對(duì)HTTP請(qǐng)求的處理過(guò)程����,攻擊者在了解這些漏洞的前提下���,只需要通過(guò)特定格式的HTTP請(qǐng)求就能通過(guò)這些漏洞在HP OpenView服務(wù)器上執(zhí)行命令。
由于網(wǎng)絡(luò)管理系統(tǒng)能有效提升企業(yè)對(duì)大型網(wǎng)絡(luò)和服務(wù)器群的管理能力����,攻擊者對(duì)企業(yè)內(nèi)網(wǎng)中的網(wǎng)絡(luò)管理服務(wù)器發(fā)起攻擊,將可能更容易的獲得網(wǎng)絡(luò)中其他服務(wù)器的控制權(quán)��,最起碼也能縮短管理員得知攻擊的時(shí)間�����?��;萜找汛_認(rèn)HP OpenView中這些漏洞的存在��,并以發(fā)布相應(yīng)的支持信息��,用戶(hù)可通過(guò)HP技術(shù)支持網(wǎng)站了解信息和下載修補(bǔ)這些漏洞的更新補(bǔ)丁��。
網(wǎng)絡(luò)設(shè)備廠(chǎng)商Cisco也在本周初發(fā)布了漏洞安全公告����,確認(rèn)在其多個(gè)網(wǎng)絡(luò)設(shè)備產(chǎn)品上使用的IOS存在多個(gè)漏洞,其中涉及到的應(yīng)用領(lǐng)域包括 TCP�����、UDP���、移動(dòng)應(yīng)用和VPN等����。這些漏洞大多是拒絕服務(wù)攻擊漏洞���,可導(dǎo)致存在漏洞的網(wǎng)絡(luò)設(shè)備效率降低或停止響應(yīng)���,不過(guò)也有少數(shù)的幾個(gè)是權(quán)限提升漏洞。Cisco已經(jīng)就本次安全公告涉及的漏洞提供解決步驟和軟件更新���,建議使用Cisco網(wǎng)絡(luò)設(shè)備的用戶(hù)登錄以下站點(diǎn)以獲得進(jìn)一步的操作指南和更新程序:
http://www.cisco.com/warp/public ... 090325-bundle.shtml
安全技術(shù)和研究:安全和攻擊新技術(shù)層出不窮���;關(guān)注指數(shù):高
傳統(tǒng)的鍵盤(pán)記錄攻擊技術(shù)基本上可以分成軟件和硬件兩類(lèi),用特定的鍵盤(pán)記錄軟件插入到用戶(hù)的系統(tǒng)上���,自動(dòng)記錄用戶(hù)輸入的每一個(gè)字符����;或通過(guò)在鍵盤(pán)和主機(jī)之間插入一個(gè)小的擊鍵記錄設(shè)備����,完成鍵盤(pán)記錄攻擊。不過(guò)上述的鍵盤(pán)攻擊方式都是需要修改目標(biāo)系統(tǒng)的軟硬件環(huán)境���,容易被用戶(hù)所察覺(jué)��。在上周的 CanSecWest會(huì)議上�,研究人員推出了一種新的鍵盤(pán)記錄方式��,即通過(guò)激光來(lái)記錄用戶(hù)的擊鍵記錄����。
這種攻擊方式類(lèi)似于傳統(tǒng)的激光竊聽(tīng)手段,首先�,攻擊者需要有能夠直接看到目標(biāo)用戶(hù)計(jì)算機(jī)的視線(xiàn)距離,然后通過(guò)激光麥克風(fēng)����,攻擊者能夠收集到目標(biāo)用戶(hù)每次敲擊鍵盤(pán)的聲音。由于鍵盤(pán)上每一個(gè)鍵的敲擊聲音與其他的有所區(qū)別,攻擊者只需要收集到足夠多的樣本���,并結(jié)合字典自動(dòng)匹配技術(shù)����,就能完整的還原出用戶(hù)在鍵盤(pán)上的每一次擊鍵�����。這種鍵盤(pán)記錄方式不會(huì)對(duì)用戶(hù)系統(tǒng)產(chǎn)生影響�,因此目標(biāo)用戶(hù)很難發(fā)現(xiàn)自己已經(jīng)被別人監(jiān)控,尤其是在公共場(chǎng)合如咖啡廳等使用自己的筆記本計(jì)算機(jī)更是如此����。這個(gè)研究看起來(lái)挺科幻?說(shuō)不定現(xiàn)在使用這種攻擊原理的鍵盤(pán)記錄產(chǎn)品已經(jīng)裝備到私家偵探或其他調(diào)查人員手上了���。
如何有效的對(duì)紙質(zhì)的文檔進(jìn)行管理�����,是政府部門(mén)和企業(yè)相當(dāng)頭疼的一個(gè)事情���,尤其是在需要限制文檔的使用或散發(fā)的場(chǎng)景中���,往往需要將紙質(zhì)文檔和使用者一一對(duì)應(yīng),而且在使用過(guò)后還需要確認(rèn)該紙質(zhì)文檔是否曾經(jīng)被復(fù)制過(guò)�。普林斯頓大學(xué)的一群研究人員對(duì)此就提出了一個(gè)相當(dāng)有意思的想法,因?yàn)槊恳粡埣埗即嬖陬?lèi)似人的指紋這樣獨(dú)一無(wú)二的紋理特征�����,只需要通過(guò)特殊的顯微掃描儀����,就能記錄下每一張紙的特征���。在實(shí)際環(huán)境中只需要對(duì)比某張紙上的紋理特征和數(shù)據(jù)庫(kù)中所存數(shù)據(jù)�����,即可確認(rèn)這張紙對(duì)應(yīng)的使用者或出處�����。
筆者認(rèn)為��,這種方式其實(shí)也挺適合用于傳遞加密的密鑰����,只需要按照一定的算法將空白紙上的紋理處理成加密密鑰,這張白紙就能作為加密密文的密鑰進(jìn)行存儲(chǔ)和交換���,而不清楚情況的第三方也難以想象一張什么都沒(méi)有記錄有的白紙就是解密重要信息的密鑰��。
測(cè)謊儀是歐美國(guó)家中常用的對(duì)目標(biāo)人物進(jìn)行真實(shí)性測(cè)試的工具�,然而在現(xiàn)實(shí)生活中卻非常罕見(jiàn)�。而在日常的電話(huà)溝通中相信很多朋友都希望能夠通過(guò)某種方式,了解到正在電話(huà)的對(duì)象所說(shuō)的話(huà)是否真實(shí)——現(xiàn)在有個(gè)好消息�,電話(huà)版的測(cè)謊儀已經(jīng)開(kāi)發(fā)成功,并在本周開(kāi)始上線(xiàn)為用戶(hù)提供服務(wù)���,這個(gè)由語(yǔ)音分析廠(chǎng)商 Teltech推出的名為L(zhǎng)iarCard的服務(wù)��,能夠通過(guò)分析電話(huà)通話(huà)時(shí)雙方的語(yǔ)音���、語(yǔ)氣和延時(shí)信息,嘗試分析出對(duì)話(huà)雙方當(dāng)前的心理狀態(tài)�����,從而得出目標(biāo)人物是否說(shuō)真話(huà)的結(jié)論����,目前LiarCard服務(wù)采用在線(xiàn)服務(wù)的方式提供給用戶(hù)�����。
筆者覺(jué)得����,先不說(shuō)這個(gè)在線(xiàn)語(yǔ)音分析技術(shù)效果如何����,用戶(hù)在使用前還是得考慮將自己和別人的電話(huà)通話(huà)交給第三方進(jìn)行分析是否安全���,隱私和敏感信息泄露的風(fēng)險(xiǎn)可比知道對(duì)方是否說(shuō)真話(huà)的重要性可大了不少��。
安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程