本周(0205至0211)热点众多:本周RSA会议的召开,数据加密和数据保护管理成为业界中近来的焦点,作为在信息安全防护体系中起基石和最后一道防线的加密技术,上升到管理层次之后会对整个安全体系产生如何积极的影响?相关的技术及产品是如何保证实现数据保护管理这一理念?这是值得我们关注的;本周发生的一些安全事件也同样值得关注,重要有Microsoft Office新漏洞的发现、互联网DNS 根服务器遭受DDoS攻击等。
周一,来自Techweb的消息,Microsoft 安全应急响应中心(MSRC)确认了在Microsoft Office产品中的Excel中存在安全漏洞,恶意攻击者可通过一个特定的Execl文件,控制存在此漏洞的计算机。该漏洞是今年Microsoft Office产品中发现并公开的第五个漏洞,如此高的频率从侧面再次说明了随着Microsoft Windows Vista 和Office 2007 的上市,Microsoft销售和支持重点的转移,今年将是Microsoft 旧产品漏洞公开的一个高峰年。
来自ZDnet UK的消息,两个剑桥大学计算机实验室的研究人员,发现了通过一个伪造的ATM终端,可以使用修改过的银行卡随意进行消费。这种攻击方法能成功破解去年才开始使用的加密芯片+PIN码的银行卡技术。该研究使用的方法类似网络攻击中的中间人攻击方式,攻击者在一个受信任的ATM商户处安装伪造的ATM终端机,受害者在该伪造终端上进行消费操作,插卡并输入PIN码之后,攻击者使用受害者输入的信息复制一张银行卡,并在用户操作的同时用复制卡进行一次消费操作,然后向受害者返回一个虚假的消费成功标志。此种攻击方式的可行性在于,它并不需要破解银行卡芯片上的强加密信息,只需要复制和回放一遍受害者输入的信息即可。联系国内时有发生的使用特殊设备复制用户银行卡信息并骗取用户密码的案件,银行业在对付虚假ATM终端类型犯罪上还需要多多努力
来自ZDnet UK的消息,NEC的一项调查表明,使用VoIP技术的骚扰电话发生数量正以飞快的速度增长。VoIP的低成本使用为广大的互联网用户带来很大便利的同时,也使打骚扰电话的人获得了低成本进行其违法活动的能力。 对通讯业服务商来说,允许用户自己定义VoIP过滤规则或是提供更方便的来电防护服务,应该也是一个不错的服务方案
周二,来自Wired的消息,为全球互联网主干网提供DNS服务的13台DNS根服务器中的3台服务器突然遭到黑客发起的DDoS攻击,巨大的流量至少在12小时内严重堵塞了这3个被攻击服务器的线路,稍后美国国土安全部确认了这个消息,但称尚无线索表明该次对DNS根服务器发起的攻击是针对美国国家安全和美国网络运作的。该攻击对全球DNS服务的解析没有造成很严重的影响,但某些地区的站点的域名在当天攻击发起时无法解析,从而导致变相的停止服务。联系去年国内发生的万网公司DNS服务器被黑客进行DDoS导致国内众多重要站点无法访问的故障,针对DNS和DNS服务器的攻击正越来越成为黑客们喜欢使用的手段。如果提升DNS的性能和可靠性,并防御当前和将来一段时间内的针对DNS的攻击,成为摆在大型ISP和相关安全企业面前一个严重的挑战。
来自Securityfocus的消息,Microsoft 在RSA安全会议上表示,在将来的一段时间里,Microsoft 将在数据和身份认证安全技术上投入相当的人力物力,并开发一个用户友好,支持处理多种身份认证的软件平台。Microsoft还宣布支持OpenID协议,通过在线服务共享身份认证和验证信息。笔者认为,从Microsoft 一向的技术策略来看,Microsoft对数据和身份认证安全上的投入的效果最后都会在.net passport平台上显现。Microsoft宣布支持OpenID协议,从经营策略上来说大概是日后方便用户从类似平台上往Microsoft 的平台进行数据迁移。Microsoft的这一步棋从2002年开始已经走了5年,国内的各使用Single Sign On技术的ICP们,是否可以整合一下各自的相关技术,推出一个有自主知识产权的身份认证平台?该平台在网络应用、电子商务、远程教育等方面都能发挥极其重要的作用。如果这个设想能够实施,对于国内的相关技术的发展及中国用户的信息保密都将有莫大的好处。
周五,来自APCERT的消息,本月7-9号在马来西亚召开了APCERT2007会议,环太地区国家的CERT(应急响应机构)都参加了会议。会上讨论了亚洲各国所面对的信息安全形势及相关的应急响应措施,其中的焦点论题包括Botnet、恶意软件及其跟踪、电子商务安全等。作为一个官方色彩比较浓厚的信息安全会议(组织者为马来西亚信息安全局),会上所关注的焦点可以看作各国官方对环太地区信息安全形势的认识和看法,值得注意的是,会上讨论的技术方面的论题的组织者都不是亚洲本土厂商(主要是F-secure和Microsoft),由此可看出,本土厂商在技术及经营战略的宏观操作上还有所欠缺,和欧美厂商在国际市场上的竞争还存在比较明显的劣势。
来自CNET的消息,浏览器市场上IE的主要竞争者Firefox本周发现两个漏洞,广告过滤漏洞及反钓鱼攻击漏洞。漏洞的发现者Securiteam公司说,这两个漏洞尚无补丁,其中,前者在用户手动关闭Firefox广告过滤功能时,Firefox在处理URL的权限中会发生错误,从而导致Firefox的异常行为。恶意的攻击者可伪造一个URL吸引用户点击,并使Firefox访问并上传用户本地的文件。第二个漏洞的存在使FireFox过滤恶意攻击者构造的钓鱼网站连接时失效,并误认为该钓鱼网站为合法的安全网站。到目前为止,Mozilla尚无对这两个漏洞作出确认,并提供升级补丁。作为IE在浏览器市场上的主要竞争者,Firefox以其高速和安全为武器,曾一度在市场上占到20%多的份额。然而在Microsoft推出IE7后,Firefox 2.0的并不如市场预测的完美,安全漏洞也频频被发现,而且由于开源软件的自主性,安全升级通常要比商业软件要稍慢一点。因此Firefox的漏洞发现也在一定程度上代表了开源软件的现状,虽然开源使安全性及性能有所提升,但是对安全漏洞的修补和服务的滞后也很严重的制约了开源软件的广泛使用。