安全方面值得关注的消息较多, 云计算的安全问题仍是近期的热点, 上周Google Docs泄漏用户敏感文件的风波刚过, 云计算服务对现有安全标准和法律法规在遵从性方面的缺失再次被安全行业所关注。 恶意软件的威胁在近段时间进一步提升, 安全厂商已经捕获到基于DHCP协议和专门针对ATM自动柜员机的恶意软件样本。 在本期回顾的最后, 笔者仍为朋友们精心挑选了两个值得一读的推荐阅读文章。
近期(090316至090322)安全要闻回顾
本周的信息安全风险为低, 软件厂商Adobe在3月18日为旗下产品Adobe Acrobat和Reader的7、8、9版本分别推出了安全更新程序, 主要修补此前发现的能够导致用户系统感染恶意软件的远程代码执行漏洞云计, 建议用户尽快使用Adobe Updater自动升级, 或从Adobe网站上下载并应用程序。
云计算安全:云计算方案的合规性遵从风险引人关注;关注指数:高
由于最近一段时间全球的经济状况持续恶化, 云计算作为一种廉价高效的信息存储和处理方式, 就成为许多关注于降低IT运维成本的企业的选择。 云计算方案的提供商也应时提供了多种灵活的解决方案供用户企业选择, 如Google和Amazon都允许用户企业在其云计算平台服务器上运行用户自己的互联网应用程序, 而Salesforce等其他的服务提供商则向其用户企业提供了多个特定用途的服务。
云计算市场份额快速扩张的同时, 因为其不同于传统应用系统的架构和安全形式, 也使得安全业界和众多用户对云计算的安全性产生了顾虑。 在上期回顾中笔者曾经和朋友们一起关注过Google Docs存在泄漏用户文件和隐私信息的消息, Google在收到受影响用户的反馈之后, 迅速通过移除用户文件共享权限等操作来修补该漏洞, 但这个事件还是给很多用户留下了云计算不够安全的坏印象。
本周在波士顿举行的SOURCE安全会议上, 安全专家向公众揭示了云计算方案在安全上的又一个潜在风险——合规性遵从(Compliance)。 尽管云计算服务商都向用户承诺其服务的可靠性, 保证7×24的在线率, 但如何保证用户存放在云计算平台上的数据的安全, 仍不在大多数云计算服务商的承诺范围之内, 用户在绝大多数情况下, 也无法通过数据加密等传统手段获得更好的数据安全性。
当然, 用户企业可以与云计算服务商签署服务级别协议(SLA)和第三方的安全协议, 通过书面的方式来进一步保证云计算的安全性, 但调查显示许多用户企业仍对其存储在云计算平台上的数据安全心存顾虑。 此外, 对现有的行业安全标准及法律法规的遵从性, 也是用户在选择云计算方案作为业务数据存储和处理平台时要考虑的一个潜在风险, 它存在于两个方面:首先, 用户不可能了解到所选择的云计算方案具体的实现和运作形式, 更不可能根据自己业务的需求对云计算进行功能和实现上的自定义;其次, 当前使用的不少安全标准, 具体规定和设置要求都不适用于云计算领域——如在网上支付领域广泛使用的PCI DSS标准, 就只规定了物理服务器应该如何进行安全设置和操作。
笔者觉得, 尽管使用云计算和企业的其他IT外包项目并无太大区别, 但企业也应该意识到使用云计算方案并不等于将数据安全的责任也外包到云计算服务提供商的身上。 在当前云计算的运营模式没有发生利于用户数据安全需求的变化, 以及现有安全标准对云计算应用做出相应的修改之前, 建议用户还是不要将敏感和涉及商业机密的信息存储到云计算平台上, 免得将来遇到众多不必要的风险。
恶意软件:恶意软件技术快速发展, 基于DHCP和专门针对ATM的恶意软件出现;关注指数:高
黑客为了在企业的内部网络中扩散他们的恶意软件, 所用的手段可以说是无所不用其极, 除了惯用的远程漏洞攻击和弱口令扫描等传统攻击方法外, 黑客也打起了企业内部网络中各种常见服务的主意。 根据互联网安全组织SANS近段时间的监测结果, 一个基于DHCP服务的新恶意软件目前正在互联网上快速扩散。 该恶意软件的工作原理与去年年底发现的Trojan.Flush.M木马相类似, 在感染企业内部网络中的一个系统之后, 该恶意软件会在受感染系统上安装一个DHCP服务器, 其后进入企业内部网络的其他系统都可能被该恶意的DHCP服务器所欺骗, 所有互联网访问的域名解析都会转向至黑客预先设置的恶意DNS服务器。
虽然现在这类基于DHCP服务的恶意软件并不多见, 但因为它比前两年流行的ARP欺骗型恶意软件更为隐蔽, 用户也更能发现、定位和消除在自己内部网络中存在的该类风险。 笔者建议, 用户可通过嗅探器、IDS等网络工具监视网络中DHCP服务器的活动情况, 同时观察是否存在访问不是已知DNS服务器的情况存在, 如果有就证明可能感染了上述类型的恶意软件(当然也可能是有内网用户私自设置使用第三方的DNS服务器)。 如果用户使用了Windows域服务之类的内网管理方案, 防护基于DHCP或DNS服务的恶意软件就更为简单, 只需通过防火墙禁用除内网授权DNS服务器外的所有外部DNS查询请求即可。
自动柜员机ATM是犯罪集团最常攻击的目标之一, 使用附加的卡复制器、通过网络钓鱼获取用户信息并制造伪卡, 甚至使用炸药来爆破, 攻击的手段可谓是种类繁多——反病毒厂商Sophos的新发现, 又暴露了犯罪集团对ATM机攻击的一种新手段:恶意软件。 本周来自Sophos的研究人员称, 犯罪集团正利用能够在ATM机上运行的新一代恶意软件, 偷取ATM用户所输入的各种信息。
根据恶意软件样本分析的结果, 这种攻击最早在今年初出现在俄罗斯, 黑客破解了ATM厂商Diebold在一月份为其基于Windows的产品发布的软件更新补丁, 并在其中插入了一个恶意软件。 在稍后的调查显示, 黑客必须通过物理接触ATM机才能够在ATM机上安装上述恶意软件, 但在黑客本身是金融机构内部人员或得到内部人员的协助的情况下, 并不难达到这一目的。
尽管Diebold在稍后的消息发布中称, 在ATM机上安装恶意软件的攻击者已被抓获, 并正在进行调查, 但这种对ATM机的恶意软件攻击趋势仍值得我们关注, 只需熟悉ATM机的内部软件运作机理和银行的业务流程, 一个有编程经验的黑客是能够写出可以在ATM机运行的恶意软件, 再加上有银行内部人员的配合, 一次针对ATM机的恶意软件攻击就可以实施, 而且这种威胁和传统的ATM攻击手法比起来, 无需添加额外的设备, 因此也更为隐蔽和难于消除。 笔者觉得, ATM厂商和金融机构应该开始关注ATM机的软件和网络安全问题, 并将其提升到和物理安全同等重要的地位, 而目前大多数的ATM系统仍没有专门针对恶意软件或对其软件的恶意修改部署防御措施, 网络边界安全措施也有所缺失, 这一点也值得安全行业所关注
