10大严重安全问题及预防措施(中)

By | 2006 年 7 月 23 日

四.人为的安全漏洞

危险程度:  高    可能性: 高      目标: 所有人

用户可以升级Windows和其它应用程序、安装安全软件来保护电脑,但一个永远都不可能被修补的缺陷是:人为的错误。

在线的罪犯不断的改变作案手段来引诱网络用户,并且越趋隐蔽。

近来发生的eBay拍卖陷阱充分说明了社会工程是多么的有效(社会工程(social engineering)陷阱,通常是利用大众的疏于防范的小诡计,让受害者掉入陷阱。该技巧通常以交谈、欺骗、假冒或口语用字等方式,从合法用户中套取用户系统的秘密,例如:用户名单、用户密码及网络结构)。根据US-CERT和网络安全公司的报告表示,聪明的钓鱼者正通过eBay网站上的一个隐患来把拍卖链接添加到eBay的网页上。这些链接会把用户带到另外一个网站,并要求用户输入eBay的登陆信息。毫无疑问,用户会对那些要求点击并输入帐号信息的电子邮件存在戒心。但是,当你点击了可信的eBay网站上某个链接后再要求输入信息,那就算最谨慎的人都会放下戒备束手就擒。

当然,对电子邮件也要加倍小心。聪明的诈骗者盗取或购买到电子邮件地址,他们不发送垃圾邮件,而是发送看起来像是从某个真实地址发来但带有病毒的邮件。用户很可能会点击看起来是从“某人@用户公司.com”地址发来的Word文档或电子邮件中的链接。

加上近日在微软Word中发现的零日利用漏洞,这种通过虚假电子邮件地址进行攻击的方式就变得更加有效了。你一旦打开恶意电子邮件中的.doc附件就会中毒。

防御措施

1. 订阅专注安全的RSS Feed来获得最新的网络威胁信息。推荐的feed有:F-Secure卡巴斯基Sophos

2. 获得尽可能多的安全建议和产品评论。推荐网站有:PCWorld的间谍软件与安全信息中心

五.诈骗者重定向用户浏览器到其欺诈网站

危险等级:  高     可能性:  高     目标: 商业用户

用户可能每天都在使用域名系统(DNS)。它能够把如“www.pconline.com.cn”的域名转换成计算机用于识别网络上其它电脑的数字IP地址。它的作用对于因特网来说必不可少。

但是,根据网络公司The Measurement Factory透露,全球75%的DNS服务器仍然运行着旧的或者是配置错误的DNS软件。这些系统对于很大一部分攻击来说都是非常脆弱的,计算机安全研究与教育组织SANS Institute已经把DNS软件列为20个最危险的网络隐患之一。例如,攻击者就是利用错误配置的DNS服务器来发动拒绝服务攻击,迫使反垃圾邮件机构Blue Security从此关门大吉。

有多种方法可以实现攻击。其中一种方法是“缓存中毒”,这样攻击者可以同时锁定使用DNS服务器的所有用户。用户输入的可能是一个合法的网站,但结果是转向到恶意网站并最终在用户电脑上种植恶意软件。

另一种致命的攻击手段是:攻击者把虚假请求发送给递归式的DNS服务器,而服务器把应答的响应数据发送到受害者那里。响应包含了比原来请求包含更多的数据,这样就极大的增强了攻击的效果。倒霉的受害者忙于应付这些垃圾数据因此不能响应正常的用户请求。
 


 

网络欺诈

预防措施

向企业的IT部门确认DNS服务器不是递归式的,并且其上的软件保证是最新。用户可以阅读US-CERT报告以获得更多的信息。【点击下载US-CERT报告

六.病毒与Rootkits同流合污

危险程度:  高    可能性: 中等     目标: Windows用户

Rootkits是恶意软件开发者梦寐以求的东西:它们允许蠕虫,bot和其它恶意软件隐藏其中而不被发现。这些文件都不会显示在Windows Explorer中,而进程也不会显示在任务管理器,可怕的是,目前很多杀毒软件都不能查到藏在Rootkit中的恶意软件。这也就是恶意软件作者对其如此情有独钟的原因。

读者比较熟悉的可能就是去年11月闹的沸沸扬扬的Sony防拷贝Rootkit事件。攻击者很快就利用Sony Rootkit来隐藏他们的恶意软件。Sony的软件能够隐藏所有以“$sys$”开头的文件或进程。所以恶意软件作者也相应的把他们的文件改名。

在三月,西班牙杀毒软件厂商Panda Software表示,发现了带有Rootkit功能的Bagle蠕虫变体。更糟的是,与botnet情况相似,Rootkit作者也在出售工具或者甚至免费提供,这无疑助长了带有Rootkit功能恶意软件的泛滥。

尽管攻击者现在基本都是为恶意软件合成Rootkit功能,但不排除会有新的攻击方式。例如,安全机构eEye就已经发现了攻击者和有可能会把文件隐藏在硬盘的启动扇区中。此外,在一月,Next-Generation Security Software的安全顾问John Heasman就宣布,通过BIOS的高级配置与电源接口(ACPI)功能,Rootkit可以把恶意代码隐藏到电脑的BIOS之中。

一个由微软与密歇根州研究人员进行的项目揭开了Rootkit研究的密码。他们设计了一种方法,首先把操作系统“撬起来”跟着把一个称为SubVirt的软件放到底层运行。对于目前所有的操作系统来说,它都能正常运行,并且这个“虚拟机”彻底控制了OS所能及的东西,还能非常简单的实现自我隐藏。

幸运的是,这种技术实现起来很有难度,并且一旦运行的状况会很明显-系统会变得非常缓慢并且某些文件名会被修改。现在来说,这样的Rootkit还处于试验阶段,以概念验证代码的方式存在;离攻击者能利用的阶段还为时尚早。

高风险的捉迷藏

找出现今相对没那么危险的Rootkit对于安全软件厂商来说是一项极大的挑战。

检测Windows电脑上的Rootkit就像是在漆黑的房间中用手电筒照某个物体,并通过物体在墙上的投影来识别各个物体。如F-Secure的BlackLight和Sysinternal的RootkitRevealer这些专业软件,它们根据Rootkit具有的不规则特性来扫描Windows文件系统和内存。

但是这些软件并不是在每种情况下都适用。例如最近,广告软件Look2Me通过禁用一个关键的系统调用而把BlackLight废掉了。这个发现虽然出于偶然,但是Rootkit作者无疑会高度关注这件事,并且会在下一版的恶意软件中加以利用。

Rootkit隐藏病毒

工作原理:隐藏

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据