拿什么來“填補”我們身邊的安全漏洞

應(yīng)茜羽

互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展讓信息安全環(huán)境日益嚴(yán)峻。黑帽安全技術(shù)大會本質(zhì)上是指引信息安全技術(shù)發(fā)展趨勢的風(fēng)向標(biāo),促使安全技術(shù)不斷完善。

去年,安全研究員Dan Kaminsky在2008黑帽安全技術(shù)大會(Black Hat,以下簡稱黑帽大會)上披露的DNS漏洞轟動了整個信息世界。由于Kaminsky的發(fā)現(xiàn),在過去12個月里,一些專家為了加強(qiáng)DNS安全所做的工作已經(jīng)超過了前十年的總和。

2009年黑帽大會已于7月25日～7月30日在美國拉斯維加斯的凱撒皇宮酒店舉行。黑帽大會是全球非常重要的信息安全會議之一。越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境和黑客技術(shù)的不斷更新,使得安全形勢越來越嚴(yán)峻。DNS漏洞、應(yīng)用軟件漏洞,嚴(yán)重威脅著我們的網(wǎng)絡(luò)安全。在這次會議中,多位研究人員把重點放在了各類漏洞上。這些漏洞的公布,使得眾多安全廠商不得不盡快拿出方案解決,以維護(hù)產(chǎn)品和系統(tǒng)的安全。

手機(jī)上的漏洞

在今年的黑帽大會上,手機(jī)軟件漏洞引起了大家高度的關(guān)注。安全機(jī)構(gòu)分析師查理·米勒(Charlie Miller)在大會上提出了這一只存在于手機(jī)特定軟件上的漏洞。黑客掌握的技術(shù)可以繞過GSM運營商向存在漏洞的手機(jī)設(shè)備發(fā)送含有惡意代碼的短消息或是多媒體消息,從而完全控制接收消息的手機(jī)。米勒指出,iPhone、Android和 Windows 手機(jī)都存在這一漏洞。

人們對手機(jī)的信任要大于對郵件等其他方式的信任。這類攻擊可以仿冒電信運營商或銀行向用戶發(fā)送多媒體消息。若收信者信以為真,接受這些仿冒信息的命令,就可能讓攻擊者有機(jī)會在幕后搞鬼,例如把原本通過電信運營商服務(wù)器傳輸?shù)幕ヂ?lián)網(wǎng)電話,改成通過黑客的服務(wù)器接通,這樣攻擊者就能監(jiān)聽通話的內(nèi)容。

“這類攻擊適用于任一種支持多媒體消息功能,并且在GSM網(wǎng)絡(luò)上運行的手機(jī)?！眎SEC Partners資深顧問Zane Lackey與獨立研究員Luis Miras說。Luis Miras 還表示,除了對SMS短信提高警覺外,一般手機(jī)用戶對防治這類攻擊能做的很有限。所以,這就需要GSM運營商和手機(jī)廠商共同來彌補這一漏洞。

對于這類利用漏洞發(fā)起的攻擊,運營公司和手機(jī)廠商要及時對外發(fā)布彌補漏洞的補丁。Lackey和Miras已經(jīng)將這一發(fā)現(xiàn)通知了運營商,而且運營商也已經(jīng)聯(lián)系了GSM聯(lián)盟,并把這個問題告訴聯(lián)盟的會員。各手機(jī)廠商也正在積極查找手機(jī)系統(tǒng)存在的問題。Google在數(shù)周前修復(fù)了此漏洞,蘋果公司也在漏洞披露不到24小時內(nèi),發(fā)布了升級軟件iPhone OS 3.0.1,這一更新解決了手機(jī)易受攻擊的問題。

微軟的自我解構(gòu)

微軟在2009年4月的安全情報報告中指出,針對Office文檔的91.3%的攻擊都是利用了Office軟件中的一個重要漏洞。所以微軟在這次黑帽大會上把更多的焦點放在了他們的安全資源上,并發(fā)布了針對Office二進(jìn)制文件格式的圖形化視圖安全工具M(jìn)icrosoft Office Visualization Tool(OffVis)。

微軟信息安全專家聲稱該工具不僅可以幫助安全研究人員理解針對Office文件的攻擊,為新發(fā)現(xiàn)的漏洞開發(fā)保護(hù)措施,還可以幫助計算機(jī)專業(yè)人士增強(qiáng)Office二進(jìn)制文件的免疫力。

OffVis的發(fā)布,受到很多信息安全廠商的歡迎,而且目前正在通過Microsoft Active Protections Program (MAPP)進(jìn)行測試。這種免費工具提供了對文件格式的查看方式,使廠商可以通過識別攻擊者注入的惡意代碼實現(xiàn)對基于Word、Excel和PPT文檔的攻擊進(jìn)行解構(gòu)。

微軟安全響應(yīng)中心負(fù)責(zé)人Andrew Cushman表示,從本質(zhì)上來說,這是一場攻擊者與保護(hù)者之間的競賽。這一項目將提前告知軟件提供商相關(guān)的技術(shù)細(xì)節(jié),從而免去了廠商們分析補丁,查找漏洞的麻煩。

為了解決數(shù)據(jù)量過大的問題,微軟還發(fā)布了微軟安全更新指南(Microsoft Security Update Guide)。該指南列出了微軟安全更新的過程,可以幫助用戶更好地評估風(fēng)險并優(yōu)先配置更新。Andrew Cushman 說:“這份指南包含了微軟提供的工具以及最佳實踐,還引入了信息安全架構(gòu)。這樣,IT安全專家就可以評估自己企業(yè)的策略和程序了?！?/p>