上周安全方面值得關注的新聞眾多。道高一尺,魔高一丈,針對Linux家用路由器和能夠感染主板BIOS的惡意軟件的出現,惡意軟件再次領先於現有反病毒軟件所用的技術。軟硬件廠商本周也發出多個安全漏洞公告,Mozilla、HP和Cisco的產品均不能幸免。在本期回顧的安全技術和趨勢欄目裡面,筆者將和朋友們一起關注最近推出的三個安全及攻擊領域的新技術。在本期回顧的最後,筆者將向朋友們推薦一篇值得一讀的推薦閱讀文章。
本周的信息安全威脅等級為低。
惡意軟件:僵屍網絡針對Linux家用路由器;新技術使惡意軟件能感染BIOS;關注指數:高
在互聯網發展的最早期,路由交換等網絡通信的功能都是由采用Unix系統的服務器所完成,用後門對這種網絡底層服務器發起攻擊的入侵手法曾風靡一時,曾有美軍歐洲骨干網絡的核心路由器被黑客攻陷並安裝監聽軟件的記錄。
隨著近二十年來嵌入式技術的飛速發展,兼職的Unix服務器漸漸為功能及性能都更強的交換機、路由器等專用網絡設備所取代,針對這類目標的攻擊也主要變成入侵並修改設置這種手法為主。
不過因為這幾年低成本的Linux路由器大量進入家用市場,針對這類路由器進行惡意軟件攻擊的現象再次出現。根據安全研究組織DroneBL最近發表的一份研究報告,一個名為PSYB0T的僵屍網絡從去年底開始,就專門針對基於MIPS架構,並采用嵌入式Linux作為操作系統的路由器、調制解調器等家用網絡設備進行攻擊,被成功感染的家用網絡設備將成為PSYB0T僵屍網絡的一員,並在該僵屍網絡作者的控制之下向目標發起拒絕服務攻擊。
安全人員的進一步研究表明,目前PSYB0T僵屍網絡所攻擊的家用網絡設備主要是Netcomm公司的NB5調制解調器,但相信采用與該調制解調器相似軟硬件架構的其他家用網絡設備也都存在受攻擊的可能。據信目前已經感染PSYB0T的調制解調器數量已達數萬,它們都存在弱口令這一漏洞並對互聯網開放遠程登錄功能,PSYB0T將通過遠程登錄功能登錄存在弱點的設備,下載並執行一個PSYB0T的副本,絕大多數用戶在遭受此類攻擊時並不知情。
筆者認為,盡管目前受PSYB0T影響的家用網絡設備在歐洲和中西亞國家使用較多,但其他廠商類似架構的家用網絡設備也有可能受此攻擊,同時對PSYB0T的代碼進行少量的修改,攻擊者就能實施更為高級的DNS欺騙,密碼攔截等攻擊,威脅用戶敏感信息的安全。不過防御PSYB0T的方法也很簡單,對網絡設備設置一個復雜的登錄密碼,並禁用互聯網用戶登錄網絡設備進行遠程管理,如果懷疑自己的類似網絡設備已經被惡意軟件感染,直接REST設備即可。
除了上述能夠感染家用網絡設備的跨平台惡意軟件外,為了逃避反病毒軟件的查殺,更長久控制用戶的系統,惡意軟件的隱藏和生存技術也有了較大的發展。本周來自安全廠商Core Security的兩名研究人員就發布了一個新的攻擊技術:將Rootkit惡意軟件寫入商業化的BIOS中,這個過程可通過他們提供的另一Python程序,在BIOS升級或重新刷新的過程中完成。
在成功的將這樣的Rootkit安裝進主板的BIOS後,這個Rootkit即可在操作系統啟動前運行,並通過BIOS自身提供的網絡堆棧,訪問並攻擊網絡中的其他系統,而無需訪問系統磁盤或內存。這個基於BIOS的Rootkit與系統中安裝的操作系統關系不大,研究人員就給出了對OpenBSD和Windows操作系統的成功攻擊案例,另外,因為虛擬機軟件如Vmware等也將BIOS的功能集成於軟件內部,因此這種攻擊方式對虛擬機也能湊效。
這種攻擊方式存在需要在用戶系統上有管理員權限才能成功實施的缺陷,不過攻擊者可以很容易通過偽造虛假的BIOS升級程序等方式,欺騙用戶將帶有Rootkit代碼的更新程序刷入自己主板的BIOS中。
由於基於BIOS的Rootkit能夠在操作系統啟動之前搶先運行,並通過BIOS提供的底層功能隱藏自己的痕跡,因此現有的操作系統和反病毒軟件可能無法有效的檢測和清除這類惡意軟件。筆者覺得,要防御這種基於BIOS的Rootkit,現有最可行的方法還是將BIOS的寫保護選項打開,防止用戶誤操作或被惡意軟件刷新BIOS;用戶如果決定要更新BIOS,在進行刷新操作前最好使用MD5或數字簽名方式,驗證該BIOS更新程序是安全的。
漏洞攻擊:多個軟硬件廠商產品紛紛爆出漏洞;關注指數:高
在三月份的最後一周(也是第一季度的最後一周)裡,各軟硬件廠商發布的漏洞公告再次成為安全業界一道特別的風景線:浏覽器廠商Mozilla確認,其主流的浏覽器Firefox 3.0.x版本中存在一個內存錯誤漏洞,特定條件下觸發將會引起浏覽器執行不可預測的行為,攻擊者可以利用該漏洞在Firefox用戶的系統上安裝惡意軟件,據信利用該漏洞的示例代碼已經發布到互聯網上。Mozilla的開發人員已經在針對該漏洞編寫更新程序,並計劃於4月初推出,到時Firefox用戶注意開啟浏覽器的自動更新功能即可。
惠普HP在市場上廣受歡迎的網絡管理系統HP OpenView在本周也爆出多個嚴重的安全漏洞,這些漏洞存在於HP OpenView的Web服務器對HTTP請求的處理過程,攻擊者在了解這些漏洞的前提下,只需要通過特定格式的HTTP請求就能通過這些漏洞在HP OpenView服務器上執行命令。
由於網絡管理系統能有效提升企業對大型網絡和服務器群的管理能力,攻擊者對企業內網中的網絡管理服務器發起攻擊,將可能更容易的獲得網絡中其他服務器的控制權,最起碼也能縮短管理員得知攻擊的時間。惠普已確認HP OpenView中這些漏洞的存在,並以發布相應的支持信息,用戶可通過HP技術支持網站了解信息和下載修補這些漏洞的更新補丁。
網絡設備廠商Cisco也在本周初發布了漏洞安全公告,確認在其多個網絡設備產品上使用的IOS存在多個漏洞,其中涉及到的應用領域包括TCP、UDP、移動應用和VPN等。這些漏洞大多是拒絕服務攻擊漏洞,可導致存在漏洞的網絡設備效率降低或停止響應,不過也有少數的幾個是權限提升漏洞。Cisco已經就本次安全公告涉及的漏洞提供解決步驟和軟件更新,建議使用Cisco網絡設備的用戶登錄以下站點以獲得進一步的操作指南和更新程序:
http://www.cisco.com/warp/public/707/cisco-sa-20090325-bundle.shtml
安全技術和研究:安全和攻擊新技術層出不窮;關注指數:高
傳統的鍵盤記錄攻擊技術基本上可以分成軟件和硬件兩類,用特定的鍵盤記錄軟件插入到用戶的系統上,自動記錄用戶輸入的每一個字符;或通過在鍵盤和主機之間插入一個小的擊鍵記錄設備,完成鍵盤記錄攻擊。不過上述的鍵盤攻擊方式都是需要修改目標系統的軟硬件環境,容易被用戶所察覺。在上周的CanSe
cWest會議上,研究人員推出了一種新的鍵盤記錄方式,即通過激光來記錄用戶的擊鍵記錄。
這種攻擊方式類似於傳統的激光竊聽手段,首先,攻擊者需要有能夠直接看到目標用戶計算機的視線距離,然後通過激光麥克風,攻擊者能夠收集到目標用戶每次敲擊鍵盤的聲音。由於鍵盤上每一個鍵的敲擊聲音與其他的有所區別,攻擊者只需要收集到足夠多的樣本,並結合字典自動匹配技術,就能完整的還原出用戶在鍵盤上的每一次擊鍵。這種鍵盤記錄方式不會對用戶系統產生影響,因此目標用戶很難發現自己已經被別人監控,尤其是在公共場合如咖啡廳等使用自己的筆記本計算機更是如此。這個研究看起來挺科幻?說不定現在使用這種攻擊原理的鍵盤記錄產品已經裝備到私家偵探或其他調查人員手上了。
如何有效的對紙質的文檔進行管理,是政府部門和企業相當頭疼的一個事情,尤其是在需要限制文檔的使用或散發的場景中,往往需要將紙質文檔和使用者一一對應,而且在使用過後還需要確認該紙質文檔是否曾經被復制過。普林斯頓大學的一群研究人員對此就提出了一個相當有意思的想法,因為每一張紙都存在類似人的指紋這樣獨一無二的紋理特征,只需要通過特殊的顯微掃描儀,就能記錄下每一張紙的特征。在實際環境中只需要對比某張紙上的紋理特征和數據庫中所存數據,即可確認這張紙對應的使用者或出處。
筆者認為,這種方式其實也挺適合用於傳遞加密的密鑰,只需要按照一定的算法將空白紙上的紋理處理成加密密鑰,這張白紙就能作為加密密文的密鑰進行存儲和交換,而不清楚情況的第三方也難以想象一張什麼都沒有記錄有的白紙就是解密重要信息的密鑰。
測謊儀是歐美國家中常用的對目標人物進行真實性測試的工具,然而在現實生活中卻非常罕見。而在日常的電話溝通中相信很多朋友都希望能夠通過某種方式,了解到正在電話的對象所說的話是否真實——現在有個好消息,電話版的測謊儀已經開發成功,並在本周開始上線為用戶提供服務,這個由語音分析廠商Teltech推出的名為LiarCard的服務,能夠通過分析電話通話時雙方的語音、語氣和延時信息,嘗試分析出對話雙方當前的心理狀態,從而得出目標人物是否說真話的結論,目前LiarCard服務采用在線服務的方式提供給用戶。
筆者覺得,先不說這個在線語音分析技術效果如何,用戶在使用前還是得考慮將自己和別人的電話通話交給第三方進行分析是否安全,隱私和敏感信息洩露的風險可比知道對方是否說真話的重要性可大了不少。
