搜尋此網誌

2011年6月15日 星期三

[研究報告] 惡意程式最多的行動裝置平台為 Symbian OS

symbian-osMcAfee 於日前公布了最新一季 (2011 Q1) 的威脅報告,內容包含下列觀察結果:

 

 

  • Android 躍居為行動裝置平台中最受惡意程式青睞的第三名,僅次於 Symbian OS 與 J2ME。因為 Android 的開放性以及高佔有率,預計針對 Android 的威脅將持續增加。在感染的方式上,大多將惡意程式注入合法程式中並誘使使用者加以安裝。當使用者一旦安裝這些受到感染的程式後,除了可能將機密資料(例如 IMEI 或是手機號碼) 傳遞出去外,也有可能成為殭屍網路的一員。
  • 因為多個組織聯合起來對付 Rustock Botnet,所以 Botnet 的數量呈現下降的現象,連帶的使得透過 Botnet 發送的垃圾信件數量也持續呈現下滑的趨勢。不過這場與 Botnet 的戰爭,誰輸誰贏還有待後續的觀察。
  • 竊取銀行帳號/密碼或其他機密資料的程式持續發威,並且隨著技術的成熟,這些惡意程式 (如 Zeus、SpyEye) 可以透過模組化的方式動態地新增功能,提升所引起的威脅。
  • 搜尋引擎關鍵字的濫用,這些關鍵字包含新聞時事 (如日本地震) 以及熱門話題 (如 Android 手機)。駭客可以透過搜尋結果的呈現,將使用者導向惡意網站,並對其進行攻擊 (如偷渡下載)。除了對使用者進行攻擊之外,也有可能誘使使用者進行捐款 (如針對日本地震) 以獲取金錢上的利益。
  • 在非法檔案 (如受版權保護的軟體) 分享方面,美國是主要的地區,其次分別是德國與中國。
  • Adobe 產品 (主要為 Flash 與 PDF) 的弱點數量大幅超越 Microsoft 的產品弱點。Adobe 成為弱點最多的廠商,也順勢成為最受駭客青睞的的廠商。
  • Botnet 衍生出 Botnet as a Service 的形式。對 Botnet 的使用者而言,可以用更低廉的成本取得相關服務 (如寄送垃圾信件或發動 DDoS 攻擊)。
  • Hackvitism 利用網路進行串連,發起了許多世人關注的活動。埃及、摩洛哥、敘利亞、土耳其等國家或地區,人民透過網路串連後,聚集在一起以表達出人民的心聲。

對原始完整報告有興趣的讀者,可以在這裡下載。

相關連結:

2011年6月12日 星期日

[研究報告] 小心 WebDAV 的使用

安全廠商 eEye Digital Security 在上個月 (5月) 發表了一份報告,內容針對去年度 (2010年) 微軟所發佈的安全通告進行分析。在報告中,提出了幾項在組態上建議採行的控制措施,以避免或減少安全問題的危害:

  • 避免使用 WebDAV – 對許多使用者而言,WebDAV 並不是日常工作所需的功能。然而在較新的微軟作業系統中,這些協定卻是預設開啟的,因而造成了安全問題的發生。關閉 WebDAV 的使用可以透過 GPO 將 WebClient 這個服務加以停用,或者是利用網路設備 (如IPS) 將 WebDAV 的封包加以攔阻。唯在進行 WebDAV 使用的封鎖之前,應確實了解內部有哪些 WebDAV 協定的使用是必須的,以免影響原有作業之進行。
  • 避免使用 Office 的 Converter 功能 – Office 的 Converter 功能主要是用來提供 Office 程式開啟不同版本的 Office 文件(包含開啟舊版的文件,或者是新版的文件)。同樣的,這樣的功能也不是大多數使用者在進行日常業務時所需的。關閉 Converter 的功能可以透過 GPO 或是機碼的方式對使用者進行設定,唯需特別注意的是每一個 Office 功能 (如 Word 或 PowerPoint) 需分別設定。
  • 使用代理伺服器 - 雖然代理伺服器本身不能阻隔攻擊行為的發生,但是卻可以有效避免被成功攻擊後所產生的危害,這些危害包含與控制中心的溝通、或者是相關機密資料的外洩。必須注意的是,這些代理伺服器不僅需針對 HTTP 的協定,更應該包含所有的網路協定。
  • 採用 VLAN 與 IPSec - 採用 VLAN 不但可以避免封包的偷窺 (Sniffing) 或修改攻擊,更可以藉由分析 VLAN 間的流量找出可疑的網路行為。如果再加上 IPSec 的使用,即使是同一個 VLAN 之內的封包也無法進行偷窺或修改的攻擊。
  • 避免使用 NTVDM – NTVDM 是用來模擬 16 位元程式執行環境的子系統,此對大多數的使用者而言同樣並非所需的功能。
  • 使用最新版本的應用程式 - 這裡講的不是安裝最新的更新檔 (Patch 或 Service Pack),而是安裝最新的版本,例如使用 Office 2010 取代 Office 2007。根據實際的數據顯示,新版的應用程式確實擁有較少的安全問題,而這主要歸功於微軟不斷地致力於提昇軟體安全。只是微軟在提昇軟體安全的同時,卻忘了把舊的軟體一併改進,所以才會造成此一現象。當然,這點建議在採行上還有其他因素需要考量,包含轉換成本以及相容性等。

對原始報告內容有興趣的讀者,可以在這裡下載完整的內容。

 

相關連結:

2011年5月16日 星期一

[資安觀念] 加密≠安全

1018103_broken_chain1每次一有機會跟從事軟體開發的朋友聊天時,我就會問一下他們有關軟體安全的問題。當然,我問的問題很簡單,就是他們的軟體有考慮安全的問題嗎?嗯,其中一種蠻常聽到的回答就是:「有啊,我們的資料在傳輸時有加密。」或者是「沒有耶,我們的資料都沒有做任何的加密。」

噹!這樣的答案聽起來好像很有理,卻是對軟體安全有著極大的誤解。對於軟體安全而言,從需求面可以分成兩大類型,第一類是安全性功能 (Security Feature),像是資料在儲存時要進行加密就是屬於這類需求。另外一類需求我們稱為安全軟體的需求 (Requirements for Secure Software),也是大家比較不熟悉的部份。舉例來說,避免程式受到跨網站腳本攻擊就是屬於安全軟體的需求。

兩者之間的分別其實並不是那麼地明顯,甚至有時候我們也可以把第一類需求歸屬在第二類需求之中。但是簡單來看,安全性功能依舊是屬於產品功能的一部分,所以可視為是用來解決客戶問題的手段。例如,將資料在加密後才加以儲存就可以避免使用者的資料被有心份子所窺探。除了加密之外,像是身分驗證也是很常見的安全性功能。相較於安全性功能,安全軟體的需求解決的是軟體本身的問題,像是如何避免有心份子利用軟體的錯誤取得寶貴的資料,或者是如何確保軟體在遭受攻擊時可以繼續運作。

事實上,軟體安全強調的並不是第一類型的需求,反而是第二種類型。就算你開發的軟體跟安全本身沒有任何關係(例如公司的公告欄網站),依舊有可能因為本身沒有做好安全的防護而導致安全問題的產生。以公司的公告欄網站為例,如果程式存在跨網站腳本的弱點,那麼就有可能讓有心份子修改公告,把自己升職為總經理。也就是因為這樣,所以我們在討論軟體安全時,不管該軟體是不是具有安全性功能,都必須考慮到安全軟體的需求。

這兩種類型的需求往往各自獨立,但是必須特別注意的是,一旦安全性功能出現問題,其所導致的危害往往將更為嚴重。舉例來說,一旦身分驗證系統出現問題,那麼就有可能導致系統內所有資料的外洩。所以對於安全性功能來說,我們通常必須更加小心地確保其沒有安全上的疑慮。除了安全性功能外,一些高價值的功能(如商品交易)也是必須多加小心的地方。

針對安全軟體的需求,通常由安全政策所衍生,而這些政策則來自於公司管理階層的考量、採用的標準、甚至是法規要求。此外,也應該包含對於各式威脅與攻擊手法的防範措施。想要進一步了解此話題的讀者可以參考這篇文章

About