 |
|
《安全月刊》2007年第六期 总第三十六期
出刊:2007年6月27日 |
 |
|
|
|
|
|
|
|
 |
| |
|
安全服务外包从这里起步(一)
|
在互联网大潮飞速发展之中,随着每年大规模安全事件的爆发,企业自身的技术力量每每出现木桶的短板,网络和信息安全不可不重视,同时我们也渐渐意识到,信息安全的问题已由技术层面扩大到管理层面。唯有正视信息安全的管理问题,解决“短板”问题,寻求信息安全专家的专业服务及帮助,才能真正解决企业的信息安全问题。
许多单位/企业都拥有了先进而昂贵的网络安全设备,但由于缺乏对自己网络的深刻了解,安全产品之间往往无法灵活配合,导致无法使产品发挥最大效能。所以,对于大多数企业用户和远程办公用户来说,仅仅依靠自身力量,并不能实现真正意义上的网络安全。
南京优创科技有限公司致力于为客户提供高质量的专业服务,今年新增加“安全服务外包”业务,我们将凭借高超的专业水平和丰富经验、强大技术支持基础设施及体系,帮您迅速发现问题、解决问题,全面保障您的信息安全。
“安全服务外包”是什么?
安全服务外包就是把企业的信息化建设工作中的安全相关部分交给专业化服务公司来做。可以包括:安全规划(咨询)、设备和软件选型、网络系统和安全软件系统建设等。
“安全服务外包”的意义:
是企业迅速提升安全管理水平,增强抗安全风险能力,提高企业工作效率,节约信息化成本的一种途径,也为企业安全技术和管理人员提供风险量化评估和业绩上升,技术发展的空间。
优创“安全服务外包”的产品内容:
- 产品技术服务
- 整体安全解决方案
- 应急响应
- 安全评估
- 安全加固服务
为客户节约大量的信息安全保障成本,提供持续、高效、专业的服务,是我们对每一个客户的承诺。总有一种产品适合您,从本期开始,我们将连载“安全服务外包”业务的相关内容,下期我们将重点为您介绍各种产品的详细内容,敬请关注!
——(连载)
|
| |
|
<<<< 回到本期导读 |
|
Photoshop CS3惊现漏洞 黑客可远程攻击 |
据国外媒体报道,漏洞评估公司Secunia发布警告说近期的Photoshop版本存在一个高危级别的漏洞,恶意人士可利用这个漏洞发动对用户机器的远程攻击。此漏洞影响范围涉及到Adobe Photoshop Creative Suite 3和Photoshop CS2。
Photoshop在处理一些做过手脚的位图文件时,例如.bmp、.dib和.rle,恶意代码会利用Photoshop的漏洞导致一次缓存溢出攻击,远端的黑客从而可以操纵用户的系统。
尽管安全公司研究人员已经发布了演示代码证明了如何利用这个漏洞发动攻击,不过目前网络上还没有出现此类恶意代码。
Secunia公司建议用户在Adobe公司发布新补丁之前,不要使用Photoshop打开任何来源不明的位图文件。
另外一方面Adobe公司已经发布声明称已注意到了这个漏洞并正在积极研究解决问题中。
|
<<<<
回到本期导读
|
|
 |
|
检查电脑是否被安装木马三个小命令 |
一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。
一、检测网络连接
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
二、禁用不明服务
很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。
方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。
三、轻松检查账户
很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。
为了避免这种情况,可以用很简单的方法对账户进行检测。
首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user+用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧!
联网状态下的客户端。对于没有联网的客户端,当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程,也使用户的计算机时刻处于最佳的保护环境之下。 |
<<<< 回到本期导读 |
 |
| |
|
病毒警报 |
国家计算机病毒应急处理中心通过互联网络监测发现,蠕虫“帕虫”(Worm_Pabug)的新变种正在互联网络中传播。该蠕虫通过移动存储设备(如:U盘)进行传播,由于现在使用移动存储设备进行数据交换的计算机用户比较多,使得该蠕虫的传播速度很快。目前,该蠕虫已经出现了多个变种,国家计算机病毒应急处理中心已接到多个用户报告。
解决方法:
(一)未感染该蠕虫的计算机用户采用以下措施:
1、立即升级计算机系统中防病毒软件,暂时关闭微软“自动播放”功能。
具体方法:打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”,双击“关闭自动播放”,在“设置”选项卡中选“已启用”选项,最后单击“确定”按钮即可。这样可以防止染有蠕虫的移动存储设备(如:U盘)接入时受到感染。
2、使用移动存储设备前,务必进行病毒的扫描工作,查杀移动存储设备中存在的已知病毒;
(二)已经感染该蠕虫的计算机用户采用以下措施:
立即下载专杀工具进行查杀,同时将受感染的移动存储设备(如:U盘)进行格式化处理,彻底清除残留的病毒文件。另外,对系统全盘进行病毒清除。
安全建议:
1、修改操作系统中的一些设置参数,提高系统安全设置。如:关闭微软“自动播放”功能等。
2、计算机用户使用U盘等移动设备交换文件时,务必开启杀毒软件的“实时监控”功能,或先用防病毒软件扫描,并关闭自动播放功能。
|
|
|
<<<< 回到本期导读 |
|
 |
QQ是什么,相信不知道的人已经很少了,在即时通讯软件满天飞的这个年代,能够打败微软,雅虎等巨头,在国内即时通讯市场占率长期排名第一,这和QQ的功能强大,推出时间较早,以及国产软件等各个方面的综合因素有很大的关系。不夸张的说,QQ号已经和固话,手机,邮箱一起做为一个人固一的联系式之一,我们经常会和人交换名片,很多名片上,QQ也赫然在列,这说明QQ的普及性已经到了一个相当高的程度。
QQ的这种特性,经常成为老板和领导头疼的一件事情,由于担心员工上班,使用QQ进行一些与工作无关的聊天,很多单位和公司已经明令员工上班期间不得使用QQ。但是,这种命令往往不能得到贯彻。经常有员工偷偷的使用QQ。于是,就需要从技术上来对QQ进行封堵。但由于QQ的通信方式较为复杂,所以,网上有很多号称能封住QQ的方法,基本上都不是可行的。要想彻底的封死QQ,首先必须了解QQ的通信机制。
QQ在登录时,会首先腾迅UDP服务器的4000与8000端口,例如:219.133.49.171、219.133.49.164,等等(如图), |
| |
| |
| |
| |
|
如果发现在本地的防火墙,或者安全策略将UDP的4000和8000端口封住时,QQ会使用HTTP协议登录TCP服务器的80端口。(如图) |
|
现在网上流传的封QQ的方法,大部分都是通过先封信UDP的4000和8000端口,再通过阻止PC与QQ的TCP服务器的IP地址通信为基础的。这种方法不仅实现起来非常复杂,容易出错。而且非常的不现实,据笔者长期观察了解,QQ的服务器的IP地址会经常变化,如果不根据QQ服务器的变化而相应的改变策略,之前做的策略基本上也就失效了。
如何简单,不用经常变换策略就能够将QQ封住呢,我们可以使用Watchguard Firefox系列UTM来解决的。只需要配置两条规则就可以完全将QQ封死。首先是先将UDP的4000与8000端口封掉,然后,添加一条HTTP—Proxy策略即可。这条策略是内置可选择的,用户只需要点击ADD添加,然后选择需要禁止的机器的IP就可以了。QQ使用的HTTP协议是经过QQ本身修改的,不符合RFC定义的HTTP的协议标准,这条规则就是将QQ的HTTP协议拒绝掉。
通过上述方法,就可以简单,安全,快速的禁用QQ,并且不影响网络的正常使用。
注:RFC(Request For Comments)-意即“请求注解”,包含了关于Internet的几乎所有重要的文字资料。如果你想成为网络方面的专家,那么RFC无疑是最重要也是最经常需要用到的资料之一,所以RFC享有网络知识圣经之美誉。通常,当某家机构或团体开发出了一套标准或提出对某种标准的设想,想要征询外界的意见时,就会在Internet上发放一份RFC,对这一问题感兴趣的人可以阅读该RFC并提出自己的意见;绝大部分网络标准的指定都是以RFC的形式开始,经过大量的论证和修改过程,由主要的标准化组织所指定的,但在RFC中所收录的文件并不都是正在使用或为大家所公认的,也有很大一部分只在某个局部领域被使用或并没有被采用,一份RFC具体处于什么状态都在文件中作了明确的标识 |
工程师:杨诗磊
工程师信箱:yshl@ultratech.com.cn 欢迎大家与我一起交流技术方面的问题。
<<<< 回到本期导读 |
无论你如何勤勉地修补系统和保护你的电脑,它仍然有可能在未曾预见到的攻击出现后的数个小时内中招。这篇文章将为您讲述零时差攻击的危险性以及它是如何利用安全漏洞的。
在电脑安全方面你并不曾懈怠。你随时更新应用程序,确保它们都是最新的版本,你也安装了反病毒软件。你很在意你浏览的是什么样的网站,在电脑上安装的是什么样的软件。
但是去年九月,如果你访问过由HostGator(位于佛罗里达州的一家顶级主机托管商)托管的博客站点,你的浏览器就会立即被重定向到一个受病毒感染的网站,这利用的是一种古老的微软图形格式中存在的漏洞。
在几秒钟内,恶意软件就侵入了你的电脑
遭遇到这一切,是因为你已经沦为零时差攻击的受害者——这种攻击往往针对某种软件的漏洞,当漏洞刚被发现不久,还没有任何补丁文件被发布并对已知问题进行修复时发起的攻击就叫做零时差攻击。这个术语最初用来描述那些 “非正式”(也就是在研究实验室外)发现的漏洞在补丁发布的当天就被利用来发起的恶意攻击,这使得IT专家们没有时间来堵上这个漏洞。
现在,零时差攻击对于网上罪犯们的价值正在飞涨中,因为这种攻击可以侵入最新的、保护得当的系统。例如,去年十月,趋势科技的首席技术官Raimund Genes在一个网络聊天室里注意到一条滚动出现的广告。一个黑客想出售测试版的Windows Vista里一个不为人知的漏洞,要价是令人瞠目的5万美元,虽然Genes无从得知是否有人购买了那些代码。
“现在有了不少有组织的地下机构,”McAfee公司的安全研究经理Dave Marcus说道,“网上罪犯们已经领会到他们能够靠恶意软件来发财了。”
有利可图的恶意软件
恶意软件可以是个“机器人程序”。例如,它能够让你的电脑传播垃圾邮件,或者加入到拒绝服务式攻击,把某个网站弄得崩溃而不能提供正常服务。“这比把一位老太太打倒在地,并抢走她的钱包要容易多了,”Marcus说,“这也是非常隐匿的,而且攻击者可以舒服地坐在星巴克里发动这一切,却不会被丝毫察觉。”
多亏改进后病毒扫描技术不再完全依赖病毒定义文件,McAfee出品的反病毒软件和其它安全软件在保护计算机免受未知威胁的攻击时变得更加出色了。此外许多新出现的免费与收费软件都提供了针对零时差攻击的主动性保护,并尽可能地限制攻击带来的损失与破坏。
Jeff Moss,每年一度的BlackHat安全大会的发起者,认为正确的安全设置能最大限度地保护你的电脑。但有目的的攻击有时能够突破重重防线。“你可以买一大堆防火墙、安全软件和其它东西,”他说,“但只要某个软件里存在着可以为零时差攻击利用的漏洞,那么再多的防护也是无济于事的。”
在补丁发布之前就发起攻击的各种程序里,最危险的是会偷偷地在后台下载恶意软件的那些。你只是很平常地浏览了某个被植入恶意代码的页面,或者是打开了一封受感染的HTML格式电子邮件,就会遭到入侵,你的电脑里会悄无声息地被塞入各种间谍软件,木马程序或者其它恶意软件。在2005年底到2006年底之间,网络罪犯们利用一种不常被人们使用的微软图片格式中的漏洞,发动了至少两起这样的零时差攻击,并感染了数百万台电脑。
在HostGator遭到入侵的案例中,被黑客所利用的是IE浏览器在处理矢量标记语言(VML)格式的图片时出现的漏洞,这个漏洞一直没有引起注意。VML是一种不常见的、用来创建3D图像的标准格式。
在九月份,Sunbelt Software公司发现了这种类型的攻击并向人们发出警告,它在俄罗斯的一家色情图片站点上发现了这个漏洞。漏洞本身就足够危险:如果你浏览过任何含有中毒图片的网站,你的电脑就会被植入恶意程序。而攻击者们清楚地知道如何让危害扩散得更大更广。
利用网站管理工具cPanel里的一种未知漏洞,攻击者们劫持了由HostGator托管的成千上万个网站。访问者浏览过这些完全合法却中了毒的网站后,会被重定向到一些恶意网站,这些网站会利用VML漏洞发起零时差攻击。
微软的产品,如IE浏览器、Office办公套件和Windows操作系统,是最常受到零时差攻击(和其它类型的攻击)的目标。部分原因是它们占据了大部分的软件领域。但是微软过去犯下的没能在产品开发时对安全性进行充分考虑的错误,也导致了它的软件产品成为普遍的(也是容易攻入的)攻击目标。然而,Vista在安全方面有了长足的进步,至少在现在看来是这样。
仅仅在2006年,就有四种直接或者间接针对IE 6浏览器的零时差攻击。首先出现的针对IE 6的持续不断的攻击利用了在2005年底发现的漏洞。这种漏洞存在于Windows图元文件格式(WMF),当IE呈现WMF图片时就有可能受到攻击。
在针对WMF漏洞的攻击事件层出不穷并广为人知后,微软首先宣布随着正常的补丁发布周期,它将在数周后发布一个补丁来修复此漏洞 —— 但是由于攻击事件的不断出现和公众的反对声不断上涨,它最终不得不在一月初发布一个计划外的修复补丁。
然而补丁并没有让攻击停止,这表示出零时差攻击也可以有着很长的时间效应。与VML文件漏洞一样,WMF漏洞也会导致电脑被暗中植入恶意程序,这是网上罪犯们最喜欢的攻击方式之一,受害者无需点击受感染的图片就会中招。如果你通过Windows的自动升级功能打上了微软发布的补丁,那么你会没事。但是很明显,许多Windows用户并没有这样做。
去年七月份,通过一家为上千个网站服务的广告发行网络公司,一幅藏匿着有害代码、为Deckoutyourdeck.com网站做宣传的广告出现在MySpace和Webshots这样的知名网站里。藏匿在旗帜广告里的恶意程序会把木马下载到访问者的电脑里,它会带来广告软件和间谍软件。消息人士称——到补丁在七个月后终于发布时为止——一共有上百万人的电脑遭到入侵。
与针对IE浏览器发起的具有高危险性的零时差攻击不同,专门针对Word与其它Office软件的攻击不能通过下载来发起攻击。而主要依靠诱使受攻击者双击打开电子邮件附件——这通常用于有目的地攻击某家特定的公司,即使是再小心的用户也有可能不经意就双击打开了附件。
向目标企业的雇员发送假的(或者“欺骗性的”)邮件,把邮件伪装得看上去像是来自某个同事或者是该企业内的其它来源,黑客就有很大机会成功诱使收件人打开附件里的Word文档。而如果邮件看上去像是来自于某个不知详情的发件人,机会则小得多。
|
谭博士信箱:txy@ultratech.com.cn 欢迎大家与我共同探讨安全问题。
<<<< 回到本期导读 |
| |
 |
|
|
本期导读:
