2007年11月刊  总第41期     

希捷硬盘染毒归咎台湾制造　可能与间谍行为有关

    国外媒体报道，希捷生产的部分硬盘出厂时就已感染了一种病毒。
    希捷说，杀毒软件销售商卡巴斯基实验室（Kaspersky Lab）在它的Maxtor Personal Storage 3200盘上发现了这种病毒。
    卡巴斯基发现的这种病毒名为Virus.Win32.Ruh.ah，这种病毒的主要功能是搜索在线游戏密码并把它们发送到位于中国的一台服务器，但同时它还可以让病毒监测软件失效。
希捷称这种被感染的硬盘是由中国的一家合同制造商生产的。该公司在获悉上述病毒的存在后立即停止了发货。
    现在，这家工厂出货的硬盘已清除了这种病毒，而那些库存的产品也在进入市场之前也已被重新加工。
希捷没有解释这些硬盘如何感染了这种病毒。它现在已对这家合同制造商展开了内部犯罪调查。
希捷建议消费者使用最新的病毒库对受到感染的硬盘进行杀毒处理，对于那些杀毒软件还没有针对该病毒进行升级的用户，希捷向他们提供了卡巴斯基杀毒软件的一个免费试用版本。希捷发言人Forrest Monroy通过一封邮件称，“一个试用版的卡巴斯基杀毒软件能够查杀这种病毒。”
    据安全专家称，如果在硬盘测试、生产、质检过程中任何一台电脑被感染，这种事情都很可能发生。上次iPod播放器被感染病毒事件，据称就是因为生产环节中一台电脑的硬盘被Windows操作系统下的一种病毒所感染。
    就在这个丑闻曝光之前，希捷刚刚和解了一起因标签误报硬盘容量而引发的法律诉讼。这起诉讼的根源在于对标识容量大小的GB的定义。做为和解协议的一部分，希捷向那些在过去6年里购买了相关硬盘的用户提供了5％的返款。
    希捷公司对此进行调查，本月12日希捷在调查报告中称，被感染的硬盘于2007年8月生产，共有3200块出售，硬盘的确在生产流程中感染“恶意软件”，目前，希捷已经将该事件归咎于一家中国台湾承包商，但希捷并未透露公司名称。
    硬盘中的病毒名称为AutoRun-AH，它是一款特洛伊木马软件，可以自动寻找在线游戏密码，然后将密码发送至中国服务器，同时，该病毒还能使防毒软件失效。
    对于该事件，希捷表示:“在了解到可能存在的影响后，我们立刻中止出售该产品。清单上已生产出来的感染硬盘也已经将病毒清除，并将再加工，然后才出售。但是，还有一部分感染硬盘已经流入市场。”
    据媒体报道，硬盘中有一批容量高达500G，这批硬盘主要出售给政府部门，因此，部分人士认为可能与台湾间谍行为有关。而台湾媒体称，感染的硬盘中有1800块产自泰国，其中包含特洛伊木马。

<< 返回 

细说防毒墙与防病毒软件的区别

    杀毒软件是我们电脑上必备的安全软件，一台电脑只有安装上杀毒软件，才能做到对病毒安全防护。随着硬件技术的发展，一些厂商推出了带有网关防病毒功能的硬件产品。比如专用防病毒的防毒墙，与嵌入了防病毒功能的UTM等。这些功能强大的设备与防病毒软件一起，站在了网络安全的第一线。对保护我们网络的可靠性与安全起到了巨大的作用。
    然而，随着硬件产品的发展，强大的网关病毒产品已经能够防住网络中大部分的已知病毒，甚至像WatchGuard这样的全球知名的安全厂商，对未知病毒的防护也有了相当全面的举措。这就给了人们一个误解，就是有了网关防病毒，那么内网可以少用或者不用防病毒软件了。
    其实网关防病毒，与防病毒软件，无论从工作机理上，还是防病毒能力上，都是有着差别的。下面我们就这些差别，做一些论述。
工作的位置不同。
    网关防病毒一般是放置于网关处，对内外网这间进出的流量进行监控，如果发现有病毒进入就根据用户的配置进行选择，例如我们访问一个网页，如果我们网页中包含病毒代码的话，网关防病毒会对进入内网的包进行检测，发现病毒后，会不显示此页面，而是跳转到一个指定的页面（由用户指定）或者一个详细的说明页面。
    防病毒软件一般工作在PC上，对PC上运行的程序和进程进行检测，发现病毒后就进杀毒。我们还是举上面这个例子，同样是访问一个网页，如果使用防病毒软件，网页中的恶意代码会先被执行，在执行过程中防病毒软件发现了危胁，对病毒进行查杀。
对病毒防治的能力不同。
    其实从上面举得那个例子就可以看出，对网络间的病毒，防病毒网关比杀毒软件的反应更快，而相对的，内网之间的病毒，或者一些通过移动存储工具传播的病毒，防病毒网关往往是没有办法的。
    现行的防病毒网关一般可以对网页中的病毒，邮件的病毒，以及网络传输的文件中的病毒等进行防护，一般防病毒网关还会与IPS进行配合，对网络中的一些入侵行为进行监控与防护，而防病毒软件则主要是用于PC上的文件扫描，配合上单机版的防火墙，可以对PC进行强大的安全防护作用。
两者需配合使用
    防病毒网关与防病毒软件常常需要配合使用，单一的产品是无法给内网提供安全保障的。例如趋势科技推出的防毒墙与趋势网络版杀毒软件结合，对网络与单机实行一个统一的保护。有效了互补了两者的缺点。
以上只是我个人的一点看法，我相信，随着技术的发展，这两者会被更加有效的结合到一起，成为我们手中对抗病毒的利器。

工程师：杨诗磊

工程师信箱：yshl@ultratech.com.cn?欢迎大家与我一起交流技术方面的问题

<< 返回 

信息安全四大新技术探秘(二)

    Nanoident声称，要研发出包括指纹获取、数据提取、同数据库比对、以及在半导体自身上保存信息的所有技术。施罗特说，用光感光子传感器制造打印型半导体极其复杂，因此公司要真正发布该项技术尚有待时日，但随着在制造流程上取得进展，Nanoident已经打算近期在奥地利开设一家印刷工厂。
　　Nanoident的子公司Bioident科技公司(下称Bioident)将其技术定位为抛弃型光子实验室芯片(Lab-on-a-chip)，该芯片能用来检测和分析空气、食物或者水供应中的化学和生物制剂物质。Bioident的微处理器可让科学家、研究人员、以及应急人员(First Responder)携带设备到室外检查污染情况。潜在的受污染水的样本被置于包含微流体传感器的芯片上，这样就能产生化学反应，从而提供关于水中所含成分的信息。这些打印型微处理器造价较为低廉，大可随手抛弃并用新处理器取代。“设想一下，假如我只携带一块芯片就能开展所有诊断工作，还不用带回实验室，(那将是多大的便利!)”Bioident CEO瓦斯克·博哈里(Wasiq Bokhari)说。
　　槲寄生科技公司(Mistletoe Technologies，下称槲寄生公司)销售一种包含有嵌入式虚拟专用网(VPN)、防火墙、以及防范拒绝服务(DoS)攻击功能的芯片。它已经同网络设备制造商BroadWeb公司、Viking Interworks公司等达成了合作关系，将VPN芯片和防火墙芯片嵌入到它们生产的设备之中。
　　安全新技术(二)：可信赖计算
　　可信赖计算联盟(Trusted Computing Group，TCG)是一个非赢利组织，由惠普、IBM、英特尔公司(Intel)、微软公司(Microsoft)等IT巨头于2003年共同组建而成，负责开发保障系统和数据安全、防范外部攻击和物理盗窃的相关标准。
　　目前，该组织最引人注目的成果莫过于可信赖网络连接(Trusted Network Connect)标准，它也是除思科以外，几乎所有IT销售企业的网络访问控制技术的基础。而思科更希望网络基于自己的技术运行。这个小组所取得的另一项成就则是可信赖平台模块(Trusted Platform Module，简称TPM)。这是一个固定在PC主板上的微控制器，用来存储密钥、密码以及分离于硬盘驱动器的数字证书。自2003年起，TPM已经被嵌入到超过4,000万台PC上。
　　倡议者声称，可信赖计算技术是安全技术的未来趋势。“10年之后，你根本用不着什么用户名和密码，”波浪系统公司(Wave System)CEO、同时也是TCG董事会成员的史蒂文·史布拉格(Steven Sprague)表示，“用户可以直接向电脑证实自己的身份，而电脑将把自己的身份提供给网络。”
　　史布拉格及其他人预测，TPM的能力将得到扩展，通过存储关于PC授权用户的登录和密码信息，同时定义运行在PC上的应用程序的不同类型和版本，它将成为“可信赖链条”上的第一个组件。TPM目录和PC上发现的信息之间存在任何不一致都可能阻止PC的引导。关键的应用程序和功能，比如电子邮件、网页访问、以及本地数据保护等，因此将变得更为安全，惠普副总裁、服务首席技术官(CTO)托尼·雷德蒙(Tony Redmond)表示。
　　TCG的内部工作组正在研究用于外围和存储设备的TPM芯片的制造方法。它的目标是赋予设备自动通过用户证书的能力，这样一来，用户就不必在工作日里从早到晚忙着为每一个程序、网络和网站进行授权了。基于TCG新型移动可信赖模块(Mobile Trusted Module)标准的设备今年年中就该面市了。
　　但是，可信赖计算技术不可能速战速决。它可能需要耗费8~10年时间，才能完成IT基础设施的改造，从而实现用户无论身处何地都能验证身份登录网络的功能，雷德蒙这样认为。
　　另一个关键因素是，新的操作系统Windows Vista已经认可TPM，并承诺予以支持。此外，还有几个小安全技术组正在Linux系统和其他开源代码上进行努力，以此扩大TPM的力量。

谭博士信箱：txy@ultratech.com.cn 欢迎大家与我共同探讨安全问题

<< 返回