2008年07月《安全天下事之莫须有的敌人与看得到的威胁》、2008年08月《安全天下事之七月流火》

莫须有的敌人与看得到的威胁

（2008年07月） 文/江海客

震后西方媒体旧态复萌，继续用莫须有的网络安全事件抹黑中国，一件诬称美国商务部部长访华期间，被中方获取了笔记本电脑上的数据，并以此进一步攻击美方网络，而更有人想起了今年2月26日的佛罗里达大停电，声称这是中国“军方”黑客所为。著名黑客Kevin.Paulson在Wired magazine(连线)网站上撰文说，根据FRCC（佛罗里达安全合作协会）所发布的报告显示，大停电是人工操作失误所引起的，而非所谓的“黑客攻击”。他讽刺道，美国一些人“对于网络战的臆想已经达到令人眼花的新高度”， “我现在就等着他们说‘卡特里娜飓风也是中国干的’了。”
制造莫须有的敌人，不如去研究共同的威胁。
6月4号，在Gartner Security Summit 2008上，很多专家对未来的安全发展趋势作出了预测，来自调查机构的观点认为网络边界的概念不再清晰，而趋于模糊化，对于数据中心来说已经更希望所有的安全体制都能够融合起来。
这使SOC（Security Operation Center）的价值再度获得重视，在过去的若干年里，SOC一直被务实派的安全人士作为一种看上去很美的虚无理念，其大规模用户定制化的开发方式大有安全领域的ERP的味道。
本月消息灵通人士透露了国内运营商新的一轮提速的传闻，骨干带宽的增长，明显再次甩开了安全厂商设备吞吐能力的增长，越来越多的运营商进一步表现出对直路产品的不信任性。在这种大趋势下， IDS、VDS、流量分析等产品重新被人关注。旁路产品虽然有不能直接产生作用的劣势，却有着自身对网络效率和运维部构成任何干扰的特点。传统IDS企业未必需要向UTM彻底臣服。
漏洞依无孔不入，几乎所有的ActiveX控件都成为挖掘对象，本月电子出版开发商BlackICE的一套条码识别SDK被发现2个漏洞，可以用于挂马，这个漏洞的原理很简单，其中之一是一个下载图片的函数，未提供有关保护机制可以导致木马的下载，该套SDK提供了在线的条码识别功能。让人感觉到页面注入相关漏洞的挖掘已经向小众领域迅速扩展。有趣的是，这条漏洞被安全人士关注，不是因为其这一背景，而是这个厂商与在witty溢出蠕虫中声名扫地的个人IDS产品BlackICE同名。
苹果开发商大会近期召开，在一派繁荣背后，也有分析家认为“iphone 2.0的发布恰好提供了绝佳的 恶意威胁2.0化的趋势”。自蓝牙安全策略日益提升后，手机病毒的增长势头一度被遏制。谁将再次揭开潘多拉魔盒，必将是一个广有市场覆盖率，同时在配套服务的深度与广度方面雄心勃勃的厂商。也许苹果就会扮演这样的角色。

七月流火

（2008年08月） 文/江海客

2008年的七月份，对于信息安全业界来说，注定是一个不太平的月份。
首先各大安全厂商的上半年统计表明，恶意代码总量迅猛增长，芬兰的F-Secure所统计的数据表明，已经有超过90万种恶意代码，而且仍在以每月数千的速度增加；而Antiy Labs的ASTS#6样本库，截至7月12日为止，捕获全库恶意代码样本总数已近582万个，恶意代码样本种类也已接近26万种。与此同时是一些fw厂商开始抱怨反病毒厂商提供的AV SDK占用内存过于庞大。由此可见基于特征签名匹配的反病毒技术的压力。而目前，以反挂马、反溢出、反自动传播为亮点的新的主动防御技术，正日益成熟，趋于稳定，起到了相当大的作用。
本月，知名的论坛Blog系统Wordpress再度出现严重安全漏洞（XMLRPC.php），通过XML-RPC接口的的Post-Type类型验证机制中的缺陷可以使得攻击者随意提交请求查看其它用户的注册信息，甚至恶意修改所发布的文章。因为Wordpress的普及性相当之高，因此官方立刻针对其发布了相应的安全补丁，以避免攻击所带来的影响进一步扩散。
本月，美国一安全厂商WatchGuard发布了一款新的安全产品，将其命名为XTM（Extensible Threat Management），号称能够为传统的UTM提供更为快捷的扩展功能，可以成为革命性的具备自适应能力的安全网关产品。但实际上，当前UTM产品受到诟病，并不是因为其功能不够多，而是其速度缓慢、事件质量低下。根据欧洲测试机构近期数据表明，多款号称千兆的UTM，在打开病毒过滤功能后，最快速度均不足300Mbps。作为安全厂商来说，所面对的客户无论是个体消费者、抑或是SMB市场的中小企业，又或者是大规模的巨无霸企业，其对安全的认知都是十分薄弱的，尤其是技术方面的理解。如何切实的保护其信息资产、环境免于被入侵、破坏等是安全厂商的第一要义，倘若放弃了客户的幸福，而一昧的追求新概念、新理论、新名词，以炒作为主，那就与这一初衷相背道而驰。
最后，安全提示一则。7月15日，Verycd.com知名的互联网资源分享网站广告系统AD被挂马，所利用的漏洞包括：MS06014漏洞、RealPlayer播放器IERPCtl.IERPCtl.1漏洞、联众世界游戏大厅所安装的GLCHAT.GLChatCtrl.1 ActiveX控件漏洞、Real Networks RealPlayer包含的'rmoc3260.dll' ActiveX控件存在内存破坏漏洞、Adobe Flash Player SWF文件漏洞、百度搜霸ActiveX控件远程代码执行漏洞等，VeryCD官方已经采取了必要的安全措施。