| 出版日期:2004-02-09 总期号:1286 本年期号:07 |
|
 |
2003网络安全大盘点
WatchGuard LiveSecurity Content Team 整个2003年,所面临的安全威胁是减少了还是增加了? 2004年,会遇到怎样的攻击? 最重要的是,我们应该从2003年中吸取哪些经验教训,使我们的网络在2004年变得更可靠? 到目前为止,大多数的LiveSecurity专栏文章都将重点放在增强安全性的实际措施上。一年过去了,且让我们暂时放下那些话题,从另一个更高的角度来看待安全问题。 安全漏洞数量在减少 2003年,新的安全漏洞在数量上的确增多了,但我们认为,真正带来威胁的漏洞数量反而减少了。 你或许在一些年度回顾的文章里看到很多令人恐怖的统计数据。例如,前任白宫网络安全长Richard Clarke在10月份的一次讲话中提到,在过去三年里,安全漏洞的数量每年都会翻一番。Clarke表示:“到现在,每个星期都会出现多达60个新的安全漏洞。” 通过监视Secunia和FullDisclosure这样的列表,我们知道,Quake Ⅲ、CuteNews、Doro以及其他大量的软件包都存在着安全漏洞。但是,难道大多数公司都在使用这些软件吗?虽然统计出来的安全漏洞数量是惊人的,但WatchGuard LiveSecurity团队对此丝毫不感兴趣。因为,根据我们的统计,你真正需要关心的安全漏洞数量(主流服务器软件、Microsoft OS、Office软件、Unix、Linux、Internet协议等)是在不断减少。2002年,LiveSecurity发布了约106个警告;而在2003年,我们只发布了70个。 我们并不是惟一作出这个评估结果的公司。CERT在2002年报告了超过4000个安全漏洞,但2003年只发现了约3000个。Microsoft公司对出现的安全漏洞进行严密、详细地审核后,宣布,2003年的漏洞数量明显少于2002年。 病毒威胁更加严重 2003年,病毒作者的手段变得更加高明,他们创作并发布了一些非常高级的、混合型的病毒,这就是木马。它能关闭防毒软件和个人防火墙,能将病毒通过邮件发给你的朋友。 在2003年以前,许多流行的病毒或蠕虫往往是因为作者的好奇心、恶作剧,或者是考验自己的编程能力而发布的。但是,去年首次出现了专门为获得经济利益而编写的蠕虫。在BugBear代码中,包含超过1000家银行的域名。 由于BugBear还记录用户的按键操作,因此,专家推测,作者的原意是感染银行电脑,并收集密码和账号。8月份,Nachi蠕虫(俗称Blaster)感染了自动提款机。Sobig在1月到8月期间,经历了至少6次修订,最后一鼓作气发动了一次神秘的攻击。 我们预计,在2004年,通过蠕虫来获利的尝试可能变得更加严重。与此同时,我们庆幸病毒作者还没有写出一个真正灾难性的软件。但是,他们的自律性在2004年还能保持下去吗? 垃圾邮件泛滥 每个人都能体会到,2003年垃圾邮件的数量是大大增加了。有的数据更显示:目前垃圾邮件的数量已是Internet上的所有电子邮件的一半,一年之后更有可能占去其中的七成。 虽然,我们认为技术性的安全漏洞在数量上减少了,但“社会工程”类型的欺骗却有逐渐增加的苗头。一种越来越流行的花招就是绰号为“phishing”的技术。过去的垃圾邮件可以很快地加以识别,因为当中蹩脚的拼写、令人好笑的语法以及让人快速致富的一些极端荒谬的承诺。但在2003年,我们的邮箱里突然出现了大量非常正规的大公司来信(比如Microsoft、PayPal以及eBay),诱骗用户将自己的敏感信息提供给一些恶意的团体。 此外,垃圾邮件和蠕虫病毒有合二为一的征兆。通常,病毒作者只需向几个受害者的机器发送一个蠕虫,然后让蠕虫自动从那些地方蔓延。利用一些垃圾邮件发送工具,蠕虫作者可以在成千上万台机器上启动蠕虫。换言之,在很短的时间里,蠕虫就会变得到处都是。 急需补丁管理 蠕虫之所以泛滥,是因为用户没有对已知的安全漏洞打补丁。在过去几年里,厂商还可以将这一切完全归咎于用户的懒惰。但在2003年,由于厂商的补丁数量大增且显得极不可靠,因此,有时候选择等待比马上打补丁更为聪明。 倍受折磨的网管员正在大声诉说着他们的痛苦。而对于Microsoft来说,他们可以提供的只是每月发布一次补丁程序。然而,补丁是否真正有效则另当别论。平时,相信许多家庭用户都依赖Microsoft的自动Windows Update功能。但是,管理员们在维护面向关键应用的服务器,以及在需要一个统一的企业IT环境时,却肯定不能允许Microsoft将他们的代码强行传送到公司的机器中去。 坦白地说,所有和打补丁有关的问题都没有一个统一的答案。虽然许多人都知道了打补丁对于安全的重要性,但是,仍旧没有一个很好的工具来减轻管理员在打补丁时的痛苦。然而,预计在2004年,一些厂商会在这个方面做出有益的尝试。 使用WatchGuard最新的AuditScan服务进行一次漏洞评估,你至少能够知道,在自己的网络中到底有哪些漏洞可能暴露在公众面前,它们的严重性如何,相应的补丁应该去哪里下载,以及是应该立即打上补丁,还是可以再等一等,到以后方便的时候再打。 总之,黑客们永远不会停止创新的脚步,但是,也有大量新的工具在阻碍他们前进。双方的较量仍然难解难分,但我们应该对结果感到乐观。即使我们不能说已经彻底赢得了安全战争的胜利,但至少可以说,我们并没有失败。不过,这只是新年伊始的格局。今年要想取得同样的胜利,还有很长的一段路需要走。 三点提示 第一,时刻保持警惕性。通过垃圾邮件传播的蠕虫,再加上微软仍旧每个月才发布一次补丁,一次突发性的攻击仍有可能造成一片混乱,因此,时刻都不能掉以轻心。 第二,尽可能做好前瞻性的安全防护工作。攻击手段会以闪电般的速度席卷全球,如果没有充分准备,往往会令你措手不及。最好的做法就是留意LiveSecurity的警告以及AuditScan的结果,知道哪些地方应该打补丁,以及如何有针对性地布置安全防线。这样,在发生大规模的攻击事件时,事先所做的工作就会赢得宝贵的时间。 第三,振作起来。安全问题是没办法逃避的。大多数网络入侵都可能提供犯罪的机会,只要能比其他公司的管理员稍微多一点警惕性,黑客就会将你从他们的清单上划去,转为攻击一个更容易下手的目标。你的一切努力都不会白费,只是需要坚持,最后取得胜利的,必然是我们。 漏洞提示 Exchange Server 2003 权限提升漏洞 发布日期: 01-13-2004 漏洞影响: 权限提升 安全等级:中 来自启明星辰的消息:漏洞的产生原因是因为在前端的Exchange 2003服务器提供的Outlook Web Access(OWA)与后端运行的Exchange 2003服务器的HTTP连接被重用而产生的。当用户通过Exchange 2003前端服务器或者OWA访问他们的邮箱时,如果该服务器上的另一个用户刚刚访问过自己的邮箱,会导致可以有权限访问另一个用户的邮箱。 相关链接: http://www.microsoft.com/technet/security/bulletin/MS04-002.asp MDAC函数任意代码执行漏洞 发布日期: 01-13-2004 漏洞影响: 远程代码执行 安全等级: 高 来自启明星辰的消息:Microsoft Data Access Components (MDAC)函数中存在溢出导致任意代码执行漏洞。当一个客户端请求网络上运行SQL Server服务器的列表时,会向广播地址发出请求。因为该漏洞存在于一个特定的MDAC组件中,攻击者可以响应这个请求,并构造一个特殊的包,就会导致服务器溢出,导致攻击者可以在服务器上运行任意代码。 相关链接: http://www.microsoft.com/technet/security/bulletin/MS04-003.asp |
||||||||||||||||||
