10月第1周安全回顾:严防漏洞攻击注重隐私保护

国庆长假刚过，朋友们都再次开始忙碌的工作和生活。信息安全领域并没有受国庆假期的影响，在国庆前和国庆假期这两周里面，仍有很多值得关注的新闻和趋势，笔者将在本期的安全要闻回顾中为朋友们带来相关的报道。

两周（080922至081005）的信息安全威胁等级为低。

媒体方面：两周值得关注的新闻集中在漏洞攻击、隐私保护、电子商务安全、安全管理、反病毒和威胁趋势方面。

漏洞攻击：新PDF漏洞现身；Adobe软件中的漏洞有可能导致视频文件地址泄露；关注指数：高

两周漏洞方面的消息都于软件厂商Adobe有关：9月27日，来自ITnews.com.au的新闻，美国应急响应中心（US-Cert）和安全厂商Secure Computing联合发布安全警告称，网络犯罪组织和黑客集团目前正在利用一个新的PDF漏洞对用户发起攻击，这个新的攻击手段的危险性在于目前它还不能被现有的安全方案所检测到，如果用户不慎打开包括该漏洞的PDF文件，将有可能感染黑客预先放置的恶意软件。此外，由于受其影响的用户数量较多，分布也比较广泛，安全人员现在仍未能追踪到发起此次PDF攻击的源头。从这两年通过PDF发起的各种攻击来看，PDF文档格式与0Day漏洞频发的微软的 Office相比更为安全一点，攻击者也主要将PDF文件用于垃圾邮件的发送中，但这也使得PDF文件的0Day漏洞更为危险。截至10月5日为止，Adobe还没有出来响应该漏洞并提供安全补丁，笔者建议，用户最好尽量不要打开来源不明的PDF文档，用户可以时不时使用Adobe Reader自带的更新功能，及时应用Adobe发布的安全更新。

另外一个与Adobe相关的漏洞新闻来自9月29日的ITnews.com.au，网络内容商Amazon.com周五修补了一个存在于其流媒体服务中的Adobe软件漏洞，该漏洞会允许未经授权的用户自由访问和拷贝本应受版权保护的媒体文件。按照软件厂商Adobe在稍晚一点的说法（9月30 日），因为Amazon.com还同时使用了全面加密技术，有效的阻止了用户对受保护媒体文件的非法访问和拷贝。笔者建议，国内所有使用Adobe软件作为架构基础的视频服务商应该从Adobe进一步了解关于此漏洞的详细情况，并作相应的漏洞修补工作。另外，在此次Amazon事件中，加密作为所有安全措施的最后一道防线再次发挥了应有的作用，提供托管或其他高端视频应用的服务商也可以根据自己的需求部署加密技术，来保护带有版权的视频内容。

隐私保护：新的隐私窃贼服务模仿用户行为作案；关注指数：高

今年国内最热门的网站类型是什么？交友网站显然有资格占据首位，今年多个新上线的交友网站吸引大批用户参与其中，乐此不疲。然而在场面火爆的背后，却没有意识到这类能够归类到社会关系网站（SNS）的网站所蕴含的潜在安全风险。9月26日来自Darkreading.com的消息称，安全研究机构 Affinion Security Center发现网络犯罪集团正通过模仿真实用户的行为，在各大SNS类型网站上挖据用户的隐私资料，并以15美元一份的数据进行销售。相信在SNS网站尤其是国外SNS网站上注册过的用户都有这样的经验，经常有不少不知名的用户添加自己为好友，但添加后往往发送一些垃圾或恶意信息。而相对于国外的情况来说，国内网站忽视隐私的情况更为严重，多个知名的交友网站都不同程度的存在泄漏用户隐私信息的问题，更有甚者还会要求用户提供MSN或电子邮箱密码以用来发送广告信息，或者将用户的隐私信息转售第三方。由于在我国现行的法律体制下无法对这种侵犯用户隐私的行为进行制止，笔者建议，用户在使用交友等SNS网站时，应该关注自己的隐私信息是否得到良好的保护（可以查看网站的隐私策略和用户协议），如果用户乃至其朋友的信息并不能得到很好的保护，建议用户就不要填写太多与自己相关的真实信息，以免带来不必要的麻烦。

电子商务安全：PCI DSS 1.2版本推出；关注指数：高

备受瞩目的电子商务安全标准——PCI DSS 1.2版本终于推出了！根据10月1号Darkreading.com的消息，PCI安全标准委员会按时发布了PCI DSS的1.2版本，1.2版本是PCI安全标准委员会在1.1版本实施2年中，根据用户及其他机构所得到的不同反馈和建议，并结合电子商务企业所面临的最新安全趋势所制定的。笔者曾在前几期安全要闻回顾提到过1.2版本的相关情况，由于PCI DSS 1.2版本从公开之日起即已生效，而老的1.1版本也将于今年的12月31日到期，因此目前已经使用PCI DSS标准，尤其是在国外上市的电子商务企业，应尽快根据1.2版本的最新需求，修改相关的解决方案和规程，以满足1.2版本中更严格的要求。此外，笔者也建议国内目前尚未实施PCI DSS的电子商务企业，可以多了解PCI DSS中对客户敏感信息保护的相关规定和实施建议，相信对这些电子商务企业的信息安全建设是很有帮助的。

安全管理：研究表明用户的使用习惯和数据泄露的发生几率密切相关；关注指数：高

由于近两年大量发生的数据泄漏案件所造成的严重经济和企业声誉损失，很多大型企业都纷纷开始部署各种安全解决方案来应对越来越严重的威胁。然而，根据9月30日Darkreading.com的一则消息，当天由Cisco和Insight Express联合发布的一份研究报告表明，企业仍不太重视用户管理和安全操作等非技术的环境，用户的日常使用习惯大多仍不符合安全使用规范，甚至有许多用户因为个人使用需要，经常下载未经授权的数据或应用程序到工作机器上。Cisco稍早的一份报告还称，将工作带回家中完成的用户也会为企业的敏感数据带来严重的泄漏风险。所谓三分技术七分管理，如何制定符合安全策略的操作规范，并对企业内网中的用户进行安全操作的技能及意识培训，仍然是大多数企业在进行安全项目时最为缺乏的。国内企业面临的类似情况更为严重，有的企业部署了很多限制用户进行特定操作的措施，但实际效果并不理想，用户还是能够通过技术或其他办法进行突破。而如果企业打算进行安全管理，却又不得不面对目前互联网上可参考资料很少的窘境，如何改善乃至克服企业安全管理需求和现状之间的巨大差距，仍将是一个值得安全业界、媒体和企业用户深入探讨的话题。

反病毒：多个知名反病毒软件无法通过最新的VB100测试；关注指数：中

VB100是一个被业界和用户广泛接受的反病毒产品性能测试，能否通过VB100的测试，也是衡量反病毒产品技术水平的一个标准。然而根据10月3 日ITnews.com.au的报道，在最新的VB100测试中，多个知名反病毒软件却没有能够通过测试，其中还包括F-secure、卡巴斯基和CA这样的知名反病毒厂商。笔者认为，尽管VB100的权威性毋庸置疑，但能否通过VB100并不是衡量反病毒产品技术水平的唯一标准，本土的反病毒产品也多次没有通过VB100，或者一直就没有通过VB100的测试，但因为对国内的威胁反应迅速，适用性更好，用户的评价也不算差；这次没有通过的F- secure、卡巴斯基和CA也在个人和企业领域有较大的用户基数，反而是一些每次都能通过VB100的国外反病毒产品，因为不适应国内的病毒威胁状况，而被用户认为是杀毒能力差。如果用户需要选择反病毒类的产品，建议还是应该先综合考虑自己的应用环境和面临的威胁情况，再进行决定和购买，第三方的测评只能作为一个参考标准而不是决定的要素。

威胁趋势：黑客借助Google Trends攻击用户；关注指数：高

Google Trends是由Google提供的一个统计服务，可根据用户访问数等关键参数，统计出最受用户关注的网站资讯，并将其放在搜索结果或Google新闻的前列。根据10月1日eWeeks.com的消息，安全厂商Webroot称黑客越来越多的利用Google Trends这样的在线工具散布恶意软件，黑客先是通过Google Trends获取用户当前最关注的内容，然后精心构造一个包含该内容，但同时也含有恶意软件的网站，并通过搜索引擎优化或其他技术诱使用户访问，最终达到在用户系统内种植恶意软件的目的。笔者认为，Google Trends被黑客利用，更多的说明了现在的黑客已经越来越多的使用更有技巧的社会工程攻击方式，来取代传统的垃圾邮件或网站挂马这样的恶意软件攻击方法。对于这种新的威胁趋势，用户更好的防御应该是树立安全使用意识，不要随便点击不熟悉或可疑的网站，及时升级操作系统及应用软件的安全补丁，同时开始反病毒软件和防火墙的实时保护，才能更好的防御黑客来自网站的攻击。