我有时在想如果这个世上再没有信息安全问题了,那会变成什么样。我们的Threatpost.com新闻博客是否会转而刊登报道一些宠物方面的文章?那在不久将来是否有可能呢?考虑到IT行业的发展速度,这的确有可能。而现在我们依然在努力将许许多多的安全问题”扼杀在萌芽中”,一旦这些问题得以全部解决,崭新的信息安全时代将一定会到来。
我始终坚信终究有那么一天,我们将看到更加成熟且更负责任信息安全方法的出现。但终归来说,互联网毕竟只是现实世界的虚拟模型,在里面:不为人知的天才们在自己的小房间内酝酿着发明属于自己的Google;大型网络公司不仅相互之间明争暗斗,还无时不刻争夺地用户,以及最重要的时刻防范那些想意图利用他们谋取利益的网络不法分子。尽管目前有不少方法可以阻止网络犯罪分子的不法行为,但我们是否能一劳永逸地将他们彻底消灭呢?
最近发生的一件离奇事惹起了我万千思绪:上周最热门的新闻(关于火狐浏览器内的一个bug)与信息安全并无半点关系–好吧,是相对来说没有关系。然而,Threatpost的读者们却对这条新闻极为关注(说真的,我们的编辑真应该尝试些新元素)。第二条新闻则是关于非典型的漏洞。本周的第三条新闻与微软的更新有关,”什么都没有做”就突然凭白消失了。
Done Toasting
— mytoaster (@mytoaster) October 1, 2015
似乎本周信息安全领域并未发生什么重要的新闻事件–因此今天我们要聊的主题是现实威胁与理论威胁之间的差别。一如往常,我们《安全周报》的编辑原则是:每周Threatpost的编辑们都会精心摘选三条当周最热新闻,并加上本人的辛辣评论。可以在这里找到过去所有期的安全周报。
自解压WinRAR压缩档内存在零日(pseudo)漏洞
伊朗研究专家Mohammed Reza Espargham在WinRAR内发现了一个漏洞–但不是在软件本身而是自解压压缩档,这可以说是首例发现。该漏洞乍一听上去相当严重。通过利用软件内在压缩档特性,任何人都在解压时执行超链接代码,从而从互联网下载并运行恶意软件– 而压缩档的内容则完全干净且毫无危害性。通过利用这一漏洞不仅可以看到受害人电脑上显示的内容,还能接收和处理HTML(超文本标记语言)。
WinRAR开发者们对于这条新闻却并不认同。他们对这个bug的解释简单来说就是:”用户在下载和运行某些奇怪可执行文件时可能会出现问题。”我是否漏掉了什么?这是一种最基本同时也无法修复的计算机概念性漏洞:他们执行所有在自身运行的代码。WinRAR开发团队为了证明他们的观点,还引用了对另一个’零日漏洞’的’概念验证’:在未经用户同意的情况下,自解压压缩档的内容可以设置为自动运行。一针见血!
小喵咪来啦!
两边都可以说有理有据。有时候,非标准地使用标准工具可能会对产品的安全性造成影响。同样加密技术不仅能用来保护用户个人数据,也会被勒索软件利用加密用户数据。对于此次安全事件,我们给予黄绿色(淡黄绿色)评级。
但还有一个问题。WinRAR是一款非常流行的软件,但有一点与其它流行软件不同,用户无需常常进行升级更新。而且不同浏览器每月发布一次更新补丁,WinRAR即使不常更新也能照常使用。大概在几年前,我们曾发布了一份展示广大用户升级存在漏洞软件的频率的调查报告。显然,WinRaR的用户几乎很少更新:在新补丁发布7周的时间里,只有30%的用户选择升级至更新的Java。
Hey. So. Getting some fan mail on the WinRAR flaw story. Thanks for that http://t.co/7PvYJYcmhn Let's make clear what you can and can't do.
— The Register (@TheRegister) September 30, 2015
通过我们的研究,发现在WinRAR的3.71版本中存在一个严重漏洞以及几个很早以前就存在的bug。我们从未有打算追踪这个bug,原因在于该漏洞几乎不可能被利用,但当我们对更新补丁上的数据进行检验时却发现了令人吃惊的事实:5年前曾感染成千上万台电脑的存在漏洞的版本,直至今日依然还未打上任何安全补丁。
毕竟,凭什么你认为有人会去修复这一漏洞呢?因为无论如何,压缩档都缺少自动更新进程。这就好比尽管我们每天都在使用Java、Flash和各种浏览器,但网络犯罪分子也不会哪怕浪费一分钟时间在这些”骨灰级”程序上。
Windows空白更新:着实惊出一身冷汗
9月30日那天,在没有事先通知的情况下,Windows更新中心决定向用户提供了一条晦涩难懂的信息。
我说的事实,请见以下文字:
gYxseNjwafVPfgsoHnzLblmmAxZUiOnGcchqEAEwjyxwjUIfpXfJQcdLapTmFaqHGCFsdvpLarmPJLOZYMEILGNIPwNOgEazuBVJcyVjBRL
可以预计,只有极少一部分用户能够真正看懂微软Windows更新中心的内容,翻译过来是:出现了一些奇怪的问题,试图自身安装但失败了,随即又消失了。之后,人们发现8月20日那天也发生了类似的问题。
在微软网站的各自讨论内容中查看屏幕截图
随后,微软的官方发言人承认这是只是一个测试更新,被错误地发送给了用户。似乎我们可以将悬着的心放下来了。那是否还需要担忧呢?事实上我们并不能完全高枕无忧:一旦Windows更新系统受到病毒感染的话,将导致类似电影《2012》中的世界性大灾难。
想象如果有一名网络犯罪分子将一个任意代码发送给数百万用户,并在他们未知的情况下运行。幸运的是,这样的攻击行为没有任何可行性:因为我们的Windows系统都部署了数字签名和加密。
在我们更早几期的《安全周报》中,我提到了对WSUS进行黑客入侵的可能性很小,因此可以肯定Windows系统没有可能从根本上被摧毁。
Suspicious Windows 7 Update Actually an Accidental Microsoft ‘Test’ Update: https://t.co/NKhqnhBTKK pic.twitter.com/D0i0RdGJrJ
— Kaspersky (@kaspersky) September 30, 2015
至少我们希望是如此。
火狐浏览器修复了存在时间长达14年之久的bug
新闻。Adblock Plus专栏博客,该bug的主要受害人。Bug本身。
总而言之:火狐浏览器给人的印象是占用内存较大。而随着41版本的发布,该浏览器似乎一改往日”内存大户”的形象,即使你安装了AdBlock Plus扩展。问题的根源在于广告拦截软件与浏览器相互作用的方式。如借助CSS处理广告软件阻止方法,浏览器内将会保留过多的内存(多达2 GB!)。
Mozilla Fixes 14-Year-Old Bug in Firefox 41: https://t.co/TCr0fEc4tW via @threatpost pic.twitter.com/O3JalMyU0F
— Kaspersky (@kaspersky) September 25, 2015
这一bug在2001年4月27日在0.9.3预览版中首次出现。在当年,Mac OS X以及Windows XP操作系统的首个版本发布,iPod也是在该年推出市场;同年,SATA硬盘和USB 2.0也第一次出现在人们的视野中;而调制解调器协议也是于2001年在市场首次发布,以及微软最终击败Paper Clip也是在同年发生的。无比精彩的一年,不是吗?
事实上,这个bug并无任何危害性。我估计在这14年中的绝大部分时间里,火狐浏览器和Adblock的开发者们始终在争论谁该为此而负责。那些真正危害性严重的漏洞通常都被及时修复,不是吗?
你们都错了!在我搜寻年代久远bug 的过程中,我意外发现了这个:Red Hat(和其它开源解决方案)发行版从不检验更新和其他安装软件的真实性。从理论上来说,如从恶意镜像安装或升级系统,将有助于获得受感染系统的控制权。这一bug早在1999年1月30日就已存在了。当时甚至还没有镜像,只有受病毒感染的磁盘!而这个bug直到2014年8月才得以修复(消息并不完全可靠)。
好吧,这就是我们所归纳出的一种’bug’,参考了上述有关WinRAR SFX的漏洞。就其本身而言甚至算不上是什么’bug’,这只是一种假设’如果你将笔记本电脑丢进篝火里,它会烧着的。”我猜想这个bug原本是打算修复的–可能是股东觉得应该将它保留下来,这样在讨论Linux安全问题时可以多一些灵感。
我甚至还想说单单为所有漏洞打上安全补丁无法确保你个人数据的安全。这里,我发现软件的开发者在修复漏洞上平均花费的时间在100-120天左右。作为用户我们总是希望修复漏洞能越快越好,但这是否意味着所有未打上补丁的漏洞都会被利用呢?答案是否定的。事实上,目前依然存在众多网络攻击和潜在的bug,但任何试图将所有漏洞一举铲除最终都将徒劳无获。
《安全周报》第40期:#WinRAR中’不是漏洞的漏洞’、存在#火狐浏览器年代久远的#bug以及哇哦!-#微软更新
Tweet
顺便提下,不久前卡巴斯基实验室网站上新出现了一个网络威胁指示器。该程序能让你即时评估一般安全级别。此后它却不知被谁做成了某个版本的末日时钟;从外观看着实令人印象深刻,但由于无法评估网络威胁,因此很快就被关闭了。
目前,几乎每个人或每家公司都可以通过这个程序评估自己的安全级别,主要依靠于几个变量:整体的’可入侵性’、存在问题的数据值以及自身对于安全的重视程度等。
其它新闻:
本周的信息安全领域新闻可谓数量众多,但说实在并没有特别吸引人的。
我们在安卓系统的解码引擎Stagefright中发现了又一个漏洞。这是此类引擎中的首例发现,于今年夏天早些时候被披露,是通过MMS进行漏洞利用;一旦用户在浏览器上打开”精心制作”的网页,更新的bug即会运行任意代码。而现在问题在于数据库处理多媒体文件元数据的方式。
1 Billion #Android devices vulnerable to #NEW Stagefright flaws… #nopatches https://t.co/1Wt8iqOY2b via @threatpost pic.twitter.com/LJUuODPDra
— Kaspersky (@kaspersky) October 1, 2015
Mac OS X系统(El Capitan)内修复了101个bug。此外,出现在iOS 9.0.2版本中另一个能绕过锁屏的bug也得以修复。(嗨,Siri,删除数据表)。
#Apple Patches 100+ Vulnerabilities in OS X, Safari, iOS: https://t.co/S9UMwmqZdZ pic.twitter.com/aAtgKVBKAl
— Kaspersky (@kaspersky) October 1, 2015
长期以来寻求嵌入TrueCrypt的研究工作最终无疾而终。但在此过程中,研究人员却意外发现了一个bug,虽然无法用来解密加密的数据。但TrueCrypt却可能被用来远程提升权限。TrueCrypt衍生产品VeraCrypt内的漏洞得到修复。
VeraCrypt Patched Against Two Critical TrueCrypt Flaws: https://t.co/B9NXsdPMIm via @threatpost pic.twitter.com/HuBd1xEGeB
— Kaspersky (@kaspersky) September 28, 2015
移动设备能被用来实施DDoS(分布式拒绝攻击)。在此情况下,假定侵扰受害人网站的JavaScript横幅广告可以通过恶意广告网络偷偷潜入。有意思的是,实施此类攻击不用花费任何成本。如果你正确部署了DDoS安全保护措施的话,将不会受到任何影响,而那些没有部署的用户将很有可能遭受攻击。
#JavaScript #DDoS Attack Peaks at 275,000 Requests-Per-Second – https://t.co/W5JXy4xuOA via @threatpost pic.twitter.com/vtajguZIXn
— Kaspersky (@kaspersky) September 28, 2015
老话新提:
一种危险的非常驻型病毒。它会感染当前目录下后缀为.COM的文件。它能让文件变大以达到多倍段落,随后将自己拷贝到文件末尾并改变开始的14个字节(PUSH AX;…; JMP FAR Loc_Virus)。尽管属于非常驻型病毒,但却能创建常驻程序。它能将自己的一部分拷贝到位于0000:01CE的中断向量表内,并设置1Ch中断(定时器)。不久,受害人电脑屏幕上将显示如下信息:
病毒!
一旦用户在键盘上输入’bebe’,该病毒即会回复:”Fig Tebe!”(俄语”滚蛋!”的意思),这显然泄露了作者的国籍。此外,代码中也存在一个错误:无法恢复DTA。这可能会拖慢电脑的运行速度。另一个缺点:该病毒无法在Intel 80×86处理器中传输,也不能修改紧跟当下命令的下一个命令,因此只能在过时的IBM电脑型号上运行。
引述自于1992年出版的《MS-DOS中的计算机病毒》第60页,作者:尤金·卡巴斯基
免责声明:本文仅代表作者的个人意见。可能与卡巴斯基实验室的立场相符,也可能相反。听天由命吧。