4月第3周安全回顾 恶意微处理器亮相 垃圾邮件出新招

【51CTO.com 专家特稿】本周（080414至080420）信息安全威胁程度为低。安全厂商Webroot周二发布了一份名为《如何从边界到终端保护业务免受恶意软件》的白皮书，该白皮书中的四个关键点：部署业界认可的安全标准、使用技术方案进行安全区域分隔、在企业网络边界拦截垃圾邮件和主动对员工进行安全教育，对企业的恶意软件防御工作相当有指导意义，建议从事企业信息安全工作的朋友了解一下，相关的网址如下：
http://www.darkreading.com/document.asp?doc_id=151134&f_src=darkreading_section_297

此外，本周值得关注的新闻集中在威胁趋势、反垃圾邮件和电子商务安全领域。

威胁趋势：恶意微处理器的首度公开亮相；关注指数：高

新闻：周二，在旧金山举行的安全研究人员会议上，来自伊力诺依大学的研究人员展示了他们的最新研究成果——可执行计算机系统后门功能的恶意微处理器。该微处理器原本用于运行嵌入式的Linux，研究人员修改了该微处理器的固件程序并加入系统后门功能。研究人员只需在网络上向该处理器发送一个特定的数据包，然后输入预先设好的密码，便可跳过操作系统的控制得到整个系统的控制权。

笔者观点：这个消息值得关注的地方在于，它是可用于恶意用途的微处理器的首度公开亮相。伊力诺依大学的研究成果离现实成功还有较大距离，但这个研究成果已经在阐述这样一种可能性：多年来恶意攻击者一直试图在用户的软件中寻找漏洞并进行攻击，但现在攻击者多了一个选择，那就是利用预先埋设在微处理器中的后门，直接跳过操作系统的控制得到整个系统的控制权。此外，埋设在微处理器固件中的后门，从用户角度来看基本是不可能被发现的。

笔者认为，单从技术实现上来说，由于用户日常接触到的大部分微处理器都是可运行多种操作系统的通用型微处理器，攻击者修改过的固件很难适应用户环境中可能运行的所有操作系统，因此在通用微处理器中埋设后门的攻击方式在未来几年内不太可能出现，即使出现，影响的范围也极为有限。但在某些如交通运输、金融行业、医疗等特殊行业中使用到的专用设备上，专用微处理器和专用操作系统的搭配相当常见，上述攻击方式的成功率将大为提高。

反垃圾邮件：垃圾邮件发送者的新攻击策略——你的裸体视频；关注指数：高

新闻：周四，邮件安全厂商Marshal警告称，目前垃圾邮件发送者正在发动新一轮的垃圾邮件攻势，并使用了新的攻击策略。受到攻击的电子邮件用户会收到主题和内容包含“我们捕获到你的裸体视频”字样的电子邮件，如果用户不小心点击了该垃圾邮件中附带的网址，用户的系统将有可能感染僵尸类恶意软件。

笔者观点：和以往用中奖信息、朋友问候等吸引用户点击的传统策略不同，这次垃圾邮件攻击者使用了更为精巧的攻击策略——通过垃圾邮件夸张的内容，诱骗好奇或愤怒的用户点击垃圾邮件内的链接，并达到种植恶意软件或盗取用户敏感信息的目的。尽管目前国内尚未出现有本地化的类似垃圾邮件攻击，但经过今年年初的艳照门事件及互联网上无处不在的偷拍风气，相信国内的用户也很容易受使用上述攻击策略的垃圾邮件攻击。

笔者建议，用户在使用电子邮件服务时，不要轻易打开来自不可信来源的电子邮件，也不要随意点击电子邮件内所带的网站链接，尤其是主题耸人听闻，来历不明的电子邮件更应该小心。另外，用户应及时更新自己操作系统及软件的补丁程序，并保持现有安全软件的版本为最新，这样即使是不小心点击到垃圾邮件中的网站链接，也不容易受到各种恶意软件的侵袭。

电子商务安全：PayPal计划阻止使用不安全浏览器的用户；关注指数：中

新闻：周三，支付服务提供商PayPal（中文名：贝宝）计划阻止使用不安全浏览器的用户通过PayPal进行交易，该计划所涉及的浏览器软件包括所有不支持扩展SSL协议（EV SSL）的产品，如旧版本的Internet Explorer、Firefox、Opera和Apple Safari等。EV SSL是在现有SSL协议版本上进行功能扩展的新SSL版本，能够在提供现有SSL协议的加密、签名功能的基础上，增加了对服务器名进行校验的功能，能够有效防御网络钓鱼的攻击。EV SSL协议需要客户端的浏览器支持，目前主流的Internet Explorer 7、新版本的Firefox和Opera等浏览器产品均对EV SSL协议提供了支持。

笔者观点：PayPal对不安全浏览器用户的阻止计划，商业上的意义远大于其技术实现的意义，显示PayPal在业务风险处置方面的新观点：对用户进行安全准入式的控制，降低因为用户责任导致的业务损失和声誉影响。从表面上看，PayPal的计划过于激进，甚至有可能在短时间内使用户数量出现明显的下降，但因为技术条件已经成熟，即大部分用户都已经在使用支持EV SSL协议的浏览器，Microsoft也通过Windows Update提供IE7的更新，事实上PayPal这样对大多数用户并没有影响。PayPal还能够降低用于防御网络钓鱼攻击的开支及提高用户的使用安全性，可谓是一举多得。

笔者认为：PayPal的计划如果能够成功实现，将有可能成为互联网电子商务网站争相效仿的一种模式，安全准入制的用户控制方法也有可能被非电子商务的大型网站所采用，并有可能创造电子商务安全市场的新增长点。但电子商务网站实施类似的计划时，也应该关注用户在不同安全体系下的切换体验和相应的用户宣传教育。建议国内的在线支付服务商可适当关注PayPal的计划实施情况。