随着第三方软件安全威胁的加大,微软明年将会加大软件安全开发生命周期在中国的推广力度。
“我们有一个统计数据表明,出现的所有的安全漏洞里面,整个比例中,跟操作系统有关的漏洞应该是少于9%,我记得在08年的时候,这个比例是6%,与此同时,和应用软件相关的这个漏洞占了90%到94%。”微软大中华区战略安全官裔云天说。
裔云天解释说,大的操作系统厂商在安全性方面投了很多的精力,对于很多黑客来说,攻击操作系统变得越来越困难,他就把这个目标转移到应用软件,因为应用软件的开发是由很多的第三方来开发,而这些第三方开发者往往缺乏对于安全性的考虑。
为提升产品安全性,微软在产品开发中引入了软件安全开发生命周期(SDL)这一概念。裔云天说“它一共分为10个阶段,这10个阶段,从它的设计,包括它里面有一个最重要的一点,叫威胁建模。我们在网站提供了一个软件,当你设计软件的时候,你可以用那个威胁建模的软件来评估一下,您这个软件可能有的安全威胁在哪里?然后,针对这个安全威胁,你后面设计你的软件整个流程的时候,应该怎么做?”
裔云天透露,微软目前也正跟CC国际标准组进行合作,把SDL能做为其中一个重要部分,使其成为一个标准。
在美国、英国等地,微软已经展开了SDL的培训计划。在中国已经有很多大的机构已经采用SDL,但是,因为没有大规模地进行推广。”“我们可能会通过软件园培训等多方面进一步推广SDL,这也是我今年工作的一个重点。”裔云天说。
安全研究人员本周一披露了一个新的没有补丁的Windows安全漏洞。一些专家认为,利用这个安全漏洞能够远程劫持用户的PC。
微软称,它正在调查这个安全漏洞,但是,到目前为止,微软还没有提供它进行分析的任何信息。微软安全反应中心部门经理Jerry Bryant星期二在电子邮件中称,微软正在调查公开宣布的Windows SMB(服务器消息块)中可能存在的一个安全漏洞。
一旦完成调查,我们将采取适当的措施帮助保护用户。这些措施可能包括通过每月的发布流程提供一个安全补丁,发布周期之外的补丁或者提供额外的指南帮助用户保护自己。
一个网名为“Cupidon-3005”的安全研究人员本周一发布了利用这个安全漏洞的代码。这个安全漏洞据说存在于“mrxsmb.sys”驱动程序中的“BowserWriteErrorLogEntry()”函数中。这个驱动程序处理发给Windows用于网络通讯的服务器消息块协议的请求。
服务器消息块主要用于向Windows机器提供文件和打印机共享。
法国安全公司Vupen把这个安全漏洞列为严重等级的安全漏洞,指出成功地利用这个安全漏洞能够引起拒绝服务攻击或者完全控制有漏洞的计算机。
Vupen证实称,Windows XP SP3和Windows Server 2003 SP2容易受到这种攻击。丹麦安全公司Secunia称,其它版本的Windows也受到了影响。
最近微软安全研究人员计划改变信息安全策略,修改当前信息安全披露制度,以使其对发现和修补漏洞的处理变得更加容易和安全。
据悉,目前在信息产业掀起了关于“全面披露”(FD)制度优点的争论,而在该制度下很多疵病信息在补丁可用之前就被公开了。另一种信息披露制度是“揭露协议”(RD)信息披露制度,而在该制度下,需要等到补丁可用时信息才会被公开。
微软高级安全战略家卡蒂穆索瑞斯(Katie Moussouris)指出:“包括微软之内的大多数供应商倾向于选用“揭露协议”信息披露制度,而人们会有一种从全面披露到‘揭露协议’信息披露方式改变带来的落差感。 ‘揭露协议’只有在这种情况下才被弃用,即弃用是为了增强安全性、保护用户和系统的安全” 。该篇博文所倡导的信息披露制度嬴得了产业内一些大公司的支持。
据悉,微软正计划的“协调信息披露”(Coordinated Vulnerability Disclosureb,CDV)制度大部分内容与当前‘揭露协议’信息披露制度相似。但是二者也有区别,即如果攻击被广泛发现,微软公司和研究人员将会发出警告,指出存在的问题和可能确保系统安全的解决方案。
穆索瑞斯表示:“微软不赞成全面披露制度,公司研究人员仍然在研究使公布信息的举动能在某些原则下进行,这样便于公司协调所有公告并保护用户的安全。”微软可依赖计算部门安全技术高级管理人员马特汤姆林森(Matt Thomlinson)表示:“实行全面披露制度太过极端,我们现在所做的一切只是为了保护用户,‘协调信息披露’制度才更有利于保护用户的安全”。
姜太公钓鱼,愿者上钩。在诈骗者眼中,所有人都是他们要钓的“鱼”,当然钓的不是你本身,而是你口袋中的钞票。网络钓鱼(Phishing)在网络上为你设下圈套,通过处心积虑的技术手段伪造出假可乱真的网站、E-Mail、短信等信息,诱惑你“自愿”交出重要信息(如银行账户密码)。网络钓鱼并不是一种新的入侵方法,但是它的危害范围却在逐渐扩大,成为最具威胁的网络安全事件。中国反钓鱼网站联盟刚刚发布的最新月报显示,联盟受理并暂停域名解析的钓鱼网站为1785个,较3月增长70%,约有4500万网民因网络钓鱼蒙受损失。
2010年3月30日,中国互联网络信息中心(CNNIC)和国家互联网应急中心(CNCERT)在京联合发布《2009年中国网民网络信息安全状况调查系列报告》。《报告》数据显示,2009年,52%的网民曾遭遇过网络安全事件,网民处理安全事件所支出的相关服务费用共计153亿元人民币。
2010年4月29日,EMC信息安全事业部RSA发布的《2010年全球网上消费者安全调查》结果显示:在接受调查的全球22个国家中,中国用户对强网站身份认证最积极,达到96.92%。
许多网络交易就被这一个个以假乱真的交易页面骗走了钱财,这种不愉快的经历让那些上当受骗的用户,对网络购物望而怯步。不仅如此,网络欺诈除了给网民带来经济损失,也给企业带来品牌形象损伤。严重地影响了在线金融服务、电子商务的发展,危害公众利益,影响公众应用互联网的信心。
中国反钓鱼网站联盟所提供的十大网络防骗术
一、域名实名制从源头杜绝违法犯罪。域名实名制要求用户注册域名时,填写真实、准确、完整的注册信息。管理机构对域名申请单位的营业执照,法人代表,具体地址,经营规模是否真实可靠进行实质性的审查,并在相关行政机关备案。域名是互联网上的具有唯一性的标识,每一个域名的注册都是独一无二、不可重复的。实施了域名实名制之后,使得对互联网上的违法行为的监管变得更加容易,从源头上有效遏制了网络犯罪。
二、通过第三方网站身份诚信认证辨别网站真实性。目前不少网站已经在网站首页底部安装了第三方网站身份诚信认证,网民应首先通过第三方权威机构的网站资质信息(企业登记信息、网站域名注册信息等)来判断网站的真实身份,以规避网络风险。网民在应用电子商务网站时应养成查看网站身份信息的使用习惯。
三、使用数字证书。金融机构都为网上银行用户开通了数字证书服务,这些数字证书所具备的安全性,可以较好地保护银行用户的安全。这类的网站的网址都是“https”开头的。网民在网站输入自己的身份信息、银行帐号密码时候,如果发现网站地址不是“https”开头的,应谨慎对待,最好终止填写信息。
四、使用安全锁(即U盾)。在登录网上银行时,需将U盾插入电脑USB端口并输入U盾密码,如不小心泄露了网上银行用户名和密码,只要U盾仍然掌握在自己手中,或者连U盾也丢失但U盾的密码仍然掌握在自己手中,他人都无法登录你的网上银行。
五、如果您的网络账户中存在财产或重要的隐私信息,请在输入账号和密码前注意确认所在网站是否为官方网站。
六、对于网上出售的商品价格明显低于市场售价的应多加小心,更不要轻易打开对方发来的链接地址。拍下物品后不要立刻付款,关闭交易窗口,打开“已买到的宝贝”页面,确认购买成功后再付款。网上交易务必使用第三方支付平台,使用中应仔细核对网址是否正确。若实在无法使用第三方支付平台付款,最好选择货到付款。
七、安装正版安全软件,并定期打补丁和查杀,封堵住木马入侵的通道,以确保自己的电脑中没有木马。
八、勿轻信“中奖”消息——利用“中奖”骗取汇款是最常用的网络骗术。
九、不轻易拨打声讯业务的电话号码。如果欺诈者留下手机号码或者电话号码,可通过搜索引擎查询该号码的相关信息:如果号码属地与标示公司地距离太大的,就值得怀疑;如果同一号码的主人在网络上公布信息有天壤之别,就要小心;如果有网友公布的受骗记录中出现该号码,就很可能是网络欺诈。
十、发现受骗,要马上报警。妥善保管交易流水单等物证,为有关部门追查网络诈骗创造最佳时机。