2010 网络安全行业事件深入剖析
做好网站、邮件、代码、文书身分验证,杜绝资安隐患!
GlobalSign China 市场部发布 2010 年网络安全行业大事件报告,提醒网络经营相关业者及网民重视层出不穷的资安议题之馀,如何通过 SSL 数字证书、PDF 文档签名证书、代码签名证书等服务,确保自身权益。
知名搜寻引擎收录钓鱼网站,品牌网站经营惊现危机
国内知名的搜寻引擎业者百度惊现收录支付宝钓鱼网站。据了解该钓鱼网站域名为 ailbay.com,事件发生时被百度搜寻引擎列为搜索结果中的第一位,而真正的支付宝(alipay.com)则排在第三位,事件发生后引起网友一片挞伐。
所谓的钓鱼网站,是指让用户误以为自己目前浏览的就是正版网站,从而输入自己的用户名和密码进行登录,藉以达到盗取用户机密信息的非法网站。根据《2010 年中国反钓鱼网站联盟工作报告》显示,截止 2010 年 11 月底累计认定并处理的钓鱼网站共有 32,496 个,较前年同期成长136%。报告中指出,支付交易类网站深受钓鱼网站威胁,据中国反钓鱼网站近两年所处理数据可以看出,每逢长假或新年期间,钓鱼网站的数量就会随之增长,不仅影响品牌网站的经营,也严重影响网民的浏网权益。
钓鱼网站防不胜防,我们强烈建议,网友应在浏览网站时查看该网站是否已添加安全证书。目前大型的电子商务网站都应用了可信赖的数字证书产品,凡其网址显示为 https 开头,即代表该网站正受到 SSL 技术防护。例如,网站安装 GlobalSign 最高级别的 EVSSL 增强型证书后,不仅网址以 https 呈现,亦可以激活网站浏览器的地址栏使其变成绿色,网络业者可以利用该鲜明的标示告诉网友 ”该网站正受到最严密的信息安全防护”,此外,使用 EVSSL 增强型证书将直接显示受到验证及保护的企业、网站身份信息及数字证书颁发机构的名称,让消费者更加轻松地辨识网站真伪,也确保品牌网站的权益。
移动上网推动, APP 应用程序蔚为主流,代码安全意识大增
据市场研究公司 Gartner 调查,2010 年第四季度全球智能手机销售量已近亿部,占全部手机销售量 25% 。随着移动上网成为崭新的用户体验,智能手机由於大量透过互联网功能,使得手机网络商店、软件商店等增值业务迅速风靡用户,各式 APP 应用程序大型其道,程序代码的安全性逐渐受到用户重视。
据了解,智能手机比其它移动设备更容易受到恶意软件攻击,我们认为,无签名代码是危险的,程序开发商必须谨慎小心。系统或网络使用者等终端用户常被告诫不要运行无签名代码的软件及程序,因为下载/运行无签名代码会产生令人担忧的 “不明发行商” 的安全警告。无签名的软件会被篡改(如插入间谍软件、恶意软件或有害代码以及磁盘空间重分配)。然而,一旦软件被进行了数字签名,消费者可确认软件开发商的身份以及确认软件自从由原始供应商发布以来未被篡改过。而安全警告也将由 ”担忧” 变为更改 “已知发行商” ,用户使用应用安装程序时亦将增加信任水平。
目前 GlobalSign 除提供代码签名的服务外,也获得国际知名的代码签名颁发商 TC TrustCenter 的认可,成为其在中国地区指定合作伙伴,亦是 Symbian 在中国唯一指定的移动数字签名证书代理商,能够为广大智能手机软件开放商提供值得信赖的数字签名技术(如 Symbian 移动代码签名证书、JIL 移动代码签名证书、Java 移动代码签名证书),保护用户的资安权益。
Adobe 出现 0Day 漏洞,机密文书传输成为黑客攻击目标
2010 年 Adobe 惊曝 0Day 漏洞,使其沦於黑客攻击工具。所谓的 0Day 攻击,意旨当用户使用 Adobe Reader 或 Adobe Acrobat 打开包含恶意代码的 PDF 文件时,将导致“点击即中毒”的现象。众所周知 PDF 文件的特点是:易修改、易传输,也正因为其特点使文档中的信息在实际使用中极容易被传播、篡改,而阅读者在无法有效辨识 PDF 文档的真实性,且在毫无防备的情况下打开已添加过恶意代码的文档,进而导致系统中毒瘫痪。
GlobalSign 所提供的 PDF 文档数字签名证书是应对 PDF 文档隐患的最佳解决之道。我们认为,使用 PDF 文档签名证书进行身份签名或确认签名,签名后的文档则可以向用户证实 PDF 文档签署人的真实身份;而签署人的真实身份是通过权威的第三方进行审核并确认,同时也保护了 PDF 文档在传输的过程中没有被非法篡改,从而使得签名后的 PDF 文档可以安全可靠的用于企业之间电子文档交换和电子合同签署。此外 GlobalSign 对个人和企业有不同的签名证书解决方案,经过认证的 PDF 文档签名会自动由 Adobe Acrobat 和免费的 Adobe Reader 所识别。
GlobalSign 是 Adobe 认证文档服务(CDS)计划的认证成员,所提供的认证文档服务(CDS)解决方案通过 Adobe 指定的严格政策及标准和 Webtrust 审核,用户使用 GlobalSign 所提供的 PDF 证书来保护 PDF 文档,将可有效远离泄密、被篡改、无法辨识真实性的烦恼,简单的一张证书便可使文书传输过程安全无忧。
社交网站盛行,垃圾邮件大行其道,网民不堪其扰
社交网站成为2010年最受瞩目的网站类别,国外 Facebook 独领风骚,国内微博盛行,使得社交网平台渐成恶意软件与垃圾邮件的温床。根据IT安全性与数据保护方案厂商 Sophos 2010 年上半年发布的安全报告,社交网平台中针对使用者的垃圾邮件恶意攻击大幅提升,网民不胜其扰。
该如何防阻垃圾邮件的打扰呢?我们认为识别电子邮件来源,并防止邮件传输过程中的隐私及企业机密外泄,除制定健全的网络安全机制外,数字签名证书将会是绝佳助手。使用数字签名证书,可以让用户在所发电子邮件上签署独特的标识,这样接收方就可以确认您是邮件的发送者,并且邮件在传送过程中确保邮件内容未被篡改。因此,若发现收到的邮件未有上述识别,那就立刻按下删除键吧!
GlobalSign 作为唯一在中国设有办事处且通过 WebTrust 认证地国际知名 CA 证书颁发机构,所提供的数字签名证书能够应用于如普通电子邮件其他的 S/MIME 的电子邮件应用软件等,并针对以及不同的使用对象(个人或企业)提供不同信任级别的信息安全验证服务,进而确保用户识别该电子邮件的来源,并有效安全保护 其的真实性、完整性和有效性。
团购网站大热,个人资料外泄隐患增
2010 年虽然是中国团购网站热烈兴起之年,但由于团购网站进入门槛过低,各家业者竞相投入下发展迅猛,也带来了许多资安弊端,例如打着团购网站名义的钓鱼网站兴起,开始窃取网民机密信息。为杜绝团购网站网络交易风险,国家商务部於去年10 月底针对团购网站推出电子商务信用认证体系,但对於团购网站业者及网民来说,这样就可杜绝後患了吗?
我们观察,虽然国内有不少组织通过各种方式推动网站诚信机制,时常浏览网站的网民一定也发现类似红盾标志等网站诚信标志,但我们认为仅仅靠单个图片并无法解决网站真实身份的核实问题。我们建议,团购网站业者及喜欢浏览团购网站的网民必须正视 SSL 数字证书的重要性;在国内,我们常看见知名的购物网站和金融站点上均可以看到 SSL 数字证书的身影,在此我们推荐 GlobalSign 增强型 EVSSL 证书,其特点在於可以体现网站身份的真实性,网民登录装後可以轻松识别该网站真实身份,而不至於沦於钓鱼网站的陷阱中。此外,网民还可以在地址栏发现其变成绿色,且金色小锁已经呈现激活状态,这意谓着该团购网站正受到 SSL 技术防护,网民於其中的交易传输过程将安全无虞。
维基解密事件发酵,小心自己成为企业泄密间谍
维基解密创始人朱利安?阿桑奇 (Julian Assange) 表示,该网站所获得的机密信息中,有一半都是来自企业泄密信息,预计于 2011 年开始发布有关这些信息。这就是目前网络圈甚嚣尘上的 “维基解密事件”。
我们认为,企业机密是一家公司的营运资产,不肖员工只要利用电子邮件就可以轻松泄漏重要机密文档,遑论员工进入企业内部网络和打开存在有机密电子文档的电脑是如何轻而易举了!因此我们认为,针对企业重要电子文档的安全保护,必须拥有一套严密而完整的电子文档保护解决方案。
GlobalSign 所推出的 PDF 电子文档签名证书不仅能够进行文档加密保护,并且能够对加密的文件进行细分化的应用权限设置和安全存储保护,确保机密数据只能被经过授权的人,在授权的应用环境中(例如内部网络),在指定的时间内,进行指定的应用操作,并且整个过程会被详细、完整的记录下来。杜绝 “ 维基解密事件”发生在你的企业中,通过实施 GlobalSign 的 PDF 电子文档签名证书将是有效的方式之一。
文章来源:http://cn.globalsign.com/
