2月第3周回顧:黑帽大會華府召開 場面熱鬧創新不多
原創【51CTO.com 獨家特稿】本周(090216至090222)安全領域值得關注的要聞較多。黑客圈子里知名的會議黑帽大會本周在美國華盛頓舉行,會上發布了相當多有代表性的新漏洞、攻擊手法和技術,本期回顧將介紹并分析其中幾個有意思的新聞。
移動安全方面,本周安全廠商McAfee發布的2009移動安全報告值得關注,該報告所包含的內容也在一定程度上說明了安全業界對未來一段時間移動安全走勢的看法。在本期回顧的最后,筆者將向朋友們介紹安全市場上的兩個新產品,并送上一篇值得朋友們一讀的推薦閱讀文章。
本周的信息安全威脅等級為中,目前互聯網上針對各主要軟件廠商產品漏洞發起的攻擊行為仍較為頻繁,用戶應及時從廠商網站獲取已安裝軟件的最新版本或安全更新,同時不要打開來源不明的文件。
黑帽會議綜述:場面熱鬧但創新技術不多;關注指數:高
每年舉辦幾次的黑帽會議是黑客圈中難得的盛事,本周在美國華盛頓舉行的今年第一次黑帽會議就吸引了公眾的廣泛關注。本次黑帽大會上來自世界各地的研究人員發表各自的最新研究成果,內容涵蓋了最新的安全漏洞、攻擊手段和技術,從選題上來看,針對的主要是去年安全業界關注較多的Web 2.0、網絡基礎設施和網絡應用等熱門領域。
雖然看起來挺熱鬧,但更多是去年一些概念性技術或理念的進一步發展,并沒有出現太多創新的或趨勢性的新攻擊技術,本次黑帽大會上還有另外一個挺有意思的特點,如越南、意大利等小國家的安全研究人員也開始在黑帽大會上發言,顯示了小國家在信息安全和黑客技術領域的發展同樣有其獨到之處。下面我們來了解一下本次黑帽大會上公開的幾個比較有特點的技術:
1) 用XSS構建匿名瀏覽網絡:跨站腳本攻擊XSS漏洞,通常被黑客用于在知名的站點尤其是電子商務或在線金融站點上竊取用戶的賬號密碼,或是用于通過外部網站向用戶的系統中植入惡意軟件。
本次黑帽大會上有研究人員提到,XSS也能用于構建匿名的瀏覽網絡,從而用于隱藏攻擊者的痕跡——實際上該技術也可以認為是XSS用于植入惡意軟件這種攻擊手法的擴展,黑客通過XSS來向目標用戶的瀏覽器惡意代碼,指令目標用戶的瀏覽器瀏覽特定的網站并將該網站的數據返回到黑客指定的第二個網站上,從而使黑客能夠通過目標用戶的瀏覽器訪問到特定的網站,同時不留下訪問痕跡,不過這種技術存在不能正常處理非文本信息的缺陷。
筆者覺得,這種技術有可能發展成XSS與系統漏洞利用程序相結合,并在用戶的系統上植入能夠完成代理功能的惡意軟件,最終通過眾多受害者的系統組成代理網絡,供黑客實施攻擊之用。
2) 不可靠的臉部識別驗證方法:用戶只需在攝像頭前露一下臉,系統就會自動確認是否用戶身份,而無需用戶再輸入密碼,這種臉部識別技術聽起來相當的強,市場上也有數個廠商已經開始推廣使用這種臉部識別技術的筆記本計算機。
但這種生物識別方法不見得是很安全,在本次黑帽大會上來自越南的安全研究人員提出,目前在聯想、東芝和華碩三計算機廠商的筆記本計算機產品上使用的臉部識別技術并不可靠,很容易通過特定的技術繞過其保護直接訪問用戶的計算機。
研究人員稱,臉部識別技術最大的缺陷在于,無法識別照片和用戶真人之間的區別,在使用低分辨率的攝像頭時該問題更加嚴重。黑客只需要獲得用戶的多張照片,就能通過這些照片計算出用戶的臉部特征并制作成足以通過臉部識別保護的數碼照片。
筆者認為,該研究人員提到的問題確實存在,就目前的臉部識別技術的準確率來看,筆記本計算機上通過內置攝像頭實現臉部識別并不實用,會給用戶帶來相當大的潛在風險。如果廠商是打算為用戶提供低成本的生物特征識別技術,其實還不如采用密碼加用戶擊鍵習慣進行生物特征驗證的雙重驗證方式,這樣安全性會提高很多。
3) SSL/TLS中間人攻擊:傳統的SSL/TLS中間人攻擊方法,都是利用了SSL/TLS本身加密算法上的缺陷或者通過調換加密證書的方式,來達到黑客獲取用戶賬號密碼的目的。
但研究人員在本次黑帽大會上發布的新SSL中間人攻擊方式卻采取了另外的途徑,黑客通過TOR代理網絡劫持等方式攔截用戶的通訊之后,通過一個名為SSLstrip的程序將用戶與真實網站的加密連接轉換成普通HTTP連接,并通過偽造安全圖標等方式,讓用戶相信自己正在安全的瀏覽真實站點,實際上黑客已經可以通過嗅探的方法來獲得用戶的賬號密碼。
用戶要防御這種攻擊手段其實并不困難,只要盡量不要在不安全的地點或通過不安全的網絡連接(包括各種代理),訪問電子商務或網絡金融類站點即可。
移動安全:移動安全仍不容樂觀;關注指數:高
本周安全廠商McAfee發布了最新的2009移動安全報告,該報告總結了從2006年開始到2008年底,移動設備的技術發展和其面臨的安全威脅,并預測了在未來一段時間內用戶將可能面臨的移動安全相關問題。
盡管安全業界通常將傳統的智能手機Blackberry、Iphone和SmartPhone,以及正在快速發展的移動計算、內建3G功能的上網本和Intenet tablet等設備歸類到移動設備,但在本報告中, McAfee并沒有定義移動設備是什么,報告也更為關注于SmartPhone。報告顯示,網絡和服務商問題、病毒感染、語音和文字垃圾短信、第三方應用、用戶數據丟失、網絡釣魚攻擊、隱私問題和拒絕服務攻擊仍是移動設備用戶面臨的主要安全威脅,攻擊的發生頻度也在近兩年有跨越式的發展。
除此之外,本次報告還首次對移動設備廠商進行了調查,結果顯示大多數的移動設備廠商都已經意識到,安全問題已經對他們的業務產生至關重要的影響,并贊同對移動設備售出后的軟件更新和修正會明顯影響業務這一觀點,另外,移動設備廠商對用戶的移動支付、軟件安裝和無線/藍牙連接性三個方面所存在的安全威脅較為關注。
筆者認為,從廠商的反應來看,移動設備安全的重要性已經成為業界的共識,但大多數的移動設備廠商并不了解要如何為移動設備提供安全解決方案,針對移動設備的售后安全服務也基本是空白,顯然安全業界與移動設備廠商仍需要建立更緊密的協作關系。
推薦工具:
1) Dshield Web Honeypot:SQL注入、XSS、密碼拆解等攻擊手段是互聯網網站經常面臨的威脅,然而因為傳統的IDS和防火墻并不能檢查來自Web上的攻擊數據,網站管理員很難及時發現攻擊行動的存在,往往在黑客攻擊成功乃至很長時間之后,才發現已經遭受攻擊。Dshield是一個開源的Web 攻擊蜜罐,它能夠通過日志分析及時發現黑客的攻擊嘗試并向管理員發出警告,安裝和維護也較為簡單,朋友們可以在以下的連接中找到它。
http://sites.google.com/site/webhoneypotsite/
2) 趨勢推出運行在路由器上的反病毒軟件:趨勢科技日本公司本周推出了能夠運行在Cisco Linksys特定型號家用路由器上的反病毒軟件,能夠在數據進入用戶網絡前進行前期的安全掃描,為用戶網絡安全增添一層安全保障。該產品也是世界上首個運行在路由器上的安全解決方案,雖然目前尚無法評價其實際效果,但其設計理念非常值得其他安全廠商借鑒。
推薦閱讀:
1) 5步實施PCI策略;推薦指數:高
對許多需要處理在線支付的電子商務企業來說,實施支付卡安全行業標準(PCI)并不是一件很容易的事情,即使是實力雄厚的大型電子商務企業,也已經發生過多起因為不滿足PCI導致的起訴和罰款事件。
eWeek.com文章《5步實施PCI策略》通過將PCI策略的整個實施過程劃分為5個階段,并為用戶提供了多個簡單易行的建議,推薦電子商務行業的朋友都來了解一下。
【51CTO.COM 獨家特稿,轉載請注明出處及作者!】
【相關文章】
