對話IT:兩位安全大拿解讀Pwn2own2011黑客大賽(音頻)
原創一年一度的Pwn2own黑客大賽已經落下帷幕。這次大賽有哪些亮點?瀏覽器和手機安全問題是否迫在眉睫?這次我們有幸邀請到圈子里兩位知名的網絡安全研究人員,一起聊一聊2011年的Pwn2own。
如不能收聽,請點擊鏈接:http://netsecurity.51cto.com/secu/radio/duihuaIT1_Pwn2own2011.mp3
本期新浪播客:http://video.sina.com.cn/v/b/48426246-2016492641.html
附采訪實錄:
關于智能手機安全的問題,今天我們有幸采訪到資深無線安全研究人員,《無線網絡安全攻防實戰》系列書籍的作者 楊哲。
問:Pwn2own2011年的黑客大賽已經落下帷幕了。我們發現目前有一些人認為,越是開放的手機系統越不安全。這次參與比賽的四款手機系統,有開源的,也有封閉的。是不是越封閉的系統,比如是windows mobile,攻破的難度就越大呢?
答:不是這樣的,我們舉個例子,在過去的10多年來,Windows由于其便捷的窗口化操作和用戶不可見的后臺處理機制,贏得了大量的用戶。但與此同時,也吸引了大量的黑客及組織對其研究,那最終的結果我們都知道,就是微軟的漏洞數量和發布頻率要比其它操作系統高很多,而直到現在Windows并沒有像Linux一樣開源。同樣地,在智能手機領域,Windows Mobile占據的江山可以說還沒有達到和Windows XP這樣一個級別,所以可以看到在06年以前無論是手機病毒還是攻擊的對象都主要是Nokia的Symbian,為什么呢,因為Nokia占據了80%的手機市場。但在最近幾年,隨著使用Windows Mobile系統的智能手機在市場占有率的提高,也爆出了多個威力比較大的漏洞,比如09年比較出名的HTC智能手機爆出的藍牙協議棧漏洞,這個漏洞是由于HTC在開發基于Windows Mobile的藍牙驅動時的疏漏所致,但經過測試,發現它影響到了09年7月前出廠的幾乎所有基于Windows Mobile6/6.5的HTC手機。
總的來說,就是說,并不是封閉的系統,其攻破的難度就越大。按照這個理論,那是不是說只要選擇閉關鎖國,這樣就可以無敵了?呵呵
問:此次比較遺憾的是,Windows Mobile和Android平臺的攻擊者沒有來到大賽的現場。之前看到一些報道,Android平臺的安全問題會是2011年比較讓人擔憂的,你覺得是這樣嗎?為什么Android的安全問題開始浮出水面?
答:我們都知道,絕對的安全是不存在的,所以Android的問題肯定是有的,比如去年底國外一些黑客組織就陸續發布了針對Android2.0/2.1的多個0Day攻擊漏洞,可以導致用戶的智能手機遠程執行惡意代碼、資源耗盡導致死機等。其實無論任何操作系統,安全問題都是存在的,只是其流行程度和關注程度還遠沒有達到臨界點罷了。這個臨界點就是由手機的用戶數量、流行程度所決定的。這個道理就如同我們剛才提到的Windows一樣。
問:您覺得此次pwn2own黑客大賽的亮點是什么?這樣的比賽,它的意義在哪里?
答:亮點就是手機廠商與安全人員甚至是黑客的正面對決,這表明了廠商愿意從根本上提高自身安全,愿意對潛在的安全問題負責,愿意為用戶負責的態度。相信很多朋友都愿意看到這種讓廠商直面自身安全隱患,將其所謂的自信直接放在爐上烤的感覺,這比廠商發布100個公告和聲明要有意義的多。這個比賽讓我想起了數年前某個防火墻廠商的一個懸賞活動,在單位時間內只要攻破其防火墻設備訪問到后方的某一個指定文件,即可獲得5萬元的獎勵。這個Pwn2Own與其性質完全一致,但在這么多主流移動設備供應商的支持下,特別是重賞之下必有勇夫嘛,一些安全研究人員也愿意將自己的技術展現出來,來向很多廠商疏漏的角度展開攻擊,這對廠商的提高也是巨大的,所以說,Pwn2Own黑客大賽的深遠意義要高出了很多。
問:在智能手機安全領域,我們之前也采訪過一些手機安全廠商,目前他們還沒有看到大規模的手機木馬、病毒的爆發,當前的手機安全軟件也大多定位在在隱私保護和軟件管理上,您估計手機安全問題到什么階段可能會大規模爆發?
答:恩,其實主要是因為國內確實沒有面臨過大規模手機病毒爆發的事件,所以目前國內的手機安全防護類軟件主要偏向于隱私保護上,但在國外,早在04年起,自從針對Nokia的Cabir等手機蠕蟲病毒的泛濫,使得很多國際上比較有名的產品對手機木馬病毒方面的關注度還是很高的,
比如Mcafee、賽門鐵克、Kapersky、F-Secure等等。
問:有人認為手機安全問題會隨著手機支付的發展而凸現出來,您是怎么看待智能手機平臺的黑色產業鏈和潛在的利潤體系的?
答:顯然地,由于國情的不同,對于中國來說,非法軟件在手機后臺吸費將會是這幾年來主要的問題,不過手機自身的安全問題也將受到越來越多的關注,比如現在很多人開始陸續享受到的手機支付等,也將隨著普及而出現新的安全問題。而作為黑色產業鏈這個問題已經不是一兩家安全公司、團體或者單純的手機安防軟件能夠解決的問題,它需要多個相關部門的聯合才能夠最大程度地堵住這個黑洞。
++++++
關于瀏覽器安全的問題,我們來咨詢一位在國內知名安全公司工作的技術大拿。對客戶端軟件安全和Web安全有著很豐富的經驗。不過他現在不太方便透露自己的姓名。所以呢,我們這邊就不做介紹了。
問:關于Pwn2own2011黑客大賽有幾個問題想跟您溝通一下,pwn2own黑客大賽已經結束了,在瀏覽器的部分, Chrome和Firefox瀏覽器都沒有被攻破,而值得一提的是Chrome瀏覽器連續3屆黑客大賽上都順利過關,您覺得Chrome的安全性真的是一個神話嗎?
答:Chrome的安全系數是比較高的,但是它并不是絕對的安全。為什么chrome的其安全性很高呢?主要有兩個方面的原因,一個是谷歌提供了一個有償的安全谷歌計劃,也就是如果有安全人員發現了chrome的安全漏洞,就會有一個有償的補助,是1000美元到3000美元不等,所以很多安全研究人員發現了chrome的安全漏洞就會上報給谷歌;然后另外一個方面就是,chrome的有一個安全的沙盒,也就是如果chrome有這么一個安全漏洞,但是(黑客利用這個漏洞)并不能直接攻擊chrome,也就是說瀏覽器雖然存在安全漏洞,但是不能被直接攻擊。也就是chrome沒有被攻破的最主要原因。
問:也就是說攻擊者要繞過這個沙盒才能對chrome進行攻擊?
答:對。
問:那您剛才說的有償計劃,其他瀏覽器廠商沒有這種機制嗎?
答:Firefox也有這種有償補助,所以這兩個瀏覽器的安全系數高一些,火狐在參加這個大賽之前就已經修復了十多個安全漏洞。
問:所以說它(Firefox)在這次比賽有點僥幸的因素在里邊是吧?
答:對
問:第二個問題,作為一名安全研究人員來說,您平常最常用的瀏覽器是什么?
答:火狐。
問:為什么?
答:因為火狐是一個老牌的插件瀏覽器,它有很多的插件,可以方便日常的一些工作。
問:那這是從使用功能方面來說的,那其他方面呢?
答:其他方面的話,它最主要的特點就是開源,你可以了解到這個瀏覽器最近有沒有什么安全漏洞,或者可以在開源社區里討論它的安全漏洞或者防護措施之類的,都可以在第一時間知曉。
問:那我問最后一個問題,和技術有點相關的,就是您能介紹一下常規的瀏覽器漏洞挖掘技術都有哪些嗎?
答:常規的瀏覽器漏洞挖掘技術的話應該是兩塊,一塊是閉源的,閉源的話主要靠逆向,像(攻擊)IE瀏覽器主要靠逆向,逆向的話是可以直接從源代碼分析瀏覽器的一些漏洞。另外一種是fuzzing也就是模糊測試這種方法,來發現黑盒這種方式測試瀏覽器的漏洞。
對話IT主持人:
鮮橙、嘉文
如需下載收藏可訪問(需51CTO帳戶):
http://down.51cto.com/data/177319
《IT聽聽看》新浪微博:http://t.sina.com.cn/2016492641
【編輯推薦】
