全球黑客盛会：2008年黑帽大会要闻摘要

 

上周在拉斯维加斯开幕的2008黑帽大会现在是整个网络安全界关注的焦点，不仅黑客业内人士、各大知名IT厂商、软件公司，包括一些政府人员甚至美国FBI都在紧盯着这个大会的内容。前两天我在博客上发了对黑帽大会的创办人Jeff Moss的采访记录以及DNS漏洞的发现者Dan Kaminsky的采访记录。今天在51CTO看到了两篇相关的摘要，转了过来。我粗略的看了一下，呵呵，媒体嘛，毕竟还是浮躁的文字相对多一些，一些实时的内容，大家可以关注黑帽大会官方网站，以及Defcon安全大会的官方网站，还有一些比如VentureBeat等等一些国外网站的报道，一是消息比较及时，二就是内容比较充实，呵呵。不说了，大家自己看吧。

——紫色贵族

作者：梁林 来源：51cto

全球黑客盛会：2008年黑帽大会要闻摘要

全球瞩目的信息安全会议Black Hat USA 2008上周在美国拉斯维加斯开幕，众多的安全厂商和独立安全研究人员都在会上发表了自己最新的研究成果。作为全球水平领先的安全会议，Black Hat会议上公开的研究成果大都是信息安全的近期热点，也有很多相当具有前瞻性的趋势。51CTO《一周安全要闻回顾》专栏将密切关注Black Hat会议的进程，及时为你带来最新的报道和分析。

上周Black Hat会议上值得关注的新闻有：

1、 CISCO路由器话题重回Black Hat会议；

内容：来自安全厂商Core Security的研究人员Ariel Futoransky 将公开其同事Sebastian Muniz的研究结果，如何创建难于检测的Cisco路由器Rootkit。另外，来自英国厂商IRM PLC的研究人员也将在会议上公开自己的研究成果，可以用于对Cisco路由器的操作系统IOS进行调试的GNU调试工具。

分析： 三年前的Black Hat 2005会议上，安全研究人员Michael Lynn曾经发表过如何未经授权就在Cisco路由器上执行shellcode代码的报告，然而谁都没想到的是，Cisco公司在会议之后就以侵犯信息产权为由，将Lynn和Black Hat会议的组织者告上了法庭。尽管Cisco公司的行为在其后三年内一定程度上保护了Cisco路由器用户的安全，但显然阻止不了第三方安全厂商和研究人员继续对Cisco的网络产品进行漏洞挖掘和相应攻击技术的发展。去年中开始，网络基础设施的安全成为整个安全业界的新热点， Cisco路由器再次成为研究人员攻击的主要对象，Rootkit等恶意软件也由一些领先的厂商公开出来，而以往由于Cisco路由器架构原因而难于进行的漏洞挖掘和调试工作，也因为英国研究人员推出的GNU调试工具，而大大降低了技术门槛。最重要的一点是，作为这类攻击研究的最大阻力，Cisco公司的态度今年也有所软化。笔者认为，Cisco路由器攻击的话题重回Black Hat会议，显示网络基础设施安全将继续成为安全业界的热点，将会有更多安全厂商进入这一领域，相应的安全产品和服务业会成为安全市场上的新增长点。此外，随着技术门槛的下降，针对网络基础设施，尤其是几个网络设备大厂产品的攻击行为也会进一步增多，用户应该关注这一趋势。

2、 DNS漏洞同样会影响电子邮件和内部系统；

内容：DNS漏洞的发现者Kaminsky在本届Black Hat会议上公开了最近一直很热的DNS漏洞细节，并介绍了DNS漏洞攻击的一些情况。他在报告中称，DNS不单会威胁Web和浏览器安全，也会威胁到其他基于DNS域名解析功能的信息服务，如电子邮件和企业内部网络等。

分析： DNS漏洞及其利用程序在7月底公开之后，对用户的Web浏览安全造成了相当大的威胁。从媒体和用户所报告的情况来看，针对DNS漏洞的攻击并不多，所造成的损失也远比安全业界一开始估计的小，但各大厂商和用户仍不能松懈——Kaminsky在本届Black Hat会议上公开的报告中，就介绍了黑客可以利用DNS漏洞来攻击其他基于DNS域名解析服务的信息服务，如企业的电子邮件、Telnet等远程登录服务等。从平时的实践来看，尽管黑客理论上能够通过DNS漏洞攻击用户的所有基于DNS域名解析的所有服务，但黑客在进行DNS相关攻击的时候需要架设服务器以提供相应的虚假服务，因此，黑客在发起攻击时更倾向于攻击较为容易实现的非加密服务，如Web、电子邮件等，而较少攻击终端服务、VPN等加密服务。笔者建议，用户在防御DNS漏洞攻击时，除了要注意打好补丁之外，还应该关注目前所使用的非加密服务的通讯安全性，尽快增加加密功能或升级到最新的版本。

3、 电子收费系统暗含风险；

内容：来自Root Labs的安全研究人员Nate Lawson在本届Black Hat会议上，介绍了如何通过修改收费卡片上存储的信息，从而欺骗电子收费系统跳过收费操作，或从别人账户收取费用的攻击方法。

分析：电子卡片技术通常广泛的应用于高速公路等基础设施和超市等零售业中，我们也能在许多门禁类安全系统上看到这类产品的应用。攻破电子卡片的保护并复写里面的识别信息并不算是一种新的攻击方式，从前年开始，安全研究人员和黑客就在广泛的研究电子卡片的安全和攻击。去年，一群独立安全研究人员曾宣布攻破零售业常用的RFID电子标签保护，可以轻易的修改电子标签上的内容；今年早些时候，欧洲研究人员也宣布攻破伦敦地铁电子票的保护，可以随意免费乘坐伦敦所有公交工具。再结合研究人员在本届Black Hat会议上介绍的电子收费系统攻击，显示了这样一个趋势，针对电子卡片的攻击技术已经走出实验室，逐渐成为黑客手中的利器。随着各种电子标签在我们日常生活中的应用，电子标签成为标记和定位物品的重要手段，对其发起的攻击所带来的威胁也随之变得明显。另外，我们目前使用的新版身份证和其他的一些证件也都是基于电子标签技术的，电子标签攻击技术的发展也将会对隐私信息造成相当大的威胁。

全球黑客盛会：2008年黑帽大会要闻摘要（2）

（1） 社会网络网站的安全受第三方插件威胁；

内容：在8月7日的Black Hat会议上，两名安全研究人员Shawn Moyer 和Nathan Hamiel公开了他们对社会网络网站（SNS）的最新研究成果：不安全的第三方插件将会严重威胁用户使用社会网络网站的安全，另外，该研究还发现用户之间的信任仍然是社会网络网站安全的最大漏洞。这两名研究人员还在与会者面前进行了对美国社会网络网站LinkedIn的攻击演示。

分析：社会网络网站是近几年最为流行的Web 2.0产品之一，用户能够很方便的在社会网络网站上和朋友联络、交换信息，国内也有数个较为出名的本土社会网络网站。由于SNS市场竞争日趋激烈，用户数量急剧增加，MySpace、Facebook等市场领先的社会网络网站先后开放了开发接口，用户和开发人员可以自行创建各种第三方插件，增强自己在社会网络网站的用户体验和提升使用效率。

本届Black Hat会议上公开的研究成果，揭露了这样一个问题：社会网络网站运营商在开放开发接口的同时，却没有为普通用户提供一个可靠安全的插件认证手段，用户使用不安全的第三方插件之后，自己的敏感信息受到威胁，甚至造成类似病毒扩散的后果，这个责任应该由谁承担？从目前的情况来看，在开放了开发接口的社会网络网站运营商眼里，这种后果都应该由插件的使用者也即用户承担。上个月，反病毒厂商卡巴斯基和软件厂商Adobe就曾联合发布过一个安全公告，称黑客利用MySpace和Facebook散布实际上是一个特洛伊木马程序的虚假Flash升级程序。尽管该安全公告中没有明确指出第三方插件是否在黑客的攻击中发挥了作用，但黑客是可以通过使用精心构造的第三方插件，进行获取使用者的敏感信息或使用用户的名义发送虚假的信息等攻击行为。

笔者认为：与社会网络网站同为Web 2.0技术的博客、社区等其他公众服务也同样存在上述威胁，虽然第三方开发者和厂商提供的插件程序，虽然能够显著的提升用户体验，让用户自己的空间看起来很有个性，但在目前运营商不重视安全，控制手段严重缺失的情况下，用户使用来源不明的第三方插件具有相当大的敏感信息丢失或成为攻击源的风险。建议用户在并非十分必要的情况下，尽量不要使用来自不可信来源的第三方插件，也不要轻易相信自己博客、空间上的带有链接或误导性言语的留言，因为这很可能就是黑客精心策划的恶意陷阱。

（2） 不使用漏洞的Web攻击方法；

内容：在普通用户的心里，擅长攻击Web的黑客大多都是装备精良、经验丰富的技术老手，然而在8月8日的Black Hat会议上，来自WhiteHat Security的两名研究人员Jeremiah Grossman和 Trey Ford向与会者展示了多种不使用漏洞的Web攻击方法，以及黑客如何使用这些攻击方法来获取经济利益。其中较有代表意义的攻击方法有：通过注册大量虚假账户来突破CAPTCHA验证方法进行投票造假；使用虚假数据来欺骗在线银行系统；利用网络交易过程的缺陷免费获得货物；利用证券市场上的未公开信息进行获利等。

分析：WhiteHat Security研究人员在Black Hat会议上所公开的方法并不是非常创新的攻击方法，其中提到的许多方法在早至五、六年前就在国内广为使用。就用网络投票中常见的验证系统作为例子，许多网站在举行有奖投票的时候，一般都不会刻意去防止有人进行投票作弊，这样，往往就有人用有偿代投票的形式进行作弊并获取相应的经济利益，即使是被多个大型电子邮件服务商采用，公认比较可靠的CAPTCHA验证系统，在去年和今年数次被黑客攻破，并用来进行投票作弊或垃圾邮件散发。利用网络交易过程中存在的缺陷进行的网络欺诈案件，或者利用第三方的网络支付服务进行洗钱等也是我们比较熟悉的案例。

笔者认为：对运营商来说，和较为容易发现和清除的系统或代码漏洞不同，业务流程逻辑上的漏洞往往更为隐蔽和难以清除，而在电子商务的整个链条中，人这一环是安全性最弱的。WhiteHat Security研究人员的成果所透露出来，除了提供多个新颖的攻击思路外，更多的是透露出一个趋势：黑客进行攻击时，将越来越多的着眼电子商务业务流程上的缺陷。而目前的信息安全或者安全审计领域，也往往把企业业务风险和信息风险这两者完全割离开来，企业本身在进行信息安全项目时，也主要关注在技术方面的风险，信息化业务流程的风险、攻击和防御，将会成为较长时期内安全行业和市场内的热点话题。

（3） Microsoft新计划帮助修复第三方软件中的漏洞

内容：在8月7号的Black Hat会议上，Microsoft宣布将发起一个名为微软漏洞研究（MSVR）的新计划，该计划旨在帮助参与计划的第三方厂商修复其软件产品中存在的安全漏洞。Microsoft将与参与计划的第三方厂商共享由Microsoft自己的研究人员或外部研究人员所发现的安全漏洞，并帮助第三方厂商修正这些漏洞。

分析：2006年开始的Windows平台第三方软件漏洞挖掘和攻击热潮，是Microsoft推出该项新计划的最主要目的。这两年Windows和其他Microsoft产品上所发现的漏洞数，只比之前几年有小幅度的上升，而Windows平台上的第三方软件漏洞，则以相当快的速度进行增长，甚至成为黑客攻击Windows系统的主要手段，最近的Flash媒体播放器漏洞，就显示第三方软件的漏洞，也会成为用户系统的严重安全威胁。

根据Microsoft的统计数据，目前在攻击Windows平台的漏洞利用程序中，有80%是针对Windows XP上的第三方软件，90%是针对Windows Vista上的第三方软件。笔者估计，Microsoft的新计划在开始时可能只会加入Adobe等大型软件厂商，较小或不被Microsoft承认的软件厂商仍将游离在外。Microsoft的新计划也将进一步促进Windows平台安全一体化的思路，而现有的Windows Update服务是否成为通用的软件升级服务，值得期待。