“黑帽”聚會(huì) Web2.0和iPhone成標(biāo)靶

去年一年，全球范圍內(nèi)黑客攻擊網(wǎng)銀的案件激增了81%，其中黑客潛入企業(yè)信用帳戶的案件增加了62%。這是美國(guó)最大的信息安全技術(shù)提供商SecureWorks在今年的BlackHat上公布的一組數(shù)據(jù)。

該報(bào)告還顯示，2006年6月~12月，SecureWorks平均每月為每家銀行攔截到808次攻擊；今年上半年，平均每個(gè)企業(yè)帳戶都有1462名黑客攻擊；而攔截到的對(duì)信用合作社的攻擊，也從去年的平均每月每家1110次上升到了1799次。

這些駭人的數(shù)據(jù)，再一次印證了安全專家所警告的“病毒經(jīng)濟(jì)”迅猛發(fā)展的現(xiàn)實(shí)，而“黑客”所指代的，也不再只是那些羅賓漢式的技術(shù)狂熱者。因此，當(dāng)今年7月28日~8月2日，舉世聞名的“黑帽大會(huì)(BlackHat US 2007)”再次召開(kāi)的時(shí)候，全世界的眼球，又一次集中在了拉斯維加斯的凱撒飯店(Caesar’s Palace)——這個(gè)全球黑客每年盛大聚會(huì)的地點(diǎn)。

大腕云集

今年“黑帽”大會(huì)6天的議程中，前四天是特色的專題訓(xùn)練，最后兩天則以公開(kāi)會(huì)議的形式來(lái)做總結(jié)。據(jù)國(guó)外媒體報(bào)道，今年的會(huì)議規(guī)模大增，到會(huì)的黑客、安全專家、甚至媒體都比往年要多，許多國(guó)際知名的安全專家和黑客都出現(xiàn)在拉斯維加斯。

《打倒一切敵人》(Against All Enemies)的作者，曾為里根、老布什、克林頓和布什四位美國(guó)總統(tǒng)做顧問(wèn)的Richard Clarke特別到場(chǎng)，做了題為《2017年數(shù)字安全的故事》(A Story About Digital Security in 2017)的演講。這也是“黑帽”大會(huì)的一大特色——美國(guó)現(xiàn)任或前任政要擔(dān)任大會(huì)主要演講嘉賓。前幾年，F(xiàn)BI的代表和In-Q-Tel(中央情報(bào)局于1999年投資成立的非盈利性風(fēng)險(xiǎn)投資公司)的前CEO都曾是“黑帽”的發(fā)言人。

在通話電路方面極富經(jīng)驗(yàn)的計(jì)算機(jī)安全專家Dan Kaminsky在這次大會(huì)上介紹了他在Captcha攻擊方面的最新研究。Captcha是通過(guò)顯示特征阻止論壇和郵件中垃圾信息的識(shí)別系統(tǒng)。目前，許多網(wǎng)站都加入了語(yǔ)音Captcha的功能，而需要用來(lái)計(jì)算的語(yǔ)音信息往往是生硬、急速而且混雜著噪音的。Kaminsky找到了一種用WinAmp能夠自動(dòng)聽(tīng)取、識(shí)別，并對(duì)語(yǔ)音信息做出反應(yīng)的方法。

不過(guò)，并不是人人都對(duì)語(yǔ)音感興趣，Neal Krawetz則帶來(lái)了有關(guān)數(shù)字圖片和電影的生動(dòng)演講。通過(guò)他的技術(shù)，人們“不僅能夠輕松區(qū)分出哪些圖片是真實(shí)的，哪些是電腦合成的，而且還能夠辨別出這些合成的圖片是如何制作的。”

而去年以“藍(lán)色藥丸”(Blue Pill)聞名于世的黑客Joanna Rutkowska這次也帶著她對(duì)虛擬化核心程序的最新攻擊嘗試回來(lái)了。不過(guò)，賽門鐵克的安全專家Thomas Ptacek對(duì)Joanna號(hào)稱“絕對(duì)無(wú)法察覺(jué)”的木馬程序并不感到恐懼，并且還在另一場(chǎng)演講中宣布，Joanna的木馬不僅不可怕，甚至比普通得木馬更加容易被檢測(cè)和查殺。

除了這些安全高手們，德國(guó)的安全專家Halver Flake就為沒(méi)能參加這次的聚會(huì)而抱怨連連。原本Halver Flake是要在“黑帽”上做培訓(xùn)的，但由于其所攜帶的培訓(xùn)材料顯示，這次培訓(xùn)完全是個(gè)人經(jīng)營(yíng)，而非企業(yè)組織，因此美國(guó)以無(wú)工作許可證為由，拒絕他入境。為此，F(xiàn)lake在博客中抱怨，“黑帽”的組織方?jīng)]有提供足夠的證明材料，讓他錯(cuò)失了這樣一個(gè)好機(jī)會(huì)。

Web 2.0正重蹈Web 1.0覆轍

“我們正在把我們的經(jīng)濟(jì)越來(lái)越多地建立在電腦空間1.0(Cyberspace 1.0)上，但我們卻很少為這電腦空間1.0的安全做點(diǎn)什么。”Richard Clark在他的講話中指出，而這也可以說(shuō)是今年“黑帽”大會(huì)的最佳概括。在Web服務(wù)器(網(wǎng)站)和客戶端(即瀏覽器)之間分配處理任務(wù)的技術(shù)Ajax的表現(xiàn)速率，正在向某些舊有的攻擊手段敞開(kāi)Web 2.0的大門。

在這次“黑帽大會(huì)”的一個(gè)發(fā)言中，現(xiàn)場(chǎng)對(duì)Gmail帳戶的入侵就是最有力的證明了。Errata Security的CEO Robert Graham向在場(chǎng)的觀眾演示了他是如何通過(guò)一個(gè)名為“Hamster和Ferret”的工具，“嗅出”與Web 2.0網(wǎng)站相連的無(wú)線電波的。

Graham在他的同事David Maynor發(fā)言時(shí)，在后臺(tái)運(yùn)行了這個(gè)工具，尋找在場(chǎng)聽(tīng)眾所使用的Web 2.0 cookies。當(dāng)然，截取cookies早就不是什么新技術(shù)了，不同之處是，Graham的技術(shù)卻能夠清楚地找到Web 2.0的文本cookies，然后把截取到的URL在一個(gè)新的瀏覽器中打開(kāi)。完全不需要密碼，只要cookie本身就足夠。在演示的最后一部分，Graham打開(kāi)Hamster的工具，找到了一個(gè)已經(jīng)打開(kāi)的Gmail賬戶，隨后，某個(gè)倒霉蛋的郵件列表就出現(xiàn)在了演示用的大屏幕上。

Graham表示，盡管Web 1.0網(wǎng)站很早以前就已經(jīng)學(xué)會(huì)終止cookies，但剛興起沒(méi)幾年的Web 2.0網(wǎng)站卻沒(méi)有，因此可以很容易地在咖啡店或其他地方找到空氣中充斥著的無(wú)線用戶信息，有些隔幾個(gè)月甚至還能正常登陸。這種攻擊最可怕的地方在于，受攻擊者完全不知道自己的賬戶已經(jīng)被盜，而且即使更改了密碼也沒(méi)用，因?yàn)閾碛辛诉@些cookies的黑客，在某種程度上已經(jīng)成為了賬戶的主人。

而在另外一組發(fā)言中，去年就大談Web 2.0 Ajax問(wèn)題、來(lái)自SPI Dynamics 的Billy Hoffman，今年繼續(xù)了這一話題。他在發(fā)言中指出，不少已有網(wǎng)站正在以安全為代價(jià)，不斷地“Ajax化”。而僅僅利用Ajax的已知缺陷，就可以重新排列客戶端的JavaScript，訂滿整架飛機(jī)的座位或以1美元的價(jià)格購(gòu)買往返機(jī)票。

此外，Hoffman還提及以JaveScript和Perl寫成的Web 2.0蠕蟲。當(dāng)網(wǎng)站上有跨站的腳本漏洞時(shí)，蠕蟲便會(huì)自動(dòng)以JaveScript的形式感染網(wǎng)站。當(dāng)用戶訪問(wèn)該網(wǎng)站時(shí)，JaveScript就會(huì)下載到他們的瀏覽器，而Perl則是用來(lái)感染服務(wù)器的。

有業(yè)內(nèi)人士評(píng)論，隨著Web 2.0的興起，Web應(yīng)用不僅有非常強(qiáng)的公共屬性，而且其互動(dòng)性也大大增加。而與此伴隨的，是對(duì)極少有人能夠通報(bào)漏洞。這也就不奇怪，Web應(yīng)用成了今年“黑帽”們最熱衷的話題。

iPhone成了大熱門

除了對(duì)Web應(yīng)用的廣泛探討，今年的iPhone取代了去年Vista的地位，成了最受黑客們喜愛(ài)的攻擊對(duì)象。

早在“黑帽”大會(huì)開(kāi)幕前一星期，iPhone存在安全漏洞的說(shuō)法就已經(jīng)被炒得火熱。一家名為Independent Security Evaluators的安全企業(yè)最先表示，發(fā)現(xiàn)了iPhone的一個(gè)嚴(yán)重安全漏洞，黑客可以通過(guò)該漏洞窺探存儲(chǔ)在iPhone中的信息，并獲取其控制權(quán)。該公司在它的網(wǎng)站上，公布了破解視頻和一部分漏洞信息，并聲稱黑客不僅可以通過(guò)一個(gè)無(wú)線接入點(diǎn)偷偷入侵iPhone，甚至通過(guò)控制某些網(wǎng)站也可以控制iPhone，甚至用戶都不需要打開(kāi)Safari瀏覽器，惡意代碼就可以入侵。[!--empirenews.page--]

隨后，iPhone被部分破解的新聞更是滿天飛。就連尚未開(kāi)始出售iPhone的國(guó)內(nèi)，也傳言出現(xiàn)了被破解的iPhone，不過(guò)只能打電話還不能發(fā)短信。有黑客公然宣稱：“破解iPhone已經(jīng)是指日可待的事情了。”

8月1日，在“黑帽”們公布iPhone漏洞細(xì)節(jié)之前，經(jīng)美國(guó)國(guó)土安全部確認(rèn)，蘋果發(fā)布了iPhone的一系列更新，包括對(duì)Safari瀏覽器，以及最基本的WebCore和WebKit庫(kù)。這是iPhone自6月底正式發(fā)布以來(lái)，所面臨的最大威脅，同時(shí)也表現(xiàn)了蘋果公司在壓力下經(jīng)受考驗(yàn)的能力。

不過(guò)，仍有不少安全專家表示，iPhone缺乏數(shù)據(jù)安全功能，對(duì)iPhone的使用應(yīng)持謹(jǐn)慎態(tài)度，特別是在企業(yè)網(wǎng)絡(luò)中使用iPhone，很可能會(huì)帶來(lái)不堪設(shè)想的后果。但Yankee Group的分析師Andrew Jaquith則認(rèn)為，這些都是安全公司的人在危言聳聽(tīng)。單就技術(shù)而言，世界上沒(méi)有任何一種產(chǎn)品是無(wú)法破解的，而這些對(duì)iPhone的批評(píng)其實(shí)都是安全公司的決策問(wèn)題，安全只是借口。

不過(guò)，Jaquith仍表示，iPhone應(yīng)在補(bǔ)丁中擴(kuò)大對(duì)身份識(shí)別的支持，在企業(yè)市場(chǎng)，他則建議蘋果打開(kāi)iPhone的IMAP-S功能，使用L2TP over IPSec和非標(biāo)準(zhǔn)接口。