“黑帽”聚會 Web2.0和iPhone成標靶

去年一年，全球范圍內(nèi)黑客攻擊網(wǎng)銀的案件激增了81%，其中黑客潛入企業(yè)信用帳戶的案件增加了62%。這是美國最大的信息安全技術提供商SecureWorks在今年的BlackHat上公布的一組數(shù)據(jù)。

該報告還顯示，2006年6月~12月，SecureWorks平均每月為每家銀行攔截到808次攻擊；今年上半年，平均每個企業(yè)帳戶都有1462名黑客攻擊；而攔截到的對信用合作社的攻擊，也從去年的平均每月每家1110次上升到了1799次。

這些駭人的數(shù)據(jù)，再一次印證了安全專家所警告的“病毒經(jīng)濟”迅猛發(fā)展的現(xiàn)實，而“黑客”所指代的，也不再只是那些羅賓漢式的技術狂熱者。因此，當今年7月28日~8月2日，舉世聞名的“黑帽大會(BlackHat US 2007)”再次召開的時候，全世界的眼球，又一次集中在了拉斯維加斯的凱撒飯店(Caesar’s Palace)——這個全球黑客每年盛大聚會的地點。

大腕云集

今年“黑帽”大會6天的議程中，前四天是特色的專題訓練，最后兩天則以公開會議的形式來做總結。據(jù)國外媒體報道，今年的會議規(guī)模大增，到會的黑客、安全專家、甚至媒體都比往年要多，許多國際知名的安全專家和黑客都出現(xiàn)在拉斯維加斯。

《打倒一切敵人》(Against All Enemies)的作者，曾為里根、老布什、克林頓和布什四位美國總統(tǒng)做顧問的Richard Clarke特別到場，做了題為《2017年數(shù)字安全的故事》(A Story About Digital Security in 2017)的演講。這也是“黑帽”大會的一大特色——美國現(xiàn)任或前任政要擔任大會主要演講嘉賓。前幾年，F(xiàn)BI的代表和In-Q-Tel(中央情報局于1999年投資成立的非盈利性風險投資公司)的前CEO都曾是“黑帽”的發(fā)言人。

在通話電路方面極富經(jīng)驗的計算機安全專家Dan Kaminsky在這次大會上介紹了他在Captcha攻擊方面的最新研究。Captcha是通過顯示特征阻止論壇和郵件中垃圾信息的識別系統(tǒng)。目前，許多網(wǎng)站都加入了語音Captcha的功能，而需要用來計算的語音信息往往是生硬、急速而且混雜著噪音的。Kaminsky找到了一種用WinAmp能夠自動聽取、識別，并對語音信息做出反應的方法。

不過，并不是人人都對語音感興趣，Neal Krawetz則帶來了有關數(shù)字圖片和電影的生動演講。通過他的技術，人們“不僅能夠輕松區(qū)分出哪些圖片是真實的，哪些是電腦合成的，而且還能夠辨別出這些合成的圖片是如何制作的。”

而去年以“藍色藥丸”(Blue Pill)聞名于世的黑客Joanna Rutkowska這次也帶著她對虛擬化核心程序的最新攻擊嘗試回來了。不過，賽門鐵克的安全專家Thomas Ptacek對Joanna號稱“絕對無法察覺”的木馬程序并不感到恐懼，并且還在另一場演講中宣布，Joanna的木馬不僅不可怕，甚至比普通得木馬更加容易被檢測和查殺。

除了這些安全高手們，德國的安全專家Halver Flake就為沒能參加這次的聚會而抱怨連連。原本Halver Flake是要在“黑帽”上做培訓的，但由于其所攜帶的培訓材料顯示，這次培訓完全是個人經(jīng)營，而非企業(yè)組織，因此美國以無工作許可證為由，拒絕他入境。為此，F(xiàn)lake在博客中抱怨，“黑帽”的組織方?jīng)]有提供足夠的證明材料，讓他錯失了這樣一個好機會。

Web 2.0正重蹈Web 1.0覆轍

“我們正在把我們的經(jīng)濟越來越多地建立在電腦空間1.0(Cyberspace 1.0)上，但我們卻很少為這電腦空間1.0的安全做點什么。”Richard Clark在他的講話中指出，而這也可以說是今年“黑帽”大會的最佳概括。在Web服務器(網(wǎng)站)和客戶端(即瀏覽器)之間分配處理任務的技術Ajax的表現(xiàn)速率，正在向某些舊有的攻擊手段敞開Web 2.0的大門。

在這次“黑帽大會”的一個發(fā)言中，現(xiàn)場對Gmail帳戶的入侵就是最有力的證明了。Errata Security的CEO Robert Graham向在場的觀眾演示了他是如何通過一個名為“Hamster和Ferret”的工具，“嗅出”與Web 2.0網(wǎng)站相連的無線電波的。

Graham在他的同事David Maynor發(fā)言時，在后臺運行了這個工具，尋找在場聽眾所使用的Web 2.0 cookies。當然，截取cookies早就不是什么新技術了，不同之處是，Graham的技術卻能夠清楚地找到Web 2.0的文本cookies，然后把截取到的URL在一個新的瀏覽器中打開。完全不需要密碼，只要cookie本身就足夠。在演示的最后一部分，Graham打開Hamster的工具，找到了一個已經(jīng)打開的Gmail賬戶，隨后，某個倒霉蛋的郵件列表就出現(xiàn)在了演示用的大屏幕上。

Graham表示，盡管Web 1.0網(wǎng)站很早以前就已經(jīng)學會終止cookies，但剛興起沒幾年的Web 2.0網(wǎng)站卻沒有，因此可以很容易地在咖啡店或其他地方找到空氣中充斥著的無線用戶信息，有些隔幾個月甚至還能正常登陸。這種攻擊最可怕的地方在于，受攻擊者完全不知道自己的賬戶已經(jīng)被盜，而且即使更改了密碼也沒用，因為擁有了這些cookies的黑客，在某種程度上已經(jīng)成為了賬戶的主人。

而在另外一組發(fā)言中，去年就大談Web 2.0 Ajax問題、來自SPI Dynamics 的Billy Hoffman，今年繼續(xù)了這一話題。他在發(fā)言中指出，不少已有網(wǎng)站正在以安全為代價，不斷地“Ajax化”。而僅僅利用Ajax的已知缺陷，就可以重新排列客戶端的JavaScript，訂滿整架飛機的座位或以1美元的價格購買往返機票。

此外，Hoffman還提及以JaveScript和Perl寫成的Web 2.0蠕蟲。當網(wǎng)站上有跨站的腳本漏洞時，蠕蟲便會自動以JaveScript的形式感染網(wǎng)站。當用戶訪問該網(wǎng)站時，JaveScript就會下載到他們的瀏覽器，而Perl則是用來感染服務器的。

有業(yè)內(nèi)人士評論，隨著Web 2.0的興起，Web應用不僅有非常強的公共屬性，而且其互動性也大大增加。而與此伴隨的，是對極少有人能夠通報漏洞。這也就不奇怪，Web應用成了今年“黑帽”們最熱衷的話題。

iPhone成了大熱門

除了對Web應用的廣泛探討，今年的iPhone取代了去年Vista的地位，成了最受黑客們喜愛的攻擊對象。

早在“黑帽”大會開幕前一星期，iPhone存在安全漏洞的說法就已經(jīng)被炒得火熱。一家名為Independent Security Evaluators的安全企業(yè)最先表示，發(fā)現(xiàn)了iPhone的一個嚴重安全漏洞，黑客可以通過該漏洞窺探存儲在iPhone中的信息，并獲取其控制權。該公司在它的網(wǎng)站上，公布了破解視頻和一部分漏洞信息，并聲稱黑客不僅可以通過一個無線接入點偷偷入侵iPhone，甚至通過控制某些網(wǎng)站也可以控制iPhone，甚至用戶都不需要打開Safari瀏覽器，惡意代碼就可以入侵。[!--empirenews.page--]

隨后，iPhone被部分破解的新聞更是滿天飛。就連尚未開始出售iPhone的國內(nèi)，也傳言出現(xiàn)了被破解的iPhone，不過只能打電話還不能發(fā)短信。有黑客公然宣稱：“破解iPhone已經(jīng)是指日可待的事情了。”

8月1日，在“黑帽”們公布iPhone漏洞細節(jié)之前，經(jīng)美國國土安全部確認，蘋果發(fā)布了iPhone的一系列更新，包括對Safari瀏覽器，以及最基本的WebCore和WebKit庫。這是iPhone自6月底正式發(fā)布以來，所面臨的最大威脅，同時也表現(xiàn)了蘋果公司在壓力下經(jīng)受考驗的能力。

不過，仍有不少安全專家表示，iPhone缺乏數(shù)據(jù)安全功能，對iPhone的使用應持謹慎態(tài)度，特別是在企業(yè)網(wǎng)絡中使用iPhone，很可能會帶來不堪設想的后果。但Yankee Group的分析師Andrew Jaquith則認為，這些都是安全公司的人在危言聳聽。單就技術而言，世界上沒有任何一種產(chǎn)品是無法破解的，而這些對iPhone的批評其實都是安全公司的決策問題，安全只是借口。

不過，Jaquith仍表示，iPhone應在補丁中擴大對身份識別的支持，在企業(yè)市場，他則建議蘋果打開iPhone的IMAP-S功能，使用L2TP over IPSec和非標準接口。