“黑帽”聚會(huì) Web2.0和iPhone成標(biāo)靶
去年一年,全球范圍內(nèi)黑客攻擊網(wǎng)銀的案件激增了81%,其中黑客潛入企業(yè)信用帳戶的案件增加了62%。這是美國(guó)最大的信息安全技術(shù)提供商SecureWorks在今年的BlackHat上公布的一組數(shù)據(jù)。
該報(bào)告還顯示,2006年6月~12月,SecureWorks平均每月為每家銀行攔截到808次攻擊;今年上半年,平均每個(gè)企業(yè)帳戶都有1462名黑客攻擊;而攔截到的對(duì)信用合作社的攻擊,也從去年的平均每月每家1110次上升到了1799次。
這些駭人的數(shù)據(jù),再一次印證了安全專家所警告的“病毒經(jīng)濟(jì)”迅猛發(fā)展的現(xiàn)實(shí),而“黑客”所指代的,也不再只是那些羅賓漢式的技術(shù)狂熱者。因此,當(dāng)今年7月28日~8月2日,舉世聞名的“黑帽大會(huì)(BlackHat US 2007)”再次召開(kāi)的時(shí)候,全世界的眼球,又一次集中在了拉斯維加斯的凱撒飯店(Caesar’s Palace)——這個(gè)全球黑客每年盛大聚會(huì)的地點(diǎn)。
大腕云集
今年“黑帽”大會(huì)6天的議程中,前四天是特色的專題訓(xùn)練,最后兩天則以公開(kāi)會(huì)議的形式來(lái)做總結(jié)。據(jù)國(guó)外媒體報(bào)道,今年的會(huì)議規(guī)模大增,到會(huì)的黑客、安全專家、甚至媒體都比往年要多,許多國(guó)際知名的安全專家和黑客都出現(xiàn)在拉斯維加斯。
《打倒一切敵人》(Against All Enemies)的作者,曾為里根、老布什、克林頓和布什四位美國(guó)總統(tǒng)做顧問(wèn)的Richard Clarke特別到場(chǎng),做了題為《2017年數(shù)字安全的故事》(A Story About Digital Security in 2017)的演講。這也是“黑帽”大會(huì)的一大特色——美國(guó)現(xiàn)任或前任政要擔(dān)任大會(huì)主要演講嘉賓。前幾年,F(xiàn)BI的代表和In-Q-Tel(中央情報(bào)局于1999年投資成立的非盈利性風(fēng)險(xiǎn)投資公司)的前CEO都曾是“黑帽”的發(fā)言人。
在通話電路方面極富經(jīng)驗(yàn)的計(jì)算機(jī)安全專家Dan Kaminsky在這次大會(huì)上介紹了他在Captcha攻擊方面的最新研究。Captcha是通過(guò)顯示特征阻止論壇和郵件中垃圾信息的識(shí)別系統(tǒng)。目前,許多網(wǎng)站都加入了語(yǔ)音Captcha的功能,而需要用來(lái)計(jì)算的語(yǔ)音信息往往是生硬、急速而且混雜著噪音的。Kaminsky找到了一種用WinAmp能夠自動(dòng)聽(tīng)取、識(shí)別,并對(duì)語(yǔ)音信息做出反應(yīng)的方法。
不過(guò),并不是人人都對(duì)語(yǔ)音感興趣,Neal Krawetz則帶來(lái)了有關(guān)數(shù)字圖片和電影的生動(dòng)演講。通過(guò)他的技術(shù),人們“不僅能夠輕松區(qū)分出哪些圖片是真實(shí)的,哪些是電腦合成的,而且還能夠辨別出這些合成的圖片是如何制作的。”
而去年以“藍(lán)色藥丸”(Blue Pill)聞名于世的黑客Joanna Rutkowska這次也帶著她對(duì)虛擬化核心程序的最新攻擊嘗試回來(lái)了。不過(guò),賽門鐵克的安全專家Thomas Ptacek對(duì)Joanna號(hào)稱“絕對(duì)無(wú)法察覺(jué)”的木馬程序并不感到恐懼,并且還在另一場(chǎng)演講中宣布,Joanna的木馬不僅不可怕,甚至比普通得木馬更加容易被檢測(cè)和查殺。
除了這些安全高手們,德國(guó)的安全專家Halver Flake就為沒(méi)能參加這次的聚會(huì)而抱怨連連。原本Halver Flake是要在“黑帽”上做培訓(xùn)的,但由于其所攜帶的培訓(xùn)材料顯示,這次培訓(xùn)完全是個(gè)人經(jīng)營(yíng),而非企業(yè)組織,因此美國(guó)以無(wú)工作許可證為由,拒絕他入境。為此,F(xiàn)lake在博客中抱怨,“黑帽”的組織方?jīng)]有提供足夠的證明材料,讓他錯(cuò)失了這樣一個(gè)好機(jī)會(huì)。
Web 2.0正重蹈Web 1.0覆轍
“我們正在把我們的經(jīng)濟(jì)越來(lái)越多地建立在電腦空間1.0(Cyberspace 1.0)上,但我們卻很少為這電腦空間1.0的安全做點(diǎn)什么。”Richard Clark在他的講話中指出,而這也可以說(shuō)是今年“黑帽”大會(huì)的最佳概括。在Web服務(wù)器(網(wǎng)站)和客戶端(即瀏覽器)之間分配處理任務(wù)的技術(shù)Ajax的表現(xiàn)速率,正在向某些舊有的攻擊手段敞開(kāi)Web 2.0的大門。
在這次“黑帽大會(huì)”的一個(gè)發(fā)言中,現(xiàn)場(chǎng)對(duì)Gmail帳戶的入侵就是最有力的證明了。Errata Security的CEO Robert Graham向在場(chǎng)的觀眾演示了他是如何通過(guò)一個(gè)名為“Hamster和Ferret”的工具,“嗅出”與Web 2.0網(wǎng)站相連的無(wú)線電波的。
Graham在他的同事David Maynor發(fā)言時(shí),在后臺(tái)運(yùn)行了這個(gè)工具,尋找在場(chǎng)聽(tīng)眾所使用的Web 2.0 cookies。當(dāng)然,截取cookies早就不是什么新技術(shù)了,不同之處是,Graham的技術(shù)卻能夠清楚地找到Web 2.0的文本cookies,然后把截取到的URL在一個(gè)新的瀏覽器中打開(kāi)。完全不需要密碼,只要cookie本身就足夠。在演示的最后一部分,Graham打開(kāi)Hamster的工具,找到了一個(gè)已經(jīng)打開(kāi)的Gmail賬戶,隨后,某個(gè)倒霉蛋的郵件列表就出現(xiàn)在了演示用的大屏幕上。
Graham表示,盡管Web 1.0網(wǎng)站很早以前就已經(jīng)學(xué)會(huì)終止cookies,但剛興起沒(méi)幾年的Web 2.0網(wǎng)站卻沒(méi)有,因此可以很容易地在咖啡店或其他地方找到空氣中充斥著的無(wú)線用戶信息,有些隔幾個(gè)月甚至還能正常登陸。這種攻擊最可怕的地方在于,受攻擊者完全不知道自己的賬戶已經(jīng)被盜,而且即使更改了密碼也沒(méi)用,因?yàn)閾碛辛诉@些cookies的黑客,在某種程度上已經(jīng)成為了賬戶的主人。
而在另外一組發(fā)言中,去年就大談Web 2.0 Ajax問(wèn)題、來(lái)自SPI Dynamics 的Billy Hoffman,今年繼續(xù)了這一話題。他在發(fā)言中指出,不少已有網(wǎng)站正在以安全為代價(jià),不斷地“Ajax化”。而僅僅利用Ajax的已知缺陷,就可以重新排列客戶端的JavaScript,訂滿整架飛機(jī)的座位或以1美元的價(jià)格購(gòu)買往返機(jī)票。
此外,Hoffman還提及以JaveScript和Perl寫成的Web 2.0蠕蟲。當(dāng)網(wǎng)站上有跨站的腳本漏洞時(shí),蠕蟲便會(huì)自動(dòng)以JaveScript的形式感染網(wǎng)站。當(dāng)用戶訪問(wèn)該網(wǎng)站時(shí),JaveScript就會(huì)下載到他們的瀏覽器,而Perl則是用來(lái)感染服務(wù)器的。
有業(yè)內(nèi)人士評(píng)論,隨著Web 2.0的興起,Web應(yīng)用不僅有非常強(qiáng)的公共屬性,而且其互動(dòng)性也大大增加。而與此伴隨的,是對(duì)極少有人能夠通報(bào)漏洞。這也就不奇怪,Web應(yīng)用成了今年“黑帽”們最熱衷的話題。
iPhone成了大熱門
除了對(duì)Web應(yīng)用的廣泛探討,今年的iPhone取代了去年Vista的地位,成了最受黑客們喜愛(ài)的攻擊對(duì)象。
早在“黑帽”大會(huì)開(kāi)幕前一星期,iPhone存在安全漏洞的說(shuō)法就已經(jīng)被炒得火熱。一家名為Independent Security Evaluators的安全企業(yè)最先表示,發(fā)現(xiàn)了iPhone的一個(gè)嚴(yán)重安全漏洞,黑客可以通過(guò)該漏洞窺探存儲(chǔ)在iPhone中的信息,并獲取其控制權(quán)。該公司在它的網(wǎng)站上,公布了破解視頻和一部分漏洞信息,并聲稱黑客不僅可以通過(guò)一個(gè)無(wú)線接入點(diǎn)偷偷入侵iPhone,甚至通過(guò)控制某些網(wǎng)站也可以控制iPhone,甚至用戶都不需要打開(kāi)Safari瀏覽器,惡意代碼就可以入侵。[!--empirenews.page--]
隨后,iPhone被部分破解的新聞更是滿天飛。就連尚未開(kāi)始出售iPhone的國(guó)內(nèi),也傳言出現(xiàn)了被破解的iPhone,不過(guò)只能打電話還不能發(fā)短信。有黑客公然宣稱:“破解iPhone已經(jīng)是指日可待的事情了。”
8月1日,在“黑帽”們公布iPhone漏洞細(xì)節(jié)之前,經(jīng)美國(guó)國(guó)土安全部確認(rèn),蘋果發(fā)布了iPhone的一系列更新,包括對(duì)Safari瀏覽器,以及最基本的WebCore和WebKit庫(kù)。這是iPhone自6月底正式發(fā)布以來(lái),所面臨的最大威脅,同時(shí)也表現(xiàn)了蘋果公司在壓力下經(jīng)受考驗(yàn)的能力。
不過(guò),仍有不少安全專家表示,iPhone缺乏數(shù)據(jù)安全功能,對(duì)iPhone的使用應(yīng)持謹(jǐn)慎態(tài)度,特別是在企業(yè)網(wǎng)絡(luò)中使用iPhone,很可能會(huì)帶來(lái)不堪設(shè)想的后果。但Yankee Group的分析師Andrew Jaquith則認(rèn)為,這些都是安全公司的人在危言聳聽(tīng)。單就技術(shù)而言,世界上沒(méi)有任何一種產(chǎn)品是無(wú)法破解的,而這些對(duì)iPhone的批評(píng)其實(shí)都是安全公司的決策問(wèn)題,安全只是借口。
不過(guò),Jaquith仍表示,iPhone應(yīng)在補(bǔ)丁中擴(kuò)大對(duì)身份識(shí)別的支持,在企業(yè)市場(chǎng),他則建議蘋果打開(kāi)iPhone的IMAP-S功能,使用L2TP over IPSec和非標(biāo)準(zhǔn)接口。