黑帽和Defcon安全大会编辑本段回目录
导读:美国科技博客读写网(ReadWriteWeb)今天对黑帽安全大会(Black Hat)和Defcon安全大会期间的一些重要事件进行了回顾。
以下为文章概要:
黑帽安全大会流媒体视频被破解
虽然黑帽安全大会组委会对现场的流媒体视频直播收费为395美元,但Mozilla网络安全专家迈克尔·科兹(Michael Coates)却发现了一种方法,可以免费收看直播。科兹向提供视频流的第三方企业告知了这一情况,并且在几小时内修复了这一漏洞。科兹表示,这一事件表明,即使是最有安全意识的组织仍然会有纰漏,因此企业必须经常审查第三方服务提供商。
假冒手机基站
你的员工是否会利用手机来讨论敏感问题?担心黑客劫持电话似乎已经过时,但克里斯·佩吉特(Chris Paget)在Defcon大会上的演示却表明,这种担忧并不过分。佩吉特设计了一个假冒的手机基站,甚至连加密的电话也会被拦截。
谷歌充满恶意软件风险
在黑帽安全大会上,安全厂商Barracuda Networks发布的一份《年中安全报告》显示,谷歌的链接中所包含的恶意软件是必应、雅虎和Twitter总和的两倍。
赛门铁克上周也发布了类似的报告,并推出了一款名为Norton Safe Web Lite的免费工具,专门用于探测恶意搜索结果。
Barracuda和赛门铁克的发现与NSS Labs的研究一致。该研究对IE、Chrome和火狐的恶意软件探测率进行了对比,IE使用了微软的恶意网站数据库,Chrome和火狐则使用了谷歌的数据库。
在Defcon大会上,secTheory CEO罗伯特·汉森(Robert Hansen)测试了多种通过第三方插件获取iGoogle和Gmail信息的方法。
Android安全性不佳
在Defcon大会上,有安全专家发布了一个可以控制Android的rootkit工具。另外,安全公司Lookout也在黑帽安全大会上发现了Android Marketplace中一系列壁纸,可以将用户的电话号码、SIM卡信息甚至语音邮件密码发送给开发者。虽然这位开发者否认存在恶意目的,但此事却引发了对Android安全问题的担忧。
更多安全漏洞
在黑帽安全大会上,罗伯特·汉森(Robert Hansen)和约什·索科尔(Josh Sokol)展示了如何利用未加密的浏览器标签来获取借助SSL技术加密的浏览器标签中的流量。除此之外,还有研究人员发现DNS重新捆绑(DNS-rebinding)技术能够让黑客控制无线路由器,从而欺骗用户访问恶意网站。
在Defcon大会上,HolisticInfoSec.org的罗斯·马克瑞(Russ McRee)和Skeptikal.org的麦克·贝利(Mike Bailey)演示了类似的技术,可以在Linksys和Netgear路由器上伪造跨站点请求。他们还发现,可以利用同样的方法入侵网络托管管理工具CPANEL。
在黑帽大会上,安全厂商发布了一份报告,列举了企业网站的三大恶意软件漏洞。在这两个大会上,克里斯·盖茨(Chris Gates)和马里奥·塞巴罗斯(Mario Ceballos)都发布了可以入侵甲骨文数据库的工具。
甚至有报道称,Defcon的工程师竞赛令美国联邦调查局颇感不安。
但还有一些好消息,例如,Mozilla公布了增强浏览器安全性的具体计划,Twitter的安全性也被证明好于外界预料。
全美安全状况堪忧
美国计算机应急响应小组(United States Computer Emergency Readiness Team)的报告显示,美国的一些关键的基础设施都容易受到网络攻击,使得全美所有网民在使用无线网络时都会面临信用卡账号和密码被盗的风险。在Defcon大会上,安全专家查理·米勒(Charlie MIller)还对朝鲜如何对美国发动有效的僵尸网络进攻进行了专门描述。
根据黑帽安全大会上披露的另外一条信息,恶意软件工具在中国被公开兜售,使得黑客很容易破解存在问题的软件。
美国网络安全存在诸多担忧,因此美国联邦政府经常会在Defcon大会上积极招募研究人员。但是多数Defcon与会人士都不喜欢与政府合作,因此美国政府很难招到合适的人。
但Defcon上最令人震惊的消息并非安全漏洞,而是一家名为Project Vigilant的秘密私有网络情报组织的主管切特·尤伯(Chet Uber)证实,号称全球五大著名黑客之一的阿德里安·拉莫(Adrian Lamo)帮助美国政府寻找“维基解密”(Wikileaks)网站的视频来源。
与TOR项目和维基解密关系密切的雅各布·阿皮尔巴姆(Jacob Appelbaum)在从荷兰返回美国时被扣留。有消息称,在参加Defcon大会时,美国联邦调查局也曾接触过他。
银行安全
除此之外,这两个安全大会上还公布了一些与银行系统有关的安全漏洞。包括破解自动柜员机(ATM)的方法。(鼎宏)
首个在 “黑帽子”大会演讲的中国人编辑本段回目录
上周五,在美国拉斯维加举行的“黑帽子”大会正式结束,范渊从会场出来,匆忙赶飞机去他的母校加州州立大学,他要拜会几位老朋友,一起聊聊黑客话题。 2003年,范渊首次获邀参加世界黑客的顶级盛会“黑帽子”大会,他见到了曾经的偶像,“黑帽子”大会的创立者杰夫.莫斯。后来,他们成了朋友。2005 年,范渊获邀在当年的黑帽子大会上作演讲,和全世界的黑客分享他对于网络安全的理解。
将公司总部设在休闲之都杭州的范渊却没有太多时间享受这个城市的安逸,他总是在路上,或者在网上,和那些利令智昏的黑客过招。他总是说,自己其实是个白客。
史上规模最大的黑客聚会
7月28日至8月1日,两大黑客盛事——“黑帽子”大会和“黑客大会”,在美国拉斯维加斯先后举行。前者已成为专业人士交流与黑客攻击相关研究成果的平台,后者更像是各路黑客展示“绝技”的比武盛会。
与“黑客大会”相比,“黑帽子”大会显得较为正式,议程表上排满了专业人士的发言。议题包括针对银行等机构的黑客行为。
据了解,“黑帽子”大会参加者来自企业、政府和学术界等各个领域。范渊告诉记者,两大盛会的创始者、老牌黑客莫斯说:“今年将继续关注网络运作方式和如何对它发起攻击。”同时,今年很多黑客不约而同地将关注的焦点放在了对于手机的攻击上。
范渊说,和以前的几次“黑帽子”大会相比,今年的大会主要有两个区别,一是规模非常大,到会的黑客有2000多人,堪称史上规模最大的黑客聚 会。这些黑客来自全世界不同的国家,有着各自不同的职业和兴趣,但是他们都有同样的一个身份——黑客,无论是兼职还是专业。“不过,来自中国的黑客还是非 常少,几乎都是老面孔。”
此外,范渊注意到,今年的“黑帽子”大会首次开辟出一个展示对黑客攻击解决方案的分会场。他说,如果说以前的黑客聚会主要以炫耀技术为主,那么今年大家已经开始在关注解决方案。在他看来,这是说明黑客文化和商业之间的一种妥协,或者说平衡。
黑客在不断进化
正如著名的安全顾问布鲁斯.施尼尔说的:“安全不是一件产品,它是一个过程。“在范渊看来,黑客,也是一个不断进化的过程。
他喜欢用头号黑客凯文.米特尼克的话来区分黑客的不同阶段:早年,一些黑客毁坏别人的文件甚至整个硬盘,他们被称为电脑狂人 (crackers)。此后,黑客软件发达,很多新手黑客省去学习技术的麻烦,直接下载黑客工具侵入别人的计算机,这些人被称为脚本小子(script kiddies),也被圈子里的人称为傻瓜黑客。实际上,真正有经验和编程技巧的黑客,则喜欢开发程序,或者去拓展更宽广的应用空间。
实际上,真正的黑客是孤独的。在上世纪80年代,心理调查发现黑客多是一些努力避免人际交往的失败者。但是这一情况因为商业的介入慢慢在发生变化。
对于黑客的未来,范渊说,其实黑客不外乎3条路:坚守、出走或者招安。
坚守的黑客一般默默无闻,他们是最初黑客的铁杆拥护者,他们仿佛是这个网络的幽灵,在几乎所有的服务器之间闲庭信步,寻找他们感兴趣的信息, 同时,他们反感黑客的商业化趋势。出走的黑客则顺应潮流,为了有巨大商业价值的信息进行攻防之战。当然,也有不少转向其他领域。而被招安的黑客则一般选择 了大的网络公司或者政府。就像黑客大会组织者莫斯,在去年他也加入了美国国土安全顾问委员会。之前被禁止接触键盘和手机的凯文.米特尼克也已经被请出山。
不过,范渊说,与此同时,有些高段位黑客向研究工作发展,为社会作出越来越多的贡献,他们会做些类似基础研究的工作。
和黑客过招的白客
范渊说,真正的黑客不会休假。所以有人说,按照这个标准,比尔.盖茨已经不算是真正的黑客了。盖茨也承认了这一点,他说自己在13到16岁时才算得上真正的黑客。
因为黑客很忙,所以要和黑客过招的范渊也很忙,而他喜欢称乎自己为“白客“。
在他看来,黑白之分不仅是不同的道路,也是不同的理念。他现在已经不太在网上和入侵网络或者喜欢种木马赚钱的黑客直接过招,他正在试图寻找更加简单快捷的方案保护数据,然后追踪那些黑客的脚印,将他们锁定。
“站在不同的技术起点和时代,黑客面临的诱惑也不同。最早的黑客吹口哨盗打电话,后来的黑客用银行漏洞直接划钱,现在的黑客偷盗价值无法估量 的机密文件。2009年,赛门铁克调查企业中,43%的企业是由于黑客入侵丢失专利信息。”范渊说,“当黑客用手中的技术越过道德底线寻求不正当利益的时 候,他本身就在背叛黑客的精神。”
Black Hat和Defcon黑客大会五大看点编辑本段回目录
今年最值得期待的演讲会是来自曾在瞻博网络工作过的Barnaby Jack,Jack过去数年一直从事ATM(自动取款机)安全研究,本次大会他将会精彩呈现他发现的部分漏洞,ATM目前是漏洞研究的绿地。
Black Hat大会主席Jeff Moss说ATM漏洞研究使人想起几年前的投票机漏洞研究,当时发现了投票系统的严重漏洞,迫使许多政府机构重新考虑他们的电子投票方式。
Jack的演讲备受争议,大会收到了多家ATM厂商的严正警告,在去年的Black Hat大会,直到最后一分钟瞻博才决定让Jack上,今年情况不同了,Jack已经离开瞻博到了IOActive,他打算在今年的大会上展示几种新型 ATM攻击方法,包括远程攻击,根据大会主办方的活动说明,Jack还会透露所谓的“跨平台ATM Rootkit”。
Jack在他的摘要中写道:“我喜欢终结者2中的场景,John Connor走到ATM前,将他的Atari连接到读卡器,然后ATM就自动吐出现金,我已经让它变成了现实”。
(译者乱评:这和前不久前在国内出现的山寨ATM机完全不是一回事,Jack可以让任何一家银行的真实ATM自动吐钱,技术含量谁高谁低?)
2、DNSSEC是否能保DNS万无一失?
两年前,Dan Kaminsky揭露了让世人震惊的DNS漏洞,Kaminsky今年会继续出现在Black Hat大会上,但这次的演讲主题变成了Web安全工具,他也将参加一场记者招待会,将和来自ICANN和VeriSign的代表讨论DNS安全扩展 (DNSSEC)。
大约两周前,ICANN才将互联网12台DNS根服务器完成DNSSEC的部署,目前DNSSEC还没有得到广泛支持,ICANN希望通过自己的实践,推动这一技术的普及。
Kaminsky表示普及DNSSEC将有效遏制网络攻击,他说:“我们正在研究如何让DNSSEC不仅可以解决DNS漏洞,还要让它解决一些核心漏洞,当然,DNSSEC不能解决所有问题,但它解决了身份验证相关的全部漏洞”。
(译者乱评:DNSSEC能杜绝DNS污染吗?Google加密搜索何时能才能用上!)
3、移动bug,普通人也能玩窃听
GSM安全研究人员今年将出现在Black Hat的演讲台上,这可能是美国和欧洲移动网络运营商最不想看到的,Kraken是刚刚放出的开源GSM破解软件,结合高度优化的彩虹表(rainbow table),让解密GSM通话和短消息成为一件易事。
Kraken所做的就是监听空气中的通话,另外还有一个GSM嗅探项目 – AirProbe,使用这些工具的研究人员说他们现在想将这些技术展现给普通人,而对于那些间谍和安全爱好者早已不是什么秘密了,A5/1加密算法现在可 以轻松破解,而T-Mobile,AT&T等运营商的GSM网络正是使用了这个加密算法。
Chris Paget将做这方面的主题演讲,他将会在大会上现场演示拦截听众的通话(当然得到邀请的听众是很幸运的,但回家后可能也会捉摸是否要将手机扔进垃圾 桶),如果合法的话,这将是一个有趣的演示,Paget还开发出了他称作“世界纪录”的RFID标签阅读器,可以在几百米远读取到RFID标签信息,在本 次Black Hat上他也会就此做一些讨论。
另一位研究人员Grugq将会演讲如何构建恶意GSM网络基站和移动设备上的组件,他的演讲主题描述写道:“相信我们,在演讲期间你会有关掉手机的想法”。
另一个值得关注的演讲与移动应用程序攻击有关,随着智能手机的普及,移动应用安全问题也摆在了世人的面前,不要存在侥幸心理,听了该主题演讲的人一定会谨慎使用移动应用程序的。
(译者乱评:以后打电话小声点,是不是别人就窃听不到了?重要事情还是当面谈比较稳妥啊!)
4、除了IT可以Hack,工业领域也可以
西门子本月首次尝到了SCADA(supervisory control and data acquisition)被攻击的滋味,其基于Windows的管理系统受到了诡异的蠕虫攻击,但也有SCADA安全专家认为是西门子的运气不好,因为这 种攻击可以轻易拿下任何竞争对手的产品,事实上,很多工业控制系统都存在大量的安全问题。
在过去的10年里,红虎(Red Tiger)安全公司创始人Jonathan Pollet已经在超过120个SCADA系统上执行了安全评估,他将在演讲中指出哪些地方是最容易出现安全漏洞的。红虎已经收集了38000个漏洞数 据,并且编写了针对这些漏洞的攻击代码,Pollet说:“你不必等待零日漏洞,现在已经有很多漏洞在那里摆着”。
(译者乱评:神啊,给我一串代码吧,我家的电表读数老是居高不下呀!)
5、或许会有意外,充满压力的黑客大会
在上周黑掉了Kevin Mitnick和Dan Kaminsky等其他黑客的Zero for Owned小组会回到Black Hat吗?AT&T会阻止Paget关于GSM漏洞的演讲吗?愤怒的ATM厂商会在最后一分钟用法律手段阻止Barnaby Jack的演讲吗?Defcon的社会工程竞赛会让金融服务行业的人抓狂吗?谁说得清呢,因为拉斯维加斯总是一个充满意外的地方。