Black Hat:博客读者面临嵌入式恶意软件攻击
计世网消息 日前Black Hat大会在美国拉斯维加斯召开,大会讨论了各种安全措施。
日前,著名的Black Hat 2006 USA在美国的拉斯维加斯拉开序幕,这次盛会比一年前更加引人注意。
这次大会讨论了100多种不同等级的黑客攻击手段,主要集中在硬件安全、网络安全、数据库安全、Rootkit、RFID安全、零日攻击(Zero Day Attacks)等主题,还对各界关注的Windows Vista的安全性、无线网安全等热门话题作了各种辩论。
Vista被黑客攻克
在不久前闭幕的拉斯维加斯Black Hat 2006大会上,Microsoft最新操作系统Vista已经成为黑客的手下败将。
不久前,Microsoft一直竭力鼓吹Vista是他们最安全的操作系统。然而在出席大会的那些经验丰富的安全测试人员面前,Vista也没有坚持多久,这似乎并不让人感到吃惊。新加坡Coseinc公司的波兰藉研究员Joanna Rutkowska证明了,绕过Vista中本应阻止无符号代码(Unsigned code)运行的安全措施是可能的。Rutkowska在解释这种攻击方法时说,利用虚拟化技术可以使恶意代码无法被检测出。她把这种恶意软件命名为“蓝药丸”(Blue Pill)。
不过,这件事似乎并没有让Microsoft感到太大的不安。Microsoft说,他们将与硬件和软件团队密切合作,研究能够在最终产品中成功阻止这类黑客方法的技术。
Rutkowska在谈到绕过Microsoft在Vista中采用的阻止加载恶意事件或未经授权的软件的设备驱动程序符号检查机制时说:“绕过这一机制的事实并不意味着Vista根本不安全。它只是不如广告宣传的那样安全。”她补充说:“在任何通用操作系统中,要实现效率达到100%的内核保护都是非常困难的。”
著名的Rootkit技术专家Rutkowska在她发言的第二部分中详细介绍了能够控制计算机并成为攻击者后门的蓝药丸。她表示,尽管蓝药丸是为Vista开发的,但经过改造也可以用于攻击其它平台。
Rutkowska说,到目前为止,蓝药丸是不可能被检测出来的,不过她正在继续研究检测它的技术。她说,计算机中基于硬件的检测方法可能可以提供检测或预防基于蓝药丸的攻击手段。
Microsoft的官员说,Rutkowska的绕过代码符号的攻击手段要求攻击者从一开始就具有Vista的管理员权限。这位官员指出:“如果你作为标准用户运行,攻击就不会成功。不过我们仍在研究阻止这类攻击的方法。”Microsoft将与Intel和AMD合作解决这个问题。此外有消息表示,Microsoft如果不能及时解决这个问题的话,他们也不会推迟Vista的发货日期。
Microsoft还派出了一些顶级工程师参加这届BlackHat大会,他们的任务就是让世界上最顽固的安全听众相信Windows Vista将具有比其它操作系统更强的防黑客和恶意软件能力以及公司对安全性做出的承诺。
博客读者面临嵌入式恶意软件攻击
一位安全专家在Black Hat大会上说,阅读博客可能会造成计算机染上病毒。
Web应用安全公司SPI Dynamics首席技术官Cal
eb Sima说,使用像Bloglines这样的基于Web的服务或Firefox等浏览器阅读网站馈送和博客的Internet用户,很容易受到嵌入式恶意软件代码的攻击,这类代码可以安装间谍件、记录用户的口令、扫描PC和企业网寻找开放的端口以及做一些其他的事情。
Sima说,到目前为止,只发生了很少的针对Google和Yahoo博客读者的概念证明攻击(proof-of-concept attacks),不过他认为将有更多的攻击出现。据Sima说,用于下载通过RSS或Atom格式传送的信息馈送的软件和服务,会无意下载和执行隐藏在文本中的JavaScript代码。
JavaScript是一种广泛使用的脚本编程语言,可以给网站带来丰富的互动性,但也可被黑客用来控制用户的计算机、嗅探安全漏洞等等。
Sima将这项技术称为“馈送注入”。他说这类攻击是跨站脚本技术的一种变种。由于RSS和Atom馈送一般被博客读者作为HTML文件保存在用户的本地硬盘上,这类攻击还能绕过用于阻止来自未知网站的JavaScript运行的Web浏览器安全设备。Sima说,完全关闭JavaScript防止这类攻击并不是解决办法。他表示,防止这类攻击的最好的办法是博客阅读软件和服务对所收到的所有JavaScript脚本重新编码,使它们变得无害。他说:“它可能简单到只需添加几行额外的代码。”
WiFi掀波澜
两位安全研究人员在Black Hat大会上介绍WiFi驱动程序漏洞时,演示了Apple Macbook计算机被远程入侵的过程。
他们演示了新的WiFi驱动程序漏洞如何造成不同的计算机系统被远程入侵,即使这些计算机的无线网卡没有连接在网络上。这两位研究人员在预先录制好录像中,演示了一台基于Darwin BSD的Macbook被入侵,然后远程安装rootkit的过程。
问题似乎并不仅限于Apple的计算机,它还会影响很多WiFi芯片组制造商编写的驱动程序。Apple Macbook采用的是Atheros WiFi芯片组,但很多其它芯片组也会受到影响。Windows和Linux系统也同样面临风险,因为这种安全漏洞会影响由芯片组制造商提供的设备驱动程序。运行OpenBSD的系统可能不会受到影响,因为该开源组织拒绝在他们的设备驱动程序中使用“二进制污点”,而是通过逆向工程的方法,分析WiFi芯片组后,提供开源软件代替制造商编写的驱动程序。
这种性质的WiFi驱动程序漏洞应当被认为是高危安全漏洞,因为它们直接攻击芯片组的驱动设备。一旦发布驱动程序升级,所有的用户都要修补自己的Windows、Mac或Linux系统。
这两位研究人
员说,设备驱动程序可以在非常低的级别上被攻击,因此它使攻击可以绕过所有操作系统级的保护。两位研究人员一直没有公布这种漏洞的确切细节,他们表示直到Microsoft等公司能够修补这个漏洞之后才会公布。两位研究人员之所以选择录像演示,是因为在现场演示过程中,观众可以很容易利用常用的无线嗅探器、信号搜索器(stambler)和数据包转储工具找到漏洞的利用代码。
这两位研究人员发现的一多半的漏洞可以在无线设备连接在网络之前被利用。也就是说,计算机即使没有以无线方式连接在网络上,也会受到攻击,只要计算机上的无线网卡启动,搜索网络就足够了。攻击者只需坐在公共区域等待合适类型的机器进入攻击距离,就可以利用这种漏洞。
FBI联手业界对付身份偷窃
据一位美国联邦调查局(FBI)高官说,FBI通过名为“身份之盾行动”(Operation Identity Shield)的新项目,加大打击在线欺诈的力度。
这项已经开始实施的项目是FBI与技术行业之间数量越来越多的协作之一。FBI Internet投诉中心负责人Larkin在Black Hat大会上发言时说:“这是我们在网络钓鱼时代看到的协作的进一步发展。”FBI的反网络钓鱼行动,即所谓的“Digital PhishNet”,是在2004年年底启动的,得到了Microsoft、AOL和VeriSign等公司的支持。
目前,全美对身份盗窃的担心正在增加。据美国司法部(DOJ)统计,仅在2004年上半年,大约360万家庭――约占美国家庭总数的3%――遇到过某种形式的身份偷窃。据DOJ表示,这一犯罪造成美国每年损失64亿美元。
Larkin说,FBI在90年代末意识到打击计算机犯罪的惟一途径是通过像“身份之盾行动”这样的公共部门与私营部门的合作。
例如,FBI通过派遣特工与Carnegie Mellon大学的计算机应急反应小组(CERT)合作,并签署表明FBI保护敏感信息的立场的备忘录,最终与CERT建立了富有成效的合作伙伴关系。9.11后,CERT帮助FBI确定了19名与袭击有关的恐怖分子中一人的电子邮件账户中的病毒,并通过病毒找到了一些有价值的信息。
Larkin说,这一成功使得FBI对付计算机犯罪的方式产生了重大变化。他说:“我们给特别工作组重新下了定义。我们决定我们必须建立公共部门和私营部门联盟。”
FBI还向黑客挂出了免战牌。实际上,还不仅限于此。Larkin已经开始向美国联邦调查局人员过去20年里一直抓捕的一类人员寻求帮助。Larkin指出,黑客――安全研究人员――常常在执法人员之前挖出致关重要的计算机安全信息。既然FBI开始与软件厂商、大型在线企业和学术机构合作,那么黑客也是符合逻辑的下一个FBI的合作对象。
