“黑帽子”會(huì)場(chǎng)上“駭”人聽聞的那些事

本城

在西方的電影中，反派角色都會(huì)以黑色的帽子示人，相反，正派英雄都會(huì)帶著白色帽子。現(xiàn)在，互聯(lián)網(wǎng)世界里也存在著以“帽子”來區(qū)分正邪的兩個(gè)陣營(yíng)，一個(gè)是以安全防御為主的“道德黑客”；另外一個(gè)是以進(jìn)攻破壞為主的“犯罪黑客”。如今原本對(duì)立的正邪兩派每年都會(huì)以“黑帽子”大會(huì)的名義舉行一次集會(huì)。那么今年這個(gè)“黑白”兩道同時(shí)出席的集會(huì)又曝出怎樣的看點(diǎn)？

現(xiàn)場(chǎng)焦點(diǎn)：美政府欲將黑客招安網(wǎng)絡(luò)黑手變反恐英雄？

在拉斯維加斯舉行的黑帽子大會(huì)主題演講中，黑客們被描述為潛在英雄。因?yàn)榭植乐髁x已經(jīng)從身體暴力轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)攻擊，而網(wǎng)絡(luò)攻擊一樣會(huì)導(dǎo)致物理性的破壞。

此次的演講人就是曾在CIA（中央情報(bào)局）工作了28年的Cofer Black，并且在演講中還向在場(chǎng)的黑客說道：

“我那個(gè)時(shí)代的反恐已經(jīng)過去了，現(xiàn)在該輪到你們了。因?yàn)槌?jí)工廠病毒（Stuxnet）已經(jīng)徹底改變了恐怖主義的面貌與網(wǎng)絡(luò)攻擊的結(jié)果。這個(gè)復(fù)雜的蠕蟲病毒完全掌控了伊朗核煉油廠的離心機(jī)設(shè)備，并且將其完全破壞——這對(duì)人身攻擊的影響相當(dāng)大。然而這些病毒程序本該是大學(xué)校園里的惡作劇，但現(xiàn)在已經(jīng)轉(zhuǎn)變?yōu)槟芪锢泶輾?guó)家資源的恐怖力量。美國(guó)的反恐活動(dòng)已經(jīng)減少了大規(guī)模恐怖襲擊（比如911）的可能性，但如今恐怖分子已經(jīng)逐步在用網(wǎng)絡(luò)襲擊的方式來對(duì)國(guó)家進(jìn)行破壞。所以萌芽中的網(wǎng)絡(luò)反恐必須準(zhǔn)備好作出貢獻(xiàn)，當(dāng)攻擊真正來臨之時(shí)，網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的計(jì)劃與報(bào)復(fù)行動(dòng)必須就位。”

Black最后說道：“現(xiàn)在我可以看見你們，這是我第一次參加黑帽子大會(huì)，我們是一個(gè)軍團(tuán)！”

很多與會(huì)人員都認(rèn)為，Black此番言論是在向“黑帽子”大會(huì)的黑客們拋出橄欖枝，想讓臺(tái)下的這些黑客精英成為網(wǎng)絡(luò)反恐部隊(duì)中的一員。

現(xiàn)場(chǎng)調(diào)查：36%的安全人員向黑客報(bào)復(fù)反擊

從事信息風(fēng)險(xiǎn)與安全性能管理解決方案的nCircle公司昨日在“黑帽子”大會(huì)上發(fā)布了其對(duì)181位與會(huì)者的調(diào)查結(jié)果。

對(duì)于“你是否發(fā)動(dòng)過報(bào)復(fù)性的黑客攻擊？”這一問題，64%回答“從未”，23%答“一次”，13%回答“經(jīng)常”。但有趣的是，針對(duì)這一調(diào)查數(shù)據(jù)，在場(chǎng)的很多黑客都表示對(duì)他們反擊的安全人員其實(shí)并不止這些。

“報(bào)復(fù)性反擊在今年的黑帽大會(huì)上是一個(gè)重大的話題，但我們對(duì)這樣的調(diào)查結(jié)果是有所懷疑的，”nCircle的CTO Tim 'TK' Keanini說，“可以肯定，有些受調(diào)查者不愿意承認(rèn)他們使用了報(bào)復(fù)性反擊手段。出于憤怒和沮喪而采取反擊手段是非常有誘惑力的。然而，像網(wǎng)絡(luò)犯罪分子那樣，因?yàn)閼嵟扇∷^正義的以牙還牙手段，這是非常危險(xiǎn)的。”

Keanini補(bǔ)充說，“安全專家和新手之間是有很大差別的，前者可以擁有合法的攻擊者資格，可采取適當(dāng)?shù)姆磽舸胧笳咧皇且环N盲目的反應(yīng)而已。對(duì)于大多數(shù)企業(yè)而言，最好的戰(zhàn)略就是忘掉報(bào)復(fù)，而著力改善其安全防御系統(tǒng)。”

技術(shù)發(fā)現(xiàn)：有150種方法可繞過Web應(yīng)用防火墻

一個(gè)新的工具可測(cè)試Web應(yīng)用防火墻(WAF)是否存在漏洞，可以被150多種協(xié)議級(jí)避讓技巧繞過，這是“黑帽子”大會(huì)上所披露的一個(gè)驚人事實(shí)。

安全廠商Qualys的工程經(jīng)理，也是ModSecurity WAF的初創(chuàng)者Ivan Ristic一直在研究這一工具及其創(chuàng)建過程。

WAF旨在保護(hù)Web應(yīng)用免受來自已知攻擊類型，如SQL注入等的攻擊，通常用于Web網(wǎng)站。WAF的功能主要是攔截來自客戶端發(fā)送的請(qǐng)求，并執(zhí)行一些嚴(yán)格的規(guī)則，如格式與有效載荷等。

“然而，很多違背規(guī)則的惡意請(qǐng)求只須修改其頭部的一些部分，或者修改所請(qǐng)求的URL路徑，便可采用多種方法繞過WAF。這些都是知名的協(xié)議級(jí)避讓技巧，WAF無法及時(shí)地阻斷它們，因?yàn)檫@些技巧并沒有被很好地記錄下來。”Ristic說。

瑞士WAF廠商Ergon Infoematik的研發(fā)負(fù)責(zé)人Erwin Huber Dohner在看了Ristic所演示的避讓方法后肯定地說，這是一個(gè)全行業(yè)存在的問題。Ergon最近也已經(jīng)發(fā)現(xiàn)了一些針對(duì)其產(chǎn)品的類似技巧，并且已經(jīng)修復(fù)了漏洞。

Ristic表示，如果廠商和安全研究人員沒有記錄下他們發(fā)現(xiàn)的問題，并使其公開，那么WAF開發(fā)人員就會(huì)一而再再而三地犯同樣的錯(cuò)誤。

廠商們有他們自己的優(yōu)先事項(xiàng)，除非對(duì)其客戶產(chǎn)生了實(shí)際的威脅，否則一般是不會(huì)去修復(fù)這些漏洞的，但是這一研究項(xiàng)目的出現(xiàn)會(huì)有望讓廠商們有動(dòng)因去處理這類問題。Ristic說。

公司秀場(chǎng)：Facebook擲重金聘請(qǐng)黑客對(duì)其攻擊

在此次會(huì)議中，“道德黑客”的話題也引來不少關(guān)注，而且在與會(huì)人員中也有高達(dá)半數(shù)的黑客曾為企業(yè)或政府雇傭來攻擊其網(wǎng)絡(luò)系統(tǒng)，測(cè)試系統(tǒng)中的漏洞和網(wǎng)絡(luò)威脅系數(shù)。

在會(huì)中也有消息透露，全球最大的社交網(wǎng)站Facebook也已經(jīng)投入重金來聘請(qǐng)一流黑客和團(tuán)隊(duì)檢查其網(wǎng)站和系統(tǒng)中的安全漏洞，評(píng)測(cè)相關(guān)安全信息。而且他們發(fā)起了Bug bountines 活動(dòng)，從Facebook網(wǎng)站產(chǎn)品到Facebook網(wǎng)絡(luò)服務(wù)只要有涉及安全性的問題，都?xì)g迎黑客來檢查。為此Facebook 已經(jīng)拿出了40萬(wàn)美元來獎(jiǎng)勵(lì)重大發(fā)現(xiàn)的黑客們。從最小的500美元，到最多1萬(wàn)美元不等，每天都會(huì)發(fā)出各種獎(jiǎng)金。

安全團(tuán)隊(duì)的人表示：這樣一旦有Bug出現(xiàn)，我們便能在最快時(shí)間內(nèi)搞定。目前這樣的黑客或者說是研究人員有超過150名來自世界50多個(gè)城市。多來自美國(guó)，俄羅斯，德國(guó)，英國(guó)，波蘭，土耳其。

蘋果首次亮相“黑帽子”表現(xiàn)令人失望

日前，蘋果平臺(tái)安全團(tuán)隊(duì)經(jīng)理達(dá)拉斯德埃雷（Dallas De Atley）也意外地打破常規(guī)，首次在“黑帽子”安全大會(huì)上亮相發(fā)言，話題為“安全與iOS”。

演講內(nèi)容主要談?wù)摰氖莍OS安全技術(shù)，此外他還談及加密技術(shù)、軟件密鑰以及其它與iOS安全方面相關(guān)的問題。在演講中他曾表示：“安全就像是蓋房子，必須要從地基開始一步接一步慢慢地建造。不能等到‘房子建成后，才開始填補(bǔ)建造過程中的漏洞。”

另根據(jù)法新社報(bào)道，雖然在開場(chǎng)白中德埃雷表示對(duì)此次大會(huì)感到非常的“興奮”，但隨后盡管許多發(fā)言人都按照以往慣例接受觀眾提問，德埃雷卻不知為何沒有回答觀眾的問題。在演講結(jié)束后，他很快就離開了會(huì)場(chǎng)，這不免成為觀眾的一大遺憾。

■大會(huì)簡(jiǎn)介

“黑帽子”安全技術(shù)大會(huì)是一個(gè)具有很強(qiáng)技術(shù)性的信息安全會(huì)議，會(huì)議引領(lǐng)安全思想和技術(shù)走向，參會(huì)人員包括企業(yè)和政府的研究人員，甚至還有一些民間團(tuán)隊(duì)。為了保證會(huì)議能夠著眼于實(shí)際并且能夠最快最好地提出方案、問題的解決方法和操作技巧，會(huì)議環(huán)境保持中立和客觀。黑帽安全技術(shù)大會(huì)是世界上最好的能夠了解未來安全趨勢(shì)的信息峰會(huì)，它的權(quán)威性更是獨(dú)一無二的。

漏洞風(fēng)險(xiǎn)：國(guó)外三大支付終端均不安全？

英國(guó)滲透測(cè)試公司MWR InfoSecurity的兩名安全研究人員表示，目前三個(gè)被廣泛部署的支付終端都存在允許攻擊者竊取信用卡數(shù)據(jù)和個(gè)人密碼的漏洞。

在“黑帽子”安全大會(huì)上，MWR研究主管“Nils”和“Rafael Dominguez Vega”展示了這些漏洞。

Nils和Vega將他們的研究重點(diǎn)放在了支付終端，即PoS終端的三個(gè)特定型號(hào)上。Nils稱，其中的兩個(gè)型號(hào)在英國(guó)和美國(guó)被廣泛使用，而第三個(gè)型號(hào)主要廣泛地部署在美國(guó)本土。

而且，這些支付終端中存在的漏洞能夠讓攻擊者控制這些設(shè)備的多個(gè)組件，如顯示器、發(fā)票打印機(jī)、讀卡器或密碼輸入鍵盤，而通過特制的EMV卡即可以利用這些漏洞。

在展示期間，研究人員使用了這一方法在三個(gè)測(cè)試設(shè)備中的一個(gè)設(shè)備內(nèi)安裝了一款賽車游戲，并通過密碼輸入鍵盤和顯示器操控了所安裝的游戲。

在第二款設(shè)備中，研究人員使用了相同的方法安裝了一個(gè)專用記錄卡號(hào)和密碼的木馬程序。通過在支付終端中插入一張不同的流氓卡可以提取木馬所記錄的信息。

犯罪分子還能夠利用這些漏洞讓商店員工誤以為這些交易得到了銀行的授權(quán)，使得犯罪分子在沒有實(shí)際支付的情況拿走貨物，而事實(shí)上這些交易根本沒有得到銀行的授權(quán)。

第三款支付終端在美國(guó)被廣泛使用。在這些終端和遠(yuǎn)程管理員服務(wù)器間的通信并沒有被加密，這意味著攻擊者能夠充分利用這一漏洞。如果攻擊者獲得了訪問本地網(wǎng)絡(luò)的權(quán)限，他們能夠通過ARP或DNS欺騙等技術(shù)迫使支付終端與他們控制下的流氓服務(wù)器進(jìn)行通信。

目前，研究人員已經(jīng)將這些漏洞通知了所有涉及漏洞的廠商，其中的一家廠商已經(jīng)推出了一個(gè)補(bǔ)丁。不過，新版本通過認(rèn)證，然后部署至所有的客戶那里可能會(huì)需要一段時(shí)間。

●安全情報(bào)

游戲外掛：謹(jǐn)防披著羊皮的“木馬”

程府

游戲外掛是很多玩家鐘愛的輔助工具，其特殊的功能可以幫助玩家快速的在游戲中成長(zhǎng)，降低游戲難度，從而也讓使用外掛的玩家愛不釋手。

但與此同時(shí)，常常讓玩家忽略的就是其安全性，因?yàn)橛螒蛲鈷斐绦虮旧砭褪且环N非法程序，會(huì)破壞游戲的平衡。大多數(shù)游戲運(yùn)營(yíng)商對(duì)外掛的打擊都非常嚴(yán)厲，一旦被發(fā)現(xiàn)使用外掛，可能造成游戲賬號(hào)被封。其實(shí)，游戲外掛的危害不僅僅如此，使用游戲外掛帶來的安全隱患更為可怕。一些開發(fā)游戲外掛的黑客，會(huì)特別注明其外掛會(huì)引起反病毒軟件“誤報(bào)”，以此打消使用者的顧慮。殊不知，這樣恰恰使得其中的惡意代碼可以暢通無阻地入侵用戶系統(tǒng)。

卡巴斯基實(shí)驗(yàn)室最近截獲到一款

名為Trojan-GameThief.Win32.OnLine-

Games2.kq的盜號(hào)木馬，會(huì)偽裝成《冒險(xiǎn)島》網(wǎng)游的冒險(xiǎn)伴侶外掛。該木馬由易語(yǔ)言編寫，運(yùn)行后會(huì)顯示一個(gè)假的游戲外掛界面，其中包括一些外掛功能。當(dāng)用戶點(diǎn)擊了其中的某些外掛功能后，木馬會(huì)提示用戶激活賬戶，誘騙用戶輸入賬號(hào)密碼。

木馬在獲取到用戶的賬號(hào)密碼后，會(huì)將其用電子郵件方式發(fā)送給遠(yuǎn)程黑客，造成用戶賬號(hào)被盜。

目前，卡巴斯基等安全防護(hù)軟件均可以對(duì)該盜號(hào)木馬進(jìn)行查殺。用戶只需保持反病毒數(shù)據(jù)庫(kù)更新即可有效攔截該惡意程序。

這里我們也提醒廣大網(wǎng)友和玩家，最好不要使用任何外掛程序。因?yàn)樵谀惆惭b游戲外掛的同時(shí)，一匹披著羊皮的“木馬”也會(huì)堂而皇之的進(jìn)入到電腦中，并且會(huì)對(duì)你的網(wǎng)路安全和信息造成不必要的損失。

●行業(yè)視點(diǎn)

360殺毒入選“Win8商店”安全類產(chǎn)品

本報(bào)訊（記者 艾龍）8月2日凌晨，微軟公司宣布推出Windows 8 RTM版，永久免費(fèi)的360殺毒正式亮相Win8應(yīng)用商店，成為全球首批上架該“商店”的安全類產(chǎn)品，同時(shí)也是目前國(guó)內(nèi)唯一入選的殺毒軟件。

據(jù)悉，殺毒軟件進(jìn)駐Win8應(yīng)用商店的門檻極高，必須成功“過五關(guān)”才有資格入圍。進(jìn)駐應(yīng)用商店的同時(shí)，殺毒軟件將擁有支持Win8最新安全特性的優(yōu)勢(shì)，包括支持Metro風(fēng)格應(yīng)用的修復(fù)邏輯，與Windows安全中心的協(xié)同配合，方便用戶掌握系統(tǒng)安全狀態(tài)等。例如當(dāng)Metro風(fēng)格應(yīng)用程序出現(xiàn)損壞時(shí)，用戶可使用360殺毒將其修復(fù)，未能入選應(yīng)用商店的殺毒軟件則不具備此重要功能。

據(jù)360公司介紹，360殺毒和安全衛(wèi)士在今年3月第一時(shí)間兼容Win8消費(fèi)預(yù)覽版，此后在7月的臺(tái)灣安全技術(shù)大會(huì)（HITCON2012）上，360全球首發(fā)Win8內(nèi)核安全論文。基于對(duì)Windows操作系統(tǒng)的深入研究和理解，360全線產(chǎn)品均完美支持最新的Win8 RTM版。