全球瞩目的信息安全会议Black Hat USA 2008上周在美国拉斯维加斯开幕,众多的安全厂商和独立安全研究人员都在会上发表了自己最新的研究成果。作为全球水平领先的安全会议,Black Hat会议上公开的研究成果大都是信息安全的近期热点,也有很多相当具有前瞻性的趋势。51CTO《一周安全要闻回顾》专栏将密切关注Black Hat会议的进程,及时为你带来最新的报道和分析。
(1) 社会网络网站的安全受第三方插件威胁;
内容:在8月7日的Black Hat会议上,两名安全研究人员Shawn Moyer 和Nathan Hamiel公开了他们对社会网络网站(SNS)的最新研究成果:不安全的第三方插件将会严重威胁用户使用社会网络网站的安全,另外,该研究还发现用户之间的信任仍然是社会网络网站安全的最大漏洞。这两名研究人员还在与会者面前进行了对美国社会网络网站LinkedIn的攻击演示。
分析:社会网络网站是近几年最为流行的Web 2.0产品之一,用户能够很方便的在社会网络网站上和朋友联络、交换信息,国内也有数个较为出名的本土社会网络网站。由于SNS市场竞争日趋激烈,用户数量急剧增加,MySpace、Facebook等市场领先的社会网络网站先后开放了开发接口,用户和开发人员可以自行创建各种第三方插件,增强自己在社会网络网站的用户体验和提升使用效率。
本届Black Hat会议上公开的研究成果,揭露了这样一个问题:社会网络网站运营商在开放开发接口的同时,却没有为普通用户提供一个可靠安全的插件认证手段,用户使用不安全的第三方插件之后,自己的敏感信息受到威胁,甚至造成类似病毒扩散的后果,这个责任应该由谁承担?从目前的情况来看,在开放了开发接口的社会网络网站运营商眼里,这种后果都应该由插件的使用者也即用户承担。上个月,反病毒厂商卡巴斯基和软件厂商Adobe就曾联合发布过一个安全公告,称黑客利用MySpace和Facebook散布实际上是一个特洛伊木马程序的虚假Flash升级程序。尽管该安全公告中没有明确指出第三方插件是否在黑客的攻击中发挥了作用,但黑客是可以通过使用精心构造的第三方插件,进行获取使用者的敏感信息或使用用户的名义发送虚假的信息等攻击行为。
笔者认为:与社会网络网站同为Web 2.0技术的博客、社区等其他公众服务也同样存在上述威胁,虽然第三方开发者和厂商提供的插件程序,虽然能够显著的提升用户体验,让用户自己的空间看起来很有个性,但在目前运营商不重视安全,控制手段严重缺失的情况下,用户使用来源不明的第三方插件具有相当大的敏感信息丢失或成为攻击源的风险。建议用户在并非十分必要的情况下,尽量不要使用来自不可信来源的第三方插件,也不要轻易相信自己博客、空间上的带有链接或误导性言语的留言,因为这很可能就是黑客精心策划的恶意陷阱。
(2) 不使用漏洞的Web攻击方法;
内容:在普通用户的心里,擅长攻击Web的黑客大多都是装备精良、经验丰富的技术老手,然而在8月8日的Black Hat会议上,来自WhiteHat Security的两名研究人员Jeremiah Grossman和 Trey Ford向与会者展示了多种不使用漏洞的Web攻击方法,以及黑客如何使用这些攻击方法来获取经济利益。其中较有代表意义的攻击方法有:通过注册大量虚假账户来突破CAPTCHA验证方法进行投票造假;使用虚假数据来欺骗在线银行系统;利用网络交易过程的缺陷免费获得货物;利用证券市场上的未公开信息进行获利等。
分析:WhiteHat Security研究人员在Black Hat会议上所公开的方法并不是非常创新的攻击方法,其中提到的许多方法在早至五、六年前就在国内广为使用。就用网络投票中常见的验证系统作为例子,许多网站在举行有奖投票的时候,一般都不会刻意去防止有人进行投票作弊,这样,往往就有人用有偿代投票的形式进行作弊并获取相应的经济利益,即使是被多个大型电子邮件服务商采用,公认比较可靠的CAPTCHA验证系统,在去年和今年数次被黑客攻破,并用来进行投票作弊或垃圾邮件散发。利用网络交易过程中存在的缺陷进行的网络欺诈案件,或者利用第三方的网络支付服务进行洗钱等也是我们比较熟悉的案例。
笔者认为:对运营商来说,和较为容易发现和清除的系统或代码漏洞不同,业务流程逻辑上的漏洞往往更为隐蔽和难以清除,而在电子商务的整个链条中,人这一环是安全性最弱的。WhiteHat Security研究人员的成果所透露出来,除了提供多个新颖的攻击思路外,更多的是透露出一个趋势:黑客进行攻击时,将越来越多的着眼电子商务业务流程上的缺陷。而目前的信息安全或者安全审计领域,也往往把企业业务风险和信息风险这两者完全割离开来,企业本身在进行信息安全项目时,也主要关注在技术方面的风险,信息化业务流程的风险、攻击和防御,将会成为较长时期内安全行业和市场内的热点话题。
(3) Microsoft新计划帮助修复第三方软件中的漏洞
内容:在8月7号的Black Hat会议上,Microsoft宣布将发起一个名为微软漏洞研究(MSVR)的新计划,该计划旨在帮助参与计划的第三方厂商修复其软件产品中存在的安全漏洞。Microsoft将与参与计划的第三方厂商共享由Microsoft自己的研究人员或外部研究人员所发现的安全漏洞,并帮助第三方厂商修正这些漏洞。
分析:2006年开始的Windows平台第三方软件漏洞挖掘和攻击热潮,是Microsoft推出该项新计划的最主要目的。这两年Windows和其他Microsoft产品上所发现的漏洞数,只比之前几年有小幅度的上升,而Windows平台上的第三方软件漏洞,则以相当快的速度进行增长,甚至成为黑客攻击Windows系统的主要手段,最近的Flash媒体播放器漏洞,就显示第三方软件的漏洞,也会成为用户系统的严重安全威胁。
根据Microsoft的统计数据,目前在攻击Windows平台的漏洞利用程序中,有80%是针对Windows XP上的第三方软件,90%是针对Windows Vista上的第三方软件。笔者估计,Microsoft的新计划在开始时可能只会加入Adobe等大型软件厂商,较小或不被Microsoft承认的软件厂商仍将游离在外。Microsoft的新计划也将进一步促进Windows平台安全一体化的思路,而现有的Windows Update服务是否成为通用的软件升级服务,值得期待。
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/92696,如需转载请自行联系原作者
