對話IT：安全技術大拿解讀pwn2own***大賽

一年一度的Pwn2own***大賽已經落下帷幕。此次大賽有哪些亮點？瀏覽器和手機安全問題是否迫在眉睫？《對話IT》音頻欄目有幸邀請到國內兩位知名的網絡安全研究人員，一塊兒聊一聊2011年的Pwn2own。

++++

如不能收聽，請點擊連接：

http://netsecurity.51cto.com/secu/radio/duihuaIT1_Pwn2own2011.mp3

關於智能手機安全的問題，今天咱們有幸採訪到資深無線安全研究人員，《無線網絡安全***實戰》系列書籍的做者 楊哲。

問：Pwn2own2011年的***大賽已經落下帷幕了。咱們發現目前有一些人認爲，越是開放的手機系統越不安全。此次參與比賽的四款手機系統，有開源的，也有封閉的。是否是越封閉的系統，好比是windows mobile，攻破的難度就越大呢？

 　　答：不是這樣的，咱們舉個例子，在過去的10多年來，Windows因爲其便捷的窗口化操做和用戶不可見的後臺處理機制，贏得了大量的用戶。但與此同時，也吸引了大量的***及組織對其研究，那最終的結果咱們都知道，就是微軟的漏洞數量和發佈頻率要比其它操做系統高不少，而直到如今Windows並無像Linux同樣開源。一樣地，在智能手機領域，Windows Mobile佔據的江山能夠說尚未達到和Windows XP這樣一個級別，因此能夠看到在06年之前不管是手機病毒仍是***的 對象都主要是Nokia的Symbian，爲何呢，由於Nokia佔據了80%的手機市場。但在最近幾年，隨着使用Windows Mobile系統的智能手機在市場佔有率的提升，也爆出了多個威力比較大的漏洞，好比09年比較出名的HTC智能手機爆出的藍牙協議棧漏洞，這個漏洞是由 於HTC在開發基於Windows Mobile的藍牙驅動時的疏漏所致，但通過測試，發現它影響到了09年7月前出廠的幾乎全部基於Windows Mobile6/6.5的HTC手機。

 　　總的來講，就是說，並非封閉的系統，其攻破的難度就越大。按照這個理論，那是否是說只要選擇閉關鎖國，這樣就能夠無敵了？呵呵。

 　　問：這次比較遺憾的是，Windows Mobile和Android平臺的***者沒有來到大賽的現場。以前看到一些報道，Android平臺的安全問題會是2011年比較讓人擔心的，你以爲是這樣嗎？爲何Android的安全問題開始浮出水面？
 　 　答：咱們都知道，絕對的安全是不存在的，因此Android的問題確定是有的，好比去年末國外一些***組織就陸續發佈了針對 Android2.0/2.1的多個0Day***漏洞，能夠致使用戶的智能手機遠程執行惡意代碼、資源耗盡致使死機等。其實不管任何操做系統，安全問題都 是存在的，只是其流行程度和關注程度還遠沒有達到臨界點罷了。這個臨界點就是由手機的用戶數量、流行程度所決定的。這個道理就如同咱們剛纔提到的 Windows同樣。
 　　問：您以爲這次pwn2own***大賽的亮點是什麼？這樣的比賽，它的意義在哪裏？
 　　答：亮 點就是手機廠商與安全人員甚至是***的正面對決，這代表了廠商願意從根本上提升自身安全，願意對潛在的安全問題負責，願意爲用戶負責的態度。相信不少朋友 都願意看到這種讓廠商直面自身安全隱患，將其所謂的自信直接放在爐上烤的感受，這比廠商發佈100個公告和聲明要有意義的多。這個比賽讓我想起了數年前某個防火牆廠商的一個懸賞活動，在單位時間內只要攻破其防火牆設備訪問到後方的某一個指定文件，便可得到5萬元的獎勵。這個Pwn2Own與其性質徹底一致，但在這麼 多主流移動設備供應商的支持下，特別是重賞之下必有勇夫嘛，一些安全研究人員也願意將本身的技術展示出來，來向不少廠商疏漏的角度展開***，這對廠商的提 高也是巨大的，因此說，Pwn2Own***大賽的深遠意義要高出了不少。

 　　問：在智能手機安全領域，咱們以前也採訪過一些手機安全廠商，目前他們尚未看到大規模的手機***、病毒的爆發，當前的手機安全軟件也大多定位在在隱私保護和軟件管理上，您估計手機安全問題到什麼階段可能會大規模爆發？
 　 　答：恩，其實主要是由於國內確實沒有面臨過大規模手機病毒爆發的事件，因此目前國內的手機安全防禦類軟件主要偏向於隱私保護上，但在國外，早在04年 起，自從針對Nokia的Cabir等手機蠕蟲病毒的泛濫，使得不少國際上比較有名的產品對手機***病毒方面的關注度仍是很高的，
 　　好比Mcafee、賽門鐵克、Kapersky、F-Secure等等。

 　　問：有人認爲手機安全問題會隨着手機支付的發展而凸現出來，您是怎麼看待智能手機平臺的黑色產業鏈和潛在的利潤體系的？
 　 答：顯然地，因爲國情的不一樣，對於中國來講，非法軟件在手機後臺吸費將會是這幾年來主要的問題，不過手機自身的安全問題也將受到愈來愈多的關注，好比如今 不少人開始陸續享受到的手機支付等，也將隨着普及而出現新的安全問題。而做爲黑色產業鏈這個問題已經不是一兩家安全公司、團體或者單純的手機安防軟件可以 解決的問題，它須要多個相關部門的聯合纔可以最大程度地堵住這個黑洞。
 　　++++++

　關於瀏覽器安全的問題，咱們來諮詢一位在國內知名安全公司工做的技術大拿。對客戶端軟件安全和Web安全有着很豐富的經驗。不過他如今不太方便透露本身的姓名。因此呢，咱們這邊就不作介紹了。

問：關於Pwn2own2011***大賽有幾個問題想跟您溝通一下，pwn2own***大賽已經結束了,在瀏覽器的部分， Chrome和Firefox瀏覽器都沒有被攻破，而值得一提的是Chrome瀏覽器連續3屆***大賽上都順利過關，您以爲Chrome的安全性真的是一 個神話嗎？

 　　答：Chrome的安全係數是比較高的，可是它並非絕對的安全。爲何chrome的其安全性很高呢？主要有兩個方面的 緣由，一個是谷歌提供了一個有償的安全谷歌計劃，也就是若是有安全人員發現了chrome的安全漏洞，就會有一個有償的補助，是1000美圓到3000美 元不等，因此不少安全研究人員發現了chrome的安全漏洞就會上報給谷歌;而後另一個方面就是，chrome的有一個安全的沙盒，也就是若是 chrome有這麼一個安全漏洞，可是(***利用這個漏洞)並不能直接***chrome，也就是說瀏覽器雖然存在安全漏洞，可是不能被直接***。也就是 chrome沒有被攻破的最主要緣由。

 　　問：也就是說***者要繞過這個沙盒才能對chrome進行***？
 　　答：對。

 　　問：那您剛纔說的有償計劃，其餘瀏覽器廠商沒有這種機制嗎？
 　　答：Firefox也有這種有償補助，因此這兩個瀏覽器的安全係數高一些，火狐在參加這個大賽以前就已經修復了十多個安全漏洞。
 　　問：因此說它(Firefox)在此次比賽有點僥倖的因素在裏邊是吧？
 　　答：對
 　　問：第二個問題，做爲一名安全研究人員來講，您日常最經常使用的瀏覽器是什麼？
 　　答：火狐。

 　　問：爲何？
 　　答：由於火狐是一個老牌的插件瀏覽器，它有不少的插件，能夠方便平常的一些工做。

 　　問：那這是從使用功能方面來講的，那其餘方面呢？
 　　答：其餘方面的話，它最主要的特色就是開源，你能夠了解到這個瀏覽器最近有沒有什麼安全漏洞，或者能夠在開源社區裏討論它的安全漏洞或者防禦措施之類的，均可以在第一時間知曉。

 　　問：那我問最後一個問題，和技術有點相關的，就是您能介紹一下常規的瀏覽器漏洞挖掘技術都有哪些嗎？
 　　答：常規的瀏覽器漏洞挖掘技術的話應該是兩塊，一塊是閉源的，閉源的話主要靠逆向，像(***)IE瀏覽器主要靠逆向，逆向的話是能夠直接從源代碼分析瀏覽器的一些漏洞。另一種是fuzzing也就是模糊測試這種方法，來發現黑盒這種方式測試瀏覽器的漏洞。

 

IT聽聽看之對話IT：關注IT、聆聽IT。所謂對話，是與IT業界的專家、學者和用戶的直接對話，也是與IT技術、熱點事件和IT應用的對話。

 

對話IT主持人：鮮橙、嘉文

 

IT聽聽看圍脖：

http://t.sina.com.cn/2016492641