2月第3週迴顧：黑帽大會華府召開 場面熱鬧創新很少

本文同時發表在： [url]http://netsecurity.51cto.com/art/200902/111734.htm[/url]

 

本週（090216至090222）安全領域值得關注的要聞較多。***圈子裏知名的會議黑帽大會本週在美國華盛頓舉行，會上發佈了至關多有表明性的新漏洞、***手法和技術，本期回顧將介紹並分析其中幾個有意思的新聞。

移動安全方面，本週安全廠商McAfee發佈的2009移動安全報告值得關注，該報告所包含的內容也在必定程度上說明了安全業界對將來一段時間移動安全走勢的見解。在本期回顧的最後，筆者將向朋友們介紹安全市場上的兩個新產品，並送上一篇值得朋友們一讀的推薦閱讀文章。

本週的信息安全威脅等級爲中，目前互聯網上針對各主要軟件廠商產品漏洞發起的***行爲仍較爲頻繁，用戶應及時從廠商網站獲取已安裝軟件的最新版本或安全更新，同時不要打開來源不明的文件。

黑帽會議綜述：場面熱鬧但創新技術很少；關注指數：高

每一年舉辦幾回的黑帽會議是***圈中可貴的盛事，本週在美國華盛頓舉行的今年第一次黑帽會議就吸引了公衆的普遍關注。本次黑帽大會上來自世界各地的研究人員發表各自的最新研究成果，內容涵蓋了最新的安全漏洞、***手段和技術，從選題上來看，針對的主要是去年安全業界關注較多的Web 2.0、網絡基礎設施和網絡應用等熱門領域。

雖然看起來挺熱鬧，但更可能是去年一些概念性技術或理念的進一步發展，並無出現太多創新的或趨勢性的新***技術，本次黑帽大會上還有另一個挺有意思的特色，如越南、意大利等小國家的安全研究人員也開始在黑帽大會上發言，顯示了小國家在信息安全和***技術領域的發展一樣有其獨到之處。下面咱們來了解一下本次黑帽大會上公開的幾個比較有特色的技術：

1） 用XSS構建匿名瀏覽網絡：跨站腳本***XSS漏洞，一般被***用於在知名的站點尤爲是電子商務或在線金融站點上竊取用戶的帳號密碼，或是用於經過外部網站向用戶的系統中植入惡意軟件。

本次黑帽大會上有研究人員提到，XSS也能用於構建匿名的瀏覽網絡，從而用於隱藏***者的痕跡——實際上該技術也能夠認爲是XSS用於植入惡意軟件這種***手法的擴展，***經過XSS來向目標用戶的瀏覽器惡意代碼，指令目標用戶的瀏覽器瀏覽特定的網站並將該網站的數據返回到***指定的第二個網站上，從而使***可以經過目標用戶的瀏覽器訪問到特定的網站，同時不留下訪問痕跡，不過這種技術存在不能正常處理非文本信息的缺陷。

筆者以爲，這種技術有可能發展成XSS與系統漏洞利用程序相結合，並在用戶的系統上植入可以完成代理功能的惡意軟件，最終經過衆多受害者的系統組成代理網絡，供***實施***之用。

2） 不可靠的臉部識別驗證方法：用戶只需在攝像頭前露一下臉，系統就會自動確認是否用戶身份，而無需用戶再輸入密碼，這種臉部識別技術聽起來至關的強，市場上也有數個廠商已經開始推廣使用這種臉部識別技術的筆記本計算機。

但這種生物識別方法不見得是很安全，在本次黑帽大會上來自越南的安全研究人員提出，目前在聯想、東芝和華碩三計算機廠商的筆記本計算機產品上使用的臉部識別技術並不可靠，很容易經過特定的技術繞過其保護直接訪問用戶的計算機。

研究人員稱，臉部識別技術最大的缺陷在於，沒法識別照片和用戶真人之間的區別，在使用低分辨率的攝像頭時該問題更加嚴重。***只須要得到用戶的多張照片，就能經過這些照片計算出用戶的臉部特徵並製做成足以經過臉部識別保護的數碼照片。

筆者認爲，該研究人員提到的問題確實存在，就目前的臉部識別技術的準確率來看，筆記本計算機上經過內置攝像頭實現臉部識別並不實用，會給用戶帶來至關大的潛在風險。若是廠商是打算爲用戶提供低成本的生物特徵識別技術，其實還不如採用密碼加用戶擊鍵習慣進行生物特徵驗證的雙重驗證方式，這樣安全性會提升不少。

3） SSL/TLS中間人***：傳統的SSL/TLS中間人***方法，都是利用了SSL/TLS自己加密算法上的缺陷或者經過調換加密證書的方式，來達到***獲取用戶帳號密碼的目的。

但研究人員在本次黑帽大會上發佈的新SSL中間人***方式卻採起了另外的途徑，***經過TOR代理網絡劫持等方式攔截用戶的通信以後，經過一個名爲SSLstrip的程序將用戶與真實網站的加密鏈接轉換成普通HTTP鏈接，並經過僞造安全圖標等方式，讓用戶相信本身正在安全的瀏覽真實站點，實際上***已經能夠經過嗅探的方法來得到用戶的帳號密碼。

用戶要防護這種***手段其實並不困難，只要儘可能不要在不安全的地點或經過不安全的網絡鏈接（包括各類代理），訪問電子商務或網絡金融類站點便可。

移動安全：移動安全仍不容樂觀；關注指數：高

本週安全廠商McAfee發佈了最新的2009移動安全報告，該報告總結了從2006年開始到2008年末，移動設備的技術發展和其面臨的安全威脅，並預測了在將來一段時間內用戶將可能面臨的移動安全相關問題。

儘管安全業界一般將傳統的智能手機Blackberry、Iphone和SmartPhone，以及正在快速發展的移動計算、內建3G功能的上網本和Intenet tablet等設備歸類到移動設備，但在本報告中， McAfee並無定義移動設備是什麼，報告也更爲關注於SmartPhone。報告顯示，網絡和服務商問題、病毒感染、語音和文字垃圾短信、第三方應用、用戶數據丟失、網絡釣魚***、隱私問題和拒絕服務***還是移動設備用戶面臨的主要安全威脅，***的發生頻度也在近兩年有跨越式的發展。

除此以外，本次報告還首次對移動設備廠商進行了調查，結果顯示大多數的移動設備廠商都已經意識到，安全問題已經對他們的業務產生相當重要的影響，並贊同對移動設備售出後的軟件更新和修正會明顯影響業務這一觀點，另外，移動設備廠商對用戶的移動支付、軟件安裝和無線/藍牙鏈接性三個方面所存在的安全威脅較爲關注。

筆者認爲，從廠商的反應來看，移動設備安全的重要性已經成爲業界的共識，但大多數的移動設備廠商並不瞭解要如何爲移動設備提供安全解決方案，針對移動設備的售後安全服務也基本是空白，顯然安全業界與移動設備廠商仍須要創建更緊密的協做關係。

推薦工具：

1） Dshield Web Honeypot：SQL注入、XSS、密碼拆解等***手段是互聯網網站常常面臨的威脅，然而由於傳統的IDS和防火牆並不能檢查來自Web上的***數據，網站管理員很難及時發現***行動的存在，每每在******成功乃至很長時間以後，才發現已經遭受***。Dshield是一個開源的Web ***蜜罐，它可以經過日誌分析及時發現***的***嘗試並向管理員發出警告，安裝和維護也較爲簡單，朋友們能夠在如下的鏈接中找到它。
[url]http://sites.google.com/site/webhoneypotsite/[/url]

2） 趨勢推出運行在路由器上的反病毒軟件：趨勢科技日本公司本週推出了可以運行在Cisco Linksys特定型號家用路由器上的反病毒軟件，可以在數據進入用戶網絡前進行前期的安全掃描，爲用戶網絡安全增添一層安全保障。該產品也是世界上首個運行在路由器上的安全解決方案，雖然目前尚沒法評價其實際效果，但其設計理念很是值得其餘安全廠商借鑑。

推薦閱讀：

1） 5步實施PCI策略；推薦指數：高
對許多須要處理在線支付的電子商務企業來講，實施支付卡安全行業標準（PCI）並非一件很容易的事情，即便是實力雄厚的大型電子商務企業，也已經發生過多原由爲不知足PCI致使的起訴和罰款事件。

eWeek.com文章《5步實施PCI策略》經過將PCI策略的整個實施過程劃分爲5個階段，併爲用戶提供了多個簡單易行的建議，推薦電子商務行業的朋友都來了解一下。

文章的地址以下：
[url]http://www.eweek.com/c/a/Security/How-to-Achieve-Payment-Card-Industry-Compliance-5-Simple-Steps/?kc=rss[/url]