【51CTO.com 獨(dú)家特稿】本周（090216至090222）安全領(lǐng)域值得關(guān)注的要聞?shì)^多。黑客圈子里知名的會(huì)議黑帽大會(huì)本周在美國(guó)華盛頓舉行，會(huì)上發(fā)布了相當(dāng)多有代表性的新漏洞、攻擊手法和技術(shù)，本期回顧將介紹并分析其中幾個(gè)有意思的新聞。

移動(dòng)安全方面，本周安全廠商McAfee發(fā)布的2009移動(dòng)安全報(bào)告值得關(guān)注，該報(bào)告所包含的內(nèi)容也在一定程度上說明了安全業(yè)界對(duì)未來一段時(shí)間移動(dòng)安全走勢(shì)的看法。在本期回顧的最后，筆者將向朋友們介紹安全市場(chǎng)上的兩個(gè)新產(chǎn)品，并送上一篇值得朋友們一讀的推薦閱讀文章。

本周的信息安全威脅等級(jí)為中，目前互聯(lián)網(wǎng)上針對(duì)各主要軟件廠商產(chǎn)品漏洞發(fā)起的攻擊行為仍較為頻繁，用戶應(yīng)及時(shí)從廠商網(wǎng)站獲取已安裝軟件的最新版本或安全更新，同時(shí)不要打開來源不明的文件。

黑帽會(huì)議綜述：場(chǎng)面熱鬧但創(chuàng)新技術(shù)不多；關(guān)注指數(shù)：高

每年舉辦幾次的黑帽會(huì)議是黑客圈中難得的盛事，本周在美國(guó)華盛頓舉行的今年第一次黑帽會(huì)議就吸引了公眾的廣泛關(guān)注。本次黑帽大會(huì)上來自世界各地的研究人員發(fā)表各自的最新研究成果，內(nèi)容涵蓋了最新的安全漏洞、攻擊手段和技術(shù)，從選題上來看，針對(duì)的主要是去年安全業(yè)界關(guān)注較多的Web 2.0、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用等熱門領(lǐng)域。

雖然看起來挺熱鬧，但更多是去年一些概念性技術(shù)或理念的進(jìn)一步發(fā)展，并沒有出現(xiàn)太多創(chuàng)新的或趨勢(shì)性的新攻擊技術(shù)，本次黑帽大會(huì)上還有另外一個(gè)挺有意思的特點(diǎn)，如越南、意大利等小國(guó)家的安全研究人員也開始在黑帽大會(huì)上發(fā)言，顯示了小國(guó)家在信息安全和黑客技術(shù)領(lǐng)域的發(fā)展同樣有其獨(dú)到之處。下面我們來了解一下本次黑帽大會(huì)上公開的幾個(gè)比較有特點(diǎn)的技術(shù)：

1） 用XSS構(gòu)建匿名瀏覽網(wǎng)絡(luò)：跨站腳本攻擊XSS漏洞，通常被黑客用于在知名的站點(diǎn)尤其是電子商務(wù)或在線金融站點(diǎn)上竊取用戶的賬號(hào)密碼，或是用于通過外部網(wǎng)站向用戶的系統(tǒng)中植入惡意軟件。

本次黑帽大會(huì)上有研究人員提到，XSS也能用于構(gòu)建匿名的瀏覽網(wǎng)絡(luò)，從而用于隱藏攻擊者的痕跡——實(shí)際上該技術(shù)也可以認(rèn)為是XSS用于植入惡意軟件這種攻擊手法的擴(kuò)展，黑客通過XSS來向目標(biāo)用戶的瀏覽器惡意代碼，指令目標(biāo)用戶的瀏覽器瀏覽特定的網(wǎng)站并將該網(wǎng)站的數(shù)據(jù)返回到黑客指定的第二個(gè)網(wǎng)站上，從而使黑客能夠通過目標(biāo)用戶的瀏覽器訪問到特定的網(wǎng)站，同時(shí)不留下訪問痕跡，不過這種技術(shù)存在不能正常處理非文本信息的缺陷。

筆者覺得，這種技術(shù)有可能發(fā)展成XSS與系統(tǒng)漏洞利用程序相結(jié)合，并在用戶的系統(tǒng)上植入能夠完成代理功能的惡意軟件，最終通過眾多受害者的系統(tǒng)組成代理網(wǎng)絡(luò)，供黑客實(shí)施攻擊之用。

2） 不可靠的臉部識(shí)別驗(yàn)證方法：用戶只需在攝像頭前露一下臉，系統(tǒng)就會(huì)自動(dòng)確認(rèn)是否用戶身份，而無需用戶再輸入密碼，這種臉部識(shí)別技術(shù)聽起來相當(dāng)?shù)膹?qiáng)，市場(chǎng)上也有數(shù)個(gè)廠商已經(jīng)開始推廣使用這種臉部識(shí)別技術(shù)的筆記本計(jì)算機(jī)。

但這種生物識(shí)別方法不見得是很安全，在本次黑帽大會(huì)上來自越南的安全研究人員提出，目前在聯(lián)想、東芝和華碩三計(jì)算機(jī)廠商的筆記本計(jì)算機(jī)產(chǎn)品上使用的臉部識(shí)別技術(shù)并不可靠，很容易通過特定的技術(shù)繞過其保護(hù)直接訪問用戶的計(jì)算機(jī)。

研究人員稱，臉部識(shí)別技術(shù)最大的缺陷在于，無法識(shí)別照片和用戶真人之間的區(qū)別，在使用低分辨率的攝像頭時(shí)該問題更加嚴(yán)重。黑客只需要獲得用戶的多張照片，就能通過這些照片計(jì)算出用戶的臉部特征并制作成足以通過臉部識(shí)別保護(hù)的數(shù)碼照片。

筆者認(rèn)為，該研究人員提到的問題確實(shí)存在，就目前的臉部識(shí)別技術(shù)的準(zhǔn)確率來看，筆記本計(jì)算機(jī)上通過內(nèi)置攝像頭實(shí)現(xiàn)臉部識(shí)別并不實(shí)用，會(huì)給用戶帶來相當(dāng)大的潛在風(fēng)險(xiǎn)。如果廠商是打算為用戶提供低成本的生物特征識(shí)別技術(shù)，其實(shí)還不如采用密碼加用戶擊鍵習(xí)慣進(jìn)行生物特征驗(yàn)證的雙重驗(yàn)證方式，這樣安全性會(huì)提高很多。

3） SSL/TLS中間人攻擊：傳統(tǒng)的SSL/TLS中間人攻擊方法，都是利用了SSL/TLS本身加密算法上的缺陷或者通過調(diào)換加密證書的方式，來達(dá)到黑客獲取用戶賬號(hào)密碼的目的。

但研究人員在本次黑帽大會(huì)上發(fā)布的新SSL中間人攻擊方式卻采取了另外的途徑，黑客通過TOR代理網(wǎng)絡(luò)劫持等方式攔截用戶的通訊之后，通過一個(gè)名為SSLstrip的程序?qū)⒂脩襞c真實(shí)網(wǎng)站的加密連接轉(zhuǎn)換成普通HTTP連接，并通過偽造安全圖標(biāo)等方式，讓用戶相信自己正在安全的瀏覽真實(shí)站點(diǎn)，實(shí)際上黑客已經(jīng)可以通過嗅探的方法來獲得用戶的賬號(hào)密碼。

用戶要防御這種攻擊手段其實(shí)并不困難，只要盡量不要在不安全的地點(diǎn)或通過不安全的網(wǎng)絡(luò)連接（包括各種代理），訪問電子商務(wù)或網(wǎng)絡(luò)金融類站點(diǎn)即可。

移動(dòng)安全：移動(dòng)安全仍不容樂觀；關(guān)注指數(shù)：高

本周安全廠商McAfee發(fā)布了最新的2009移動(dòng)安全報(bào)告，該報(bào)告總結(jié)了從2006年開始到2008年底，移動(dòng)設(shè)備的技術(shù)發(fā)展和其面臨的安全威脅，并預(yù)測(cè)了在未來一段時(shí)間內(nèi)用戶將可能面臨的移動(dòng)安全相關(guān)問題。

盡管安全業(yè)界通常將傳統(tǒng)的智能手機(jī)Blackberry、Iphone和SmartPhone，以及正在快速發(fā)展的移動(dòng)計(jì)算、內(nèi)建3G功能的上網(wǎng)本和Intenet tablet等設(shè)備歸類到移動(dòng)設(shè)備，但在本報(bào)告中， McAfee并沒有定義移動(dòng)設(shè)備是什么，報(bào)告也更為關(guān)注于SmartPhone。報(bào)告顯示，網(wǎng)絡(luò)和服務(wù)商問題、病毒感染、語(yǔ)音和文字垃圾短信、第三方應(yīng)用、用戶數(shù)據(jù)丟失、網(wǎng)絡(luò)釣魚攻擊、隱私問題和拒絕服務(wù)攻擊仍是移動(dòng)設(shè)備用戶面臨的主要安全威脅，攻擊的發(fā)生頻度也在近兩年有跨越式的發(fā)展。

除此之外，本次報(bào)告還首次對(duì)移動(dòng)設(shè)備廠商進(jìn)行了調(diào)查，結(jié)果顯示大多數(shù)的移動(dòng)設(shè)備廠商都已經(jīng)意識(shí)到，安全問題已經(jīng)對(duì)他們的業(yè)務(wù)產(chǎn)生至關(guān)重要的影響，并贊同對(duì)移動(dòng)設(shè)備售出后的軟件更新和修正會(huì)明顯影響業(yè)務(wù)這一觀點(diǎn)，另外，移動(dòng)設(shè)備廠商對(duì)用戶的移動(dòng)支付、軟件安裝和無線/藍(lán)牙連接性三個(gè)方面所存在的安全威脅較為關(guān)注。

筆者認(rèn)為，從廠商的反應(yīng)來看，移動(dòng)設(shè)備安全的重要性已經(jīng)成為業(yè)界的共識(shí)，但大多數(shù)的移動(dòng)設(shè)備廠商并不了解要如何為移動(dòng)設(shè)備提供安全解決方案，針對(duì)移動(dòng)設(shè)備的售后安全服務(wù)也基本是空白，顯然安全業(yè)界與移動(dòng)設(shè)備廠商仍需要建立更緊密的協(xié)作關(guān)系。

推薦工具：

1） Dshield Web Honeypot：SQL注入、XSS、密碼拆解等攻擊手段是互聯(lián)網(wǎng)網(wǎng)站經(jīng)常面臨的威脅，然而因?yàn)閭鹘y(tǒng)的IDS和防火墻并不能檢查來自Web上的攻擊數(shù)據(jù)，網(wǎng)站管理員很難及時(shí)發(fā)現(xiàn)攻擊行動(dòng)的存在，往往在黑客攻擊成功乃至很長(zhǎng)時(shí)間之后，才發(fā)現(xiàn)已經(jīng)遭受攻擊。Dshield是一個(gè)開源的Web 攻擊蜜罐，它能夠通過日志分析及時(shí)發(fā)現(xiàn)黑客的攻擊嘗試并向管理員發(fā)出警告，安裝和維護(hù)也較為簡(jiǎn)單，朋友們可以在以下的連接中找到它。
http://sites.google.com/site/webhoneypotsite/

2） 趨勢(shì)推出運(yùn)行在路由器上的反病毒軟件：趨勢(shì)科技日本公司本周推出了能夠運(yùn)行在Cisco Linksys特定型號(hào)家用路由器上的反病毒軟件，能夠在數(shù)據(jù)進(jìn)入用戶網(wǎng)絡(luò)前進(jìn)行前期的安全掃描，為用戶網(wǎng)絡(luò)安全增添一層安全保障。該產(chǎn)品也是世界上首個(gè)運(yùn)行在路由器上的安全解決方案，雖然目前尚無法評(píng)價(jià)其實(shí)際效果，但其設(shè)計(jì)理念非常值得其他安全廠商借鑒。

推薦閱讀：

1） 5步實(shí)施PCI策略；推薦指數(shù)：高
對(duì)許多需要處理在線支付的電子商務(wù)企業(yè)來說，實(shí)施支付卡安全行業(yè)標(biāo)準(zhǔn)（PCI）并不是一件很容易的事情，即使是實(shí)力雄厚的大型電子商務(wù)企業(yè)，也已經(jīng)發(fā)生過多起因?yàn)椴粷M足PCI導(dǎo)致的起訴和罰款事件。

eWeek.com文章《5步實(shí)施PCI策略》通過將PCI策略的整個(gè)實(shí)施過程劃分為5個(gè)階段，并為用戶提供了多個(gè)簡(jiǎn)單易行的建議，推薦電子商務(wù)行業(yè)的朋友都來了解一下。

文章的地址如下：
http://www.eweek.com/c/a/Security/How-to-Achieve-Payment-Card-Industry-Compliance-5-Simple-Steps/?kc=rss

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】

【相關(guān)文章】

• 更多安全要聞