【51CTO.com獨(dú)家翻譯】本周CanSecWest安全大會(huì)在溫哥華如期開幕，其中該盛會(huì)的內(nèi)容包括年度Pwn2Own黑客大賽，安全研究人士將紛紛展示自己的黑客技能，來實(shí)現(xiàn)入侵安裝了最新補(bǔ)丁的系統(tǒng)。從往年的經(jīng)歷來看，這些安全人士往往有驚人之舉。通過分析今年的黑客大賽，安全專家托尼•布拉德利(Tony Bradley)對用戶提出了兩大安全警示。

在今年的黑客大賽中，兩名安全專家已經(jīng)成功在數(shù)秒內(nèi)實(shí)現(xiàn)了對全補(bǔ)丁版iPhone 3GS的入侵，這是iPhone 2.0首次被入侵。在過去兩年中因攻破蘋果筆記本而成名的查理•米勒(Charlie Miller)，再次完成了該任務(wù)。另一名安全專家則繞過了ASLR和DEP等微軟安全控制，攻破了64位Windows 7系統(tǒng)。

通過今年的黑客大賽，企業(yè)至少可以得到兩個(gè)安全警示。首先，使用蘋果的硬件和軟件并非安全的免死金牌。盡管人們通常認(rèn)為Mac OS X操作系統(tǒng)天生比Windows更安全，但Mac系統(tǒng)不被攻擊的真正主要原因是，對于惡意軟件開發(fā)者來說，在選擇攻擊目標(biāo)時(shí)，擁有92%市場份額的平臺(tái)，顯然要比擁有5%市場份額的平臺(tái)更具“投資回報(bào)率”。

具有諷刺意味的是，盡管Mac OS X平臺(tái)上確實(shí)沒有真正的惡意軟件威脅，這使得Mac用戶把自己的系統(tǒng)當(dāng)作不受威脅的避風(fēng)港，從而面臨著其它方式的安全威脅。許多Mac用戶非常確信自己的系統(tǒng)不會(huì)被攻破，因此對安全防護(hù)問題完全無視。不幸的是，釣魚攻擊和身份信息盜竊更像是一門社會(huì)工程學(xué)功能而非安全技術(shù)，缺乏安全意識(shí)讓Mac用戶身處險(xiǎn)境。

來自Pwn2Own黑客大賽的第二個(gè)警示是：瀏覽器已經(jīng)成為安全的新“阿喀琉斯之踵”，這和硬件或軟件平臺(tái)無關(guān)。安全專家利用Safari手機(jī)瀏覽器中一個(gè)未知的漏洞攻破了iPhone。米勒也是通過Safari瀏覽器控制了操作系統(tǒng)。而64位Windows 7操作系統(tǒng)被攻破的罪魁禍?zhǔn)讋t是IE8。

雖然有人曾呼吁用戶放棄IE瀏覽器轉(zhuǎn)向更安全的網(wǎng)絡(luò)瀏覽器，但最近的一項(xiàng)研究卻證明，在防范社會(huì)工程學(xué)攻擊方面，IE8的表現(xiàn)明顯要好于其它瀏覽器。運(yùn)行瀏覽器的操作系統(tǒng)也對瀏覽器的安全具有重大影響。

今年黑客大賽得出的第一個(gè)警示并非說明哪一個(gè)平臺(tái)更安全，或者哪一個(gè)瀏覽器會(huì)被更快速的攻破。重要的是，對于一個(gè)具有專注精神病掌握了足夠資源的攻擊者來說，所有平臺(tái)和瀏覽器都是不安全的。

今年早些時(shí)候在中國發(fā)生了“極光行動(dòng)”(Operation Aurora)攻擊事件，多數(shù)人存在一種誤解，認(rèn)為如果被攻擊者當(dāng)時(shí)不是使用IE瀏覽器，或許可以避免黑客的入侵。

這種誤解認(rèn)為，攻擊者發(fā)現(xiàn)了IE瀏覽器中的一個(gè)安全漏洞，然后對其利用它對那些使用IE作為默認(rèn)瀏覽器的用戶進(jìn)行了攻擊和入侵。這種邏輯看似合理，畢竟它或多或少符合惡意攻擊的傳統(tǒng)模式。

但是，一次有針對目標(biāo)的攻擊則是另外一種情況，攻擊者確定目標(biāo)后，研究其使用的操作系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)瀏覽器，找出其安全漏洞從而有針對性的制定出攻擊方法。

因此，即使他們使用的是Mac OS X系統(tǒng)而非Windows 7，或者使用的是谷歌Chrome瀏覽器而非微軟IE，也無法避免一個(gè)專注黑客發(fā)起攻擊。

當(dāng)然，這并非說用戶毫無應(yīng)對良策而簡單的放棄安全防護(hù)，而是需要牢記，不要把任何事物當(dāng)作安全的“尚方寶劍”，它不是選擇合適的操作系統(tǒng)，也不是選擇合適的網(wǎng)絡(luò)瀏覽器。

無論你選擇哪一個(gè)操作系統(tǒng)和瀏覽器，安全意識(shí)依然是保證你安全的決定性因素。在今年的黑客大賽上，iPhone和蘋果筆記本的被入侵，都是借助于誘惑用戶訪問一個(gè)惡意網(wǎng)頁，然后實(shí)現(xiàn)攻擊。如果用戶意識(shí)到安全風(fēng)險(xiǎn)，不去點(diǎn)擊未知或可疑的鏈接，此類攻擊或許不會(huì)那么容易得手。

不過，蘋果或許應(yīng)該同意Opera迷你網(wǎng)絡(luò)瀏覽器進(jìn)入iPhone，這樣用戶在選擇瀏覽器時(shí)，能夠擁有另外一個(gè)可能更安全的選擇。

【51CTO.COM 獨(dú)家翻譯，轉(zhuǎn)載請注明出處及作者！】

1. Pwn2Own黑客天王：思路我來提供 漏洞自己去找！
2. Pwn2Own2010第一天:iPhone被攻破 漏洞涉及Safari
3. 為避免 Pwn2Own大賽再次出丑 Apple提前給Safari大補(bǔ)
4. 2010年P(guān)wn2Own黑客大賽將開戰(zhàn) 高額獎(jiǎng)金與0day引入入勝
5. Pwn2Own2010第一天:火狐、IE、Safari全掛 Chrome幸存
6. Pwn2Own:瀏覽器獨(dú)活Chrome 智能機(jī)單掛iphone