應(yīng)茜羽

互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展讓信息安全環(huán)境日益嚴(yán)峻。黑帽安全技術(shù)大會(huì)本質(zhì)上是指引信息安全技術(shù)發(fā)展趨勢(shì)的風(fēng)向標(biāo),促使安全技術(shù)不斷完善。

去年,安全研究員Dan Kaminsky在2008黑帽安全技術(shù)大會(huì)(Black Hat,以下簡(jiǎn)稱黑帽大會(huì))上披露的DNS漏洞轟動(dòng)了整個(gè)信息世界。由于Kaminsky的發(fā)現(xiàn),在過(guò)去12個(gè)月里,一些專家為了加強(qiáng)DNS安全所做的工作已經(jīng)超過(guò)了前十年的總和。

2009年黑帽大會(huì)已于7月25日～7月30日在美國(guó)拉斯維加斯的凱撒皇宮酒店舉行。黑帽大會(huì)是全球非常重要的信息安全會(huì)議之一。越來(lái)越復(fù)雜的網(wǎng)絡(luò)環(huán)境和黑客技術(shù)的不斷更新,使得安全形勢(shì)越來(lái)越嚴(yán)峻。DNS漏洞、應(yīng)用軟件漏洞,嚴(yán)重威脅著我們的網(wǎng)絡(luò)安全。在這次會(huì)議中,多位研究人員把重點(diǎn)放在了各類漏洞上。這些漏洞的公布,使得眾多安全廠商不得不盡快拿出方案解決,以維護(hù)產(chǎn)品和系統(tǒng)的安全。

手機(jī)上的漏洞

在今年的黑帽大會(huì)上,手機(jī)軟件漏洞引起了大家高度的關(guān)注。安全機(jī)構(gòu)分析師查理·米勒(Charlie Miller)在大會(huì)上提出了這一只存在于手機(jī)特定軟件上的漏洞。黑客掌握的技術(shù)可以繞過(guò)GSM運(yùn)營(yíng)商向存在漏洞的手機(jī)設(shè)備發(fā)送含有惡意代碼的短消息或是多媒體消息,從而完全控制接收消息的手機(jī)。米勒指出,iPhone、Android和 Windows 手機(jī)都存在這一漏洞。

人們對(duì)手機(jī)的信任要大于對(duì)郵件等其他方式的信任。這類攻擊可以仿冒電信運(yùn)營(yíng)商或銀行向用戶發(fā)送多媒體消息。若收信者信以為真,接受這些仿冒信息的命令,就可能讓攻擊者有機(jī)會(huì)在幕后搞鬼,例如把原本通過(guò)電信運(yùn)營(yíng)商服務(wù)器傳輸?shù)幕ヂ?lián)網(wǎng)電話,改成通過(guò)黑客的服務(wù)器接通,這樣攻擊者就能監(jiān)聽(tīng)通話的內(nèi)容。

“這類攻擊適用于任一種支持多媒體消息功能,并且在GSM網(wǎng)絡(luò)上運(yùn)行的手機(jī)。”iSEC Partners資深顧問(wèn)Zane Lackey與獨(dú)立研究員Luis Miras說(shuō)。Luis Miras 還表示,除了對(duì)SMS短信提高警覺(jué)外,一般手機(jī)用戶對(duì)防治這類攻擊能做的很有限。所以,這就需要GSM運(yùn)營(yíng)商和手機(jī)廠商共同來(lái)彌補(bǔ)這一漏洞。

對(duì)于這類利用漏洞發(fā)起的攻擊,運(yùn)營(yíng)公司和手機(jī)廠商要及時(shí)對(duì)外發(fā)布彌補(bǔ)漏洞的補(bǔ)丁。Lackey和Miras已經(jīng)將這一發(fā)現(xiàn)通知了運(yùn)營(yíng)商,而且運(yùn)營(yíng)商也已經(jīng)聯(lián)系了GSM聯(lián)盟,并把這個(gè)問(wèn)題告訴聯(lián)盟的會(huì)員。各手機(jī)廠商也正在積極查找手機(jī)系統(tǒng)存在的問(wèn)題。Google在數(shù)周前修復(fù)了此漏洞,蘋(píng)果公司也在漏洞披露不到24小時(shí)內(nèi),發(fā)布了升級(jí)軟件iPhone OS 3.0.1,這一更新解決了手機(jī)易受攻擊的問(wèn)題。

微軟的自我解構(gòu)

微軟在2009年4月的安全情報(bào)報(bào)告中指出,針對(duì)Office文檔的91.3%的攻擊都是利用了Office軟件中的一個(gè)重要漏洞。所以微軟在這次黑帽大會(huì)上把更多的焦點(diǎn)放在了他們的安全資源上,并發(fā)布了針對(duì)Office二進(jìn)制文件格式的圖形化視圖安全工具M(jìn)icrosoft Office Visualization Tool(OffVis)。

微軟信息安全專家聲稱該工具不僅可以幫助安全研究人員理解針對(duì)Office文件的攻擊,為新發(fā)現(xiàn)的漏洞開(kāi)發(fā)保護(hù)措施,還可以幫助計(jì)算機(jī)專業(yè)人士增強(qiáng)Office二進(jìn)制文件的免疫力。

OffVis的發(fā)布,受到很多信息安全廠商的歡迎,而且目前正在通過(guò)Microsoft Active Protections Program (MAPP)進(jìn)行測(cè)試。這種免費(fèi)工具提供了對(duì)文件格式的查看方式,使廠商可以通過(guò)識(shí)別攻擊者注入的惡意代碼實(shí)現(xiàn)對(duì)基于Word、Excel和PPT文檔的攻擊進(jìn)行解構(gòu)。

微軟安全響應(yīng)中心負(fù)責(zé)人Andrew Cushman表示,從本質(zhì)上來(lái)說(shuō),這是一場(chǎng)攻擊者與保護(hù)者之間的競(jìng)賽。這一項(xiàng)目將提前告知軟件提供商相關(guān)的技術(shù)細(xì)節(jié),從而免去了廠商們分析補(bǔ)丁,查找漏洞的麻煩。

為了解決數(shù)據(jù)量過(guò)大的問(wèn)題,微軟還發(fā)布了微軟安全更新指南(Microsoft Security Update Guide)。該指南列出了微軟安全更新的過(guò)程,可以幫助用戶更好地評(píng)估風(fēng)險(xiǎn)并優(yōu)先配置更新。Andrew Cushman 說(shuō):“這份指南包含了微軟提供的工具以及最佳實(shí)踐,還引入了信息安全架構(gòu)。這樣,IT安全專家就可以評(píng)估自己企業(yè)的策略和程序了?！?/p>