【51CTO.com 獨家特稿】本周（090216至090222）安全領(lǐng)域值得關(guān)注的要聞較多。黑客圈子里知名的會議黑帽大會本周在美國華盛頓舉行，會上發(fā)布了相當多有代表性的新漏洞、攻擊手法和技術(shù)，本期回顧將介紹并分析其中幾個有意思的新聞。

移動安全方面，本周安全廠商McAfee發(fā)布的2009移動安全報告值得關(guān)注，該報告所包含的內(nèi)容也在一定程度上說明了安全業(yè)界對未來一段時間移動安全走勢的看法。在本期回顧的最后，筆者將向朋友們介紹安全市場上的兩個新產(chǎn)品，并送上一篇值得朋友們一讀的推薦閱讀文章。

本周的信息安全威脅等級為中，目前互聯(lián)網(wǎng)上針對各主要軟件廠商產(chǎn)品漏洞發(fā)起的攻擊行為仍較為頻繁，用戶應(yīng)及時從廠商網(wǎng)站獲取已安裝軟件的最新版本或安全更新，同時不要打開來源不明的文件。

黑帽會議綜述：場面熱鬧但創(chuàng)新技術(shù)不多；關(guān)注指數(shù)：高

每年舉辦幾次的黑帽會議是黑客圈中難得的盛事，本周在美國華盛頓舉行的今年第一次黑帽會議就吸引了公眾的廣泛關(guān)注。本次黑帽大會上來自世界各地的研究人員發(fā)表各自的最新研究成果，內(nèi)容涵蓋了最新的安全漏洞、攻擊手段和技術(shù)，從選題上來看，針對的主要是去年安全業(yè)界關(guān)注較多的Web 2.0、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用等熱門領(lǐng)域。

雖然看起來挺熱鬧，但更多是去年一些概念性技術(shù)或理念的進一步發(fā)展，并沒有出現(xiàn)太多創(chuàng)新的或趨勢性的新攻擊技術(shù)，本次黑帽大會上還有另外一個挺有意思的特點，如越南、意大利等小國家的安全研究人員也開始在黑帽大會上發(fā)言，顯示了小國家在信息安全和黑客技術(shù)領(lǐng)域的發(fā)展同樣有其獨到之處。下面我們來了解一下本次黑帽大會上公開的幾個比較有特點的技術(shù)：

1） 用XSS構(gòu)建匿名瀏覽網(wǎng)絡(luò)：跨站腳本攻擊XSS漏洞，通常被黑客用于在知名的站點尤其是電子商務(wù)或在線金融站點上竊取用戶的賬號密碼，或是用于通過外部網(wǎng)站向用戶的系統(tǒng)中植入惡意軟件。

本次黑帽大會上有研究人員提到，XSS也能用于構(gòu)建匿名的瀏覽網(wǎng)絡(luò)，從而用于隱藏攻擊者的痕跡——實際上該技術(shù)也可以認為是XSS用于植入惡意軟件這種攻擊手法的擴展，黑客通過XSS來向目標用戶的瀏覽器惡意代碼，指令目標用戶的瀏覽器瀏覽特定的網(wǎng)站并將該網(wǎng)站的數(shù)據(jù)返回到黑客指定的第二個網(wǎng)站上，從而使黑客能夠通過目標用戶的瀏覽器訪問到特定的網(wǎng)站，同時不留下訪問痕跡，不過這種技術(shù)存在不能正常處理非文本信息的缺陷。

筆者覺得，這種技術(shù)有可能發(fā)展成XSS與系統(tǒng)漏洞利用程序相結(jié)合，并在用戶的系統(tǒng)上植入能夠完成代理功能的惡意軟件，最終通過眾多受害者的系統(tǒng)組成代理網(wǎng)絡(luò)，供黑客實施攻擊之用。

2） 不可靠的臉部識別驗證方法：用戶只需在攝像頭前露一下臉，系統(tǒng)就會自動確認是否用戶身份，而無需用戶再輸入密碼，這種臉部識別技術(shù)聽起來相當?shù)膹?，市場上也有?shù)個廠商已經(jīng)開始推廣使用這種臉部識別技術(shù)的筆記本計算機。

但這種生物識別方法不見得是很安全，在本次黑帽大會上來自越南的安全研究人員提出，目前在聯(lián)想、東芝和華碩三計算機廠商的筆記本計算機產(chǎn)品上使用的臉部識別技術(shù)并不可靠，很容易通過特定的技術(shù)繞過其保護直接訪問用戶的計算機。

研究人員稱，臉部識別技術(shù)最大的缺陷在于，無法識別照片和用戶真人之間的區(qū)別，在使用低分辨率的攝像頭時該問題更加嚴重。黑客只需要獲得用戶的多張照片，就能通過這些照片計算出用戶的臉部特征并制作成足以通過臉部識別保護的數(shù)碼照片。

筆者認為，該研究人員提到的問題確實存在，就目前的臉部識別技術(shù)的準確率來看，筆記本計算機上通過內(nèi)置攝像頭實現(xiàn)臉部識別并不實用，會給用戶帶來相當大的潛在風險。如果廠商是打算為用戶提供低成本的生物特征識別技術(shù)，其實還不如采用密碼加用戶擊鍵習慣進行生物特征驗證的雙重驗證方式，這樣安全性會提高很多。

3） SSL/TLS中間人攻擊：傳統(tǒng)的SSL/TLS中間人攻擊方法，都是利用了SSL/TLS本身加密算法上的缺陷或者通過調(diào)換加密證書的方式，來達到黑客獲取用戶賬號密碼的目的。

但研究人員在本次黑帽大會上發(fā)布的新SSL中間人攻擊方式卻采取了另外的途徑，黑客通過TOR代理網(wǎng)絡(luò)劫持等方式攔截用戶的通訊之后，通過一個名為SSLstrip的程序?qū)⒂脩襞c真實網(wǎng)站的加密連接轉(zhuǎn)換成普通HTTP連接，并通過偽造安全圖標等方式，讓用戶相信自己正在安全的瀏覽真實站點，實際上黑客已經(jīng)可以通過嗅探的方法來獲得用戶的賬號密碼。

用戶要防御這種攻擊手段其實并不困難，只要盡量不要在不安全的地點或通過不安全的網(wǎng)絡(luò)連接（包括各種代理），訪問電子商務(wù)或網(wǎng)絡(luò)金融類站點即可。

移動安全：移動安全仍不容樂觀；關(guān)注指數(shù)：高

本周安全廠商McAfee發(fā)布了最新的2009移動安全報告，該報告總結(jié)了從2006年開始到2008年底，移動設(shè)備的技術(shù)發(fā)展和其面臨的安全威脅，并預(yù)測了在未來一段時間內(nèi)用戶將可能面臨的移動安全相關(guān)問題。

盡管安全業(yè)界通常將傳統(tǒng)的智能手機Blackberry、Iphone和SmartPhone，以及正在快速發(fā)展的移動計算、內(nèi)建3G功能的上網(wǎng)本和Intenet tablet等設(shè)備歸類到移動設(shè)備，但在本報告中， McAfee并沒有定義移動設(shè)備是什么，報告也更為關(guān)注于SmartPhone。報告顯示，網(wǎng)絡(luò)和服務(wù)商問題、病毒感染、語音和文字垃圾短信、第三方應(yīng)用、用戶數(shù)據(jù)丟失、網(wǎng)絡(luò)釣魚攻擊、隱私問題和拒絕服務(wù)攻擊仍是移動設(shè)備用戶面臨的主要安全威脅，攻擊的發(fā)生頻度也在近兩年有跨越式的發(fā)展。

除此之外，本次報告還首次對移動設(shè)備廠商進行了調(diào)查，結(jié)果顯示大多數(shù)的移動設(shè)備廠商都已經(jīng)意識到，安全問題已經(jīng)對他們的業(yè)務(wù)產(chǎn)生至關(guān)重要的影響，并贊同對移動設(shè)備售出后的軟件更新和修正會明顯影響業(yè)務(wù)這一觀點，另外，移動設(shè)備廠商對用戶的移動支付、軟件安裝和無線/藍牙連接性三個方面所存在的安全威脅較為關(guān)注。

筆者認為，從廠商的反應(yīng)來看，移動設(shè)備安全的重要性已經(jīng)成為業(yè)界的共識，但大多數(shù)的移動設(shè)備廠商并不了解要如何為移動設(shè)備提供安全解決方案，針對移動設(shè)備的售后安全服務(wù)也基本是空白，顯然安全業(yè)界與移動設(shè)備廠商仍需要建立更緊密的協(xié)作關(guān)系。

推薦工具：

1） Dshield Web Honeypot：SQL注入、XSS、密碼拆解等攻擊手段是互聯(lián)網(wǎng)網(wǎng)站經(jīng)常面臨的威脅，然而因為傳統(tǒng)的IDS和防火墻并不能檢查來自Web上的攻擊數(shù)據(jù)，網(wǎng)站管理員很難及時發(fā)現(xiàn)攻擊行動的存在，往往在黑客攻擊成功乃至很長時間之后，才發(fā)現(xiàn)已經(jīng)遭受攻擊。Dshield是一個開源的Web 攻擊蜜罐，它能夠通過日志分析及時發(fā)現(xiàn)黑客的攻擊嘗試并向管理員發(fā)出警告，安裝和維護也較為簡單，朋友們可以在以下的連接中找到它。
http://sites.google.com/site/webhoneypotsite/

2） 趨勢推出運行在路由器上的反病毒軟件：趨勢科技日本公司本周推出了能夠運行在Cisco Linksys特定型號家用路由器上的反病毒軟件，能夠在數(shù)據(jù)進入用戶網(wǎng)絡(luò)前進行前期的安全掃描，為用戶網(wǎng)絡(luò)安全增添一層安全保障。該產(chǎn)品也是世界上首個運行在路由器上的安全解決方案，雖然目前尚無法評價其實際效果，但其設(shè)計理念非常值得其他安全廠商借鑒。

推薦閱讀：

1） 5步實施PCI策略；推薦指數(shù)：高
對許多需要處理在線支付的電子商務(wù)企業(yè)來說，實施支付卡安全行業(yè)標準（PCI）并不是一件很容易的事情，即使是實力雄厚的大型電子商務(wù)企業(yè)，也已經(jīng)發(fā)生過多起因為不滿足PCI導(dǎo)致的起訴和罰款事件。

eWeek.com文章《5步實施PCI策略》通過將PCI策略的整個實施過程劃分為5個階段，并為用戶提供了多個簡單易行的建議，推薦電子商務(wù)行業(yè)的朋友都來了解一下。

文章的地址如下：
http://www.eweek.com/c/a/Security/How-to-Achieve-Payment-Card-Industry-Compliance-5-Simple-Steps/?kc=rss

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【相關(guān)文章】

• 更多安全要聞