安全危机:挑战CSO的新类型攻击向量

ZDNet安全频道原创翻译 转载请注明作者以及出处

作者：保罗·马胡

象IT领域的普通技术一样，安全技术也是处于不断变化发展的情况中。在一夜之间就可能出现强大的新黑客，让管理和安全人员忙于修补系统或减轻面临的新威胁。在本文中，我将向大家介绍几种潜在的新类型攻击向量。
--------------------------------------------------------------------------------------------

我很关注网络安全发展的最新情况，一些攻击向量经常在我的脑海中浮现出来。一些人可能会认为bleeding-edge、proof-of-concepts这样的情况永远不会导致实际攻击的发生。不过，象rootkits和完全自我传播的病毒—我们现在知道了蠕虫病毒—最早也仅仅是概念而已。

虚拟威胁

在基于虚拟机的一起攻击中，主机操作系统可能会被基于虚拟环境中的一个代码执行所破坏。由于虚拟机是存在危险因素的，这样就会出现完美的中间人攻击。此外，基于非双因素认证的身份验证与远程控制系统都不能防范这种攻击。

至于我所知，现有的任何黑客工具，目前都没有利用到虚拟机技术。但是，随着虚拟机技术逐步进入主流领域，日益复杂的系统管理程序（Hypervisor）技术可能会改变这种情况。实际上，在最近VMware公司就宣布，作为对微软推出Hyper-V技术的直接回应，其ESXi hypervisor软件将免费发布。黑客利用现有的程序代码来建立属于自己的“蓝色药丸（blue pill）”类型恶意软件的可能性是不能被否认的。

值得庆幸的是，关于虚拟环境中的检测已经有人做了大量的工作（PDF格式的文件在这里下载）。并且一个基于思科网际操作系统的解决方案提供了新的根工具包可以对这样的威胁进行分析，不局限于计算平台。

还必须指出的是，利用虚拟机技术供应商提供的免费迁移工具，一个心怀不满的工作人员可以轻松地利用物理连接进入系统中。虽然这仅仅是在可能的情况下，但这样做面临的技术壁垒却是从来没有如此之低。

当然，这是一个需要留意的领域。

冷引导攻击

今年的早些时候，一个来自美国普林斯顿大学的研究团队展示了称之为“冷引导”的对于加密密钥的攻击。这次攻击的目标是存储在随机存取存储器（RAM）里的向量数据，由于这里面的数据不是在断电后立即消失，而是在几秒甚至分钟的数量级的时间内才会慢慢消失，甚至在随机存取存储器被拔出主板后数据也还是有可能存在。

该研究团队演示了如何拷贝保存在双内置记忆体模组（DIMM）中的一个经过一百二十八位高级加密标准加密的密钥的过程，不需要任何定制的硬件或工具就可以将密钥轻松复制出来。

关于冷引导攻击存在着一个相当宏伟的计划。如何对来自BitLocker、FileVault和TrueCrypt等厂商的加密磁盘进行攻击，已经开始被考虑了，其实，只要从系统内存读出它们的密钥就可以了。事实上，研究人员已经能够在二十五分钟内破解一个BitLocker加密的采用通用串行总线接口的外置驱动器

有人可能会争辩说偷窃“活动”的系统不是什么简单的事情。然而，这会引出了一个相关的问题，在休眠模式下的系统是否被考虑到以及为了更快的开始笔记本计算机用户使用此功能的情况是什么样的。你可以找到研究论文，以及一份解释性视频和源代码（点击这里下载）。

基于芯片的攻击

安全研究员和作者克里斯·卡巴斯基计划演示如何仅仅利用JavaScript或传输控制协议/网间协议（TCP/IP）数据包处理漏洞就对远程计算机进行攻击。这个实验非常可怕的重要原因是，无论目标计算机的操作系统是否正在运行，这些攻击都有可能成功。

在十月份吉隆坡举行的HITB安全会议上，还将演示如何对操作系统进行完全修补。在这里说的操作系统包含了各种版本的Windows操作系统、Linux操作系统的不同变种、BSD操作系统，甚至有可能包括苹果机的操作系统。

对于这些新兴的安全威胁你有什么想法？在这些新类型攻击向量中，你最关心的是哪一类？