扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
这年头,花费 2095美金去听一场会议该算是件奢逸的事情了。相比Defcon(全球两大公开黑客集会之一,另一个是Black Hat) 只要 120美金的注册费用,Black Hat被称为目前世界上最贵的黑客大会并不夸张。虽说经济危机的阴霾还未散去,但是Black Hat DC 2009(黑帽安全大会)还是如期于7月25~30日在美国拉斯维加斯如火如荼地举行了。
SSL黑影
本次大会分为培训(Training,7月25~28日)和简报(Briefing,7月29~30日)两部分。思科、RSA、微软、Qualys、IOActive众多安全厂商以及独立安全研究人员都在会上发表了自己最新的研究成果。而今年,最为引人瞩目的当属SSL(安全套接层协议层)所面临的威胁。
继2007年的Side Jacking攻击和2008年的CA证书伪造之后,今年大会上一位叫Moxie Marlinspike的安全研究人员演示了最新的SSL弱点,即网站用来防止密码、信用卡号以及其他敏感信息在传输过程中被窃听的加密例程。这使得人们对SSL的安全问题大为惊呼,据观看过此演示的Black Hat和Defcon大会创始人,现任美国国土安全部顾问的Jeff Moss称,该攻击非常新颖,并且很酷。
安全问题研究专家Len Sassaman (左) and Dan Kaminsky (右) 正在讨论SSL 协议的弱点
Marlinspike表示,他发明的这种欺骗攻击工具SSLstrip之所以能够成功运行,是因为使用SSL的大多数网站通常首先为访问者提供一个未加密的页面,只有开始传输敏感信息部分时才开始提供加密保护。举例来说,当一个用户点击一个登录页面时,SSLStrip会修改网站未加密的响应,使“HTTPS”悄悄变成“HTTP”,同时甚至可以在浏览器地址栏中显示HTTPS的安全锁Logo。所以,用户会一直以为连接是受加密保护的。
国内一个网名叫hurricane_81的黑客技术圈人士表示,SSLStrip的这个攻击策略确实很巧妙,主要是利用了用户的疏忽,“因为大部分网站提供的SSL服务页面都是由一个未加密的页面跳转过去的,而一般的用户并不会去观察标题栏的细微变化。”
为了让用户相信自己正在使用一个加密的连接跟预期的站点通信,SSLstrip利用了一些现成的诡计:首先,此工具在局域网上使用了一个包含有效SSL证书的代理,使得浏览器会在地址栏显示一个“https”。其次,它使用homographic技术创建一个长的URL,在地址中包含了一系列伪造的斜杠。(为防止浏览器将这些字符转换成Punycode,他必须获得一个用于*.ijjk.cn的通配 SSL 数字证书)。
“可怕的是伪装之后的网站看来非常像https://gmail.com ,”Marlinspike举例说,“问题在于http和https之间的桥接,而这是SSL在web中部署方式的基础部分。但很显然,要想改变这些绝非易事。”
目前,Marlinspike已经成功将该攻击应用于使用Firefox和Safari浏览器的用户身上,虽然他还没有在IE上做实验,但Marlinspike有足够的理由相信即使安全谨慎的用户也不会将时间花在确保他们的会话被加密等这些小事情上。为了证明他的论点,他在托管于Tor网络中的一个服务器上运行了SSLstrip,在一天时间内,他收集到了访问Yahoo、Gmail、Ticketmaster、PayPal和LinkedIn等站点的254个用户密码。 虽然SSLstrip没有使用代理功能欺骗他们使其以为他们正在访问一个安全的站点,但是还是有许多用户上当了。而最为令人担忧的是,即便地址栏中没有显示关键的“https”,这些用户还是毫不犹豫的输入了他们的密码。Marlinspike说,他马上就擦除了所有这些个人身份信息。
黑帽大会创始人Jeff Moss 出现在著名安全专家Dan Kaminsky关于SSL安全问题的新闻发布会上
此次演示的攻击可能会引起诸如Mozilla、微软和VeriSign等公司的极大不安,尽管这些公司的工程师已经竭力去使用各种方法来提高SSL的可靠性。如微软就表示正在调查这个漏洞,而生产Firefox的Mozilla公司则称最新版本的浏览器已将漏洞修补,其他版本浏览器的防漏洞补丁将在几日内发布。
而作为最大SSL安全证书生产商之一,美国VeriSign公司声称自己的安全证书不易受黑客攻击。公司产品市场经理Tim Karen表示,黑客无法攻击增强型SSL(EVSSL)安全证书,它采用更为严格验证方式,当然价钱也会更贵。但有些专家却不赞同这一观点,他们称EVSSL也无法保护那些每次登陆时都无暇顾及浏览器地址栏的用户。即使用户这样做了,但是还是有一些站点懒得在登录页面中使用https,所以这样的情况下,危险依然存在。
美国一些安全专家称,对于用户来说,最简单的防御措施就是在浏览器中输入完整的https地址,或者将它们存为一个书签,这样即使SSLstrip这样的工具也没有机会来修改网站的未加密的链接了。而中国的一些专家则认为,比较可行的办法,就是通过使用数字证书或DKEY认证,这样就保证即使SSLStrip在建立起了明文连接后,也无法进行透明代理。此时SSLStrip不能获取数字证书,无法进行正常的身份认证,因此就能避免SSLStrip的攻击。目前国内各大银行提供的网上银行均采用这类认证方式。
SSL专家Jon Miller预计未来几个月这种新式黑客攻击会展开,利用伪造网站骗取用户机密的犯罪也会随之增多。而曾在2002演示了一个单独的https爆破工具SSLSniff的Marlinspike说,对于此漏洞目前还没有行之有效的修补方法,并且将来还会看到更多新型的利用方法。他表示,加密一切才是根本的解决之道。
巨人的烦恼
都说树大招风,历年来,思科、微软、苹果等IT巨头经常是Black Hat议题中主要攻击的对象。由于思科路由器在目前的网络设备市场上依然占据大多数的份额,所以很显然黑客们能在征服这个“巨人”的过程中得到更多的快感。
三年前,安全专家Mike Lynn就曾因发现过思科路由器的一个漏洞而成为2005年黑帽大会的焦点人物。他本人虽然在思科施加的压力下丢掉了饭碗,不过很快就被思科的竞争对手Juniper聘用了去。于是,发现思科路由器漏洞的工作转入地下,所发现的漏洞也开始标价出售,比如Lynn发现的漏洞就值25万美元。如今,思科已经意识到,仅仅靠施压是没有用的,所以开始参与赞助黑帽大会。
其实,思科的路由器却并不像微软的Windows那样容易被攻击。它们不为黑客们所熟悉,而且每台路由器都有很多复杂的配置,对其中一台的成功攻击转移到另一台上就有可能不成功。另一个差别是,思科路由器的管理员不会经常下载并运行软件。欧洲一家数据服务厂商COLT Telecom负责网络设计与安全的高级经理Nicolas Fischbach说,近年来,思科也做了大量的工作,以减少来自网络的针对其路由器发起的攻击数量。“简而言之,拿来一种技术就能轻易攻击网络服务的时代真的过去了,”他说,配置完好的路由器被来自企业网络之外的黑客攻击的风险“实际上是很低的。”
展览间隙,StillSecure公司职员们在似乎在愉快地练习瑜伽球技术
但是这似乎并未阻止安全研究人员去取得最新“成果”。
今年,安全研究员Felix Lindner提出了黑客攻击思科IOS(思科网络操作系统)的方法。通过利用路由器的基本内部代码,攻击者可以执行任意代码,并获取关键系统的访问权限。Lindner说路由器操作系统在很大程度上是基于Unix架构的,而且如果黑客知道控制代码的正确方法就很容易利用它。
但思科中国产品业务发展部总监倪殿令表示,理论上,任何软件都有被攻陷的可能性。但在思科的自防御网络(SDN)架构中,网络中的每个组件都作为一个防御点——路由器、交换机、设备和终端均采用了安全功能,包括防火墙、虚拟专用网、信任和身份功能,以及入侵防御系统(IPS)等,所有组件通过集成和配合工作,提供了一个统一协作的安全防御系统,也就是说,提供了一种主动防御的方式来保证用户的安全。并且,思科通过“云火墙”提供了一种动态的保护,可以随时更新新的攻击特征库,从而实现应用的安全保证。
Lindner也承认,攻击者没有大量利用路由器漏洞的理由之一是对设备中包含的漏洞的了解不多,而且公布的研究成果也不多。他表示,去年思科修复了IOS的 14个漏洞。在它的企业网络厂商竞争对手中,Juniper只报告了内存泄露和OpenSSL问题,而Nortel Networks Corp.提供的信息更少。
展会观众们可以获得充足的资料,很多都是由参会的作者们撰写的
相比而言,今年的微软可谓是“聪明”了很多。就在Black Hat召开前夕,微软表示,公司已经拥有三套程序和工具来协助安全社区抵御在线威胁。
其实早在去年,微软就已经开始着手几个新安全项目,比如可以对软件漏洞被袭击可能性发出预警的Exploitability Index。微软称它去年对140个不同的威胁进行了评估,准确性达99%。微软的安全高管Andrew Cushman表示,这样的工具可以帮助业界同行携手建立更复杂的防御系统。
此外,微软去年发布的“主动保护计划(Microsoft Active Protections Program)”现在已经拥有了47个全球合作伙伴。在微软公开披露漏洞之前,这些合作伙伴就可以提前得到通知。合作伙伴之一网络安全机构Sourcefire表示,得益于这一计划,它现在可以在两小时内完成之前耗时八小时的工作:针对特定漏洞开发一个侦测软件。
今年,微软还发布了《安全更新指南》,它可以从战略和微观层面帮助用户更好地评估风险。微软还提供更多的信息,以帮助管理人员计算安保费用,瓦解针对微软Office的相关攻击。
当然,最为主要的是,微软还赶在大会之前发布了两个紧急的非常规更新,修复了Active Template Library(模板库)中影响IE和Visual Studio的漏洞。
让安全随需而动
“让用户支配企业的安全需要”——这一独到的观点是前谷歌工程部副总裁Douglas Merrill在进行开幕主题演讲时所提出的。
Merrill用了一个生动的例子来阐释他的观点:如果在高校校园里修一条人行道来比喻对安全架构的看法。他认为,校园管理规划人员修好人行道,并在人行道外铺上草坪。但6个月过去了,他们会发现草坪上有人为踩踏穿行的痕迹,因此,管理人员会用金属链拦住草坪,以令学生只在人行道上走。如果学生还是坚持要在草坪上穿行,他们会在草坪上放置花盆以求一劳永逸地阻止此类行为。
在思科名为“ Defenders Of The Realm"最新的市场宣传活动中,超级英雄们通过防止各种恶意攻击来护卫着网络
而同样的情况也出现在企业的安全管理上。公司们试图通过限制使用即时通讯,以及强制用代理使用Gmail来控制员工。Merrill还引用了他曾经身为首席运营官的经验:Exchange让他感到沮丧,他指责经典企业软件对用户并不友好。“员工在工作中需要更好的工具,”Merrill说,“他们正试图利用最先进的技术。”在他看来,最好的技术往往可以在消费类软件中发现。
他说,20年前,每个人都希望用企业软件工作,今天,有更好更具用户友好性的工具,如即时消息。安全管理人员不要忙于与员工的需要做斗争,而是应努力确保他们所使用的网络的安全。
还有一个好办法可以解决学校人行道的问题:先不修人行道,只种草,让学生可以随意到处行走,然后6个月后,在由学生自己踩出的道路上修上人行道。Merrill认为,这对安全管理应该同样有效:即用户应主导安全发展。
Merrill认为这种观点并非是给目前的价值达10亿美元的安全产业抛出了一个威胁,而是一种折中观点。他说:“我相信,安全公司将从创建基础设施界限到基础设施弹性方面都会做出改变。如果我们能够建立正确的安全措施,我们做事会更方便,而不是更辛苦。
SIEM(安全信息事件管理)厂商市场人员在鼓动参会者们见证"Ultimate SIEM Smackdown" 现场演示
当然,技术再好的黑客也不能保证自己可以永远安全。就在本次大会前夕,一群安全专家与组织的网站遭到黑客入侵,包括网站登入密码、电子邮件、即时通信聊天纪录等信息全被上传到网上。
黑客如何入侵这些人士的网站,目前不得而知,但几个遭到攻击的博客是架设在WordPress上,而有人指出该软件潜在安全漏洞。回应网站遭到入侵事件,黑客Kaminsky一笑置之:这只是为了戏剧效果罢了。但很明显,黑客们都认同在公共的服务器上,是不宜存放任何私密信息的。
不过,征服与被征服,挑战与被挑战,这可能才是最为吸引他们的。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者