黑帽大會：HTTPS和SSL存在安全漏洞

黑帽大會：HTTPS和SSL存在安全漏洞HTTPS（安全HTTP）和SSL/TLS（安全套接層/傳輸層安全）協(xié)議是Web安全和可信電子商務(wù)的核心，但Web應(yīng)用安全專家Robert"RSnake"Hansen和JoshSokol在昨天的黑帽大會上宣布，Web瀏覽器的基礎(chǔ)架構(gòu)中存在24個危險程度不同的安全漏洞。這些漏洞基本上使HTTPS和SSL能夠提供的瀏覽器保護(hù)蕩然無存。HTTPS對HTTP協(xié)議進(jìn)行了加密，以保護(hù)用戶的頁面請求和Web服務(wù)器返回的頁面不被竊聽。SSL及后來的TLS協(xié)議允許HTTPS利用公鑰加密驗(yàn)證Web客戶端和服務(wù)器。Hansen和Sokol指出，攻擊者要利用這些漏洞，首先需要發(fā)起中間人攻擊。攻擊者一旦劫持了瀏覽器會話，就可以利用這些漏洞中的大多數(shù)對會話進(jìn)行重定向，從而竊取用戶憑據(jù)或者從遠(yuǎn)程秘密執(zhí)行代碼。然而，兩位研究人員強(qiáng)調(diào)，中間人攻擊并不是攻擊者的終極目的。Hansen指出，“利用中間人攻擊，攻擊者還可以實(shí)現(xiàn)許多更加容易的攻擊。你不得不'執(zhí)行'中間人攻擊，并被迫成為一個十分堅(jiān)定的攻擊者……然而，這還不是最壞的情況。對于電子商務(wù)應(yīng)用來說，這些攻擊簡直是毀滅性的災(zāi)難。”實(shí)際上，Hansen懷疑HTTPS和SSL/TLS中可能有數(shù)百個安全問題有待發(fā)現(xiàn)。他說，由于要準(zhǔn)備這次黑帽大會的演講，他們還沒來得及對此進(jìn)行深入研究。中間人攻擊并不是什么新技術(shù)。由于各種原因，攻擊者可以設(shè)法在一個瀏覽器會話過程中的多個時刻加入會話。一些攻擊者能夠使用包括MD5沖突在內(nèi)的各種方法偽造或竊取SSL證書。由于在會話到達(dá)認(rèn)證協(xié)商的加密端口之前，SSL協(xié)議是采用明文傳輸DNS和HTTP請求的，所以攻擊者還可以在這些步驟中的任一時刻劫持會話。另外，攻擊者還能夠利用中間人攻擊修改HTTPS鏈接，將用戶重定向到惡意HTTP網(wǎng)站。對任何攻擊者來說，重復(fù)Hansen和Sokol所說的工作并不容易，它需要耐心和資源。兩位專家強(qiáng)調(diào)，中間人攻擊得逞之后，攻擊者可能發(fā)動兩種高度危險的攻擊。第一種是cookie篡改（cookiepoisoning）攻擊，即攻擊者利用瀏覽器在用戶會話期間不更改cookie的情況，將同一個cookie反復(fù)標(biāo)記為有效狀態(tài)。如果攻擊者能夠提前劫持來自網(wǎng)站的cookie，然后再將其植入用戶的瀏覽器中，則當(dāng)用戶的認(rèn)證信息到達(dá)HTTPS站點(diǎn)時，攻擊者就能夠獲得用戶憑據(jù)并以用戶身份登錄。第二種是重定向攻擊。許多銀行網(wǎng)站會將用戶的會話從一個HTTP站點(diǎn)重定向到一個HTTPS站點(diǎn)，該會話通常是在另一個瀏覽器選項(xiàng)卡中打開，而不是在一個新的瀏覽器窗口中打開。由于攻擊者仍然控制著舊的選項(xiàng)卡，所以攻擊者可以在URL中注入Javascript腳本并修改新選項(xiàng)卡的行為。受攻擊者可能會下載可執(zhí)行文件，或者被重定向到一個惡意登錄頁面。Hansen和Sokol解釋說，利用針對SSLWeb瀏覽器會話的攻擊，攻擊者可以觀察和計(jì)算用戶在一個網(wǎng)站的特定頁面上停留的時間。這可能會泄漏處理數(shù)據(jù)的頁面。此時，攻擊者可以在該網(wǎng)頁上采用相關(guān)技術(shù)強(qiáng)迫用戶退出登錄并重新進(jìn)行身份認(rèn)證，從而獲得用戶憑據(jù)。Hansen指出，“有必要對SSL進(jìn)行修改，比如添加填充和抖動代碼”。他解釋說，通過在Web請求中添加無意義的編碼，可以延長攻擊者完成攻擊的時間，也許足以阻止攻擊者采取進(jìn)一步的行動。他說，“要避免此類攻擊，必須采取適當(dāng)?shù)倪x項(xiàng)卡隔離和沙箱技術(shù)。安全專家也許能夠避免此類情況的發(fā)生，但普通用戶卻不得不面臨這種威脅。我們真的很難阻止這種攻擊，我不知道有沒有簡單的辦法可以解決這個問題?！钡谝粋€在美國“黑帽大會”演講的中國人/2010-08-0919:55來源：中關(guān)村在線網(wǎng)友評論(0)上周五，在美國拉斯維加舉行的“黑帽子”大會正式結(jié)束，范淵從會場出來，匆忙趕飛機(jī)去他的母校加州州立大學(xué)，他要拜會幾位老朋友，一起聊聊黑客話題。2003年，范淵首次獲邀參加世界黑客的頂級盛會“黑帽子”大會，他見到了曾經(jīng)的偶像，“黑帽子”大會的創(chuàng)立者杰夫？莫斯。后來，他們成了朋友。2005年，范淵獲邀在當(dāng)年的黑帽子大會上作演講，和全世界的黑客分享他對于網(wǎng)絡(luò)安全的理解。將公司總部設(shè)在休閑之都杭州的范淵卻沒有太多時間享受這個城市的安逸，他總是在路上，或者在網(wǎng)上，和那些利令智昏的黑客過招。他總是說，自己其實(shí)是個白客。史上規(guī)模最大的黑客聚會7月28日至8月1日，兩大黑客盛事一一“黑帽子”大會和“黑客大會”，在美國拉斯維加斯先后舉行。前者已成為專業(yè)人士交流與黑客攻擊相關(guān)研究成果的平臺，后者更像是各路黑客展示“絕技”的比武盛會。與“黑客大會”相比，“黑帽子”大會顯得較為正式，議程表上排滿了專業(yè)人士的發(fā)言。議題包括針對銀行等機(jī)構(gòu)的黑客行為。據(jù)了解，“黑帽子”大會參加者來自企業(yè)、政府和學(xué)術(shù)界等各個領(lǐng)域。范淵告訴記者，兩大盛會的創(chuàng)始者、老牌黑客莫斯說：“今年將繼續(xù)關(guān)注網(wǎng)絡(luò)運(yùn)作方式和如何對它發(fā)起攻擊?！蓖瑫r，今年很多黑客不約而同地將關(guān)注的焦點(diǎn)放在了對于手機(jī)的攻擊上。范淵說，和以前的幾次“黑帽子”大會相比，今年的大會主要有兩個區(qū)別，一是規(guī)模非常大，到會的黑客有2000多人，堪稱史上規(guī)模最大的黑客聚會。這些黑客來自全世界不同的國家，有著各自不同的職業(yè)和興趣，但是他們都有同樣的一個身份一一黑客，無論是兼職還是專業(yè)?！安贿^，來自中國的黑客還是非常少，幾乎都是老面孔。”第2頁：黑客在不斷進(jìn)化此外，范淵注意到，今年的“黑帽子”大會首次開辟出一個展示對黑客攻擊解決方案的分會場。他說，如果說以前的黑客聚會主要以炫耀技術(shù)為主，那么今年大家已經(jīng)開始在關(guān)注解決方案。在他看來，這是說明黑客文化和商業(yè)之間的一種妥協(xié)，或者說平衡。而且，黑客本身也在向著某個方向不斷的進(jìn)化發(fā)展。黑客在不斷進(jìn)化正如著名的安全顧問布魯斯？施尼爾說的：“安全不是一件產(chǎn)品，它是一個過程?！霸诜稖Y看來，黑客，也是一個不斷進(jìn)化的過程。他喜歡用頭號黑客凱文？米特尼克的話來區(qū)分黑客的不同階段：早年，一些黑客毀壞別人的文件甚至整個硬盤，他們被稱為電腦狂人(crackers)。此后，黑客軟件發(fā)達(dá)，很多新手黑客省去學(xué)習(xí)技術(shù)的麻煩，直接下載黑客工具侵入別人的計(jì)算機(jī)，這些人被稱為腳本小子(scriptkiddies)，也被圈子里的人稱為傻瓜黑客。實(shí)際上，真正有經(jīng)驗(yàn)和編程技巧的黑客，則喜歡開發(fā)程序，或者去拓展更寬廣的應(yīng)用空間。實(shí)際上，真正的黑客是孤獨(dú)的。在上世紀(jì)80年代，心理調(diào)查發(fā)現(xiàn)黑客多是一些努力避免人際交往的失敗者。但是這一情況因?yàn)樯虡I(yè)的介入慢慢在發(fā)生變化。對于黑客的未來，范淵說，其實(shí)黑客不外乎3條路：堅(jiān)守、出走或者招安。堅(jiān)守的黑客一般默默無聞，他們是最初黑客的鐵桿擁護(hù)者，他們仿佛是這個網(wǎng)絡(luò)的幽靈，在幾乎所有的服務(wù)器之間閑庭信步，尋找他們感興趣的信息，同時，他們反感黑客的商業(yè)化趨勢。出走的黑客則順應(yīng)潮流，為了有巨大商業(yè)價值的信息進(jìn)行攻防之戰(zhàn)。當(dāng)然，也有不少轉(zhuǎn)向其他領(lǐng)域。而被招安的黑客則一般選擇了大的網(wǎng)絡(luò)公司或者政府。就像黑客大會組織者莫斯，在去年他也加入了美國國土安全顧問委員會。之前被禁止接觸鍵盤和手機(jī)的凱文？米特尼克也已經(jīng)被請出山。第3頁：和黑客過招的白客不過，范淵說，與此同時，有些高段位黑客向研究工作發(fā)展，為社會作出越來越多的貢獻(xiàn)，他們會做些類似基礎(chǔ)研究的工作。和黑客過招的白客范淵說，真正的黑客不會休假。所以有人說，按照這個標(biāo)準(zhǔn)，比爾？蓋茨已經(jīng)不算是真正的黑客了。蓋茨也承認(rèn)了這一點(diǎn)，他說自己在13到16歲時才算得上真正的黑客。因?yàn)楹诳秃苊Γ砸秃诳瓦^招的范淵也很忙，而他喜歡稱乎自己為“白客“。在他看來，黑白之分不僅是不同的道路，也是不同的理念。他現(xiàn)在已經(jīng)不太在網(wǎng)上和入侵網(wǎng)絡(luò)或者喜歡種木馬賺錢的黑客直接過招，他正在試圖尋找更加簡單快捷的方案保護(hù)數(shù)據(jù)，然后追蹤那些黑客的腳印，將他們鎖定?！罢驹诓煌募夹g(shù)起點(diǎn)和時代，黑客面臨的誘惑也不同。最早的黑客吹口哨盜打電話，后來的黑客用銀行漏洞直接劃錢，現(xiàn)在的黑客偷盜價值無法估量的機(jī)密文件。2009年，賽門鐵克調(diào)查企業(yè)中，43%的企業(yè)是由于黑客入侵丟失專利信息?！狈稖Y說，“當(dāng)黑客用手中的技術(shù)越過道德底線尋求不正當(dāng)利益的時候，他本身就在背叛黑客的精神?！敝e就改Adobe在黑帽大會現(xiàn)場修補(bǔ)漏洞2010年8月6日沒有評論Adobe表示，周四將發(fā)布一個緊急修復(fù)補(bǔ)丁，以處理在黑帽大會上被披露的AdobeReader8.2.3、9.3.3和Acrobat9.9.9版漏洞。該漏洞由獨(dú)立安全評價人員和首席分析師，著名黑客查理?米勒發(fā)現(xiàn)，該缺陷可被用來沖破PDF閱讀器字體的處理過程CoolType.dll從而控制計(jì)算機(jī)。可以導(dǎo)致計(jì)算機(jī)軟件崩潰的概念代碼已經(jīng)被開發(fā)出來，不過安全人員并沒有意愿要公布它。Adobe在會上得知該漏洞后已經(jīng)迅速開始處理該問題，常規(guī)解決問題的補(bǔ)丁發(fā)布日期要等到10月份。Adobe星期四宣布，它將在8月16至20日的這個星期發(fā)布一個緊急補(bǔ)丁，也就是要在補(bǔ)丁周期之外發(fā)布一個補(bǔ)丁。Adobe每個季度在星期二發(fā)布Reader和Acrobat軟件的安全補(bǔ)丁，并且曾經(jīng)在星期二發(fā)布過應(yīng)急補(bǔ)丁。如果Adobe繼續(xù)堅(jiān)持這種做法，它很可能在8月17日發(fā)布這個應(yīng)急補(bǔ)丁。Adobe暗示稱，這個應(yīng)急補(bǔ)丁將包括修復(fù)Miller沒有發(fā)現(xiàn)的一些安全漏洞的補(bǔ)丁。査看:SecurityAdvisoryforAdobeReaderandAcrobat資訊播報Adobe,漏洞,補(bǔ)丁,黑帽大會Defcon黑帽大會:黑客競賽暴露大企業(yè)數(shù)據(jù)保護(hù)不堪2010年8月3日沒有評論上周五的Defcon黑客大會組織了一場比賽，各個黑客現(xiàn)在正在競爭利用社會工程學(xué)進(jìn)行犯罪。其方法是通過美國最大的10個石油或者高新技術(shù)公司的員工，獲取公司的敏感信息，之后通過目標(biāo)計(jì)算機(jī)入侵企業(yè)。OffensiveSecurity是一家進(jìn)行培訓(xùn)和滲透攻擊測試的公司，它的運(yùn)營總監(jiān)ChristopherHadnagy周六在接受記者采訪時表示，“每一個獨(dú)立公司，如果現(xiàn)在開始做安全審計(jì)，他們就會發(fā)現(xiàn)很多漏洞。”包括殼牌、谷歌、寶潔、微軟、蘋果、思科、福特、可口可樂與百事可樂公司都是如此?！氨M管這些公司依然健在，他們的內(nèi)部員工也已經(jīng)接受了良好的安全培訓(xùn)，但是，只要我們打電話過去，仍然有一些員工樂意提供公司敏感數(shù)據(jù)給我們?！睍h組織者表示，他們不會針對某個公司發(fā)表一些具體的評論，或者是透露哪個公司的經(jīng)驗(yàn)情況要比其他公司好或者差。但是他們表示最近幾周內(nèi)會發(fā)布一個匯總的報告材料。OffensiveSecurity的首席培訓(xùn)師MatiAharoni今天表示，“我們的目的并不是要羞辱某家公司或者某個人，我們是想讓人們認(rèn)識到這種攻擊的存在并且關(guān)注其危害性。這也許是入侵一家公司最簡單也是最有效的辦法。我們真心的不希望任何人受到傷害或者遭受到損失?！鄙鐣こ虒W(xué)是一種黑客技術(shù)，它通過簡單的辦法入侵到電腦系統(tǒng)中，成功的獲取一些敏感信息，這并不是以計(jì)算機(jī)技術(shù)為手段的獲取數(shù)據(jù)行為。這次比賽的組織者表示，公司都將購買安全軟件和設(shè)備以及建設(shè)自己的防數(shù)據(jù)泄漏系統(tǒng)為重點(diǎn)，但是他們忽視了一個致命的弱點(diǎn)，這就是：企業(yè)總是由人來為它們工作。Aharoni表示，“人力資源是整個組織中最薄弱也是最易于突破的一個環(huán)節(jié)。黑客最常用的載體，同時也是目前最簡單的途徑，這通常就是人的因素。”十個參賽者，每人分配了一個目標(biāo)公司，他們有一個星期左右的時間，允許去做一些“被動”網(wǎng)絡(luò)研究，收集目標(biāo)公司的情報，同時制定攻擊計(jì)劃。他們不能通過社會工程學(xué)、網(wǎng)絡(luò)釣魚或者其他網(wǎng)上方法來獲取這些信息。Defcon黑客大會選擇了10個具有代表性的大型公司作為目標(biāo)來進(jìn)行社會工程學(xué)比賽，我們可以看到獲取一個陌生人的信息并且輕松逃脫是一件多么簡單的事情。Defcon黑客大會的參賽者有25分鐘時間撥打電話，試圖通過他們預(yù)先確定的名單中獲取目標(biāo)的大量信息。大部分選手都通過的考驗(yàn)。比賽組織者表示，參賽者被要求獲得關(guān)于目標(biāo)公司的一些無關(guān)痛癢的消息，比如“企業(yè)中的垃圾服務(wù)是購買的哪家公司的方案”，又比如“公司里面有沒有餐廳”或者是“員工們都使用什么瀏覽器”，諸如此類。根據(jù)比賽組織者，在比賽中，沒有一家目標(biāo)企業(yè)的雇員被要求提供財務(wù)信息、信用卡信息或者其他個人資料等敏感信息，比賽的目的是為了讓人們認(rèn)識到社會工程學(xué)的危害。Hadnagy表示，在超過50名接電話的雇員中只有3名表示了懷疑、拒絕提供資料或者直接掛斷電話。這3位警惕性很高的雇員都是女性。Hadnagy說，“一位婦女表示，這個問題聽起來非?？梢桑⑶以?0秒之后就掛斷了電話。之后我們都為她鼓掌?！痹诹硪粋€比賽中，根據(jù)Hadnagy表示，黑客幾乎得到了一份30到40個問題的列表中的全部答案。Aharoni表示，“人們會毫不在意的公布它們電子郵件的客戶端、AdobeReader以及MSOffice的版本號，甚至還有很多人會點(diǎn)擊'幫助-關(guān)于'按鈕確認(rèn)確切的版本號。如果攻擊者有了用戶使用軟件的一個確切版本號，那么，黑客發(fā)起的攻擊就具有更大的成功可能，原因很簡單，因?yàn)楹诳涂梢院芊奖愕睦眠@個版本的已知漏洞?！北敬伪荣愐约跋破鹆艘恍┎憽１敬伪荣惡?，F(xiàn)S-ISAC（財務(wù)服務(wù)-信息服務(wù)分析中心）已經(jīng)公開發(fā)布警報。本次比賽的組織者也表示，它們愿意與該機(jī)構(gòu)合作，對企業(yè)進(jìn)行社會工程學(xué)防御的培訓(xùn)。Aharoni表示，“我們將于執(zhí)法部門共享信息，因?yàn)樗麄円呀?jīng)在咨詢我們了。”這次競賽在實(shí)際進(jìn)行前就引起軒然大波。美國的FS-ISAC（金融服務(wù)/資訊服務(wù)分析中心）聽聞此事后，趕緊發(fā)出警告，提醒企業(yè)在Defcon大會期間提高警覺。主辦單位則主動聯(lián)絡(luò)該中心，提議雙方合作，訓(xùn)練民眾認(rèn)識和防范社交工程攻擊。美國聯(lián)邦政府的若干機(jī)構(gòu)也對事后的報告感興趣。Aharoni說：「我們將依照要求，與執(zhí)法單位分享資料。資訊播報Defcon,思科,社會工程學(xué),黑客,黑帽大會黑帽大會:SCADA系統(tǒng)安全就像一顆“定時炸彈”2010年8月2日沒有評論通過對120多個管理發(fā)電廠、煉油廠和其他關(guān)鍵國家基礎(chǔ)設(shè)施的網(wǎng)絡(luò)和系統(tǒng)的安全進(jìn)行評估分析，RedTigerSecurity公司發(fā)現(xiàn)了數(shù)以萬計(jì)的安全漏洞、過時的操作系統(tǒng)和未經(jīng)授權(quán)的應(yīng)用。RedTigerSecurity是一家專門從事國家關(guān)鍵基礎(chǔ)設(shè)施安全的公司，其創(chuàng)始人兼首席顧問JonathanPollet在周三的黑帽大會2010上指出并分析了此次評估（這項(xiàng)評估歷經(jīng)了九年的時間）。Pollet說，維護(hù)關(guān)鍵基礎(chǔ)設(shè)施的公司必須提高其安全性。Pollet說，“我希望我們的消息可以給大家一些警示。”雖然運(yùn)行監(jiān)控和數(shù)據(jù)采集系統(tǒng)（SCADA）的公司經(jīng)常聲稱這些系統(tǒng)是安全的，因?yàn)樗麄兣c外部世界是斷開的，并被許多物理和技術(shù)安全控制所包圍，但是，Pollet的評估分析結(jié)果顯示事實(shí)正好相反。Pollet說，一些設(shè)施在計(jì)算機(jī)上運(yùn)行Windows95，并且運(yùn)行設(shè)施所需的關(guān)鍵機(jī)器還安有未經(jīng)授權(quán)的軟件，從點(diǎn)對點(diǎn)應(yīng)用到游戲到色情。Pollet說，許多未經(jīng)授權(quán)的軟件中含有主要缺陷，其中包括用于連接到互聯(lián)網(wǎng)的下載程序。我們還發(fā)現(xiàn)許多應(yīng)用程序被連接到游戲軟件的服務(wù)器、成人影片目錄腳本和網(wǎng)上約會服務(wù)數(shù)據(jù)庫。在一個設(shè)施中，安全專家發(fā)現(xiàn)其核心運(yùn)作機(jī)器安裝有流行的CounterStrike游戲，它還連接到一個外部服務(wù)器?！安恍枰闳章┒矗盤ollet說，“已