黑帽大会：HTTPS和SSL存在安全漏洞

黑帽大会：HTTPS和SSL存在安全漏洞HTTPS（安全HTTP）和SSL/TLS（安全套接层/传输层安全）协议是Web安全和可信电子商务的核心，但Web应用安全专家Robert"RSnake"Hansen和JoshSokol在昨天的黑帽大会上宣布，Web浏览器的基础架构中存在24个危险程度不同的安全漏洞。这些漏洞基本上使HTTPS和SSL能够提供的浏览器保护荡然无存。HTTPS对HTTP协议进行了加密，以保护用户的页面请求和Web服务器返回的页面不被窃听。SSL及后来的TLS协议允许HTTPS利用公钥加密验证Web客户端和服务器。Hansen和Sokol指出，攻击者要利用这些漏洞，首先需要发起中间人攻击。攻击者一旦劫持了浏览器会话，就可以利用这些漏洞中的大多数对会话进行重定向，从而窃取用户凭据或者从远程秘密执行代码。然而，两位研究人员强调，中间人攻击并不是攻击者的终极目的。Hansen指出，“利用中间人攻击，攻击者还可以实现许多更加容易的攻击。你不得不'执行'中间人攻击，并被迫成为一个十分坚定的攻击者……然而，这还不是最坏的情况。对于电子商务应用来说，这些攻击简直是毁灭性的灾难。”实际上，Hansen怀疑HTTPS和SSL/TLS中可能有数百个安全问题有待发现。他说，由于要准备这次黑帽大会的演讲，他们还没来得及对此进行深入研究。中间人攻击并不是什么新技术。由于各种原因，攻击者可以设法在一个浏览器会话过程中的多个时刻加入会话。一些攻击者能够使用包括MD5冲突在内的各种方法伪造或窃取SSL证书。由于在会话到达认证协商的加密端口之前，SSL协议是采用明文传输DNS和HTTP请求的，所以攻击者还可以在这些步骤中的任一时刻劫持会话。另外，攻击者还能够利用中间人攻击修改HTTPS链接，将用户重定向到恶意HTTP网站。对任何攻击者来说，重复Hansen和Sokol所说的工作并不容易，它需要耐心和资源。两位专家强调，中间人攻击得逞之后，攻击者可能发动两种高度危险的攻击。第一种是cookie篡改（cookiepoisoning）攻击，即攻击者利用浏览器在用户会话期间不更改cookie的情况，将同一个cookie反复标记为有效状态。如果攻击者能够提前劫持来自网站的cookie，然后再将其植入用户的浏览器中，则当用户的认证信息到达HTTPS站点时，攻击者就能够获得用户凭据并以用户身份登录。第二种是重定向攻击。许多银行网站会将用户的会话从一个HTTP站点重定向到一个HTTPS站点，该会话通常是在另一个浏览器选项卡中打开，而不是在一个新的浏览器窗口中打开。由于攻击者仍然控制着旧的选项卡，所以攻击者可以在URL中注入Javascript脚本并修改新选项卡的行为。受攻击者可能会下载可执行文件，或者被重定向到一个恶意登录页面。Hansen和Sokol解释说，利用针对SSLWeb浏览器会话的攻击，攻击者可以观察和计算用户在一个网站的特定页面上停留的时间。这可能会泄漏处理数据的页面。此时，攻击者可以在该网页上采用相关技术强迫用户退出登录并重新进行身份认证，从而获得用户凭据。Hansen指出，“有必要对SSL进行修改，比如添加填充和抖动代码”。他解释说，通过在Web请求中添加无意义的编码，可以延长攻击者完成攻击的时间，也许足以阻止攻击者采取进一步的行动。他说，“要避免此类攻击，必须采取适当的选项卡隔离和沙箱技术。安全专家也许能够避免此类情况的发生，但普通用户却不得不面临这种威胁。我们真的很难阻止这种攻击，我不知道有没有简单的办法可以解决这个问题。”第一个在美国“黑帽大会”演讲的中国人/2010-08-0919:55来源：中关村在线网友评论(0)上周五，在美国拉斯维加举行的“黑帽子”大会正式结束，范渊从会场出来，匆忙赶飞机去他的母校加州州立大学，他要拜会几位老朋友，一起聊聊黑客话题。2003年，范渊首次获邀参加世界黑客的顶级盛会“黑帽子”大会，他见到了曾经的偶像，“黑帽子”大会的创立者杰夫？莫斯。后来，他们成了朋友。2005年，范渊获邀在当年的黑帽子大会上作演讲，和全世界的黑客分享他对于网络安全的理解。将公司总部设在休闲之都杭州的范渊却没有太多时间享受这个城市的安逸，他总是在路上，或者在网上，和那些利令智昏的黑客过招。他总是说，自己其实是个白客。史上规模最大的黑客聚会7月28日至8月1日，两大黑客盛事一一“黑帽子”大会和“黑客大会”，在美国拉斯维加斯先后举行。前者已成为专业人士交流与黑客攻击相关研究成果的平台，后者更像是各路黑客展示“绝技”的比武盛会。与“黑客大会”相比，“黑帽子”大会显得较为正式，议程表上排满了专业人士的发言。议题包括针对银行等机构的黑客行为。据了解，“黑帽子”大会参加者来自企业、政府和学术界等各个领域。范渊告诉记者，两大盛会的创始者、老牌黑客莫斯说：“今年将继续关注网络运作方式和如何对它发起攻击。”同时，今年很多黑客不约而同地将关注的焦点放在了对于手机的攻击上。范渊说，和以前的几次“黑帽子”大会相比，今年的大会主要有两个区别，一是规模非常大，到会的黑客有2000多人，堪称史上规模最大的黑客聚会。这些黑客来自全世界不同的国家，有着各自不同的职业和兴趣，但是他们都有同样的一个身份一一黑客，无论是兼职还是专业。“不过，来自中国的黑客还是非常少，几乎都是老面孔。”第2页：黑客在不断进化此外，范渊注意到，今年的“黑帽子”大会首次开辟出一个展示对黑客攻击解决方案的分会场。他说，如果说以前的黑客聚会主要以炫耀技术为主，那么今年大家已经开始在关注解决方案。在他看来，这是说明黑客文化和商业之间的一种妥协，或者说平衡。而且，黑客本身也在向着某个方向不断的进化发展。黑客在不断进化正如著名的安全顾问布鲁斯？施尼尔说的：“安全不是一件产品，它是一个过程。“在范渊看来，黑客，也是一个不断进化的过程。他喜欢用头号黑客凯文？米特尼克的话来区分黑客的不同阶段：早年，一些黑客毁坏别人的文件甚至整个硬盘，他们被称为电脑狂人(crackers)。此后，黑客软件发达，很多新手黑客省去学习技术的麻烦，直接下载黑客工具侵入别人的计算机，这些人被称为脚本小子(scriptkiddies)，也被圈子里的人称为傻瓜黑客。实际上，真正有经验和编程技巧的黑客，则喜欢开发程序，或者去拓展更宽广的应用空间。实际上，真正的黑客是孤独的。在上世纪80年代，心理调查发现黑客多是一些努力避免人际交往的失败者。但是这一情况因为商业的介入慢慢在发生变化。对于黑客的未来，范渊说，其实黑客不外乎3条路：坚守、出走或者招安。坚守的黑客一般默默无闻，他们是最初黑客的铁杆拥护者，他们仿佛是这个网络的幽灵，在几乎所有的服务器之间闲庭信步，寻找他们感兴趣的信息，同时，他们反感黑客的商业化趋势。出走的黑客则顺应潮流，为了有巨大商业价值的信息进行攻防之战。当然，也有不少转向其他领域。而被招安的黑客则一般选择了大的网络公司或者政府。就像黑客大会组织者莫斯，在去年他也加入了美国国土安全顾问委员会。之前被禁止接触键盘和手机的凯文？米特尼克也已经被请出山。第3页：和黑客过招的白客不过，范渊说，与此同时，有些高段位黑客向研究工作发展，为社会作出越来越多的贡献，他们会做些类似基础研究的工作。和黑客过招的白客范渊说，真正的黑客不会休假。所以有人说，按照这个标准，比尔？盖茨已经不算是真正的黑客了。盖茨也承认了这一点，他说自己在13到16岁时才算得上真正的黑客。因为黑客很忙，所以要和黑客过招的范渊也很忙，而他喜欢称乎自己为“白客“。在他看来，黑白之分不仅是不同的道路，也是不同的理念。他现在已经不太在网上和入侵网络或者喜欢种木马赚钱的黑客直接过招，他正在试图寻找更加简单快捷的方案保护数据，然后追踪那些黑客的脚印，将他们锁定。“站在不同的技术起点和时代，黑客面临的诱惑也不同。最早的黑客吹口哨盗打电话，后来的黑客用银行漏洞直接划钱，现在的黑客偷盗价值无法估量的机密文件。2009年，赛门铁克调查企业中，43%的企业是由于黑客入侵丢失专利信息。”范渊说，“当黑客用手中的技术越过道德底线寻求不正当利益的时候，他本身就在背叛黑客的精神。”知错就改Adobe在黑帽大会现场修补漏洞2010年8月6日没有评论Adobe表示，周四将发布一个紧急修复补丁，以处理在黑帽大会上被披露的AdobeReader8.2.3、9.3.3和Acrobat9.9.9版漏洞。该漏洞由独立安全评价人员和首席分析师，着名黑客查理•米勒发现，该缺陷可被用来冲破PDF阅读器字体的处理过程CoolType.dll从而控制计算机。可以导致计算机软件崩溃的概念代码已经被开发出来，不过安全人员并没有意愿要公布它。Adobe在会上得知该漏洞后已经迅速开始处理该问题，常规解决问题的补丁发布日期要等到10月份。Adobe星期四宣布，它将在8月16至20日的这个星期发布一个紧急补丁，也就是要在补丁周期之外发布一个补丁。Adobe每个季度在星期二发布Reader和Acrobat软件的安全补丁，并且曾经在星期二发布过应急补丁。如果Adobe继续坚持这种做法，它很可能在8月17日发布这个应急补丁。Adobe暗示称，这个应急补丁将包括修复Miller没有发现的一些安全漏洞的补丁。査看:SecurityAdvisoryforAdobeReaderandAcrobat资讯播报Adobe,漏洞,补丁,黑帽大会Defcon黑帽大会:黑客竞赛暴露大企业数据保护不堪2010年8月3日没有评论上周五的Defcon黑客大会组织了一场比赛，各个黑客现在正在竞争利用社会工程学进行犯罪。其方法是通过美国最大的10个石油或者高新技术公司的员工，获取公司的敏感信息，之后通过目标计算机入侵企业。OffensiveSecurity是一家进行培训和渗透攻击测试的公司，它的运营总监ChristopherHadnagy周六在接受记者采访时表示，“每一个独立公司，如果现在开始做安全审计，他们就会发现很多漏洞。”包括壳牌、谷歌、宝洁、微软、苹果、思科、福特、可口可乐与百事可乐公司都是如此。“尽管这些公司依然健在，他们的内部员工也已经接受了良好的安全培训，但是，只要我们打电话过去，仍然有一些员工乐意提供公司敏感数据给我们。”会议组织者表示，他们不会针对某个公司发表一些具体的评论，或者是透露哪个公司的经验情况要比其他公司好或者差。但是他们表示最近几周内会发布一个汇总的报告材料。OffensiveSecurity的首席培训师MatiAharoni今天表示，“我们的目的并不是要羞辱某家公司或者某个人，我们是想让人们认识到这种攻击的存在并且关注其危害性。这也许是入侵一家公司最简单也是最有效的办法。我们真心的不希望任何人受到伤害或者遭受到损失。”社会工程学是一种黑客技术，它通过简单的办法入侵到电脑系统中，成功的获取一些敏感信息，这并不是以计算机技术为手段的获取数据行为。这次比赛的组织者表示，公司都将购买安全软件和设备以及建设自己的防数据泄漏系统为重点，但是他们忽视了一个致命的弱点，这就是：企业总是由人来为它们工作。Aharoni表示，“人力资源是整个组织中最薄弱也是最易于突破的一个环节。黑客最常用的载体，同时也是目前最简单的途径，这通常就是人的因素。”十个参赛者，每人分配了一个目标公司，他们有一个星期左右的时间，允许去做一些“被动”网络研究，收集目标公司的情报，同时制定攻击计划。他们不能通过社会工程学、网络钓鱼或者其他网上方法来获取这些信息。Defcon黑客大会选择了10个具有代表性的大型公司作为目标来进行社会工程学比赛，我们可以看到获取一个陌生人的信息并且轻松逃脱是一件多么简单的事情。Defcon黑客大会的参赛者有25分钟时间拨打电话，试图通过他们预先确定的名单中获取目标的大量信息。大部分选手都通过的考验。比赛组织者表示，参赛者被要求获得关于目标公司的一些无关痛痒的消息，比如“企业中的垃圾服务是购买的哪家公司的方案”，又比如“公司里面有没有餐厅”或者是“员工们都使用什么浏览器”，诸如此类。根据比赛组织者，在比赛中，没有一家目标企业的雇员被要求提供财务信息、信用卡信息或者其他个人资料等敏感信息，比赛的目的是为了让人们认识到社会工程学的危害。Hadnagy表示，在超过50名接电话的雇员中只有3名表示了怀疑、拒绝提供资料或者直接挂断电话。这3位警惕性很高的雇员都是女性。Hadnagy说，“一位妇女表示，这个问题听起来非常可疑，并且在20秒之后就挂断了电话。之后我们都为她鼓掌。”在另一个比赛中，根据Hadnagy表示，黑客几乎得到了一份30到40个问题的列表中的全部答案。Aharoni表示，“人们会毫不在意的公布它们电子邮件的客户端、AdobeReader以及MSOffice的版本号，甚至还有很多人会点击'帮助-关于'按钮确认确切的版本号。如果攻击者有了用户使用软件的一个确切版本号，那么，黑客发起的攻击就具有更大的成功可能，原因很简单，因为黑客可以很方便的利用这个版本的已知漏洞。”本次比赛以及掀起了一些波澜。本次比赛后，FS-ISAC（财务服务-信息服务分析中心）已经公开发布警报。本次比赛的组织者也表示，它们愿意与该机构合作，对企业进行社会工程学防御的培训。Aharoni表示，“我们将于执法部门共享信息，因为他们已经在咨询我们了。”这次竞赛在实际进行前就引起轩然大波。美国的FS-ISAC（金融服务/资讯服务分析中心）听闻此事后，赶紧发出警告，提醒企业在Defcon大会期间提高警觉。主办单位则主动联络该中心，提议双方合作，训练民众认识和防范社交工程攻击。美国联邦政府的若干机构也对事后的报告感兴趣。Aharoni说：「我们将依照要求，与执法单位分享资料。资讯播报Defcon,思科,社会工程学,黑客,黑帽大会黑帽大会:SCADA系统安全就像一颗“定时炸弹”2010年8月2日没有评论通过对120多个管理发电厂、炼油厂和其他关键国家基础设施的网络和系统的安全进行评估分析，RedTigerSecurity公司发现了数以万计的安全漏洞、过时的操作系统和未经授权的应用。RedTigerSecurity是一家专门从事国家关键基础设施安全的公司，其创始人兼首席顾问JonathanPollet在周三的黑帽大会2010上指出并分析了此次评估（这项评估历经了九年的时间）。Pollet说，维护关键基础设施的公司必须提高其安全性。Pollet说，“我希望我们的消息可以给大家一些警示。”虽然运行监控和数据采集系统（SCADA）的公司经常声称这些系统是安全的，因为他们与外部世界是断开的，并被许多物理和技术安全控制所包围，但是，Pollet的评估分析结果显示事实正好相反。Pollet说，一些设施在计算机上运行Windows95，并且运行设施所需的关键机器还安有未经授权的软件，从点对点应用到游戏到色情。Pollet说，许多未经授权的软件中含有主要缺陷，其中包括用于连接到互联网的下载程序。我们还发现许多应用程序被连接到游戏软件的服务器、成人影片目录脚本和网上约会服务数据库。在一个设施中，安全专家发现其核心运作机器安装有流行的CounterStrike游戏，它还连接到一个外部服务器。“不需要零日漏洞，”Pollet说，“已