移動(dòng)和Web安全將成黑帽大會(huì)熱門(mén)話題
網(wǎng)界網(wǎng)
波波編譯
摘要: 安全研究人員將在本屆黑帽大會(huì)上披露可影響移動(dòng)和Web技術(shù)的最新發(fā)現(xiàn)的漏洞,。
Abstract:
Key words :
【CNW.com.cn獨(dú)家譯稿】黑帽USA 2012安全大會(huì)將于本周三到本周四舉行,據(jù)悉安全研究人員將會(huì)披露關(guān)于近場(chǎng)通信(NFC),、移動(dòng)基帶固件,、HTML5和Web應(yīng)用等的最新漏洞。
黑帽USA大會(huì)今年是第15屆,,屆時(shí)將會(huì)有數(shù)千位安全熱衷者和IT專業(yè)人士將會(huì)聚首在拉斯維加斯舉辦的年度安全會(huì)議,,觀看安全行業(yè)一些最頂尖的研究人員展示他們的最新發(fā)現(xiàn)。
隨著智能手機(jī)的迅速普及,,移動(dòng)技術(shù)已成為安全研究的一個(gè)重要內(nèi)容,。今天的很多手機(jī)實(shí)際上都是微型計(jì)算機(jī),其上存有大量敏感數(shù)據(jù),,這也使得它們成了攻擊者攻擊的目標(biāo),。
一些智能手機(jī)廠商已經(jīng)實(shí)施了NFC技術(shù),可以讓智能手機(jī)完成無(wú)接觸移動(dòng)支付,。用戶只須在有NFC功能的設(shè)備上晃動(dòng)手機(jī)便可完成交易,。
著名的蘋(píng)果黑客Charlie Miller在安全咨詢公司Accuvant擔(dān)任首席研究咨詢師,他研究了現(xiàn)有NFC實(shí)現(xiàn)的安全性,,發(fā)現(xiàn)了一些可以濫用NFC技術(shù)的方法,,控制一些智能手機(jī)在未經(jīng)用戶允許的情況下便可進(jìn)行盜取文件、打開(kāi)網(wǎng)頁(yè)等動(dòng)作,。
在某些情形下,,攻擊者可通過(guò)NFC完全控制手機(jī),讓它們盜取照片,、聯(lián)系人,、發(fā)送文本短信,甚至自行撥打電話,。在今年的美國(guó)黑帽大會(huì)上,,Miller展示其最新發(fā)現(xiàn)一事有可能是本屆大會(huì)最值得期待的內(nèi)容之一。
在另一場(chǎng)移動(dòng)安全展示中,,盧森堡大學(xué)的研究人員Ralf-Philip Weinmann將討論針對(duì)基帶處理器——即負(fù)責(zé)與蜂窩網(wǎng)絡(luò)通信的手機(jī)微處理器——的攻擊,。
去年,Weinmann展示了如何利用基帶處理器的漏洞把手機(jī)變身為遠(yuǎn)程間諜設(shè)備,,欺騙手機(jī)用戶與一個(gè)流氓GSM基站——一個(gè)瘦身版的手機(jī)基站——通信,。該基站可使用一些現(xiàn)成的硬件和開(kāi)源軟件構(gòu)建。
今年,,Weinmann計(jì)劃展示這些流氓基站甚至不必去主動(dòng)發(fā)起攻擊便可得逞,,因?yàn)橐恍┗鶐┒纯赏ㄟ^(guò)IP網(wǎng)絡(luò)加以利用。
Weinmann在其演示文件中描述道,,如果對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)的某些組件按某種方式進(jìn)行配置,,便可同時(shí)攻擊大量的智能手機(jī),。
移動(dòng)惡意軟件的威脅正在日益增長(zhǎng),尤其是針對(duì)安卓平臺(tái)的惡意軟件威脅,。為了保護(hù)安卓用戶,,防范惡意應(yīng)用上傳至谷歌Play,谷歌創(chuàng)建了一個(gè)自動(dòng)的惡意軟件掃描服務(wù),,叫做Bouncer。
在黑帽大會(huì)上,,來(lái)自Trustwave的安全研究員Nicholas Percoco和Sean Schulte將介紹一種技巧,,該技巧可讓他們避開(kāi)Bouncer的檢測(cè),讓一個(gè)惡意應(yīng)用在谷歌Play上已經(jīng)駐留了數(shù)周,。
Percoco稱,,這個(gè)上傳到谷歌Play上的應(yīng)用開(kāi)始時(shí)是良性的,但是隨后的升級(jí)可為其增加惡意功能,。最終結(jié)局將是一個(gè)可盜取照片與聯(lián)系人的應(yīng)用,,操控手機(jī)去訪問(wèn)一些網(wǎng)站,甚至可發(fā)起DoS攻擊,。
在黑帽大會(huì)上做展示之前,,Percoco不愿探討這一技巧的細(xì)節(jié),不過(guò)他指出,,這一技巧并不需要跟用戶有任何互動(dòng),。Percoco稱,該惡意應(yīng)用如果從谷歌Play上下載后就沒(méi)用了,,所以試驗(yàn)期間不會(huì)有用戶受感染,。
在今年的黑帽大會(huì)上,在一些新的Web技術(shù)中出現(xiàn)的Web攻擊和漏洞也將成為重要議題,。
網(wǎng)絡(luò)犯罪分子正越來(lái)越多地依賴所謂路過(guò)式下載攻擊,,利用一些廣泛流行的瀏覽器插件,如Java,、Flash播放器或Adobe Reader等的已知漏洞制作惡意軟件感染計(jì)算機(jī),。
惠普DVlabs的安全研究人員Jason Jones計(jì)劃展示對(duì)一些最常用Web漏洞工具包,如Blackhole或Phoenix的分析,。
Jones在Web漏洞工具包的開(kāi)發(fā)中觀察到了一些趨勢(shì),,包括對(duì)Java漏洞利用程序的日益依賴,以及與新漏洞工具更快的集成,。
在過(guò)去,,Web漏洞工具包針對(duì)的是一些補(bǔ)丁已經(jīng)發(fā)布了6個(gè)月以上甚至一年以上的漏洞。而這些工具包的創(chuàng)建者們?nèi)缃窨梢约蛇@些工具以便更快地發(fā)現(xiàn)漏洞,,一般只需要在補(bǔ)丁發(fā)布一兩個(gè)月后便可發(fā)現(xiàn),,甚至可以發(fā)現(xiàn)廠商尚未發(fā)布補(bǔ)丁的漏洞,,Jones說(shuō)。
對(duì)于網(wǎng)站的防御而言,,網(wǎng)站管理員可利用Web應(yīng)用防火墻(WAF)探測(cè)并阻止一些已知的攻擊技巧,,如SQL注入、目錄遍歷和其他技巧等,。
安全廠商Qualys的工程主任Ivan Ristic也是頗受歡迎的ModSecurity Web應(yīng)用防火墻的最初作者,,他將在黑帽大會(huì)上討論協(xié)議級(jí)逃避技巧,該技巧可以讓攻擊者繞過(guò)WAF,。
Ristic將發(fā)布一個(gè)工具,,該工具經(jīng)過(guò)約150次試探便可確定一個(gè)Web應(yīng)用防火墻是否存在漏洞,可用他所研制的技巧進(jìn)行躲避,。
Ristic希望網(wǎng)站管理員可以用他的工具檢測(cè)其WAF產(chǎn)品,,并將他們所發(fā)現(xiàn)的漏洞報(bào)告給WAF廠商。該工具的目的并不是想讓攻擊者更強(qiáng)大,,而是想在WAF廠商,、客戶和安全研究人員中間發(fā)動(dòng)一場(chǎng)關(guān)于協(xié)議級(jí)躲避技巧的更開(kāi)放的討論。
一些新的Web技術(shù)的安全問(wèn)題,,如HTML5的安全問(wèn)題,,也將在黑帽大會(huì)上討論。
應(yīng)用安全廠商Blueinfy的創(chuàng)始人Shreeraj Shah會(huì)演示如何利用HTML5技術(shù)發(fā)動(dòng)秘密攻擊以及悄然利用漏洞的內(nèi)容,。
此外,,Qualys的軟件工程師Sergey Shekyan和Vaagen Toukharian將討論利用一個(gè)HTML5技術(shù),即WebSockets的可能攻擊腳本,。
Shekyan和Toukharian稱,,WebSockets的最大問(wèn)題之一就是大多數(shù)防火墻和網(wǎng)絡(luò)層安全系統(tǒng)無(wú)法及時(shí)檢測(cè)到這類(lèi)流量。這意味著惡意軟件所盜取的信息可使用WebSockets與其命令與控制服務(wù)器進(jìn)行通信,,而且不會(huì)被檢測(cè)到,。
除了移動(dòng)和Web安全外,黑貓大會(huì)還將討論影響工業(yè)控制系統(tǒng),、智能儀表和嵌入式設(shè)備的各種安全問(wèn)題和攻擊技巧,。
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。