移動和Web安全將成黑帽大會熱門話題

黑帽USA 2012安全大會將于本周三到本周四舉行，據(jù)悉安全研究人員將會披露關(guān)于近場通信(NFC)、移動基帶固件、HTML5和Web應(yīng)用等的最新漏洞。

黑帽USA大會今年是第15屆，屆時將會有數(shù)千位安全熱衷者和IT專業(yè)人士將會聚首在拉斯維加斯舉辦的年度安全會議，觀看安全行業(yè)一些最頂尖的研究人員展示他們的最新發(fā)現(xiàn)。

隨著智能手機(jī)的迅速普及，移動技術(shù)已成為安全研究的一個重要內(nèi)容。今天的很多手機(jī)實際上都是微型計算機(jī)，其上存有大量敏感數(shù)據(jù)，這也使得它們成了攻擊者攻擊的目標(biāo)。

一些智能手機(jī)廠商已經(jīng)實施了NFC技術(shù)，可以讓智能手機(jī)完成無接觸移動支付。用戶只須在有NFC功能的設(shè)備上晃動手機(jī)便可完成交易。

著名的蘋果黑客Charlie Miller在安全咨詢公司Accuvant擔(dān)任首席研究咨詢師，他研究了現(xiàn)有NFC實現(xiàn)的安全性，發(fā)現(xiàn)了一些可以濫用NFC技術(shù)的方法，控制一些智能手機(jī)在未經(jīng)用戶允許的情況下便可進(jìn)行盜取文件、打開網(wǎng)頁等動作。

在某些情形下，攻擊者可通過NFC完全控制手機(jī)，讓它們盜取照片、聯(lián)系人、發(fā)送文本短信，甚至自行撥打電話。在今年的美國黑帽大會上，Miller展示其最新發(fā)現(xiàn)一事有可能是本屆大會最值得期待的內(nèi)容之一。

在另一場移動安全展示中，盧森堡大學(xué)的研究人員Ralf-Philip Weinmann將討論針對基帶處理器——即負(fù)責(zé)與蜂窩網(wǎng)絡(luò)通信的手機(jī)微處理器——的攻擊。

去年，Weinmann展示了如何利用基帶處理器的漏洞把手機(jī)變身為遠(yuǎn)程間諜設(shè)備，欺騙手機(jī)用戶與一個流氓GSM基站——一個瘦身版的手機(jī)基站——通信。該基站可使用一些現(xiàn)成的硬件和開源軟件構(gòu)建。

今年，Weinmann計劃展示這些流氓基站甚至不必去主動發(fā)起攻擊便可得逞，因為一些基帶漏洞可通過IP網(wǎng)絡(luò)加以利用。

Weinmann在其演示文件中描述道，如果對運(yùn)營商網(wǎng)絡(luò)的某些組件按某種方式進(jìn)行配置，便可同時攻擊大量的智能手機(jī)。

移動惡意軟件的威脅正在日益增長，尤其是針對安卓平臺的惡意軟件威脅。為了保護(hù)安卓用戶，防范惡意應(yīng)用上傳至谷歌Play，谷歌創(chuàng)建了一個自動的惡意軟件掃描服務(wù)，叫做Bouncer。

在黑帽大會上，來自Trustwave的安全研究員Nicholas Percoco和Sean Schulte將介紹一種技巧，該技巧可讓他們避開Bouncer的檢測，讓一個惡意應(yīng)用在谷歌Play上已經(jīng)駐留了數(shù)周。

Percoco稱，這個上傳到谷歌Play上的應(yīng)用開始時是良性的，但是隨后的升級可為其增加惡意功能。最終結(jié)局將是一個可盜取照片與聯(lián)系人的應(yīng)用，操控手機(jī)去訪問一些網(wǎng)站，甚至可發(fā)起DoS攻擊。

在黑帽大會上做展示之前，Percoco不愿探討這一技巧的細(xì)節(jié)，不過他指出，這一技巧并不需要跟用戶有任何互動。Percoco稱，該惡意應(yīng)用如果從谷歌Play上下載后就沒用了，所以試驗期間不會有用戶受感染。

在今年的黑帽大會上，在一些新的Web技術(shù)中出現(xiàn)的Web攻擊和漏洞也將成為重要議題。

網(wǎng)絡(luò)犯罪分子正越來越多地依賴所謂路過式下載攻擊，利用一些廣泛流行的瀏覽器插件，如Java、Flash播放器或Adobe Reader等的已知漏洞制作惡意軟件感染計算機(jī)。

惠普DVlabs的安全研究人員Jason Jones計劃展示對一些最常用Web漏洞工具包，如Blackhole或Phoenix的分析。

Jones在Web漏洞工具包的開發(fā)中觀察到了一些趨勢，包括對Java漏洞利用程序的日益依賴，以及與新漏洞工具更快的集成。

在過去，Web漏洞工具包針對的是一些補(bǔ)丁已經(jīng)發(fā)布了6個月以上甚至一年以上的漏洞。而這些工具包的創(chuàng)建者們?nèi)缃窨梢约�成這些工具以便更快地發(fā)現(xiàn)漏洞，一般只需要在補(bǔ)丁發(fā)布一兩個月后便可發(fā)現(xiàn)，甚至可以發(fā)現(xiàn)廠商尚未發(fā)布補(bǔ)丁的漏洞，Jones說。

對于網(wǎng)站的防御而言，網(wǎng)站管理員可利用Web應(yīng)用防火墻(WAF)探測并阻止一些已知的攻擊技巧，如SQL注入、目錄遍歷和其他技巧等。

安全廠商Qualys的工程主任Ivan Ristic也是頗受歡迎的ModSecurity Web應(yīng)用防火墻的最初作者，他將在黑帽大會上討論協(xié)議級逃避技巧，該技巧可以讓攻擊者繞過WAF。

Ristic將發(fā)布一個工具，該工具經(jīng)過約150次試探便可確定一個Web應(yīng)用防火墻是否存在漏洞，可用他所研制的技巧進(jìn)行躲避。

Ristic希望網(wǎng)站管理員可以用他的工具檢測其WAF產(chǎn)品，并將他們所發(fā)現(xiàn)的漏洞報告給WAF廠商。該工具的目的并不是想讓攻擊者更強(qiáng)大，而是想在WAF廠商、客戶和安全研究人員中間發(fā)動一場關(guān)于協(xié)議級躲避技巧的更開放的討論。

一些新的Web技術(shù)的安全問題，如HTML5的安全問題，也將在黑帽大會上討論。

應(yīng)用安全廠商Blueinfy的創(chuàng)始人Shreeraj Shah會演示如何利用HTML5技術(shù)發(fā)動秘密攻擊以及悄然利用漏洞的內(nèi)容。

此外，Qualys的軟件工程師Sergey Shekyan和Vaagen Toukharian將討論利用一個HTML5技術(shù)，即WebSockets的可能攻擊腳本。

Shekyan和Toukharian稱，WebSockets的最大問題之一就是大多數(shù)防火墻和網(wǎng)絡(luò)層安全系統(tǒng)無法及時檢測到這類流量。這意味著惡意軟件所盜取的信息可使用WebSockets與其命令與控制服務(wù)器進(jìn)行通信，而且不會被檢測到。

除了移動和Web安全外，黑貓大會還將討論影響工業(yè)控制系統(tǒng)、智能儀表和嵌入式設(shè)備的各種安全問題和攻擊技巧。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]