本文同時發布在：[url]http://netsecurity.51cto.com/art/200808/85246.htm[/url] 全球矚目的信息安全會議Black Hat USA 2008上周在美國拉斯維加斯開幕，眾多的安全廠商和獨立安全研究人員都在會上發表了自己最新的研究成果。作為全球水平領先的安全會議，Black Hat會議上公開的研究成果大都是信息安全的近期熱點，也有很多相當具有前瞻性的趨勢。51CTO《一周安全要聞回顧》專欄將密切關注Black Hat會議的進程，及時為你帶來最新的報道和分析。 （1） 社會網絡網站的安全受第三方插件威脅； 內容：在8月7日的Black Hat會議上，兩名安全研究人員Shawn Moyer 和Nathan Hamiel公開了他們對社會網絡網站（SNS）的最新研究成果：不安全的第三方插件將會嚴重威脅用戶使用社會網絡網站的安全，另外，該研究還發現用戶之間的信任仍然是社會網絡網站安全的最大漏洞。這兩名研究人員還在與會者面前進行了對美國社會網絡網站LinkedIn的攻擊演示。 分析：社會網絡網站是近幾年最為流行的Web 2.0產品之一，用戶能夠很方便的在社會網絡網站上和朋友聯絡、交換信息，國內也有數個較為出名的本土社會網絡網站。由于SNS市場競爭日趨激烈，用戶數量急劇增加，MySpace、Facebook等市場領先的社會網絡網站先后開放了開發接口，用戶和開發人員可以自行創建各種第三方插件，增強自己在社會網絡網站的用戶體驗和提升使用效率。 本屆Black Hat會議上公開的研究成果，揭露了這樣一個問題：社會網絡網站運營商在開放開發接口的同時，卻沒有為普通用戶提供一個可靠安全的插件認證手段，用戶使用不安全的第三方插件之后，自己的敏感信息受到威脅，甚至造成類似病毒擴散的后果，這個責任應該由誰承擔？從目前的情況來看，在開放了開發接口的社會網絡網站運營商眼里，這種后果都應該由插件的使用者也即用戶承擔。上個月，反病毒廠商卡巴斯基和軟件廠商Adobe就曾聯合發布過一個安全公告，稱黑客利用MySpace和Facebook散布實際上是一個特洛伊木馬程序的虛假Flash升級程序。盡管該安全公告中沒有明確指出第三方插件是否在黑客的攻擊中發揮了作用，但黑客是可以通過使用精心構造的第三方插件，進行獲取使用者的敏感信息或使用用戶的名義發送虛假的信息等攻擊行為。 筆者認為：與社會網絡網站同為Web 2.0技術的博客、社區等其他公眾服務也同樣存在上述威脅，雖然第三方開發者和廠商提供的插件程序，雖然能夠顯著的提升用戶體驗，讓用戶自己的空間看起來很有個性，但在目前運營商不重視安全，控制手段嚴重缺失的情況下，用戶使用來源不明的第三方插件具有相當大的敏感信息丟失或成為攻擊源的風險。建議用戶在并非十分必要的情況下，盡量不要使用來自不可信來源的第三方插件，也不要輕易相信自己博客、空間上的帶有鏈接或誤導性言語的留言，因為這很可能就是黑客精心策劃的惡意陷阱。 （2） 不使用漏洞的Web攻擊方法； 內容：在普通用戶的心里，擅長攻擊Web的黑客大多都是裝備精良、經驗豐富的技術老手，然而在8月8日的Black Hat會議上，來自WhiteHat Security的兩名研究人員Jeremiah Grossman和 Trey Ford向與會者展示了多種不使用漏洞的Web攻擊方法，以及黑客如何使用這些攻擊方法來獲取經濟利益。其中較有代表意義的攻擊方法有：通過注冊大量虛假賬戶來突破CAPTCHA驗證方法進行投票造假；使用虛假數據來欺騙在線銀行系統；利用網絡交易過程的缺陷免費獲得貨物；利用證券市場上的未公開信息進行獲利等。 分析：WhiteHat Security研究人員在Black Hat會議上所公開的方法并不是非常創新的攻擊方法，其中提到的許多方法在早至五、六年前就在國內廣為使用。就用網絡投票中常見的驗證系統作為例子，許多網站在舉行有獎投票的時候，一般都不會刻意去防止有人進行投票作弊，這樣，往往就有人用有償代投票的形式進行作弊并獲取相應的經濟利益，即使是被多個大型電子郵件服務商采用，公認比較可靠的CAPTCHA驗證系統，在去年和今年數次被黑客攻破，并用來進行投票作弊或垃圾郵件散發。利用網絡交易過程中存在的缺陷進行的網絡欺詐案件，或者利用第三方的網絡支付服務進行洗錢等也是我們比較熟悉的案例。 筆者認為：對運營商來說，和較為容易發現和清除的系統或代碼漏洞不同，業務流程邏輯上的漏洞往往更為隱蔽和難以清除，而在電子商務的整個鏈條中，人這一環是安全性最弱的。WhiteHat Security研究人員的成果所透露出來，除了提供多個新穎的攻擊思路外，更多的是透露出一個趨勢：黑客進行攻擊時，將越來越多的著眼電子商務業務流程上的缺陷。而目前的信息安全或者安全審計領域，也往往把企業業務風險和信息風險這兩者完全割離開來，企業本身在進行信息安全項目時，也主要關注在技術方面的風險，信息化業務流程的風險、攻擊和防御，將會成為較長時期內安全行業和市場內的熱點話題。 （3） Microsoft新計劃幫助修復第三方軟件中的漏洞 內容：在8月7號的Black Hat會議上，Microsoft宣布將發起一個名為微軟漏洞研究（MSVR）的新計劃，該計劃旨在幫助參與計劃的第三方廠商修復其軟件產品中存在的安全漏洞。Microsoft將與參與計劃的第三方廠商共享由Microsoft自己的研究人員或外部研究人員所發現的安全漏洞，并幫助第三方廠商修正這些漏洞。 分析：2006年開始的Windows平臺第三方軟件漏洞挖掘和攻擊熱潮，是Microsoft推出該項新計劃的最主要目的。這兩年Windows和其他Microsoft產品上所發現的漏洞數，只比之前幾年有小幅度的上升，而Windows平臺上的第三方軟件漏洞，則以相當快的速度進行增長，甚至成為黑客攻擊Windows系統的主要手段，最近的Flash媒體播放器漏洞，就顯示第三方軟件的漏洞，也會成為用戶系統的嚴重安全威脅。 根據Microsoft的統計數據，目前在攻擊Windows平臺的漏洞利用程序中，有80%是針對Windows XP上的第三方軟件，90%是針對Windows Vista上的第三方軟件。筆者估計，Microsoft的新計劃在開始時可能只會加入Adobe等大型軟件廠商，較小或不被Microsoft承認的軟件廠商仍將游離在外。Microsoft的新計劃也將進一步促進Windows平臺安全一體化的思路，而現有的Windows Update服務是否成為通用的軟件升級服務，值得期待。




本文轉自J0ker51CTO博客，原文鏈接：http://blog.51cto.com/J0ker/92696，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的全球黑客盛会：2008年黑帽大会要闻摘要（2）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。