本周CanSecWest安全大会在温哥华如期开幕,其中该盛会的内容包括年度Pwn2Own黑客大赛,安全研究人士将纷纷展示自己的黑客技能,来实现入侵安装了最新补丁的系统。从往年的经历来看,这些安全人士往往有惊人之举。通过分析今年的黑客大赛,安全专家托尼?布拉德利(Tony Bradley)对用户提出了两大安全警示。
在今年的黑客大赛中,两名安全专家已经成功在数秒内实现了对全补丁版iPhone 3GS的入侵,这是iPhone 2.0首次被入侵。在过去两年中因攻破苹果笔记本而成名的查理?米勒(Charlie Miller),再次完成了该任务。另一名安全专家则绕过了ASLR和DEP等微软安全控制,攻破了64位Windows 7系统。
通过今年的黑客大赛,企业至少可以得到两个安全警示。首先,使用苹果的硬件和软件并非安全的免死金牌。尽管人们通常认为Mac OS X操作系统天生比Windows更安全,但Mac系统不被攻击的真正主要原因是,对于恶意软件开发者来说,在选择攻击目标时,拥有92%市场份额的平台,显然要比拥有5%市场份额的平台更具“投资回报率”。
具有讽刺意味的是,尽管Mac OS X平台上确实没有真正的恶意软件威胁,这使得Mac用户把自己的系统当作不受威胁的避风港,从而面临着其它方式的安全威胁。许多Mac用户非常确信自己的系统不会被攻破,因此对安全防护问题完全无视。不幸的是,钓鱼攻击和身份信息盗窃更像是一门社会工程学功能而非安全技术,缺乏安全意识让Mac用户身处险境。
来自Pwn2Own黑客大赛的第二个警示是:浏览器已经成为安全的新“阿喀琉斯之踵”,这和硬件或软件平台无关。安全专家利用Safari手机浏览器中一个未知的漏洞攻破了iPhone。米勒也是通过Safari浏览器控制了操作系统。而64位 Windows 7操作系统被攻破的罪魁祸首则是IE8。
虽然有人曾呼吁用户放弃IE浏览器转向更安全的网络浏览器,但最近的一项研究却证明,在防范社会工程学攻击方面,IE8的表现明显要好于其它浏览器。运行浏览器的操作系统也对浏览器的安全具有重大影响。
今年黑客大赛得出的第一个警示并非说明哪一个平台更安全,或者哪一个浏览器会被更快速的攻破。重要的是,对于一个具有专注精神病掌握了足够资源的攻击者来说,所有平台和浏览器都是不安全的。
今年早些时候在中国发生了“极光行动”(Operation Aurora)攻击事件,多数人存在一种误解,认为如果被攻击者当时不是使用IE浏览器,或许可以避免黑客的入侵。
这种误解认为,攻击者发现了IE浏览器中的一个安全漏洞,然后对其利用它对那些使用IE作为默认浏览器的用户进行了攻击和入侵。这种逻辑看似合理,毕竟它或多或少符合恶意攻击的传统模式。
但是,一次有针对目标的攻击则是另外一种情况,攻击者确定目标后,研究其使用的操作系统、应用程序和网络浏览器,找出其安全漏洞从而有针对性的制定出攻击方法。
因此,即使他们使用的是Mac OS X系统而非Windows 7,或者使用的是谷歌Chrome浏览器而非微软IE,也无法避免一个专注黑客发起攻击。
当然,这并非说用户毫无应对良策而简单的放弃安全防护,而是需要牢记,不要把任何事物当作安全的“尚方宝剑”,它不是选择合适的操作系统,也不是选择合适的网络浏览器。
无论你选择哪一个操作系统和浏览器,安全意识依然是保证你安全的决定性因素。在今年的黑客大赛上,iPhone和苹果笔记本的被入侵,都是借助于诱惑用户访问一个恶意网页,然后实现攻击。如果用户意识到安全风险,不去点击未知或可疑的链接,此类攻击或许不会那么容易得手。
不过,苹果或许应该同意Opera迷你网络浏览器进入iPhone,这样用户在选择浏览器时,能够拥有另外一个可能更安全的选择。 |
|