如果说拉斯维加斯是一个展现一切的地方,对于2天在此参加2007年黑帽大会的安全专家们来说,他们所展现的仅是基于IP的语音技术(VoIP),, rookits和移动电话等的所有安全弱点。
对于这次来恺撒宫举行参加会议的的约3700名与会者来说,就像是在野外的散步,当一些安全从业者表露他们的谨慎或是感到欣喜这样一个事实,那就是现在所用的电脑系统实际是只不过是黑客手里的任人揉搓的面团而已。在其中一个会议中,来自于Mandiant的高级安全咨询者Nick Barbour在他的发言中甚至告诉听众怎么样来编写更好的恶意软件。
Nick Barbour说:“找出更多的能够逃避侦察技术的恶意软件使我的工作变的更加有意思,”他在他的一篇名为“恶意软件Ninjashe秘密”的演讲稿中说到。Barbour继续详细阐述了一些技术,包括实时系统反侦察技术,Windows hook植入机制以及其他一些他所认为能够使恶意软件的制造技术更上一层的技术。“这个演讲绝大部分是隐含巨大威胁的。”
很多的都是与黑帽大会的主题是一致的,诚实是唯一的也是最好的方针。
iSec Partners的安全专家Himanshu Dwivedi 和 Zane Lackey利用这一舞台给人们传递了不好的消息:以H.323和IAX协议为基础的基于IP的语音技术(VoIP)非常容易受到攻击。
目前已知的SIP 的问题有很多,Dwivedi说,“但是我们现在认为H.323 和IAX协议的问题也有很多。”
一旦有人怀疑他们发现H.323 和IAX协议的验证系统设计是多么的脆弱以至于让黑客们威胁到VoIP系统和发动DoS攻击,他们就能够在iSec Partners的网站上找到工具来证实他们的论点。
在重返黑帽大会并再度拿出虚拟化的rootkits这个主题后,Joanna Rutkowska证实现在研究者基本上找到了侦察她的发明的方法,她在去年因为发明了虚拟化的rootkit恶意软件Blue Pill而引起了全世界的关注。在她的演讲中,她已经在网上发布了Blue Pill及其新的变种New Blue Pill,任何人都可以下载。
这一事件引起了Symantec的关注,在这一会议之前Symantec曾经请求过她共享
Blue Pill的样本,因为Symantec, Matasano Security 和Root Labs三家机构合力找到一项能够侦察到虚拟化的恶意软件的技术,但是他们在手头的唯一的可供测试的虚拟化的恶意软件就是由Dino Dai Zovi发明的Vitriol。
“我们认为将这样一个代码发布给公众是非常危险的,”Symantec的安全响应部门主管Oliver Friedrichs对她发布Blue Pill时的评论说。虽然发布Blue Pill的本意是为研究用,Symantec估计不久之后就会变成另一个攻击工具。他说现在还没有任何公布Vitriol的计划,这只是一种虚拟化rootkit的简单版本。
像DoS和黑客僵尸网络等黑客技术现在已经开始应用于社会冲突中,譬如说今年早些时候对爱沙尼亚的网络攻击,这个只有130万人口的小国拥有完善的电子商务网络和网络基础设施。
爱沙尼亚方面称它的银行和政府网站在4月末和5月的时候都罢工了。据一名调查者说,此次DoS攻击,还有专门设计的僵尸网络用来破坏爱沙尼亚的国内和商务网络的事件,是与发生在该国首都的俄罗斯民族主义者和爱沙尼亚人的街头暴乱的紧张局势相关的。
“我努力去了解双方,”著名的僵尸网络猎捕手Gadi Evron说,他被爱沙尼亚邀请去防御和分析此事件造成的后果,一些人称之为“第一次因特网之战”。
Evron在他的黑帽大会上作的演讲中称,他不会使用这一术语,但是这是网络冲突。根据目前爱沙尼亚的官员调查的结果,第一波针对特定网站的DoS攻击实际上是由“俄罗斯博客半球”这一组织发动的,其中愤怒的俄罗斯演讲者号召Ping入网站。Evron说“他们提供了足以供所有人使用的工具。”
几个星期后的第二波攻击用心更加险恶。“有一次攻击就是由一个专门设计的僵尸计算机发动的” Evron说,“目标就是源文件的硬编码。”
这些硬编码僵尸计算机,是用来攻击爱沙尼亚国内的特定的网站的,它们感染了爱沙尼亚国内的计算机,然后使之成为发动攻击的源头。在事后的分析中,分析家正努力找出真相,这究竟只是简单的黑客的入侵还是有克里姆林宫参与的有组织的攻击,但是俄罗斯政府否认了自己参与其中。
“谁是幕后黑手” Evron幽默的说,“KGB(克格勃)吧,但是他们不再存在了。”
虽然苏联的KGB不在了,但是人们很难忘记他们作事情的方式。“是的,KGB确实是不存在了,我不能告诉你“俄罗斯博客半球”这一组织的行为究竟是偶然的还是有组织的,”但是Evron补充道,“很难相信这一事件只是一个偶然。”
一些迹象表明在最初的时候一个有组织的计划就已经出炉了。“‘俄罗斯博客半球’这一俄语网站不停的更新攻击的说明。”他指出,“它不断的调整和对付爱沙尼亚的防御措施。”
Evron指出这样一种以因特网为基础的信息战将成为未来冲突的一部分,对手将公民的计算机和网络作为对付敌方的工具。
当然了,并不是所有的在黑帽大会上的都是坏消息。
譬如说,至少我们应该为这样一个事实感到高兴,那就是现在的手机和小灵通病毒仍然只是数以千计的电脑的病毒的一小部分,现在只有373种专门针对电话的病毒。
现在,绝大部分的以手机为基础的病毒针对的都是Symbian平台,Hypponen说,虽然他暗示病毒可能会转向Windows Mobile 平台和 iPhone。他指出,现在的手机病毒的编写者绝大多数的只是破坏手机使用的恶作剧者。
现在基本上没有证据表明这些手机恶意软件的编写者转变成和PC恶意软件编写者一样的拜金者。现在也没有发现像针对PC一样类型的病毒,譬如说rootkits或是通过邮件复制的病毒。“我们也没有发现无法清除的手机病毒。
(责任编辑:罗洪泽)
