本站訊 4月9日消息 今日互聯(lián)網(wǎng)安全應(yīng)急年會(huì)已經(jīng)進(jìn)行到第二天的議程。

孫冰：大家上午好。今天我演講的題目是安全漏洞的現(xiàn)狀與發(fā)展趨勢(shì)。這個(gè)題目主要是用來討論計(jì)算機(jī)安全熱點(diǎn)問題之現(xiàn)狀，并且在未來一年之中發(fā)展的趨勢(shì)進(jìn)行預(yù)測(cè)。我今天演講的內(nèi)容主要會(huì)包括以下幾個(gè)方面：

首先是基于Web的攻擊，文件格式的漏洞，驅(qū)動(dòng)城市漏洞，包括現(xiàn)在流行的虛擬化技術(shù)，個(gè)人數(shù)據(jù)安全，硬件/固件安全。還有一些熱點(diǎn)的話題，像技術(shù)軟件，還有安全防護(hù)軟件自身的安全沒有涉及到。其實(shí)Vista這個(gè)平臺(tái)目前是比較安全的了，沒什么可講。06年1月發(fā)布的DSP以后，大概至今只有27個(gè)的CVE。07年真正被黑客形成漏洞的只有7個(gè)，目前為止沒有一個(gè)是遠(yuǎn)程漏洞。

關(guān)于自身網(wǎng)站的安全，大家可以參考一個(gè)雜志，有一期談到了各種殺毒軟件自身的問題。還有搜狐公司的一個(gè)人寫過一個(gè)關(guān)于殺毒軟件的相關(guān)資料。

一、基于Web的攻擊。方式主要有跨站腳本攻擊，垃圾郵件，網(wǎng)絡(luò)釣魚，方步式/拒絕服務(wù)攻擊，SOL注入，網(wǎng)頁后門/掛馬，ActiveX控件漏洞，Web2.0安全。我主要談的是Web2.0安全，原來客戶端的應(yīng)用將會(huì)逐步的應(yīng)用被網(wǎng)絡(luò)代替，我們看到的辦公軟件一邊的客戶端只是一個(gè)顯示，真正大量的數(shù)據(jù)會(huì)在網(wǎng)絡(luò)端實(shí)現(xiàn)，這樣的話會(huì)引起很多安全的問題。今天不想展開談?wù)撨@個(gè)問題，在最近騰訊的技術(shù)安全峰會(huì)上，中國有一個(gè)人講過Web2.0的研究，提到了很多Web2.0的問題。

最近有幾起案例，包括趨勢(shì)在內(nèi)的有1萬多個(gè)網(wǎng)站，被列入了SOL注入，被掛了JS的網(wǎng)馬。在這個(gè)網(wǎng)頁里面插入了惡意的鏈接。上個(gè)月底在溫哥華有一個(gè)世界黑客大賽，我作為一個(gè)演講者，有幸觀摩了這場(chǎng)黑客大賽。一共有三臺(tái)機(jī)器，其中一臺(tái)是蘋果計(jì)算機(jī)，一個(gè)是Vista等。第一天規(guī)格只允許遠(yuǎn)程攻擊，第二天主辦方放松了規(guī)格，可以瀏覽網(wǎng)頁、輸郵件，第三天有一個(gè)人2分鐘用蘋果計(jì)算機(jī)的一個(gè)漏洞把他給搞定了。下一天用一個(gè)軟件把Vista系統(tǒng)搞定了。大部分的攻擊成功的話基本上是利用瀏覽器漏洞，通過SEO的污染進(jìn)行攻擊。

二、文件格式漏洞。

現(xiàn)在已知存在的漏洞的文件格式，主要是微軟M是系列，包括Word，Excel等等。第二類是圖像，包括BMP、jpg、GIF，包括客戶端軟件，MS IE 、MS Visual Basic等等。還有服務(wù)端軟件。

三、office的系統(tǒng)漏洞統(tǒng)計(jì)。08出現(xiàn)的漏洞還是非常多的。預(yù)計(jì)在后半年它還會(huì)有更多的漏洞出來。

趨于程序的漏洞，目前炒得比較熱。有利用遠(yuǎn)程內(nèi)河內(nèi)存錯(cuò)誤/緩沖區(qū)溢出，處理某些特殊構(gòu)造的畸形封包時(shí)，利用IOCTL處理例程本地提取，缺乏對(duì)輸入緩沖區(qū)內(nèi)容進(jìn)行驗(yàn)證。真實(shí)的案例也很多。大家聽過的最多的是微軟的DRV。驅(qū)動(dòng)程序漏洞統(tǒng)計(jì)，大家可以看到是逐年在遞升的。

四、虛擬化技術(shù)安全。虛擬化技術(shù)從06年到現(xiàn)在是一個(gè)非常熱門的話題，特別是自從因特爾和微軟提出的基于硬件的技術(shù)，從處理器里面就可以支持虛擬技術(shù)。從虛擬技術(shù)誕生以后，它的安全問題也隨之而來。主要有三點(diǎn)：1.基于虛擬化技術(shù)的Rootkits出現(xiàn)了。真實(shí)案例里有一個(gè)叫做藍(lán)色藥丸，當(dāng)時(shí)有一個(gè)波蘭的女黑客制作的一個(gè)概念型的藍(lán)色藥丸，這個(gè)藍(lán)色藥丸也使她一舉成名。2.虛擬化技術(shù)安全問題需要對(duì)虛擬機(jī)檢測(cè)。如果在虛擬機(jī)里面不會(huì)發(fā)作，將會(huì)和真實(shí)的環(huán)境有所不同?；谔摂M機(jī)進(jìn)行的探測(cè)可以使用不可虛擬的指令，使用運(yùn)行時(shí)間的差異，比如一些軟件留下的問題。真實(shí)的例子是紅色藥丸。3.虛擬機(jī)軟件漏洞，包括主操作系統(tǒng)和客操作系統(tǒng)環(huán)境。在操作系統(tǒng)里面發(fā)生的問題，我們又叫虛擬機(jī)逃逸，有四個(gè)漏洞，其中一個(gè)是CVE-2008-1363，是VMware VMX進(jìn)程劫持本地權(quán)限提升。07年，VMware的漏洞達(dá)到28個(gè)，非常多。

五、個(gè)人數(shù)據(jù)安全。在信息安全事件出現(xiàn)以后，這個(gè)顯得尤為的重要。在香港有一個(gè)專題的報(bào)告，講個(gè)人的數(shù)據(jù)安全，內(nèi)容有硬盤密碼，現(xiàn)在可以對(duì)一個(gè)硬盤設(shè)置一個(gè)密碼，每次都會(huì)提示你輸入密碼，輸入密碼之后才可以用。如果你的計(jì)算機(jī)丟了，把硬盤拆掉別的電腦上，也需要密碼的輸入才可以用。另外加密文件系統(tǒng)（EFS），整個(gè)磁盤不是加密的，文檔安全軟件（防水墻），硬盤保護(hù)/還原軟件/卡。真實(shí)的案例也很多，只要得到用戶的密碼，我們就有可能猜出他加密主密鑰的鑰匙，最后還是可以破解這個(gè)EMS的。在07年的時(shí)候，拉斯維加斯有一個(gè)演講，后來因?yàn)槟撤N原因演講被取消了。TPM是由兩個(gè)印度的開發(fā)者研發(fā)的，大家可以上網(wǎng)找到他們的網(wǎng)頁。

最近有一個(gè)可以攻擊硬盤保護(hù)和還原軟件的病毒叫做機(jī)器狗，這也是一個(gè)比較熱門的問題。其實(shí)，這個(gè)病毒主要是對(duì)硬盤還原軟件設(shè)置的磁盤過濾、驅(qū)動(dòng)器拆鏈，達(dá)到自己和硬盤對(duì)換的目的。這個(gè)病毒機(jī)器狗現(xiàn)在已經(jīng)有好幾代了。

六、硬件/固件安全。這個(gè)話題在國外的會(huì)議，還有一些研究的報(bào)告里面看到，但是國人對(duì)硬件的安全好像研究的并不是很多。歷屆的安交峰會(huì)上只有一篇。應(yīng)急安全問題我能想到的主要包括：CPU，南/北橋芯片組；BIOS、EFI，各種Firmware，如mp3播放器等。還有TPM安全芯片。還有比較熱點(diǎn)的問題包括RFID，也是一種業(yè)務(wù)芯片，像第二代的身份證，里面不是簡(jiǎn)單的一張卡，里面有自己的芯片在。外國人對(duì)它研究非常多，基本現(xiàn)在每個(gè)大型的安全會(huì)議里面都有對(duì)RFID的研究。我有一個(gè)朋友可以復(fù)制電子護(hù)照，電子護(hù)照里就是RFID。但是在乘坐飛機(jī)的時(shí)候，被FBI拘留了。還有嵌入式設(shè)備，手機(jī)、PDA、游戲機(jī)、EC。無線電系統(tǒng)：GSM、GPS、衛(wèi)星系統(tǒng)。真實(shí)的案例也不少，有一篇是關(guān)于CPU微碼的譯文不錯(cuò)，大家可以看看。還有利用因特爾南橋之頂塊交換功能進(jìn)行BIOS啟動(dòng)劫持，之前我曾經(jīng)做過演講。

我的演講就到這里。需要感謝大會(huì)的主辦方，還有一些工作人員，在專業(yè)技術(shù)指導(dǎo)上的技術(shù)。如果大家有問題的話，可以會(huì)后找我交流。謝謝！