一年一度的Pwn2own黑客大赛已经落下帷幕。这次大赛有哪些亮点?浏览器和手机安全问题是否迫在眉睫?《对话IT》音频栏目有幸邀请到国内两位知名的网络安全研究人员,一起聊一聊2011年的Pwn2own。
++++
如不能收听,请点击链接:
http://netsecurity.51cto.com/secu/radio/duihuaIT1_Pwn2own2011.mp3
关于智能手机安全的问题,今天我们有幸采访到资深无线安全研究人员,《无线网络安全攻防实战》系列书籍的作者 杨哲。
问:Pwn2own2011年的黑客大赛已经落下帷幕了。我们发现目前有一些人认为,越是开放的手机系统越不安全。这次参与比赛的四款手机系统,有开源的,也有封闭的。是不是越封闭的系统,比如是windows mobile,攻破的难度就越大呢?
答:不是这样的,我们举个例子,在过去的10多年来,Windows由于其便捷的窗口化操作和用户不可见的后台处理机制,赢得了大量的用户。但与此同时,也吸引了大量的黑客及组织对其研究,那最终的结果我们都知道,就是微软的漏洞数量和发布频率要比其它操作系统高很多,而直到现在Windows并没有像Linux一样开源。同样地,在智能手机领域,Windows Mobile占据的江山可以说还没有达到和Windows XP这样一个级别,所以可以看到在06年以前无论是手机病毒还是攻击的 对象都主要是Nokia的Symbian,为什么呢,因为Nokia占据了80%的手机市场。但在最近几年,随着使用Windows Mobile系统的智能手机在市场占有率的提高,也爆出了多个威力比较大的漏洞,比如09年比较出名的HTC智能手机爆出的蓝牙协议栈漏洞,这个漏洞是由 于HTC在开发基于Windows Mobile的蓝牙驱动时的疏漏所致,但经过测试,发现它影响到了09年7月前出厂的几乎所有基于Windows Mobile6/6.5的HTC手机。
总的来说,就是说,并不是封闭的系统,其攻破的难度就越大。按照这个理论,那是不是说只要选择闭关锁国,这样就可以无敌了?呵呵。
问:此次比较遗憾的是,Windows Mobile和Android平台的攻击者没有来到大赛的现场。之前看到一些报道,Android平台的安全问题会是2011年比较让人担忧的,你觉得是这样吗?为什么Android的安全问题开始浮出水面?
答:我们都知道,绝对的安全是不存在的,所以Android的问题肯定是有的,比如去年底国外一些黑客组织就陆续发布了针对 Android2.0/2.1的多个0Day攻击漏洞,可以导致用户的智能手机远程执行恶意代码、资源耗尽导致死机等。其实无论任何操作系统,安全问题都 是存在的,只是其流行程度和关注程度还远没有达到临界点罢了。这个临界点就是由手机的用户数量、流行程度所决定的。这个道理就如同我们刚才提到的 Windows一样。
问:您觉得此次pwn2own黑客大赛的亮点是什么?这样的比赛,它的意义在哪里?
答:亮 点就是手机厂商与安全人员甚至是黑客的正面对决,这表明了厂商愿意从根本上提高自身安全,愿意对潜在的安全问题负责,愿意为用户负责的态度。相信很多朋友 都愿意看到这种让厂商直面自身安全隐患,将其所谓的自信直接放在炉上烤的感觉,这比厂商发布100个公告和声明要有意义的多。这个比赛让我想起了数年前某个防火墙厂商的一个悬赏活动,在单位时间内只要攻破其防火墙设备访问到后方的某一个指定文件,即可获得5万元的奖励。这个Pwn2Own与其性质完全一致,但在这么 多主流移动设备供应商的支持下,特别是重赏之下必有勇夫嘛,一些安全研究人员也愿意将自己的技术展现出来,来向很多厂商疏漏的角度展开攻击,这对厂商的提 高也是巨大的,所以说,Pwn2Own黑客大赛的深远意义要高出了很多。
问:在智能手机安全领域,我们之前也采访过一些手机安全厂商,目前他们还没有看到大规模的手机木马、病毒的爆发,当前的手机安全软件也大多定位在在隐私保护和软件管理上,您估计手机安全问题到什么阶段可能会大规模爆发?
答:恩,其实主要是因为国内确实没有面临过大规模手机病毒爆发的事件,所以目前国内的手机安全防护类软件主要偏向于隐私保护上,但在国外,早在04年 起,自从针对Nokia的Cabir等手机蠕虫病毒的泛滥,使得很多国际上比较有名的产品对手机木马病毒方面的关注度还是很高的,
比如Mcafee、赛门铁克、Kapersky、F-Secure等等。
问:有人认为手机安全问题会随着手机支付的发展而凸现出来,您是怎么看待智能手机平台的黑色产业链和潜在的利润体系的?
答:显然地,由于国情的不同,对于中国来说,非法软件在手机后台吸费将会是这几年来主要的问题,不过手机自身的安全问题也将受到越来越多的关注,比如现在 很多人开始陆续享受到的手机支付等,也将随着普及而出现新的安全问题。而作为黑色产业链这个问题已经不是一两家安全公司、团体或者单纯的手机安防软件能够 解决的问题,它需要多个相关部门的联合才能够最大程度地堵住这个黑洞。
++++++
关于浏览器安全的问题,我们来咨询一位在国内知名安全公司工作的技术大拿。对客户端软件安全和Web安全有着很丰富的经验。不过他现在不太方便透露自己的姓名。所以呢,我们这边就不做介绍了。
问:关于Pwn2own2011黑客大赛有几个问题想跟您沟通一下,pwn2own黑客大赛已经结束了,在浏览器的部分, Chrome和Firefox浏览器都没有被攻破,而值得一提的是Chrome浏览器连续3届黑客大赛上都顺利过关,您觉得Chrome的安全性真的是一 个神话吗?
答:Chrome的安全系数是比较高的,但是它并不是绝对的安全。为什么chrome的其安全性很高呢?主要有两个方面的 原因,一个是谷歌提供了一个有偿的安全谷歌计划,也就是如果有安全人员发现了chrome的安全漏洞,就会有一个有偿的补助,是1000美元到3000美 元不等,所以很多安全研究人员发现了chrome的安全漏洞就会上报给谷歌;然后另外一个方面就是,chrome的有一个安全的沙盒,也就是如果 chrome有这么一个安全漏洞,但是(黑客利用这个漏洞)并不能直接攻击chrome,也就是说浏览器虽然存在安全漏洞,但是不能被直接攻击。也就是 chrome没有被攻破的最主要原因。
问:也就是说攻击者要绕过这个沙盒才能对chrome进行攻击?
答:对。
问:那您刚才说的有偿计划,其他浏览器厂商没有这种机制吗?
答:Firefox也有这种有偿补助,所以这两个浏览器的安全系数高一些,火狐在参加这个大赛之前就已经修复了十多个安全漏洞。
问:所以说它(Firefox)在这次比赛有点侥幸的因素在里边是吧?
答:对
问:第二个问题,作为一名安全研究人员来说,您平常最常用的浏览器是什么?
答:火狐。
问:为什么?
答:因为火狐是一个老牌的插件浏览器,它有很多的插件,可以方便日常的一些工作。
问:那这是从使用功能方面来说的,那其他方面呢?
答:其他方面的话,它最主要的特点就是开源,你可以了解到这个浏览器最近有没有什么安全漏洞,或者可以在开源社区里讨论它的安全漏洞或者防护措施之类的,都可以在第一时间知晓。
问:那我问最后一个问题,和技术有点相关的,就是您能介绍一下常规的浏览器漏洞挖掘技术都有哪些吗?
答:常规的浏览器漏洞挖掘技术的话应该是两块,一块是闭源的,闭源的话主要靠逆向,像(攻击)IE浏览器主要靠逆向,逆向的话是可以直接从源代码分析浏览器的一些漏洞。另外一种是fuzzing也就是模糊测试这种方法,来发现黑盒这种方式测试浏览器的漏洞。
IT听听看之对话IT:关注IT、聆听IT。所谓对话,是与IT业界的专家、学者和用户的直接对话,也是与IT技术、热点事件和IT应用的对话。
对话IT主持人:鲜橙、嘉文
IT听听看围脖:
http://t.sina.com.cn/2016492641