Pwn2Own黑客大賽帶來的兩大安全警示
原創(chuàng)【51CTO.com獨家翻譯】本周CanSecWest安全大會在溫哥華如期開幕,其中該盛會的內(nèi)容包括年度Pwn2Own黑客大賽,安全研究人士將紛紛展示自己的黑客技能,來實現(xiàn)入侵安裝了最新補丁的系統(tǒng)。從往年的經(jīng)歷來看,這些安全人士往往有驚人之舉。通過分析今年的黑客大賽,安全專家托尼•布拉德利(Tony Bradley)對用戶提出了兩大安全警示。
在今年的黑客大賽中,兩名安全專家已經(jīng)成功在數(shù)秒內(nèi)實現(xiàn)了對全補丁版iPhone 3GS的入侵,這是iPhone 2.0首次被入侵。在過去兩年中因攻破蘋果筆記本而成名的查理•米勒(Charlie Miller),再次完成了該任務(wù)。另一名安全專家則繞過了ASLR和DEP等微軟安全控制,攻破了64位Windows 7系統(tǒng)。
通過今年的黑客大賽,企業(yè)至少可以得到兩個安全警示。首先,使用蘋果的硬件和軟件并非安全的免死金牌。盡管人們通常認為Mac OS X操作系統(tǒng)天生比Windows更安全,但Mac系統(tǒng)不被攻擊的真正主要原因是,對于惡意軟件開發(fā)者來說,在選擇攻擊目標(biāo)時,擁有92%市場份額的平臺,顯然要比擁有5%市場份額的平臺更具“投資回報率”。
具有諷刺意味的是,盡管Mac OS X平臺上確實沒有真正的惡意軟件威脅,這使得Mac用戶把自己的系統(tǒng)當(dāng)作不受威脅的避風(fēng)港,從而面臨著其它方式的安全威脅。許多Mac用戶非常確信自己的系統(tǒng)不會被攻破,因此對安全防護問題完全無視。不幸的是,釣魚攻擊和身份信息盜竊更像是一門社會工程學(xué)功能而非安全技術(shù),缺乏安全意識讓Mac用戶身處險境。
來自Pwn2Own黑客大賽的第二個警示是:瀏覽器已經(jīng)成為安全的新“阿喀琉斯之踵”,這和硬件或軟件平臺無關(guān)。安全專家利用Safari手機瀏覽器中一個未知的漏洞攻破了iPhone。米勒也是通過Safari瀏覽器控制了操作系統(tǒng)。而64位Windows 7操作系統(tǒng)被攻破的罪魁禍?zhǔn)讋t是IE8。
雖然有人曾呼吁用戶放棄IE瀏覽器轉(zhuǎn)向更安全的網(wǎng)絡(luò)瀏覽器,但最近的一項研究卻證明,在防范社會工程學(xué)攻擊方面,IE8的表現(xiàn)明顯要好于其它瀏覽器。運行瀏覽器的操作系統(tǒng)也對瀏覽器的安全具有重大影響。
今年黑客大賽得出的第一個警示并非說明哪一個平臺更安全,或者哪一個瀏覽器會被更快速的攻破。重要的是,對于一個具有專注精神病掌握了足夠資源的攻擊者來說,所有平臺和瀏覽器都是不安全的。
今年早些時候在中國發(fā)生了“極光行動”(Operation Aurora)攻擊事件,多數(shù)人存在一種誤解,認為如果被攻擊者當(dāng)時不是使用IE瀏覽器,或許可以避免黑客的入侵。
這種誤解認為,攻擊者發(fā)現(xiàn)了IE瀏覽器中的一個安全漏洞,然后對其利用它對那些使用IE作為默認瀏覽器的用戶進行了攻擊和入侵。這種邏輯看似合理,畢竟它或多或少符合惡意攻擊的傳統(tǒng)模式。
但是,一次有針對目標(biāo)的攻擊則是另外一種情況,攻擊者確定目標(biāo)后,研究其使用的操作系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)瀏覽器,找出其安全漏洞從而有針對性的制定出攻擊方法。
因此,即使他們使用的是Mac OS X系統(tǒng)而非Windows 7,或者使用的是谷歌Chrome瀏覽器而非微軟IE,也無法避免一個專注黑客發(fā)起攻擊。
當(dāng)然,這并非說用戶毫無應(yīng)對良策而簡單的放棄安全防護,而是需要牢記,不要把任何事物當(dāng)作安全的“尚方寶劍”,它不是選擇合適的操作系統(tǒng),也不是選擇合適的網(wǎng)絡(luò)瀏覽器。
無論你選擇哪一個操作系統(tǒng)和瀏覽器,安全意識依然是保證你安全的決定性因素。在今年的黑客大賽上,iPhone和蘋果筆記本的被入侵,都是借助于誘惑用戶訪問一個惡意網(wǎng)頁,然后實現(xiàn)攻擊。如果用戶意識到安全風(fēng)險,不去點擊未知或可疑的鏈接,此類攻擊或許不會那么容易得手。
不過,蘋果或許應(yīng)該同意Opera迷你網(wǎng)絡(luò)瀏覽器進入iPhone,這樣用戶在選擇瀏覽器時,能夠擁有另外一個可能更安全的選擇。
【51CTO.COM 獨家翻譯,轉(zhuǎn)載請注明出處及作者!】
