超过4500人参加的Black Hat USA 2008大会
2008年8月6日,第12届Black Hat USA大会在美国内华达州拉斯维加斯的凯撒皇宫酒店揭开了帷幕。在为期2天的Black Hat Briefings会议中,共有来自全球的超过4500名参会者来到酷热中的拉斯维加斯,这些人囊括了全世界最著名的软件安全厂商、独立安全研究人员和众多的黑客。
作为全球领先的安全会议,Black Hat大会上公开的研究成果都是信息安全领域绝对的热点,所涉及的领域从互联网接入、Web应用安全,到路由器、服务器操作系统的安全,涉及面之广,参与人员之多,在世界上都是无可比拟的。Black Hat的创始人Jeff Moss希望将Black Hat办成一个学习和分享技术的大会。下面就让我们一起来看看这个代表技术自由、言论自由和行为自由的全球最大的Black Hat(黑帽)安全大会,今年给我们带来了怎样的惊喜?
今年的开场讲演是由来自英国伦敦London School of Economics管理学院的Ian Angell教授所做的,他的题目是:Complexity in Computer Security – A Risky Business。在Angell教授风趣生动的点明计算机安全的极度复杂和多变之后,Black Hat展开了二天13场不同主题的讨论会,分别是:Root Kits; 0-Day/0-Day Defense; App Sec 1.0/2.0; Bots & Malware; Deep Knowledge; The Network; Over the Air; Reverse Engineering; Forensics; Hardware; Web2.0; Virtualization和Turbo Talks。下面就让我们一起来看看其中的精彩展示。
RootKits
作为“攻击者用来隐藏自己的踪迹和保留root访问权限的工具”,RootKits从上世纪90年代起已经出现在黑客的标准制式武器中。近几年来,随着系统软件的不断更新和多任务系统应用,RootKits又重新引起了人们的极大关注。今年Black Hat的Root Kits有几大看点,分别来自CPU厂商Intel和针对苹果OS X系统的应用。
看点1(Intel Inside of Security?):来自Intel公司安全中心的Yuriy Bulygin给我们展示了如何使用英特尔虚拟化技术来分析恶意软件的技术。它的原理在于利用英特尔芯片中的虚拟扩展技术(virtualization extensions,VT)来规避恶意软件对虚拟机和物理机的检查。也许在不久的将来我们就会见到Intel Inside of Security的标识出现。
看点2(好苹果?坏苹果:OS X):你可以想象一个从核坏掉的苹果会是个什么样子吗?Jesse D’Aguanno给我们展示了Crafting OS X Kernel Rootkits的技术,从浅入深地讲述了OS X Kernel XNU的由来和其设计上的弱点,并对Kernel Extensions(KEXT)做深度解析。然后用了一个实际的例子来做System Call Hooking和Network Stack Hooking的展示,整个过程相当精彩。
0-Day和0-Day防御
笔者记得三年前的Black Hat 2005会议上,安全研究人员Michael Lynn曾经发表过如何未经授权就在Cisco路由器上执行shell code代码的报告。随即Cisco公司在Black Hat会议之后以侵犯知识产权为由,将Lynn和Black Hat会议的组织者告上了法庭,从而引起软件安全业内的轩然大波。作为今年Black Hat大会白金赞助商的Cisco,终于又向针对Cisco路由器攻击方面的研究敞开大门。而来自英国Information Risk Management Plc.的二名资深技术顾问Gyan Chawdhary和Varun Uppal则给我们带来了一场精彩的Cisco IOS Shellcodes展示。其中包括了IOS Debugging,IOS Shellcodes Development tools的使用,如何Building IOS Shellcodes等实例。
作为软件业巨头的微软,在今年的Black Hat推出了一项针对第三方软件厂商的举措,那就是微软的积极保护项目(Microsoft Active Protections Program)。来自于微软的Mike Reavey、Katie Moussouris和Steve Adegbite详细介绍了这项计划。根据这项计划,有资格的软件安全开发商可以提早获得将出现在微软每月的月度安全报告上的信息。这样,相关的软件安全开发商将提早为安全报告上所描述的漏洞所需的补丁做准备。
Deep Knowledge
重头戏在Deep Knowledge版块出现了。笔者个人认为今年Black Hat最好看的一场Show是在6号下午Deep Knowledge中出现的黑客对决。先前在0-Day漏洞时笔者曾经提到预防和杜绝零日漏洞有很多种途径,其中一种就是加强产品出厂前的源代码测试和漏洞挖掘。作为基于黑盒测试技术的Fuzzing(用完全随机的输入数据来测试程序)和基于白盒技术的源代码扫描哪个会更强呢,让我们一起来看看这场Fuzzing Challenge大战。
这场对决的双方是由Charlie Miller、Jacob Honoroff组成的Fuzzing战队对阵由Sean Fay和Geoff Morrison组成的源代码分析小组。裁判团也都是由重量级的人物组成,他们是来自Mozilla的Window Snyder(Chief Security Officer)、Zscaler公司的Michael Sutton(VP Security Research)和Crucial Security公司的Jared DeMott(多本Fuzzing畅销书的作者)。竞赛规则很简单,对阵双方将要在1个小时的时间内分别用Fuzzing方式和源代码分析方式尽可能多得找到Firefly Media Server 0.2.4.2版本中存在的漏洞并完成Proof of Concept(POC)。
了解Apple安全的人都知道,Charlie Miller是赫赫有名的Apple黑客,作为Independent Security Evaluators (ISE)首席分析师的Charlie,在今年3月份CanSecWest的PWN 2 OWN大赛上仅用了2分钟即利用Safari浏览器的一个漏洞,攻破了安装有Mac OS X系统的苹果Mac Book Air笔记本电脑,获得1万美元奖金并且还领走了这台被他攻破的全新Apple笔记本。而Sean Fay也不是等闲之辈,在麻省理工取得文学和计算机二个学位后,Sean作为源代码扫描产品的首席架构师加盟了软件安全领导厂商Fortify Software公司。经过1个小时的紧张比拼,Fuzzing战队以2:1获得了这场Fuzzing Challenge的胜利。
Turbo Talks
Turbo Talks是在Black Hat USA第二天出现的栏目。在这个栏目中一般会有许多有意思的Topic和事件供大家讨论。今年比较有意思的有Justin Clarke做的“SQL Injection Worms for Fun and Profit”,Brian Holyfield讲的“Protecting Vulnerable Applications with IIS7”等。而Forensic Analysis公司的Mark Shelhart更是用一个题目为“Meet the Owner of a Real Hacked Company”的Talk赚足了与会者的眼球。
