移动和Web安全将成黑帽大会热门话题

黑帽USA 2012安全大会将于本周三到本周四举行,据悉安全研究人员将会披露关于近场通信(NFC)、移动基带固件、HTML5和Web应用等的最新漏洞。

黑帽USA大会今年是第15届,届时将会有数千位安全热衷者和IT专业人士将会聚首在拉斯维加斯举办的年度安全会议,观看安全行业一些最顶尖的研究人员展示他们的最新发现。

随着智能手机的迅速普及,移动技术已成为安全研究的一个重要内容。今天的很多手机实际上都是微型计算机,其上存有大量敏感数据,这也使得它们成了攻击者攻击的目标。

一些智能手机厂商已经实施了NFC技术,可以让智能手机完成无接触移动支付。用户只须在有NFC功能的设备上晃动手机便可完成交易。

著名的苹果黑客Charlie Miller在安全咨询公司Accuvant担任首席研究咨询师,他研究了现有NFC实现的安全性,发现了一些可以滥用NFC技术的方法,控制一些智能手机在未经用户允许的情况下便可进行盗取文件、打开网页等动作。

在某些情形下,攻击者可通过NFC完全控制手机,让它们盗取照片、联系人、发送文本短信,甚至自行拨打电话。在今年的美国黑帽大会上,Miller展示其最新发现一事有可能是本届大会最值得期待的内容之一。

在另一场移动安全展示中,卢森堡大学的研究人员Ralf-Philip Weinmann将讨论针对基带处理器——即负责与蜂窝网络通信的手机微处理器——的攻击。

去年,Weinmann展示了如何利用基带处理器的漏洞把手机变身为远程间谍设备,欺骗手机用户与一个流氓GSM基站——一个瘦身版的手机基站——通信。该基站可使用一些现成的硬件和开源软件构建。

今年,Weinmann计划展示这些流氓基站甚至不必去主动发起攻击便可得逞,因为一些基带漏洞可通过IP网络加以利用。

Weinmann在其演示文件中描述道,如果对运营商网络的某些组件按某种方式进行配置,便可同时攻击大量的智能手机。

移动恶意软件的威胁正在日益增长,尤其是针对安卓平台的恶意软件威胁。为了保护安卓用户,防范恶意应用上传至谷歌Play,谷歌创建了一个自动的恶意软件扫描服务,叫做Bouncer。

在黑帽大会上,来自Trustwave的安全研究员Nicholas Percoco和Sean Schulte将介绍一种技巧,该技巧可让他们避开Bouncer的检测,让一个恶意应用在谷歌Play上已经驻留了数周。

Percoco称,这个上传到谷歌Play上的应用开始时是良性的,但是随后的升级可为其增加恶意功能。最终结局将是一个可盗取照片与联系人的应用,操控手机去访问一些网站,甚至可发起DoS攻击。

在黑帽大会上做展示之前,Percoco不愿探讨这一技巧的细节,不过他指出,这一技巧并不需要跟用户有任何互动。Percoco称,该恶意应用如果从谷歌Play上下载后就没用了,所以试验期间不会有用户受感染。

在今年的黑帽大会上,在一些新的Web技术中出现的Web攻击和漏洞也将成为重要议题。

网络犯罪分子正越来越多地依赖所谓路过式下载攻击,利用一些广泛流行的浏览器插件,如Java、Flash播放器或Adobe Reader等的已知漏洞制作恶意软件感染计算机。

惠普DVlabs的安全研究人员Jason Jones计划展示对一些最常用Web漏洞工具包,如Blackhole或Phoenix的分析。

Jones在Web漏洞工具包的开发中观察到了一些趋势,包括对Java漏洞利用程序的日益依赖,以及与新漏洞工具更快的集成。

在过去,Web漏洞工具包针对的是一些补丁已经发布了6个月以上甚至一年以上的漏洞。而这些工具包的创建者们如今可以集成这些工具以便更快地发现漏洞,一般只需要在补丁发布一两个月后便可发现,甚至可以发现厂商尚未发布补丁的漏洞,Jones说。

对于网站的防御而言,网站管理员可利用Web应用防火墙(WAF)探测并阻止一些已知的攻击技巧,如SQL注入、目录遍历和其他技巧等。

安全厂商Qualys的工程主任Ivan Ristic也是颇受欢迎的ModSecurity Web应用防火墙的最初作者,他将在黑帽大会上讨论协议级逃避技巧,该技巧可以让攻击者绕过WAF。

Ristic将发布一个工具,该工具经过约150次试探便可确定一个Web应用防火墙是否存在漏洞,可用他所研制的技巧进行躲避。

Ristic希望网站管理员可以用他的工具检测其WAF产品,并将他们所发现的漏洞报告给WAF厂商。该工具的目的并不是想让攻击者更强大,而是想在WAF厂商、客户和安全研究人员中间发动一场关于协议级躲避技巧的更开放的讨论。

一些新的Web技术的安全问题,如HTML5的安全问题,也将在黑帽大会上讨论。

应用安全厂商Blueinfy的创始人Shreeraj Shah会演示如何利用HTML5技术发动秘密攻击以及悄然利用漏洞的内容。

此外,Qualys的软件工程师Sergey Shekyan和Vaagen Toukharian将讨论利用一个HTML5技术,即WebSockets的可能攻击脚本。

Shekyan和Toukharian称,WebSockets的最大问题之一就是大多数防火墙和网络层安全系统无法及时检测到这类流量。这意味着恶意软件所盗取的信息可使用WebSockets与其命令与控制服务器进行通信,而且不会被检测到。

除了移动和Web安全外,黑猫大会还将讨论影响工业控制系统、智能仪表和嵌入式设备的各种安全问题和攻击技巧。