“黑帽”聚会 Web2.0和iPhone成标靶

去年一年，全球范围内黑客攻击网银的案件激增了81%，其中黑客潜入企业信用帐户的案件增加了62%。这是美国最大的信息安全技术提供商SecureWorks在今年的BlackHat上公布的一组数据。

该报告还显示，2006年6月~12月，SecureWorks平均每月为每家银行拦截到808次攻击；今年上半年，平均每个企业帐户都有1462名黑客攻击；而拦截到的对信用合作社的攻击，也从去年的平均每月每家1110次上升到了1799次。

这些骇人的数据，再一次印证了安全专家所警告的“病毒经济”迅猛发展的现实，而“黑客”所指代的，也不再只是那些罗宾汉式的技术狂热者。因此，当今年7月28日~8月2日，举世闻名的“黑帽大会(BlackHat US 2007)”再次召开的时候，全世界的眼球，又一次集中在了拉斯维加斯的凯撒饭店(Caesar’s Palace)——这个全球黑客每年盛大聚会的地点。

大腕云集

今年“黑帽”大会6天的议程中，前四天是特色的专题训练，最后两天则以公开会议的形式来做总结。据国外媒体报道，今年的会议规模大增，到会的黑客、安全专家、甚至媒体都比往年要多，许多国际知名的安全专家和黑客都出现在拉斯维加斯。

《打倒一切敌人》(Against All Enemies)的作者，曾为里根、老布什、克林顿和布什四位美国总统做顾问的Richard Clarke特别到场，做了题为《2017年数字安全的故事》(A Story About Digital Security in 2017)的演讲。这也是“黑帽”大会的一大特色——美国现任或前任政要担任大会主要演讲嘉宾。前几年，FBI的代表和In-Q-Tel(中央情报局于1999年投资成立的非盈利性风险投资公司)的前CEO都曾是“黑帽”的发言人。

在通话电路方面极富经验的计算机安全专家Dan Kaminsky在这次大会上介绍了他在Captcha攻击方面的最新研究。Captcha是通过显示特征阻止论坛和邮件中垃圾信息的识别系统。目前，许多网站都加入了语音Captcha的功能，而需要用来计算的语音信息往往是生硬、急速而且混杂着噪音的。Kaminsky找到了一种用WinAmp能够自动听取、识别，并对语音信息做出反应的方法。

不过，并不是人人都对语音感兴趣，Neal Krawetz则带来了有关数字图片和电影的生动演讲。通过他的技术，人们“不仅能够轻松区分出哪些图片是真实的，哪些是电脑合成的，而且还能够辨别出这些合成的图片是如何制作的。”

而去年以“蓝色药丸”(Blue Pill)闻名于世的黑客Joanna Rutkowska这次也带着她对虚拟化核心程序的最新攻击尝试回来了。不过，赛门铁克的安全专家Thomas Ptacek对Joanna号称“绝对无法察觉”的木马程序并不感到恐惧，并且还在另一场演讲中宣布，Joanna的木马不仅不可怕，甚至比普通得木马更加容易被检测和查杀。

除了这些安全高手们，德国的安全专家Halver Flake就为没能参加这次的聚会而抱怨连连。原本Halver Flake是要在“黑帽”上做培训的，但由于其所携带的培训材料显示，这次培训完全是个人经营，而非企业组织，因此美国以无工作许可证为由，拒绝他入境。为此，Flake在博客中抱怨，“黑帽”的组织方没有提供足够的证明材料，让他错失了这样一个好机会。

Web 2.0正重蹈Web 1.0覆辙

“我们正在把我们的经济越来越多地建立在电脑空间1.0(Cyberspace 1.0)上，但我们却很少为这电脑空间1.0的安全做点什么。”Richard Clark在他的讲话中指出，而这也可以说是今年“黑帽”大会的最佳概括。在Web服务器(网站)和客户端(即浏览器)之间分配处理任务的技术Ajax的表现速率，正在向某些旧有的攻击手段敞开Web 2.0的大门。

在这次“黑帽大会”的一个发言中，现场对Gmail帐户的入侵就是最有力的证明了。Errata Security的CEO Robert Graham向在场的观众演示了他是如何通过一个名为“Hamster和Ferret”的工具，“嗅出”与Web 2.0网站相连的无线电波的。

Graham在他的同事David Maynor发言时，在后台运行了这个工具，寻找在场听众所使用的Web 2.0 cookies。当然，截取cookies早就不是什么新技术了，不同之处是，Graham的技术却能够清楚地找到Web 2.0的文本cookies，然后把截取到的URL在一个新的浏览器中打开。完全不需要密码，只要cookie本身就足够。在演示的最后一部分，Graham打开Hamster的工具，找到了一个已经打开的Gmail账户，随后，某个倒霉蛋的邮件列表就出现在了演示用的大屏幕上。

Graham表示，尽管Web 1.0网站很早以前就已经学会终止cookies，但刚兴起没几年的Web 2.0网站却没有，因此可以很容易地在咖啡店或其他地方找到空气中充斥着的无线用户信息，有些隔几个月甚至还能正常登陆。这种攻击最可怕的地方在于，受攻击者完全不知道自己的账户已经被盗，而且即使更改了密码也没用，因为拥有了这些cookies的黑客，在某种程度上已经成为了账户的主人。

而在另外一组发言中，去年就大谈Web 2.0 Ajax问题、来自SPI Dynamics 的Billy Hoffman，今年继续了这一话题。他在发言中指出，不少已有网站正在以安全为代价，不断地“Ajax化”。而仅仅利用Ajax的已知缺陷，就可以重新排列客户端的JavaScript，订满整架飞机的座位或以1美元的价格购买往返机票。

此外，Hoffman还提及以JaveScript和Perl写成的Web 2.0蠕虫。当网站上有跨站的脚本漏洞时，蠕虫便会自动以JaveScript的形式感染网站。当用户访问该网站时，JaveScript就会下载到他们的浏览器，而Perl则是用来感染服务器的。

有业内人士评论，随着Web 2.0的兴起，Web应用不仅有非常强的公共属性，而且其互动性也大大增加。而与此伴随的，是对极少有人能够通报漏洞。这也就不奇怪，Web应用成了今年“黑帽”们最热衷的话题。

iPhone成了大热门

除了对Web应用的广泛探讨，今年的iPhone取代了去年Vista的地位，成了最受黑客们喜爱的攻击对象。

早在“黑帽”大会开幕前一星期，iPhone存在安全漏洞的说法就已经被炒得火热。一家名为Independent Security Evaluators的安全企业最先表示，发现了iPhone的一个严重安全漏洞，黑客可以通过该漏洞窥探存储在iPhone中的信息，并获取其控制权。该公司在它的网站上，公布了破解视频和一部分漏洞信息，并声称黑客不仅可以通过一个无线接入点偷偷入侵iPhone，甚至通过控制某些网站也可以控制iPhone，甚至用户都不需要打开Safari浏览器，恶意代码就可以入侵。[!--empirenews.page--]

随后，iPhone被部分破解的新闻更是满天飞。就连尚未开始出售iPhone的国内，也传言出现了被破解的iPhone，不过只能打电话还不能发短信。有黑客公然宣称：“破解iPhone已经是指日可待的事情了。”

8月1日，在“黑帽”们公布iPhone漏洞细节之前，经美国国土安全部确认，苹果发布了iPhone的一系列更新，包括对Safari浏览器，以及最基本的WebCore和WebKit库。这是iPhone自6月底正式发布以来，所面临的最大威胁，同时也表现了苹果公司在压力下经受考验的能力。

不过，仍有不少安全专家表示，iPhone缺乏数据安全功能，对iPhone的使用应持谨慎态度，特别是在企业网络中使用iPhone，很可能会带来不堪设想的后果。但Yankee Group的分析师Andrew Jaquith则认为，这些都是安全公司的人在危言耸听。单就技术而言，世界上没有任何一种产品是无法破解的，而这些对iPhone的批评其实都是安全公司的决策问题，安全只是借口。

不过，Jaquith仍表示，iPhone应在补丁中扩大对身份识别的支持，在企业市场，他则建议苹果打开iPhone的IMAP-S功能，使用L2TP over IPSec和非标准接口。