安全业的“魔道”之争—黑帽安全大会侧记

　　两周前在美国拉斯维加斯凯撒宫饭店召开的“黑帽安全大会(BlackHat)”及随后举办的姊妹会议——DefCon黑客大会，是网络安全业界备受关注的事件。因为在会上所展示的关于网络技术的各种漏洞以及对操作系统和网络设备的全新攻击方式，对于安全业界和设备厂商来说既是严峻的挑战，也是一次绝好的学习和修补产品缺陷的机会。

　　今年的黑帽大会已经是第12届，参会人数(4500人)比去年增加了12.5%，网络安全业界“黑白两道”的焦点人物几乎悉数到场。今年所谈论的主题更为多元化，涵盖了语音服务安全、数字识别、硬件、DNS攻击、零时攻击以及零时防御等。新的主题还包括：操作系统核心、应用程序安全、逆向工程，以及应用程序安全测试等。

　　历年的黑帽大会对于网络业界来说都可谓是一次“恐怖的体验”，今年也不例外。几乎所有重要的网络设备和应用都无法逃脱被攻击的厄运，我们所熟知的思科路由器、iPhone、Firefox、Windows与Vista、PC播放器……甚至连鼠标、照片和光标都会成为黑客们利用的工具。而通过本届黑帽大会，你会知道，就连SSLVPN也远不如我们原先预想的那么安全。

　　而与历届大会不同的是，本次黑帽大会还设置了一个展厅，差不多全被安全厂商和设备厂商的展示摊位所占据。黑帽大会创始人JeffMoss辩解说，厂商的赞助对于大会的成功举办来说是非常重要的，但是这并不意味着本届大会将会放弃自己独立于厂商的传统立场。

　　除了这些厂商们的展台以外，与会者们还看到了更多有分量的安全话题，其中一个话题就是业界轻率地推进“虚拟化一切”所可能带来的安全问题。

　　虚拟化的危险

　　虚拟化“并不会让你省钱，只会让你花费更多。虚拟化的安全问题会严重影响到系统的性能、韧性和可扩展性。”Unisys的首席安全架构师ChristopherHoff说。Hoff的演讲慷慨激昂，他认为用户社区正在被业界不顾及安全后果的有关虚拟化的甜言蜜语所误导。

　　Hoff在题为“虚拟化启示录的四骑士”的演讲中指出，“在未来的12到18个月内，当所有的厂商都宣称它们已经全面虚拟化的时候，就将会出现一种让人非常不舒服的情况。”

　　Hoff言辞激烈地谈到了网络业的走向，他说，一旦思科、博科、3Leaf和Xsigo这四家公司与其他厂商匆匆忙忙地把基础的交换架构虚拟化，但却对这么做的安全后果毫无清晰想法的话，“就将会出现严重的混乱局面”。因为企业客户将要面对他们完全不熟悉的拓扑结构，包括像生成树和生成树协议(STP)这样完全不熟悉的技术。

　　“所谓虚拟交换其实不过是类似hypervisor的一段代码而已，”Hoff说。“它基本上就是二层的交换模块，”增加了虚拟交换就意味着你把网络折叠成了“一个单层”，其风险不言而喻。

　　虚拟安全——他称为“VirtSec”——是紧随着虚拟化设备的引入而出现的。因为这些设备将会复制传统的安全防御手段，比如入侵检测系统(IPS)、防病毒和防火墙等。但是Hoff说，一旦诸多的安全功能开始争夺虚拟机资源时，就会出现性能瓶颈，这与今天综合了IPS、防火墙和其他安全功能的统一威胁管理设备争夺系统资源的情形是一样的。

　　虚拟化网络的容量规划“也将变得越来越难于预测。”Hoff说。他还对防火墙的虚拟化深表怀疑，因为这意味着也要把防火墙的隔离区(DMZ)进行虚拟化。

　　“假如我要V-motion一个防火墙，那么它就会不工作，”Hoff说，他是在谈及自己在快速部署虚拟机时对VMware及其V-motion功能进行的研究时说这番话的。采用虚拟化，“你就不可能摆脱基于主机的安全软件。当我们增加更多的解决方案时，我们也就增加了复杂性。”所以他建议黑帽大会的听众“千万别被轻易拽进这样的复杂环境中去。”

　　当然，虚拟化厂商也并非像Hoff所指责的那样完全一无是处，或者说思路混乱。惠普的首席安全战略官ChrisWhitener就向参会的听众提出了保护虚拟服务器安全的五项建议。(参见相关链接)

　　思科路由器成为新的攻击目标

　　虽然虚拟化吸引了大多数与会者的关注，但是今年的黑帽大会也没有放过微软和思科等巨头。不过今年专家们认为，微软的Windows不再是一块寻找漏洞的狩猎乐园了，研究者们开始寻找其他产品作为新的攻击目标。而思科的路由器就是一个很有意思的目标。因为根据IDC的报告，思科路由器占有60%以上的市场份额。

　　三年前，安全专家MikeLynn就曾发现过思科路由器的一个漏洞而成为2005年黑帽大会的焦点人物。他本人在思科施加的压力下丢掉了饭碗，不过很快他就被思科的对手Juniper聘用了去。于是，发现思科路由器漏洞的工作转入地下，所发现的漏洞也开始标价出售，比如Lynn发现的漏洞就值25万美元。如今，思科已经意识到，仅仅靠施压是没有用的，所以开始赞助今年的黑帽大会。

　　今年，情况有了变化。黑帽大会的组织者们组织了三场有关思科路由器和IOS漏洞的讨论会。

　　“只要你的企业有自己的网络，你就肯定会用到思科的设备，”欧洲一家数据服务厂商COLTTelecom负责网络设计与安全的高级经理NicolasFischbach说。

　　但是思科的路由器却并不像Windows那样容易被攻击。它们不为黑客们所熟悉，而且每台路由器都有很多复杂的配置，对其中一台的成功攻击转移到另一台上就有可能不成功。另一个差别是，思科路由器的管理员不会经常下载并运行软件。Fischbach说，近年来，思科也做了大量的工作，以减少来自网络的针对其路由器发起的攻击数量。“简而言之，拿来一种技术就能轻易攻击网络服务的时代真的过去了，”他说。配置完好的路由器被来自企业网络之外的黑客攻击的风险“实际上是很低的。”

　　但是这似乎并未阻止安全研究人员去取得最新“成果”。

　　两个月前，Core安全公司的研究员SebastianMuniz就展示了为思科路由器安装不易被检测到的rootkit程序的新方法。而在最近，其同事ArielFutoransky则进一步改进了这些方法。

　　来自信息风险管理(IRM)咨询公司的两位研究人员GyanChawdhary和VarunUppal再次考察了Lynn的工作，仔细检查了Lynn绕过IOS的安全功能CheckHeap的方法，这种方法就是扫描路由器的内存，查看内存修改类型，从而允许黑客在系统上运行未授权的代码。

　　他们发现，思科虽然禁止了Lynn所使用的绕过CheckHeap的技术，但仍然存在其他办法可以偷偷地改写系统的代码。在Lynn发表了他的发现之后，思科“只是简单地修补了矢量，”Chawdhary说。“但是漏洞依然存在。”通过修改部分路由器的内存，他们便能够绕过CheckHeap而在IOS上运行自己的外壳代码了。

　　他们两人发表了一款GNUDebugger的修正版，可以让黑客们看清思科IOS软件内核的进程，以及3段可用来控制思科路由器的外壳程序。

　　与此同时，Recurity实验室主任FelixLindner则发表了他的思科取证工具，称为CIR(思科事件响应)工具，目前已通过beta测试。其免费版本可以为rootkits检查路由器的内存，而商用版本则可以检测攻击并执行设备的取证分析。

　　这个软件足以让Fischbach这样的网络专业人士改变想法，可以让他们去看看思科设备的内存是否已被篡改。“我认为它有一个用途，”Lindner说。“当你要取证时，这就是部分可用的工具，但却并不是唯一可用的工具。”

　　严重的DNS安全问题

　　来自黑帽大会的另一个引人瞩目的话题就是已被高度公开化的DNS(互联网域名系统)漏洞，上网的电脑利用它便可相互间彼此找到对方。

　　安全专家DanKaminsky在过去几个月里一直在为软件厂商和互联网公司修补这个DNS漏洞。7月8日，Kaminsky首度公开披露了这一漏洞，并告诫企业用户和ISP尽快修复其软件。

　　Kaminsky在本次黑帽大会上详细披露了这一安全问题的细节，描述了如何利用DNS发起系列攻击的方法，引起了与会者广泛的关注。Kaminsky还谈到，他已经修补的一些关键性的互联网服务依然可能被此类攻击所破坏。

　　利用DNS协议工作时的一系列漏洞，Kaminsky指出了一种使用无用信息就能很快填满DNS服务器的方法。罪犯们便可利用这一技术将牺牲品很快重定向到一些虚假网站上去。此外，Kaminsky还谈到了很多实施可能性更大的攻击类型。

　　他说，黑客们利用这一漏洞还可以损及电子邮件系统、软件升级系统和一些流行网站上的口令恢复系统。

　　尽管很多人认为，SSL连接不会受到这一攻击的影响，但Kaminsky还是展示了，即便有SSL证书来认证网站的有效性，DNS攻击仍有可能绕过SSL认证这一关而发起攻击。他说，这个问题之所以存在，是因为很多企业发行的SSL证书是通过类似电子邮件和网页的互联网服务来提供的。“想想看，面对DNS攻击，这样的安全有多么靠不住。”Kaminsky说。“SSL并非包治百病的良药。”

　　Kaminsky谈到的另一个主要问题是“忘记密码”攻击。这种攻击会波及很多拥有口令恢复系统的企业。罪犯们可能声称自己忘记了登录该网站的口令密码，然后便可使用DNS攻击技巧触发该网站发送口令给他们。

　　除了DNS服务商以外，Kaminsky还谈到了他为Google、Facebook、Yahoo和eBay等公司修补各种与此漏洞相关问题的事情。

　　虽然一些参会者认为Kaminsky的谈话有些夸张，但OpenDNS的CEODavidUlevitch却指出，安全服务商IOActive的研究人员已经完成了一项对于互联网社区来说很有价值的研究项目。而该项目表明，“DNS攻击的整体规模迄今为止还远未被彻底认清。这种攻击将会涉及上网的每一个人。”Ulevitch说。

　　相关链接

　　五个步骤让虚拟服务器更安全

　　1.利用服务器固化工具和其他方法保护主机操作系统。

　　附加一些操作系统功能，如操作系统各分区间的相互隔离和安全强化功能，便可大大缩小主机操作系统的“被攻击面积”。

　　2.确保主机操作系统与客户机操作系统同样安全。

　　虚拟机会继承主机操作系统的所有弱点。因此，如果有必要，就得选择一种可以在各个客户机操作系统事例之间提供强大安全隔离功能的虚拟化技术。如果企业担心某个客户机上的恶意软件会攻击其他的客户机，或者不同的客户机管理员之间不存在相互信任关系的话，那么虚拟层就必须按照强调这种不信任的想法来进行设计。

　　3.主机操作系统的安全策略应反映不同虚拟机的需求。

　　利用主机操作系统执行法规遵从要求，会进一步强化对于法规遵从的保障。而且这么做时可以不必顾及客户机管理员的信任与否。

　　4.管理虚拟化进程应该更像是在管理物理资源。

　　主机操作系统和虚拟机的安全生命周期必须同时在数据中心进行有效的管理。理想情况下，虚拟基础设施的管理应该和物理资源的管理采用同样的方式。这包括软件的配置、升级和打补丁、审计和性能监控等。

　　5.安全管理物理基础设施时须保持充分的警觉。

　　在虚拟化平台上部署工作负载时应使其更容易迁移，具有更大的灵敏性。这并不是说物理基础设施就可以忽略，物理基础设施在支持这些虚拟工作负载的良好执行过程中发挥着至关重要的作用。虚拟化基础设施的安全就取决于物理资源的配置和访问控制能否在数据中心实行安全的管理。

　　(惠普首席安全战略官ChrisWhitener)