欧洲黑帽大会：漏洞三篇

　　编者按：

　　今天虽然是周六，但也是欧洲黑帽大会马上就要结束的日子（阿姆斯特丹当地时间14日－17日），安全牛君经过观察，率先给大家总结出这次大会上的3个神级漏洞。其实，与其说是漏洞不如说是攻击的思维模式，那叫一个牛！

　　先来个开胃菜：－－SOME攻击

　　安全人员Ben Hayak在大会上演示了这种称之为SOME（相同来源方法执行）的攻击方法，并成功的搞定Google+上的用户。

　　这种方法的利用原理与最近的名人裸照泄露事件类似。受害者用手机拍照，然后照片通过Google的“自动备份”功能自动上传到Google+的服务器中。而黑客只需让受害者点击一个链接，就可把用户所有的照片和视频发送到自己控制的服务器上。

　　这个漏洞与Java脚本对象注释与填充(JSONP)的执行有关，可以允许攻击者以用户的身份执行动作。如果利用恶意广告作为载体，该攻击甚至无需用户介入即可发生。

　　SOP（相 同来源策略）是一种安全机制，用来防止不相关的网站相互影响。然而，有时为了与第三方服务通信，网站需要屏蔽SOP。比如，网站需要识别访问的地理位置 时，需要使用网络地理服务。网站开发者可能会使用JSONP这种通信技术从不同的域名服务器上请求数据，因为用户的浏览器并不会强制执行SOP 的<script>标签。

　　JSONP 使用一个回调函数从第三方服务获取数据，黑客通过构造这个调用函数的参数，就能够任意执行网站允许的用户操作。当受害者点击恶意链接时，会打开一个执行操 作的新窗口。但这一切发生的非常迅速，在受害者还没有感觉到异样时窗口就关闭了。为了避免引起用户的怀疑，黑客在攻击完成后还可以打开一个合法的网站进行 掩饰。

　　Hayakg表示，攻击者可以执行所有必要的操作。以Google+为例，攻击分为两步。一选择受害者账户中的照片，二发送给攻击者。

　　令人担忧的是，如果某个域名的网站有漏洞，那么这个域名下所有的页面都会受这个漏洞的影响。

　　除了Google+以外，还有一些其他的超大型网站受此漏洞影响。研究SOME攻击的安全人员准备在11月份发布一个细节报告，其中会列出这些网站的名字，这些名字中甚至有一些金融机构的网站。

　　该漏洞约在四个月前就提交给了谷歌，几天前谷歌为其打上了补丁。为了奖励漏洞发现者Hayak，谷歌拿出了3133.7美元资金。（安全牛君略感疑惑，有零有整？）

　　三种防范SOME攻击的方法

　　1. 回调函数使用静态函数命名，限制该函数的调用范围。

　　2. 谷歌的解决方法是，把回调函数加入服务器端的白名单。

　　3. Hayak建议，注册回调函数。

　　开胃菜吃完，正餐来了：－－无比霸道的REF

　　地球人都知道，大多数网页攻击都需要用户访问的服务器端存有恶意软件，以下载到受害者的机器上，如挂马攻击。但下面要介绍的这种霸道的攻击方法无需把恶意软件上传到任何地方。

　　安全人员Oren Hafif发现的这种新型网页攻击方法，他称之为REF（反射文件下载）。

　　RFD 并不复杂，一些入行不深的黑客都可以利用。其原理为，利用没有正确处理用户输入且未能正确返回内容类型的网页应用程序，比如浏览器，以及基于网页的 API（应用程序接口）发动攻击。攻击者只需找到接受用户控制输入的某个API，然后把它反射给API的响应中去。之所以称为“反射文件下载”是因为恶意 软件根本就没有传到用户访问的目标网站，网站只是反射了它。

　　与RFD类似的网页攻击是XSS（跨站脚本），都需要受害者点击一个精心构造的恶意链接，但REF则会通过这次点击把恶意软件“反射”（下载）到受害者的计算机上。

　　这种攻击的最可怕之处在于，黑客可以构造诸如google.com或bing.com这种看上去可信的链接实施攻击。Hafif表示，他已经发现了至少20家大型网站存在RFD漏洞。

　　当用户点击恶意链接时，网页浏览器会发送一个访问请求给存在漏洞的网站，网站则返回一个响应，这个响应会在用户的计算机上存成一个文件。攻击者可以在构造的恶意链接中设置这个恶意文件的名字。

　　攻击者可以把恶意链接构造成看起来像某种流行程序的更新，以骗取用户的点击。如“www.google.com/s；/ChromeSetup.bat；” 这样的链接，由于是开头是合法的谷歌域名，欺骗性非常之大。这种攻击方法，无异于把恶意程序真正的传到网站上，省却了黑客的一个大麻烦。

　　目前的vista或windows7等操作系统，会在用户执行一个未知发布方的程序时弹出安全警告。然而，这个安全警告可以被某种方法绕过，因此当用户执行下载到本机的恶意程序时并不会收到警告。（这个方法就是改造文件名，你懂得。）

　　当恶意程序安装到系统中之后，就能以系统权限的级别执行各种任务。例如，执行操作系统命令以安装其他恶意软件，盗取用户浏览器会话中的数据，或是完全控制用户的计算机。

　　为了证明这种攻击的严重性，研究人员开发了一种可在Facebook、Google+、推特和LinkedIn等社交网站传播的蠕虫。该蠕虫进入用户的浏览 器后，借助命令标志的帮助控制浏览器，然后假冒用户行为访问任何站点，并通过用户的电子邮件账户和社交账户传播恶意链接。

　　早在今年3月份漏洞信息就提交给了谷歌和Bing，后者当天就解决了问题。但谷歌花了差不多3个月才修补了它的大多数网站。

　　Hafif表示这种攻击方法与攻击JSON或JSONP的技术不可同日而语，后者的漏洞利用技术过于脆弱，但存在后者漏洞的网站及易被RFD攻击。同时他还表示，尚未发现利用RFD漏洞的攻击行为，但这很可能意味着RFD正在被黑客悄悄地利用。

　　肿么样？这个攻击方法够不够威猛？？

　　不过最后一个更加无法无天：－－搞定物理隔离设备！

　　把 计算机与互联网隔开，称之为物理隔离，被认为是保护关键系统和敏感数据网络远离攻击的终极方法。但知名密码研究专家Adi Shamir（RSA加密系统的联合发明人）和两名以色列大学的研究人员，最近找到了控制物理隔离系统上恶意程序运行的方法。把计算机与互联网隔开以防止 网络攻击的方法，从此不再万无一失。

　　理论上，即使攻击者把恶意软件通过USB移动存储设备安装到物理隔离的计算机上，他也很难有机会操作计算机上的恶意程序或盗取上面的数据。

　　但Shamir通过研究发现，如果这台物理隔离的计算机连接到一台多功能打印机上，攻击者就可以通过可见光或红外线，发送命令给计算机上的恶意程序。具体原理如下：

　　在复印机的盖子呈打开状态时，如果有光源重复地对着扫描仪盖子里面的白色涂层闪烁，扫描出来的图片会在黑色背景处出现一系列的白线。这些白线与光源的闪烁频率或称脉冲所对应，其密集程度则取决于脉冲间隔。

　　通过这一原理，研究人员开发了能够以不同时间间隔发射光脉冲的摩斯码，并可读出白线显示的二进制码（即0和1）消息。物理隔离设备上的恶意软件可以设置成某个时间运行，比如在晚上，以执行远处黑客发过来的命令。

　　Shamir估计一次扫描能够发送几百个字节的数据，已经足够发送短小的命令激活内置到恶意软件中的各种功能。

　　研究人员已经成功的测试了从距离200米、900米和1200米处发动的攻击，攻击对象是位于以色列比尔谢巴市一栋大楼里的计算机和打印机。这座大楼还是EMC、甲骨文和其他大企业的研究中心。测试人员使用激光束通过办公室的窗户，照射到打印机的盖子上。

　　使用更强的激光束甚至可以从5公里外发送命令，而攻击者可能更偏爱使用红外线，因为红外线是不可见光，但研究人员只是从较短的距离进行了测试因为高强高的红外线激光束对人的视力有害。

　　除了等待恶意软件的运行以开始一次扫描以外，攻击者还可以在办公室人员扫描文件把打印机的盖子打开时发动攻击。在这种情况下，白线会出现在复印件的边缘。

　　研究人员也找到了把数据传回给攻击者的方法，使用扫描仪本身产生的光。因为恶程序能够开始和取消扫描操作，攻击者可以从扫描仪发光的时间和盖子的反射得到信息。这种方法不如接收命令时有效率，但每次至少能收到少量的数据。因此可以重复操作，以最终得到关键信息，比如密钥。

　　从远处检测扫描仪发出的光需要非常敏感的设备，如果计算机处于高层办公室，攻击者就很难找到合适的位置发动攻击，Shamir表示，可以使用无人机搞定。

　　该攻击手法与所谓的边信道攻击类似，后者通过分析计算机系统电源的消耗、电磁泄露甚至是加密时的声音，来得到密钥。（关注“信息安全知识”，回复“边信道”可阅读《用手触碰电脑即可破解密码》）