孙冰 孙冰：安全漏洞的现状与发展趋势

本站讯 4月9日消息 今日互联网安全应急年会已经进行到第二天的议程。

孙冰：大家上午好。今天我演讲的题目是安全漏洞的现状与发展趋势。这个题目主要是用来讨论计算机安全热点问题之现状，并且在未来一年之中发展的趋势进行预测。我今天演讲的内容主要会包括以下几个方面：

首先是基于Web的攻击，文件格式的漏洞，驱动城市漏洞，包括现在流行的虚拟化技术，个人数据安全，硬件/固件安全。还有一些热点的话题，像技术软件，还有安全防护软件自身的安全没有涉及到。其实Vista这个平台目前是比较安全的了，没什么可讲。06年1月发布的DSP以后，大概至今只有27个的CVE。07年真正被黑客形成漏洞的只有7个，目前为止没有一个是远程漏洞。

关于自身网站的安全，大家可以参考一个杂志，有一期谈到了各种杀毒软件自身的问题。还有搜狐公司的一个人写过一个关于杀毒软件的相关资料。

一、基于Web的攻击。方式主要有跨站脚本攻击，垃圾邮件，网络钓鱼，方步式/拒绝服务攻击，SOL注入，网页后门/挂马，ActiveX控件漏洞，Web2.0安全。我主要谈的是Web2.0安全，原来客户端的应用将会逐步的应用被网络代替，我们看到的办公软件一边的客户端只是一个显示，真正大量的数据会在网络端实现，这样的话会引起很多安全的问题。今天不想展开谈论这个问题，在最近腾讯的技术安全峰会上，中国有一个人讲过Web2.0的研究，提到了很多Web2.0的问题。

最近有几起案例，包括趋势在内的有1万多个网站，被列入了SOL注入，被挂了JS的网马。在这个网页里面插入了恶意的链接。上个月底在温哥华有一个世界黑客大赛，我作为一个演讲者，有幸观摩了这场黑客大赛。一共有三台机器，其中一台是苹果计算机，一个是Vista等。第一天规格只允许远程攻击，第二天主办方放松了规格，可以浏览网页、输邮件，第三天有一个人2分钟用苹果计算机的一个漏洞把他给搞定了。下一天用一个软件把Vista系统搞定了。大部分的攻击成功的话基本上是利用浏览器漏洞，通过SEO的污染进行攻击。

二、文件格式漏洞。

现在已知存在的漏洞的文件格式，主要是微软M是系列，包括Word，Excel等等。第二类是图像，包括BMP、jpg、GIF，包括客户端软件，MS IE 、MS Visual Basic等等。还有服务端软件。

三、office的系统漏洞统计。08出现的漏洞还是非常多的。预计在后半年它还会有更多的漏洞出来。

趋于程序的漏洞，目前炒得比较热。有利用远程内河内存错误/缓冲区溢出，处理某些特殊构造的畸形封包时，利用IOCTL处理例程本地提取，缺乏对输入缓冲区内容进行验证。真实的案例也很多。大家听过的最多的是微软的DRV。驱动程序漏洞统计，大家可以看到是逐年在递升的。

四、虚拟化技术安全。虚拟化技术从06年到现在是一个非常热门的话题，特别是自从因特尔和微软提出的基于硬件的技术，从处理器里面就可以支持虚拟技术。从虚拟技术诞生以后，它的安全问题也随之而来。主要有三点：1.基于虚拟化技术的Rootkits出现了。真实案例里有一个叫做蓝色药丸，当时有一个波兰的女黑客制作的一个概念型的蓝色药丸，这个蓝色药丸也使她一举成名。2.虚拟化技术安全问题需要对虚拟机检测。如果在虚拟机里面不会发作，将会和真实的环境有所不同。基于虚拟机进行的探测可以使用不可虚拟的指令，使用运行时间的差异，比如一些软件留下的问题。真实的例子是红色药丸。3.虚拟机软件漏洞，包括主操作系统和客操作系统环境。在操作系统里面发生的问题，我们又叫虚拟机逃逸，有四个漏洞，其中一个是CVE-2008-1363，是VMware VMX进程劫持本地权限提升。07年，VMware的漏洞达到28个，非常多。

五、个人数据安全。在信息安全事件出现以后，这个显得尤为的重要。在香港有一个专题的报告，讲个人的数据安全，内容有硬盘密码，现在可以对一个硬盘设置一个密码，每次都会提示你输入密码，输入密码之后才可以用。如果你的计算机丢了，把硬盘拆掉别的电脑上，也需要密码的输入才可以用。另外加密文件系统（EFS），整个磁盘不是加密的，文档安全软件（防水墙），硬盘保护/还原软件/卡。真实的案例也很多，只要得到用户的密码，我们就有可能猜出他加密主密钥的钥匙，最后还是可以破解这个EMS的。在07年的时候，拉斯维加斯有一个演讲，后来因为某种原因演讲被取消了。TPM是由两个印度的开发者研发的，大家可以上网找到他们的网页。

最近有一个可以攻击硬盘保护和还原软件的病毒叫做机器狗，这也是一个比较热门的问题。其实，这个病毒主要是对硬盘还原软件设置的磁盘过滤、驱动器拆链，达到自己和硬盘对换的目的。这个病毒机器狗现在已经有好几代了。

六、硬件/固件安全。这个话题在国外的会议，还有一些研究的报告里面看到，但是国人对硬件的安全好像研究的并不是很多。历届的安交峰会上只有一篇。应急安全问题我能想到的主要包括：CPU，南/北桥芯片组；BIOS、EFI，各种Firmware，如mp3播放器等。还有TPM安全芯片。还有比较热点的问题包括RFID，也是一种业务芯片，像第二代的身份证，里面不是简单的一张卡，里面有自己的芯片在。外国人对它研究非常多，基本现在每个大型的安全会议里面都有对RFID的研究。我有一个朋友可以复制电子护照，电子护照里就是RFID。但是在乘坐飞机的时候，被FBI拘留了。还有嵌入式设备，手机、PDA、游戏机、EC。无线电系统：GSM、GPS、卫星系统。真实的案例也不少，有一篇是关于CPU微码的译文不错，大家可以看看。还有利用因特尔南桥之顶块交换功能进行BIOS启动劫持，之前我曾经做过演讲。

我的演讲就到这里。需要感谢大会的主办方，还有一些工作人员，在专业技术指导上的技术。如果大家有问题的话，可以会后找我交流。谢谢！