对话IT:安全技术大拿解读pwn2own***大赛

一年一度的Pwn2own***大赛已经落下帷幕。此次大赛有哪些亮点?浏览器和手机安全问题是否迫在眉睫?《对话IT》音频栏目有幸邀请到国内两位知名的网络安全研究人员,一块儿聊一聊2011年的Pwn2own。chrome

++++windows

如不能收听,请点击连接:api

http://netsecurity.51cto.com/secu/radio/duihuaIT1_Pwn2own2011.mp3浏览器

关于智能手机安全的问题,今天咱们有幸采访到资深无线安全研究人员,《无线网络安全***实战》系列书籍的做者 杨哲。安全


问:Pwn2own2011年的***大赛已经落下帷幕了。咱们发现目前有一些人认为,越是开放的手机系统越不安全。此次参与比赛的四款手机系统,有开源的,也有封闭的。是否是越封闭的系统,好比是windows mobile,攻破的难度就越大呢?网络


   答:不是这样的,咱们举个例子,在过去的10多年来,Windows因为其便捷的窗口化操做和用户不可见的后台处理机制,赢得了大量的用户。但与此同时,也吸引了大量的***及组织对其研究,那最终的结果咱们都知道,就是微软的漏洞数量和发布频率要比其它操做系统高不少,而直到如今Windows并无像Linux同样开源。一样地,在智能手机领域,Windows Mobile占据的江山能够说尚未达到和Windows XP这样一个级别,因此能够看到在06年之前不管是手机病毒仍是***的 对象都主要是Nokia的Symbian,为何呢,由于Nokia占据了80%的手机市场。但在最近几年,随着使用Windows Mobile系统的智能手机在市场占有率的提升,也爆出了多个威力比较大的漏洞,好比09年比较出名的HTC智能手机爆出的蓝牙协议栈漏洞,这个漏洞是由 于HTC在开发基于Windows Mobile的蓝牙驱动时的疏漏所致,但通过测试,发现它影响到了09年7月前出厂的几乎全部基于Windows Mobile6/6.5的HTC手机。app


   总的来讲,就是说,并非封闭的系统,其攻破的难度就越大。按照这个理论,那是否是说只要选择闭关锁国,这样就能够无敌了?呵呵。ide


   问:这次比较遗憾的是,Windows Mobile和Android平台的***者没有来到大赛的现场。以前看到一些报道,Android平台的安全问题会是2011年比较让人担心的,你以为是这样吗?为何Android的安全问题开始浮出水面?
    答:咱们都知道,绝对的安全是不存在的,因此Android的问题确定是有的,好比去年末国外一些***组织就陆续发布了针对 Android2.0/2.1的多个0Day***漏洞,能够致使用户的智能手机远程执行恶意代码、资源耗尽致使死机等。其实不管任何操做系统,安全问题都 是存在的,只是其流行程度和关注程度还远没有达到临界点罢了。这个临界点就是由手机的用户数量、流行程度所决定的。这个道理就如同咱们刚才提到的 Windows同样。
   问:您以为这次pwn2own***大赛的亮点是什么?这样的比赛,它的意义在哪里?
   答:亮 点就是手机厂商与安全人员甚至是***的正面对决,这代表了厂商愿意从根本上提升自身安全,愿意对潜在的安全问题负责,愿意为用户负责的态度。相信不少朋友 都愿意看到这种让厂商直面自身安全隐患,将其所谓的自信直接放在炉上烤的感受,这比厂商发布100个公告和声明要有意义的多。这个比赛让我想起了数年前某个防火墙厂商的一个悬赏活动,在单位时间内只要攻破其防火墙设备访问到后方的某一个指定文件,便可得到5万元的奖励。这个Pwn2Own与其性质彻底一致,但在这么 多主流移动设备供应商的支持下,特别是重赏之下必有勇夫嘛,一些安全研究人员也愿意将本身的技术展示出来,来向不少厂商疏漏的角度展开***,这对厂商的提 高也是巨大的,因此说,Pwn2Own***大赛的深远意义要高出了不少。测试


   问:在智能手机安全领域,咱们以前也采访过一些手机安全厂商,目前他们尚未看到大规模的手机***、病毒的爆发,当前的手机安全软件也大多定位在在隐私保护和软件管理上,您估计手机安全问题到什么阶段可能会大规模爆发?
    答:恩,其实主要是由于国内确实没有面临过大规模手机病毒爆发的事件,因此目前国内的手机安全防御类软件主要偏向于隐私保护上,但在国外,早在04年 起,自从针对Nokia的Cabir等手机蠕虫病毒的泛滥,使得不少国际上比较有名的产品对手机***病毒方面的关注度仍是很高的,
   好比Mcafee、赛门铁克、Kapersky、F-Secure等等。ui


   问:有人认为手机安全问题会随着手机支付的发展而凸现出来,您是怎么看待智能手机平台的黑色产业链和潜在的利润体系的?
   答:显然地,因为国情的不一样,对于中国来讲,非法软件在手机后台吸费将会是这几年来主要的问题,不过手机自身的安全问题也将受到愈来愈多的关注,好比如今 不少人开始陆续享受到的手机支付等,也将随着普及而出现新的安全问题。而做为黑色产业链这个问题已经不是一两家安全公司、团体或者单纯的手机安防软件可以 解决的问题,它须要多个相关部门的联合才可以最大程度地堵住这个黑洞。
   ++++++

 关于浏览器安全的问题,咱们来咨询一位在国内知名安全公司工做的技术大拿。对客户端软件安全和Web安全有着很丰富的经验。不过他如今不太方便透露本身的姓名。因此呢,咱们这边就不作介绍了。


问:关于Pwn2own2011***大赛有几个问题想跟您沟通一下,pwn2own***大赛已经结束了,在浏览器的部分, Chrome和Firefox浏览器都没有被攻破,而值得一提的是Chrome浏览器连续3届***大赛上都顺利过关,您以为Chrome的安全性真的是一 个神话吗?


   答:Chrome的安全系数是比较高的,可是它并非绝对的安全。为何chrome的其安全性很高呢?主要有两个方面的 缘由,一个是谷歌提供了一个有偿的安全谷歌计划,也就是若是有安全人员发现了chrome的安全漏洞,就会有一个有偿的补助,是1000美圆到3000美 元不等,因此不少安全研究人员发现了chrome的安全漏洞就会上报给谷歌;而后另一个方面就是,chrome的有一个安全的沙盒,也就是若是 chrome有这么一个安全漏洞,可是(***利用这个漏洞)并不能直接***chrome,也就是说浏览器虽然存在安全漏洞,可是不能被直接***。也就是 chrome没有被攻破的最主要缘由。


   问:也就是说***者要绕过这个沙盒才能对chrome进行***?
   答:对。


   问:那您刚才说的有偿计划,其余浏览器厂商没有这种机制吗?
   答:Firefox也有这种有偿补助,因此这两个浏览器的安全系数高一些,火狐在参加这个大赛以前就已经修复了十多个安全漏洞。
   问:因此说它(Firefox)在此次比赛有点侥幸的因素在里边是吧?
   答:对
   问:第二个问题,做为一名安全研究人员来讲,您日常最经常使用的浏览器是什么?
   答:火狐。


   问:为何?
   答:由于火狐是一个老牌的插件浏览器,它有不少的插件,能够方便平常的一些工做。


   问:那这是从使用功能方面来讲的,那其余方面呢?
   答:其余方面的话,它最主要的特色就是开源,你能够了解到这个浏览器最近有没有什么安全漏洞,或者能够在开源社区里讨论它的安全漏洞或者防御措施之类的,均可以在第一时间知晓。


   问:那我问最后一个问题,和技术有点相关的,就是您能介绍一下常规的浏览器漏洞挖掘技术都有哪些吗?
   答:常规的浏览器漏洞挖掘技术的话应该是两块,一块是闭源的,闭源的话主要靠逆向,像(***)IE浏览器主要靠逆向,逆向的话是能够直接从源代码分析浏览器的一些漏洞。另一种是fuzzing也就是模糊测试这种方法,来发现黑盒这种方式测试浏览器的漏洞。

 

IT听听看之对话IT:关注IT、聆听IT。所谓对话,是与IT业界的专家、学者和用户的直接对话,也是与IT技术、热点事件和IT应用的对话。

 

对话IT主持人:鲜橙、嘉文

 

IT听听看围脖:

http://t.sina.com.cn/2016492641

相关文章
相关标签/搜索