“黑帽”聚頭 Ｗｅｂ ２．０和ｉＰｈｏｎｅ成標靶

7月28日，全世界的眼球又一次集中在了拉斯維加斯的凱撒飯店——這個全球黑客每年盛大聚會的地點。在世界頂級黑客面前，Web 2.0 和iPhone似乎都變得不堪一擊。

去年一年，全球范圍內黑客攻擊網銀的案件激增了81%，其中黑客潛入企業信用賬戶的案件增加了62%——這是美國最大的信息安全技術提供商SecureWorks在今年的BlackHat上公布的一組數據。

該報告還顯示，2006年6月～12月，SecureWorks平均每月為每家銀行攔截到808次攻擊；今年上半年，平均每個企業賬戶都有1462名黑客攻擊；而攔截到的對信用合作社的攻擊，也從去年的平均每月每家1110次上升到了1799次。

這些駭人的數據，再一次印證了安全專家所警告的“病毒經濟”迅猛發展的現實。而“黑客”所指代的，也不再只是那些羅賓漢式的技術狂熱者。因此，當今年7月28日～8月2日，舉世聞名的“黑帽大會(BlackHat US 2007)”再次召開的時候，全世界的眼球又一次集中到了拉斯維加斯的凱撒飯店（Caesar’s Palace）——這個全球黑客每年盛大聚會的地點。

大腕云集

今年“黑帽”大會6天的議程中，前四天是獨具特色的專題訓練，最后兩天則以公開會議的形式來做總結。據國外媒體報道，今年的會議規模大增，到會的黑客、安全專家、甚至媒體都比往年要多，許多國際知名的安全專家和黑客都出現在拉斯維加斯。

《打倒一切敵人》（Against All Enemies）的作者，曾為里根、老布什、克林頓和布什4位美國總統做顧問的Richard Clarke特別到場，做了題為《2017年數字安全的故事》（A Story About Digital Security in 2017）的演講。這也是“黑帽”大會的一大特色——美國現任或前任政要擔任大會主要演講嘉賓。前幾年，FBI的代表和In-Q-Tel（美國中央情報局于1999年投資成立的非盈利性風險投資公司）的前CEO都曾是“黑帽”的發言人。

在通話電路方面極富經驗的計算機安全專家Dan Kaminsky在這次大會上介紹了他在Captcha攻擊方面的最新研究。Captcha是通過顯示特征阻止論壇和郵件中垃圾信息的識別系統。目前，許多網站都加入了語音Captcha的功能，而需要用來計算的語音信息往往是生硬、急速而且混雜著噪音的。Kaminsky找到了一種用WinAmp能夠自動聽取、識別，并對語音信息做出反應的方法。

不過，并不是人人都對語音感興趣，Neal Krawetz就帶來了有關數字圖片和電影的生動演講。通過他的技術，人們“不僅能夠輕松區分出哪些圖片是真實的，哪些是電腦合成的，而且還能夠辨別出這些合成的圖片是如何制作的。”

而去年以“藍色藥丸”（Blue Pill）聞名于世的黑客Joanna Rutkowska也帶著她對虛擬化核心程序的最新攻擊嘗試參加大會。不過，賽門鐵克的安全專家Thomas Ptacek對Joanna號稱“絕對無法察覺”的木馬程序并不感到恐懼，并且還在另一場演講中宣布，Joanna的木馬不僅不可怕，甚至比普通的木馬更加容易被檢測和查殺。

除了這些安全高手們，德國的安全專家Halver Flake就為沒能參加這次聚會而抱怨連連。原本Halver Flake是要在“黑帽”上做培訓的，但由于其所攜帶的培訓材料顯示這次培訓完全是個人行為，而非企業組織，因此美國以無工作許可證為由拒絕他入境。為此，Flake在博客中抱怨，“黑帽”的組織方沒有提供足夠的證明材料，讓他錯失了這樣一個好機會。

Web 2.0存在嚴重缺陷

Web 2.0存在嚴重安全漏洞。在這次“黑帽大會”的一個發言中，現場對Gmail賬戶的入侵就是最有力的證明。Errata Security的CEO Robert Graham向在場的觀眾演示了他是如何通過一個名為“Hamster和Ferret”的工具，“嗅出”與Web 2.0網站相連的無線電波的。

Graham在他的同事David Maynor發言時，在后臺運行了這個工具，尋找在場聽眾所使用的Web 2.0 cookies。當然，截取cookies早就不是什么新技術了，不同之處是，Graham的技術卻能夠清楚地找到Web 2.0的文本cookies，然后把截取到的URL在一個新的瀏覽器中打開。完全不需要密碼，只要cookie本身就足夠。在演示的最后一部分，Graham打開Hamster的工具，找到了一個已經打開的Gmail賬戶，隨后，某個倒霉蛋的郵件列表就出現在了演示用的大屏幕上。

Graham表示，盡管Web 1.0網站很早以前就已經學會終止cookies，但剛興起沒幾年的Web 2.0網站卻沒有，因此可以很容易地在咖啡店或其他地方找到空氣中充斥著的無線用戶信息，有些隔幾個月甚至還能正常登錄。這種攻擊最可怕的地方在于，受攻擊者完全不知道自己的賬戶已經被盜，而且即使更改了密碼也沒用，因為擁有了這些cookies的黑客，在某種程度上已經成為了賬戶的主人。

而在另外一組發言中，去年就大談Web 2.0 Ajax(Asynchronous JavaScript and XML，異步JavaScript和XML，一種結合了Java技術、XML以及JavaScript等編程技術的Web應用開發方法）問題、來自SPI Dynamics 的Billy Hoffman，今年繼續了這一話題。他在發言中指出，不少已有網站正在以安全為代價，不斷地“Ajax化”。而僅僅利用Ajax的已知缺陷，就可以重新排列客戶端的JavaScript，訂滿整架飛機的座位或以1美元的價格購買往返機票。

此外，Hoffman還提及以JaveScript和Perl寫成的Web 2.0蠕蟲。當網站上有腳本漏洞時，蠕蟲便會自動以JaveScript的形式感染網站。當用戶訪問該網站時，JaveScript就會下載到他們的瀏覽器，而Perl則是用來感染服務器的。

有業內人士評論，隨著Web 2.0的興起，Web應用不僅有非常強的公共屬性，而且其互動性也大大增加。而與此相伴隨的是，極少有人能夠通報漏洞。這也就是Web應用成了今年“黑帽”們最熱衷的話題的原因。

iPhone成熱門攻擊對象

除了對Web應用的廣泛探討，今年的iPhone取代了去年Vista，成為最受黑客們喜愛的攻擊對象。

早在“黑帽”大會開幕前一星期，iPhone存在安全漏洞的說法就已經被炒得火熱。一家名為Independent Security Evaluators的安全企業最先表示，發現了iPhone的一個嚴重安全漏洞，黑客可以通過該漏洞窺探存儲在iPhone中的信息，并獲取其控制權。該公司在它的網站上，公布了破解視頻和一部分漏洞信息，并聲稱黑客不僅可以通過一個無線接入點偷偷入侵iPhone，通過控制某些網站也可以控制iPhone，甚至用戶都不需要打開Safari瀏覽器，惡意代碼就可以入侵。

隨后，iPhone被部分破解的新聞更是滿天飛。就連尚未開始出售iPhone的中國，也傳言出現了被破解的iPhone，不過只能打電話還不能發短信。有黑客公然宣稱：“破解iPhone已經指日可待。”

8月1日，在“黑帽”們公布iPhone漏洞細節之前，經美國國土安全部確認，蘋果發布了iPhone的一系列更新，包括對Safari瀏覽器以及最基本的WebCore和WebKit庫。這是iPhone自6月底正式發布以來所面臨的最大威脅，同時也表現了蘋果公司經受考驗的能力。

不過，仍有不少安全專家表示，iPhone缺乏數據安全功能，對iPhone的使用應持謹慎態度，特別是在企業網絡中使用iPhone，很可能會帶來不堪設想的后果。但Yankee Group的分析師Andrew Jaquith則認為，這些都是安全公司的人在危言聳聽。單就技術而言，世界上沒有任何一種產品是無法破解的，而這些對iPhone的批評其實都是安全公司的一種策略，安全只是借口。

不過，Jaquith仍表示，iPhone應在補丁中擴大對身份識別的支持;在企業市場，他則建議蘋果打開iPhone的IMAP-S功能，使用L2TP over IPSec和非標準接口。