2008年11月《安全天下事》

安全天下事

 

（2008年11月）文/江海客

 

      本月值得关注的是一种新的浏览器攻击手法“点击劫持Clickjacking”被两位安全研究人员Robert Hansen 与 Jeremiah Grossman所公布，虽然并未公布全部细节内容，却也已经引起一定震动。其基本原理是在页面A中的iframe中通过src链接到另一个域的页面B，设置这个iframe的CSS样式透明度为0（具有隐蔽性），z-index设置为大于A页面中的其它元素，然后在A页面中随意设置一些具有欺骗性的点击元素（例如：提交按钮、确认按钮、Clickme链接等），其z-index值均低于iframe，并恰好与B页面中的关键元素（如：删除按钮、上传按钮、单选框、选择链接、木马下载链接等）处于同一个位置，于是当点击A中欺骗性点击元素时，B中的关键元素就会被点击并响应事件，如果再利用一些社会工程学方面的技巧，相信这种基于DHTML的攻击技术在无需Javascript的前提下就可以成功实施攻击。听上去过程有些复杂，但试想一下：当一个黑客利用Flash小游戏中的DHTML页面（控制菜单）Frame诱使你点击一个强制打开你Webcam？当你在留言板中写完评论并点击“上传”时，后台则访问恶意链接去偷偷下载多个木马程序？更进一步的测试表明，这种攻击方式几乎影响到所有主流Web浏览器，几乎无可幸免。目前只有Firefox 3的扩展插件No script最新版本则提供了针对这一方式的检测保护Clearclick，不知其它的浏览器何时也能提供类似的保护机制？
      当然，无独有偶，其影响范围、严重程度远远不下于此次Clickjacking方式的另一种攻击也在长假伊始成为热点话题，那就是针对TCP/IP协议栈的一个漏洞而进行的拒绝服务攻击DoS的讨论，Robert以及Jack Louis即将在10月17日于芬兰召开的一次会议上公布部分细节。来自Searchsecurity的文章最后建议：拒绝所有匿名连接，建立IP地址白名单库方能免于被攻击。研究表明，在发起此种方式的TCP DoS攻击之后，目标机器不断的崩溃，唯一的恢复方式就是每隔2到4分钟重启一次机器，甚至只有在攻击停止后才能重启机器恢复工作，事实上这已经完全实现了DoS攻击的基本目的。遗憾的是，Robert以及Jack Louis并不打算公布所有技术细节，或许公开与否本身就是一把双刃剑，只是对此另一位安全研究人员Fyodor（以开发Nmap而闻名于世）颇有微词，其认为既然找出了漏洞，并且对媒体声称存在该漏洞，那么就应该尽早的公布所有细节，以帮助快速修复。或者就选择不要公开该漏洞，与相关厂商协同进行修复。Fyodor对Robert二人所选择的模棱两可的态度有所不满。客观来说，作为0Day漏洞的发现者，理应得到尊敬以及相应的礼遇，而且也应该以此为荣，只是选择了一方面大张旗鼓的媒体炒作，另一方面又遮遮掩掩的不情愿公开技术细节，耐心寻味。
      职业道德与商业功名之间，孰轻孰重，对于职业信息安全工作人员来说，各执己见，只是互联网本身发展至今的基石就是“开放Open”、“自由Free”，一如具备这种精神的TCP/IP，那么这种精神究竟何时能再全面复兴呢？
      本月的20、21日，在上海的一个民间信息安全研究人员的聚会（http://www.cisrg.cn/isf/2008/）中，也讨论到了关于网银、Windows Vista安全性方面的一些鲜为人知的漏洞，同样也未公开所有技术细节，或许我们都还需要更进一步的理解“开放Open”、“自由Free”精神的真谛，或许我们也需要明白，在快速响应体系不健全的情况下，有可能对攻击细节过渡开放可能会制造灾难，但开放、传播与共享确实是推动信息产业和信息安全技术发展的重要基石。