有连接的注入与无连接的获取
(2009年08月)文/江海客
7月,国内引发一定关注的主要安全事件是DirectShow 漏洞引发的大量挂马事件,这个漏洞一直是被安全工作者所关注的,其机理是使用JS构造超大数组,以此存储shellcode并分配于堆上,利用非gif文件引发该控件解析数据过程中发生异常时会发生溢出覆盖异常链的情况,导致shellcode被执行。随着有关的exploit7月4日在国外被公开,6日有关攻击方法和示例脚本已经贴编国内有关安全论坛。在大量的挂马事件中,攻击者都是用了yahoo的统计系统,而其注册的时间就在5月28日微软有关安全建议的发布时间之后几天,可见蓄谋已久,只是没有拿到exploit而已。
这次事件留在看台上的谢幕者,目前来看,是安全厂商,从360安全浏览器到锐甲这样的安全客户端,都在此时间中证明了外挂式安全的价值。很多人经常问的一个问题是,为什么微软不能把自己的事情搞得好一些,其实这是一个复杂的问题,一方面,整个信息社会的安全的关键基石就是不同体系的差异性提升了入侵门槛,系统皆有的安全共性,很容易成为类似Vsafe之类的笑柄,同时微软对于操作系统厂商,会比第三方安全厂商对于兼容性、易用性方面顾虑多的多。类似堆栈执行保护这种技术,微软会应用的非常慎重。
本月另外一个看点,则是国外两名安全研究者Andrea Barisani和Daniele Bianco提出了一种窃密的新思路,即通过击键引发的微小电压变化,在电网中较近距离的获取按键信息,另一个方案则是通过激光回波获取震动的方法来进行键盘监听。这两名研究者称会在今年的黑帽大会上介绍有关成果。相关方案看起来很天方夜谭,因为即使是同一个品牌的PC,都会有电气特性的差异,对于震动特性也是一样。但对于不及代价的间谍活动来说,可能早在使用者获得笔记本之前,其电气特性就被测量和获取了,而这种方式,比Bootkit还要隐蔽的多。当然,要获取大量输入内容,相关精度还是值得怀疑的,但对于获取口令确可能是一个今后需要高度警惕的方向。硬盘口令+TPM+Bitlocker的闭环让笔记本失窃或者与窃密者构成短接触时的硬盘数据安全得到了等级极高的保护,但这种强大依然寄托于短短的口令,无论它多么长,但同硬盘上的数据价值相比,它依然是一个短短的字符串。
9321
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
