8
月份在北京参加了
2007 XCon
,安全焦点信息安全技术峰会。今天终于有机会静下心写一点会后感了。
Xcon
是由
XFocus
组织的。
XFocus
,可以说是国内最大最有名的黑客
/
白客组织之一了。从这个会议里,我们来讨论一下安全发展的最新趋势。
例子
1:
利用英特尔南桥之“顶块交换”模式进行
BIOS
启动劫持
主讲者:孙冰
议题将揭示一种全新的,利用英特尔
ICHx
(
I/O Controller Hub
)系列南桥芯片支持的所谓“顶块交换”(
Top-Block Swap
)模式进行
BIOS
启动劫持的方法
这个讲座的特点是分析
BIOS
的导入过程,指出可以例如写入某些特定的位,导致系统当机,甚至有可能在操作系统前执行攻击者设置的指令。
这里可以看出发展趋势一:低的越低。如果说以往的安全攻击是集中于操作系统一层,近年来,我们可以看到越来越多的研究在更低一级的层次上,例如利用
PCI
的攻击,在
physical memory
一级(而不是
virtual memory
)的攻击。
例子
2
:
漫谈基于
Java
的
Web
程序的安全问题剖析
JSON/BISON - JNLP-JWIG-JUMP
主讲者:
Aditya K Sood
这个讲座集中与对基于
Java
的
web
应用的攻击。
这里可以看出发展趋势二:高的越高。对操作系统上的应用程序一级的攻击,是另一个发展方向。我们可以看出进来了对
Office
系统,
Adobe PDF
、
FLASH
,
web
应用程序的攻击越来越多。所以当你给系统打补丁的时候,不要光看
Windows
的补丁,其它应用程序的补丁也要注意。
另外,在会场上可以感受到越来越多的软件开发厂商开始对微软提出的安全软件开发流程(
Secure Software Development : SDL
)感兴趣。可见提高软件的安全性已经不只是作操作系统一级的公司需要考虑的,任何应用程序的开发,对不可避免的要面对这个问题。对
SDL
有兴趣的读者可以参见
http://blog.csdn.net/chengyun_chu/archive/2007/05/08/1600590.aspx