在去年的黑帽大会上,最热门的事件之一是研究人员Joanna Rutkowska演示的“蓝色药丸”技术。她说,使用这个技术能够创建100%隐蔽的rootkit和其它恶意软件。 她说,这个技术显示了硬件虚拟化技术如何在未来几年里成为一个主要的安全威胁,那时候越来越多的人将使用支持硬件虚拟化的处理器。当时演示的房间里挤满了人,许多参加会议的人站在那里观看,当她结束演示的时候,人们都欢呼起来。 星期三(8月1日)在拉斯维加斯凯撒宫举行的“2007年美国黑帽大会”上的一个名为“不要告诉Joanna:虚拟Rootkit死了”的演示活动将对Rutkowska的思想进行批评。Root Labs公司的Nate Lawson、赛门铁克公司的Peter Ferrie和Matasano安全公司的Thomas Ptacek等研究人员计划谈谈他们的研究成果,证明虚拟rootkit总是可以发现的。 与此同时,黑帽会议的组织者许诺召开一系列的会议让研究人员演示网络准入控制(NAC)、VoIP和具有基于Ajax功能的Web应用程序等一些技术的不安全性。Watchfire公司的研究人员还将展示他们发现的一种利用悬摆指针安全漏洞的可靠方法。黑帽网站上有这两天会议详细的日程。 “蓝色药丸”是一个挑战还是一个课程? 人们一直推测,由于Rutkowska的回应,虚拟rootkit会议可能不会按计划召开。Ptacek表示,Rutkowska对他们说如果他们满足某些条件,包括一个向她支付41.6万美米的条件,她将进行演示。Ptacek针对最后一个条件说,我们为什么要向你支付41.6万美米购买一个我们已经知道我们能够检测到的rootkit呢?他说,Rutkowska已经承认,目前这样的“蓝色药丸”任何知道硬件虚拟化工作原理的人都可以检测到。由于Matasano本身拥有一个硬件虚拟化rootkit,每一个都清楚这个挑战也许是无趣的。 然而,Ptacek说,还会有关于这个问题的演示,不过,不像原来想象的那样具有挑战性。 他说,黑帽会议上的挑战也许不会进行,但是,人们的讨论会提出这种挑战。我们将展示我们曾计划用来对付“蓝色药丸”的不同技术,并且解释我们的代码是如何工作的。Joanna可能会参加这次会议。我们希望她明确提出反对意见。她很聪明。我能保证她提出的理由会是很有趣的。 披露Ajax和VoIP的风险 位于亚特兰大的SPI Dynamics公司的研究人员Billy Hoffman在去年的会议上警告说,基于Ajax的应用程序将很快被应用,而没有更多地考虑安全问题。他说,他将在名为“早熟的Ajax-ulation”的会议上与他的同事Bryan Sullivan研究员一起更深入地讨论这个话题。 位于旧金山的数字安全公司iSEC Partners的Himanshu Dwivedi和Zane Lackey将讨论IAX和H.323等VoIP协议的安全、攻击和安全漏洞利用等问题。他们说,H.323协议特别容易受到攻击,但是,大多数用户都认为它是安全的,因为没有证据证明它是不安全的。 Dwivedi说,我们将介绍围绕VoIP建立一种多层次防御的最佳方法,介绍针对这些协议的不同的攻击情况以及如何降低风险。这个话题是非常重要的,因为VoIP的应用在过去的三年里出现了爆炸式地增长,没有过多地考虑安全风险。Lackey赞成这种观点。他说,在企业还像前几年那样对VoIP的看法没有变化,但是,这个领域已经出现了越来越多的用于攻击和防御的工具。 Beyond Security公司安全宣传人员Gadi Evron一直密切跟踪最近发生的攻击波罗的海国家爱沙尼亚阅批和专用计算机网络的协调的网络攻击。他将介绍谁是这场攻击的幕后人物,爱沙尼亚人采取了什么正确的措施以及IT专业人员能够从中吸取什么教训等。 Watchfire的高级安全研究人员Jonathan Afek将和他的同事Adi Sharabani一起介绍他们发现的能够远程利用悬摆指针安全漏洞的方法。他们是在运行该公司的AppScan软件扫描一台网络服务器的时候意外发现这个技术的。这台服务器在扫描的过程中崩溃了。经过调查之后,他们发现一个悬摆指针是造成这个问题的米凶。这个结果并不使人感到意外,因为这种编码错误偶尔会引起系统崩溃是众所周知的。但是,经过进一步的实验,Afek和Sharabani发现,他们向服务器发送一个特别制作的URL能够故意引起系统崩溃,并且开始寻找在目标计算机上运行自己的代码的方法。 黑帽大会之意外 去年的黑帽大会重点讨论了当时还没有发布的Windows Vista操作系统的安全。当时,参加会议的人开玩笑说微软购买了所有的演示活动来推销其Windows Vista操作系统。今年的会议议程也有一些会议讨论Windows Vista的安全问题,但是,这个问题不像去年那样是一个重要的主题。 参加会议的人员将关注的一个事情是争议。两年以前,大多数演示活动都被一场风暴所淹没。这个风暴是由于研究人员Michael Lynn演示如何利用思科路由器的安全漏洞引起的。思科试图用法律行动阻止这个演示。 在黑帽大会的组织者承诺不扩散Lynn的研究成功之后,黑帽与思科就Lynn演示活动的法律诉讼达成了和解。 今年3月在佛吉尼亚州阿灵顿举行的一次小型的黑帽会议上出现了一个小的争议。一个安全研究人员说他受到了RFID芯片厂商HID公司的压力不让他介绍一种能够克隆具有RFID功能的徽章的设备。结果,他修改了讲话稿,没有提到任何有关HID公司产品的细节。