拉斯维加斯 - 上周在凯撒的宫殿召开的第12次黑帽会议,其中4,500名与会者(去年增长12.5%)听说过困扰虚拟化环境的安全问题,为什么思科路由器比以往任何时候都更成为黑客的攻击目标,并详细解释了DNS攻击。
与会者还发现,会场主要是供应商摊位。这些展位曾经是大会上的稀罕物,但随着供应商们将自己融入到黑帽的组合中,它们正变得越来越流行。虽然他没有为他们的出席道歉——并指出供应商的赞助对会议的经济成功很重要——黑帽创始人兼导演杰夫·莫斯确实将节目的内容与赞助商拉开了距离。他在开幕致辞中说,在发布会中,主持人提供的材料与供应商无关,只是因为它对安全领域的价值。
撇开供应商展台不谈,听众们被调到了更重要的话题上,比如行业轻率地推动一切虚拟化最终将产生的安全问题。
虚拟化“不会省钱,它会花费你更多,”虚拟化安全可以严重影响性能,恢复力和可扩展性,“unisys的首席安全建筑师在一个慷慨激查的演示中说。霍夫认为用户社区正在甜蜜地谈论,这些行业无法解释安全后果。
霍夫在题为《虚拟化启示录的四骑士》(the Four Horsemen of the Virtualization Apocalypse)的演讲中说:“在接下来的12到18个月里,会出现一种非常不舒服的情况,因为每个供应商都急于说我们已经虚拟化了。”
使用强大的语言指导在网络行业,霍夫认为“它变得真正凌乱”作为思科,博科,3Leaf,Xsigo,其中驰骋了基本交换基础架构的虚拟化。这是在没有明确概念安全后果对企业客户习惯的完全不同拓扑的概念的情况下进行的,该拓扑包括跨越树和STP等技术。
“虚拟交换机只是一段代码,就像一个管理程序,”Hoff谈到行业的新方向时说。“这基本上是第二层交换模块,”补充说,这意味着你已经将网络分解为“一层”,“它在一个GUI中归结为三个设置。”
HOFF说,虚拟安全 - 他称之为“VirtSec” - 预期的变化,即将成为试图复制传统防御的基石,这将成为试图复制传统防御的基石,霍夫说。但由于安全函数竞争虚拟机资源,就像在今天的统一威胁管理(UTM)设备中看到的那样,即结合IPS,防火墙和其他功能。
霍夫说,虚拟网络的容量规划“将非常难以预测”,他补充说,他对在dmz也被推到虚拟化的情况下,虚拟化防火墙是否能起作用深表怀疑。
“如果我决定v-motion一个防火墙,它就不会有效,”霍夫说,并使用VMware及其V-Motion能力暗示他自己的研究来快速部署VM图像。通过虚拟化,“您不会摆脱基于主机的安全软件。随着我们添加更多的解决方案,我们增加了复杂性,“霍夫说,建议黑色帽子观众”不被拖入环境“。
思科的因素
虽然虚拟化得到了应有的关注,但如果没有微软和思科的参与,这将不会是一场黑帽会议。但今年专家说微软Windows不再是Bug狩猎的肥沃地面,研究人员正在寻找其他产品来破解。思科的路由器是一个有趣的目标。根据研究公司IDC的说法,他们命令超过60%的路由器市场。
“如果你拥有网络,你就拥有了公司,”欧洲数据服务提供商COLT电信(COLT Telecom)的网络工程和安全高级经理尼古拉斯·菲施巴赫(Nicolas Fischbach)说。“拥有一台Windows个人电脑已经不再是当务之急。”
但思科的路由器是一个比Windows更难对付的目标。它们不为黑客所熟知,而且它们有多种配置,所以对一个路由器的攻击可能会在另一个路由器上失败。另一个不同之处在于,思科的管理员不会经常下载和运行软件。Fischbach表示,思科近年来做了大量工作,以减少来自互联网的对其路由器的攻击。他说:“所有可以用来攻击网络服务的最基本、最简单的漏洞都消失了。”配置良好的路由器被公司网络之外的人攻击的风险“非常低”。
这并没有阻止最新一批安全研究人员。
两个月前,核心安全研究员塞巴斯蒂安·穆尼斯(Sebastian Muniz)展示了为思科路由器构建难以检测的rootkit程序的新方法。上周,他的同事阿里尔·福托兰斯基(Ariel Futoransky)提供了该公司在该领域研究的最新进展。另外,来自安全咨询公司Information Risk Management (IRM)的两名研究人员发布了一个GNU调试器的修改版本,该版本可以让黑客了解思科IOS软件处理他们的代码时会发生什么,以及三个可以用来控制思科路由器的shell代码程序。
与此同时,屡获频频道林德纳(Felix Lindner)发布了他的Cisco法医工具,称为CIR(思科事件反应),他在过去几个月里测试了测试版。将有一个免费版本,它将检查路由器的rootkit内存,而软件的商业版本将能够检测到攻击并对设备进行取消分析。
该软件将为网络专业人员提供像Fischbach这样的方式回去,查看思科设备的内存,看看它是否被篡改了。“我觉得有一个用途,”他说。“对我来说,它是你做取证时工具套件的一部分,但这不是你应该依赖的唯一工具。”
那个小的DNS问题
来自黑帽的其他主导新闻是关于域名系统(DNS)中高度公布缺陷的广泛讨论,计算机使用在Internet上找到彼此。
丹卡蒙斯基过去几个月的全职工作一直在使用软件供应商和互联网公司来解决DNS的安全问题。Kaminsky首次披露了7月8日的问题,警告企业用户和互联网服务提供商尽快修补他们的软件。
上周,他在黑帽会议上披露了该问题的更多细节,描述了一系列可以利用DNS的令人眼花缭乱的攻击。卡明斯基还谈到了他修复关键互联网服务所做的一些工作,这些服务也可能受到这种攻击。
通过在DNS协议工作的方式中利用一系列错误,Kaminsky已经讨论了以非常快速填充具有不准确信息的DNS服务器的方法。犯罪分子可以利用这种技术将受害者重定向到假网站,但在Kaminsky的谈话中,他描述了更多可能类型的攻击。
他描述了如何使用缺陷在流行的网站上损害电子邮件消息,软件更新系统甚至密码恢复系统。
虽然许多人认为SSL(安全套接字层)连接不受此攻击的不受限制,但Kaminsky还显示了使用用于确认网站的有效性的SSL证书甚至可以通过DNS攻击来避免。他说,问题是,发出SSL证书的公司使用像电子邮件等Internet服务,以验证其证书。“猜猜面对DNS攻击的安全有多安全,”Kaminsky说。“不是特别的。”
“SSL不是我们希望的灵丹妙药,”他说。
卡明斯基说的另一个主要问题是“忘记密码”攻击。这影响了许多拥有基于web的密码恢复系统的公司。犯罪分子可以声称忘记了用户登录网站的密码,然后利用DNS黑客技术诱骗网站将密码发送到他们自己的电脑上。
除了DNS供应商外,Kaminsky还表示,他与谷歌,Facebook,雅虎和eBay等公司合作,以解决与缺陷相关的各种问题。“本月我不想看到我的手机账单,”他说。
虽然一些会议与会者周三表示,Kaminsky的谈话被过度普及,但Opendns Ceo David Ulevitch表示,Ioactive研究人员对互联网社区进行了宝贵的服务。“甚至尚未完全实现攻击的整个范围,”他说。“这会影响互联网上的每个人。”