首页 > 学技术 > 技术网文 > 网络安全 > 正文

[保留] Usenix 2004 圣地亚哥 第一天

来源 chinaunix.net 酷勤网整理

北美网络安全工程师论坛创始人 马丁 提供

Usenix 2004 圣地亚哥 第一天 

今年选了USENIX,www.usenix.org,因为去年一个同事参加了,感觉不错。这次在 
圣地亚哥的会议是专门的安全会议。和DefCon与Blackhat不同的是,USENIX的学术 
气氛比较浓。它实际上象其它的学术会议一样,是先征集学术文章,是从美国各个 
大学征集,然后将文章汇编成册。所以如果去DefCon的是江南七怪,桃谷六仙的话,那来Usenix的就是所谓的名门正派, 
象少林武术研究院,那个镖局的总彪头 大内侍卫 什么的。 

所以来的黑客什么的很少,基本上没有什么江湖气,书生气到是很浓。我最感兴趣 
的是它的在晚上的session,是分小组讨论。今天晚上是互联网蠕虫的小组讨论,和 
Google的小组讨论,GOOGLE经常在这样的会议上招兵买马,它们主要是找各个大学 
的博士。但有这次机会和GOOGLE的工程师们面对面,我也不会错过。想问它们几个 
我感兴趣的问题,如GOOGLE的LINUX集群等等。 

第一天上午是几个大学的人将它们作得项目。还有一个GOOGLE的兄弟讲Honeypot, 
他用HONEYPOT做了一些限制互联网蠕虫的应用。和用HONEY POT找到受感染的主机,因为多数情况下受感染的主机都会扫描其它有类 
似弱的的主机,如果扫描到HONEYPOT,HONEYPOT可以记录下主机的地址,然后对其 
进行自动修复。 

看出GOOGLE是全面开花,只要在技术上有点专长(还必须是博士),它让你作任何 
你想作得事情。现在美国最火的公司,一个是GOOGLE, 一个是网上订票的公司ORBITZ.com. 

可以到这里下载他的论文,和DEFCON,BLACKHAT不一样,他们的都是正式的论文, 
http://www.cnsea.org/usenix04/provos.pdf 



还有一个PURDUE大学的助教,是华人,看样子很年轻,肯定是从国内出来,拿了博士, 
然后在拿到助教的。但英语之流利与自如,让我吃惊。估计我上去讲,肯定不会达 
到他的水平。大多数中国学生,来了很多年,但口语这关,尤其是中国人的口音, 
还是很重。我虽然一直在努力,但克服起来真的是困难很大。这位仁兄的英语,已 
经基本上做到没有口音,佩服。但他的报告和所作得项目和他的英语相比,还是差 
了一些。主要意思如下。 
他们对HONEY POT进行了分析,指出其中的不足,然后提出了他们的改进系统叫Collapsar。 
比HONEY POT先进的是:他们的软件之间可以互相通讯,共享一些日志等的资源。 
他们的东西我感觉是很一般,也不会有任何商业上帝前途。学校里的项目和公司里 
的项目不同点是:学校里的项目要新,要有何别的研究不同的东西,哪怕新的东西 
没什么用,但只要能自圆其说,就行。而公司的项目要有用,新的固然好,但关键 
是要达到工程指标要求。: 

下午的一个报告比较感兴趣,是西门铁克的Chief Researcher , 一个很年轻的家伙, 
是匈牙利人,口音比我们PURDUE的兄弟差多了。但这样的人,能在美国的主要公司任 
要职,一定够狠。他自己说,他已经研究病毒超过十年了。看得出他对追踪病毒, 
尤其是对微软系统的反病毒功力很深。分析起红色警报和冲击波来,如数家珍。看 
得出在西门铁克内部,就是这些人对病毒进行分析,然后提出解决方案的。 



他的题目是:反击电脑病毒攻击 Fighting Computer Virus Attacks. 

首先讲了一下self-replicatiing structures,然后对病毒的演化进行了概述。因 
为他主要是讲在PC上防治病毒,我对如何用汇编跟踪和破解病毒得细节基本上不懂。 
感兴趣的兄弟们可以看一下他的幻灯片。 

http://www.cnsea.org/usenix04/symentac.zip 

有一点,也是早就有人提出来的是,对于最近流行的一些蠕虫病毒来说,扫描硬盘 
文件的反病毒方式已经不适用了。因为这些蠕虫病毒不存储任何信息在文件中,而 
只是在内存中执行,再传播。 

他的关于病毒的定义和国内的比较相象,比如多形态病毒和变形病毒等等 


GOOGLE的小组讨论居然就是他们的招聘会。什么讨论都没有,拿了几件GOOGLE的T恤, 
吃了些GOOGLE的冰激凌。和一些GOOGLE的工程师讨论了一下他们的工作。一个家伙 
是做他们的ADSENSE广告的,还有一个是作Application Security的, 就是在他们 
的网络应用程序上线之前,确保程序强壮。但是他们都不愿意讲太多的技术细节。 
人都很不错,都很随和。 

看样子GOOGLE 是在大规模招兵买马了,他们总部在加州,在东海岸的纽约也有了分 
部。 还很牛X的把那个分部放在了时代广场上。在瑞士也有了分部。 

没有得到很多有用的信息,但见到了久仰的GOOGLE工程师们,应该没有见到牛的工 
程师。 

大家也见一下GOOGLE的工程师把,呵呵。也都是一个头两只脚。 







 潇湘夜雨 回复于:2004-08-20 09:53:27

Usenix 2004 圣地亚哥 第2天

今天早上的SESSION主要是讲如何保护软件,即使应用软件有了网络安全上的漏洞, 
但如果在操作系统上加以保护,也可以保证EXPLOIT能够被有效的防止。 

我对KERNEL HACKING不是很懂,或很是不懂。但感觉到的趋势是,大学里的人都在 
KERNEL上下了很大的功夫。还有就是在编译器上下了很大的功夫。 

一个研究方向就是如何把普通用户和超级用户的权限区分开。 

我试着总结一下研究思想,具体的可以看一下他们的论文。 

一个思想是:把一个程序变成两个程序,一个是在普通用户空间执行,只有普通用 
户的权限。一个是在超级用户空间执行,拥有超级用户的权限。当在普通用户空间 
执行的程序需要在超级用户空间执行的程序的服务时,它通过RPC来取得服务,当然, 
也要通过某种程度的认证。 

如何把一个程序分成两个程序呢?他们(卡内基。梅隆的一个研究小组)在编译器上 
做了修改。也在编译器和源代码之间加了一层分析和处理的程序。他们要求在源代 
码上加以修改,要求程序员标出哪部分程序是要求超级用户权限的(如PING的RAW SOCKET等 
等。实际上做起来居然很简单,只是改动几行就行了)。然后,他的程序可以分析你 
的源代码,把一个程序编译成两个程序,如上面所说。 

他们也考虑到的便于用户使用。具体的应用可以是:当你下载一些应用程序时, 如 
OPENSSL, SSH, APACHE等,可以化些时间看一下源代码,找到其中的需要使用超 
级用户权限的部分(通常情况下就是几行,然后加以标记(根据他们的要求)。在使用 
他们的程序进行编译,就得到了两个程序。这样,当你的SSH被黑客利用时,他们也 
不能执行超级用户的命令。 
http://www.cnsea.org/usenix04/weaver.pdf 

还有一个是在对应用程序的指针变量的使用上下了功夫。如果应用程序的指针为空, 
儿操作系统在使用这些由应用程序传送进来的指针,也没有看它是否为空时,就可 
能会有安全上的问题,会让应用程序执行任意代码,或者得到不应该得到的内存信 
息。最简单的就是,当内存deferencing NULL 指针时,会CRASH。 

所以他(一个UC 伯克利的博士生)的解决方案是:在你写程序时,标记上那些变量是 
内核需要的变量,哪些是普通用户需要的变量。他会在编译器和应用程序之间加上 
一层,进行区别对待。 

应用上是动态的代码分析,可以找到一些以前 不能发现的应用程序的漏洞。 
http://www.cs.umd.edu/~jfoster/cqual/ 

============================================================== 



=============================================================== 

Exploit software, how to break code. 

这是到目前最好的一个报告了。 讲如何保证软件的安全性。很多很好很好的观点。 
其中介绍的几本书也很有意思。 

如果有想从“脚本小子”进化成白帽子黑客的兄弟们,可以好好钻研一下这个报告 
的内容,他讲了如何找到软件的漏洞。 
我会稍后把幻灯片传上来。 
http://www.cigital.com/presentations/exploit04/ 

我记了一些观点,零零碎碎,不很系统,抱歉。 

CTO, Gary McGraw, www.cigital.com 


你应不应该教别人如何HACK软件? 

商业上的软件安全是被动式的反应。 

防火墙--加密----扫描源代码来找到漏洞--渗透测试---不使用先进技术 


程序员绕过网络安全这关的方法是:把所有的应用程序都放到端口80上,(不用担心 
防火墙。。。) 

如何在软件中找到安全漏洞?如何是有效的测试方法? 

we have to find all the wholes, they only need to find one.... that is not 
fare at all  

所有的软件最终都将被放到互联网上。而为了让用户使用简单,软件要越来越复杂, 
是软件安全更加困难。.NET和JAVA使应用系统越来越复杂,越来越动态。 

win 3.1 is 2.5 million lines of code. XP 2002 si 40 millions of code. And 
longhorn may go 100 Millions. 

网络攻击者是程序员,是会写软件的专家。而保护系统的人是系统管理员?多少系 
统管理员懂得软件工程? 不懂软件,不懂如何写CODE的人如何能抵挡住程序员的攻 
击? 

保护软件安全应该是从内到外,正如找到和攻击软件的漏洞也是从内到外。 


Attaker's toolkit: dissasemblers and decompoilers. 
Binary is just as easy understood as source code. 

Data flow and control flow analysis: dyninstAPI (Maryland) 

一个有意思的观点: 
找到软件漏洞的方法是,把打了安全补丁,和没打安全补丁的软件的数据流程和控 
制流程加以比较。不同点既是前一个软件的漏洞。所以得到补丁既是得到了软件的 
漏洞。 

晚上的互联网蠕虫分组讨论是我期待的,但却是一个大失望。是一些在学校里的人在 
哪里瞎猜互联网蠕虫的发展趋势。应该是在第一线的网络管理员和ISP的网络工程师 
们哪,可惜他们没去。

============================================== 
= 补丁管理。 
================================================ 
下午的第一个报告是五个人的小组,讨论补丁管理。


新的漏洞公布时,补救的方法就是打补丁。 
如何及时,有效的管理补丁。 

1。补丁管理不是安全管理,是运行管理。真正的安全管理是防止入侵。 
NIPS (网络的IPS) 
HIPS(主机的IPS) 
2。 TINa Bird。是斯坦福的网络管理员。 
她在斯坦福时,正好是冲击波的发作时间。 
问题:如果不做补丁,很多机器都会被攻陷。 
斯坦福经常性有100台主机被攻陷。 
建议:如果系统可以自动更新补丁,一定要做。 

冲击波对斯坦福的影响,因为冲击波是RPC的病毒,有的机器不是通过TCP/IP感染的, 
居然有的机器在DHCP之前就从BIOS被感染了!!有的机器在PPP协议刚起来的时候就 
被感染了! 


3。HFNETCHECK, HFNETCHECKPRO。 
,这位仁兄在之前是专门负责secure.microsoft.com上发布微软补丁的。。 
每一个WINDOWS SP 之中都有许多安全补丁,但并没有把安全问题公布于众。 

实际上冲击波的补丁在它发作6个月之前就推出了。但大家都不打补丁,直到冲击波 
泛滥的时候,才想起打补丁。 

4。圣地亚哥超级计算机中心的网络管理员 
补丁不是万能的解决方案。打上了补丁并不等于万事大吉。网络安全管理更重要。 


他发现有的机器打了补丁,但没有被重新启动,所以补丁并没有生效。 

什么时间是打补丁的最好时间? 
从风险评估和管理角度,如果有补丁,在一个小时之内要打好,但在大企业的网络 
中,这等于要求所有的网络管理员一天24小时在岗。并且也很费金钱。 
所以网络管理员要在最佳打补丁时间和网络管理要求之间作出折衷。 

5。 
Production system 101 运行网络的最基本守则 

10 set it up 
20 make it work 
30 which true; do 
40 if not work; break 
50 dont' funk with it 
60 done 
70 goto 20 

如果还可以工作,就不要修补它 

他并不对他的系统打补丁。他不定期换口令。 他解决问题的方法是把他的网络系统 
配置成他基本上不同费精神管理。 

补丁是因为大公司想要好软件,但还不想化太多钱。 

解决方案: 
运行安全问题少的软件 
在这个基础上再加保护:防火墙,chroot,网络分段保护等 
这才是engineering, 补丁是anti-engineering!! 

如果是一条大便,不管你怎么样对它抛光打滑,加多少补丁,它还是一条大便。

=================== 
= 如何打网络战争 
=================== 


这个和技术的关系很小。是讲军队如何发动网络战争,和其中的战略是什么。 

网络战争: 
很少的人可以造成很大的影响,如蠕虫病毒。 
只能对公共的设施,上网的设备造成影响。 
可以保持匿名,但如果是以国家方式发动的大性网络攻击,还是很难匿名。 
网络战场消除了距离的概念。 
战场上需要的是信息和掌握知识的能力。 
这些能力可能要很多年才能掌握。 
网络的守护者对如何进攻也一定很有了解。 

运行在关键系统上的网络应该在任何时候都作军事上的保护。 
时刻保持警惕 
保护人员充足 
经常进行防护演习 
不断强化知识 

说多了这些,对论坛的发展没有好处,还是就此打住  

晚上有分组讨论蠕虫对整个互联网影响的讨论,应该还是值得一去。 
很遗憾,我忘记了带可以把照片下到我电脑上的电缆。得等回去才能把照片传上来。 


不知道我乱七八糟记录下了的东西对大家有没有帮助,如果看得云里雾里的,也不 
要怪我。聊胜于无吧。 

生物学对网络安全的启示 

http://www.cs.virginia.edu/~evans/usenix04/ 

从生物进化论的角度来看目前的计算机网络安全问题。 

其它的报告又都是如何hacking kernel来提高应用程序的安全性,每一个人都有自 
己的方法,看多了感觉每个人的方法也就是那么回事。 

所以想听一下这个报告。 

没想到,这个报告中的信息非常新颖,独特。很有意思。 

把进化和程序做了比较。角度新奇。 

很多观点,感兴趣的可以看一下 
---
http://risker.org

 潇湘夜雨 回复于:2004-08-20 09:57:54

Usenix 2004 圣地亚哥 第3天

因为要去另一个州看朋友,没有完成这个系列,现在把它补上吧,也算有始有终。 

第三天只有半天,这天有两个收获,一是见到了一些互联网的元老级人物。最高兴 
的是见到了Dr. Radia Perlman 
http://www.akabainc.com/radia.html 
她是spanning tree algorithm的发明人。在互联网社区中辈份极高。如果我是华山 
派第十七大弟子的第五个徒弟房间里的扫地的,那她就是风清扬。有幸和她拍了一 
张照片,赶紧拿到这里来臭现。 



还见到了Vern Paxson,他和 Sally Floyd一起证明了互联网的网络流量是自形象的, 
而不是象传统电话网络那样的泊松分部。 

ftp://ftp.ee.lbl.gov/papers/WAN-poisson.ps.Z 

没有和他照照片,不过这里是他长什么样。


还有一个收获就是见到了真正的天才。这几天总看到一个个子小小的亚洲人,在会 
场内转来转去。他的穿着打扮,看起来象初中生,长的说象个初中生,所有人都会 
接受,如果说他是高中生,可能会觉得他有点大。我都有点奇怪为什么他会在这里 
出没,可能是跟父母到圣地亚哥玩的。 

会议的最后一天的最后一个报告是给这次会议最佳的论文作者。因为主办人想把最 
好的留到最后。 

没想到正是这个小子。等他一开口,立刻就把我给震住了。他的英语之精准与纯熟 
(当然,他应该是香港人在美国的至少第二代了),思路之准确与严谨,观点之简明 
与深刻,我甚至不敢相象那些声音是从他嘴里发出来的。这是我见到的外表与内涵 
之最大的反差。看一个初中生在台上坐这样一个高水平的报告,我的反应就是:服 
了,终于见到什么是真正的天才了。 

他的报告的观点也很明确:如何保护口令和其它敏感数据。当你在IE输入你的口令, 
看网站时,假设IE正确工作,IE应该把你的口令在内存中删除掉(在使用了以后)。 
但这并不意味着你的口令已经完全不见了。 

当你用键盘输入时,和键盘交互的内核程序在内存中会存一下你的口令。然后这个 
程序会把你的口令交给内核的更高一层,这层上的程序会在内存中再存一下你的口 
令,然后在把这个口令给IE, 如果IE做了正确的事,就是在使用完你的口令后,把 
它从内存中删除,但实际上你的口令在内存中还有两到三个拷贝,如果你的机器被 
黑客攻陷了,他可以把内存的内容烤出来,从而找到你的口令。 

他的论文研究了这些敏感数据在典型操作系统中的传递过程,方法很直接。就是对 
内核进行修改,对这些敏感数据进行“染色”。然后跟踪这些被染了色的数据,看 
他们在操作系统中如何被传递。听起来容易,但实现起来需要一下高级的内核编程。 
而且他同时做了LINUX和微软的操作系统。 

结论是,对于典型的操作系统,这些敏感数据在内核中至少保持了3-6个拷贝,从而 
造成了口令泄漏的危险。 

http://www.cnsea.org/usenix04/chow.pdf 

还有就是其它一下花絮的照片了,大家也感受一下气氛吧。






 一起走过的日子 回复于:2004-08-20 13:13:14

好贴(可惜中间有几个下载不了)

占个位

 潇湘夜雨 回复于:2004-08-20 14:17:31

顶一下  另外还有BLACKHAT的资料

 skylove 回复于:2004-08-20 18:13:17

这帖子很好,看那些论文。。。觉得他们为学的态度真是值得钦佩。

 oswx 回复于:2004-08-26 10:07:30

好贴,张见识,谢谢

 sniper 回复于:2004-09-01 14:17:16

多谢分享,令小弟大开眼界了。

 t920 回复于:2004-09-01 14:39:47

呵呵,江湖气!还是更喜欢defcon!

 minjun 回复于:2004-09-02 01:36:17

大开眼界啊
中国在这方面还是太落后了,需要我们大家一起努力啊!!1
大家加油,


 :D  :oops:

 木刀客 回复于:2004-09-03 11:32:18

感谢楼主,让我们开了眼界。
人家博士是干活的(搞科研,发明)我们的博士是一领导居多,不是处长,就是局长,要么是和他们“级别”差不多的。是中国的体制要求领导是“博士”。还是什么?博士级的领导N大肚大堆。博士一大堆。而学术水平反而低了。
如果我们的博士有一半,或3-4分之一搞研究。我们国家也差不多可以“超英赶美”了。

 rootkitT 回复于:2004-09-16 21:33:04

是啊  中国和别人差的太远了!!
看看我们觉得自豪的安焦吧(其实他在很多老外眼里也非常牛X)
共享文档少的可怜,他们真的没有吗?谁都知道不是这么回事
1500的会费 有几个人交的起,而且还只是听听那些网络上早已流传的几种技术  
咱们中国的RPC漏洞的exploit应该是在公布的一年前就有了 (非要说是分析补丁程序发现的)
还有message的,网络上最早公布是16号公布的,在中国公布的时间推迟了两个星期 其中一些小强们也早就有了攻击码 唉~~ 不说啥了

 yyy790601 回复于:2006-06-28 15:32:17

对最后一个问题比较感兴趣,可惜不知道为什么连接不上啊。




原文链接:http://bbs.chinaunix.net/viewthread.php?tid=390839
转载请注明作者名及原文出处



收藏本页到: