即將發布的Windows 8將遠離桌面操作的方式,並且通過沙盒和kid-gloves移動用戶模型安全可信地引導用戶進行操作使用,以防止一些低級惡意利用的發生。系統中的SmartScreen篩選器將使得那些來自互聯網上不可信的可執行文件很難可以運行。即使系統出現故障,Windows 8也有相當整潔的重置功能和自動重新安裝Windows 8的功能。
在黑帽大會上,來自趨勢科技的高級威脅研究小組負責人Sung-ting Tsai嘗試著破解Windows 8,但是他最終也只是詳細介紹了幾個在未來通過攻擊者的一些努力可能被利用的攻擊點。
第一種方法是,繞過針對Windows 8 Metro風格應用程序的限制(阻止應用程序訪問互聯網)。這種方法不是試圖打破這個限制,而是利用一個應用程序來訪問具有這樣權限的應用程序。這樣,沒有互聯網訪問權限的應用程序仍然能夠通過IE或者Microsoft媒體服務器向互聯網發送消息,並向IE或者MMS試圖尋找的URL附加本地信息。同樣,Metro應用程序訪問的Office文件可能包含連接到互聯網的代碼。
第二種方法是,通過互聯網訪問,流氓應用程序可以從本地機器上傳數據到互聯網上受攻擊者控制的機器中。微軟表示他們不會對此采取任何措施,這是因為訪問互聯網是對用戶可見的,如果用戶不贊成的話,誰能夠阻止互聯網訪問。同樣地,防病毒軟件也可以發現這種訪問,一旦這種類型的活動被報告給微軟,微軟將會從用戶電腦移除該應用程序。
Tsai並不同意第一種說法。當普通用戶看到一個Metro應用程序啟動MMS時,他並不會懷疑該應用程序正試圖訪問互聯網。即使用戶意識到這個問題,他也很難確定這個訪問時正常的還是惡意行為,殺毒軟件同樣也很難分辨其中的區別。
Tsai表示,第二種規避方法是使用應用程序容器沙盒內的命令提示符cmd.exe來觸發其他外部的可執行文件。微軟表示,這不是一個問題,Tsai也同意他們的觀點。但是他表示,當聯同其他可執行文件時,攻擊者可能可以利用其他漏洞。 通過ClickOnce向系統啟動有害文件
Tsai還分析了Windows 8上的具有自動更新部署程序功能的ClickOnce,攻擊者可能利用ClickOnce來向文件系統啟動有害文件。Tsai表示微軟承認了這個問題,並將在下一版本的Windows 8中修復這個問題。 DLL劫持的可能性
Tsai發現的另一個潛在漏洞是DLL劫持—插入偽裝成應用程序試圖尋找的DLL的惡意代碼。他表示,IE試圖加載一些它不再需要的DLL。如果這些DLL的名稱被攻擊者發現,它們可能被用來偽裝惡意軟件。他表示,當存在不必要的DLL加載時,這個問題可能出現在任何應用程序中。微軟表示在Windows 8發行預覽版中沒有DLL劫持問題。
操作系統的安全危機
本次黑帽大會,除了微軟的Windows系統,還有蘋果的OS X和iOS系統及谷歌的android系統。但是首次參會的蘋果似乎出師不利,早在今年四月份的時候,惡意軟件Flashback Botne曾感染了60萬台Mac,因此蘋果此次參與黑帽安全大會可能是受此因素的影響。安全軟件公司Symantec表示,Flashback是第一起於Mac暴發的惡意軟件,打破了蘋果擁有防黑客攻擊產品的神話。
據安全公司Sophos表示,除了Flashback之外,研究顯示Mac還攜帶有用戶未知的惡意軟件。安全軟件掃描10台Mac,結果發現有3%的Mac帶有惡意軟件。
信息安全,還是選微軟
本次黑帽大會,雖然與會的各個系統都不完美卻也發展得越來越安全,相比之下,蘋果干得不錯,但還是微軟贏了。也許,這是因為微軟在Windows上數十年的填補漏洞和占據市場95%的份額已經使微軟擁有了強固的安全性。一語以蔽之就是現代網絡間諜活動的普遍性使得企業和政府需要通過Windows 8來加強信息安全。
除此之外,當然,用戶也可以從Windows 7或者XP升級到Windows 8,但是這也就意味著你將要使用的是全新的Metro風格界面,你准備好了嗎?