http://hi.baidu.com/tombkeeper - 选录
百度空间
共 164 篇文章
Dave Aitel:“ASLR+DEP = no problem”
2010-02-04
From: dave <dave () immunityinc com>
Date: Wed, 03 Feb 2010 11:52:34 -0500
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Not so long ago, ASLR and DEP were gaining wide acceptance. Execshield was on almost all Linux systems, and the "golden age" of buffer overflow exploitation looked like it was coming to a close.
It is true that the code is getting better, and the mitigating protective mechanisms in Windows and Linux are getting better. But like in a ceramic, the physical properties of a system are defined by the interfaces between components, not the crystals themselves.
Today, Immunity released a working version of the Aurora exploit for Windows 7 and IE8 today to CANVAS Early Updates. It does this by playing some very odd tricks with Flash's JIT compiler. This technique is extendible to almost all similar vulnerabilities. In other words, ASLR and DEP are not longer the shield they once were.
I believe Dionysus Blazakis is going to release some details on a similar technique at BlackHat DC today. If you miss the rest of the talks, I'd recommend popping into that one. :>
Thanks,
Dave Aitel
Immunity, Inc.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org
iEYEARECAAYFAktpqdIACgkQtehAhL0gheotCACfXVRvzHVKxVYWWYQigY7fKPi9
aL0AnjmW40zWTjtwitHJO3Fcv1z9F9QI
=l0KE
-----END PGP SIGNATURE-----
昨天我还在和Sowhat说,今年内你就能看到,会有人放出搞定ASLR+DEP的技术。没想到今天就兑现了。
Dave Aitel提到借助了Flash's JIT compiler,那么我猜测应该是这样的:
任何JIT技术,在指令翻译的过程中,总要生成机器码;这些机器码总要存在一块内存中的;这块内存必然是可执行的。
那么利用这一点,就可以构造一个会让JIT翻译产生大量代码数据的Flash,实际上很类似Heap Spray,只不过现在产生的这些内存是带有可执行属性的。
“铁甲依然在”,红旗还在飘。
信息安全走向漫谈(四)
2010-02-01
上接 http://hi.baidu.com/tombkeeper/blog/item/6cbed55cd1d66d44faf2c0ee.html
未来,各行各业各领域都将数字化,生活的方方面面都离不开信息技术。各种不同的信息技术交织在一起,构成巨大的宏信息世界,比我们现在的互联网大得多,复杂得多。安全问题也会随之复杂和严重。现在个人电脑上那一点点漏洞到那时候看就很渺小了。想想看,以前是你的电脑被入侵,以后你的电饭锅被入侵;过去是让你上网慢,以后让你吃夹生饭。
既然这样,为什么我们还要用信息技术呢?这一页PPT的标题叫做“信息技术是个狐狸精”。狐狸精,大家知道是什么吧,就是你知道她可能会害你,但身不由己。为什么呢?还是因为好,足够好到让你愿意冒这个险。
上高中时候,学摄影,用胶片,大夏天也要自己闷在暗房里冲洗。现在都是数码相机,随拍随看,多么方便。上大学的时候,大家都用“Walk-Man”,阔气一点的听随身CD、MD。现在一个火柴盒大小的MP3就都搞定了,价钱也便宜。
我在网上买过一个二手CF卡。拿回来,用数据恢复软件一看,里面有几张刑事案件的现场照片,血迹斑斑。还拍了受害人。这个卡不知道是哪个派出所淘汰下来的。如果追究起来,肯定要有人受到不好的影响。这种事情,在用胶片的时代不会有。但今天,新问题就出现了。
这些是什么啊?是狐狸精。狐狸精太好了,你很难舍弃。但糖衣好吃,炮弹难挡。信息技术发展的这么快,配套的安全很难跟得上。大家想想,汽车发明多少年后才有的安全带、安全气囊?有了安全带、安全气囊,每年还要车祸死多少人?每年车祸死这么多人,大家是不是还一样开车?这就是狐狸精,死都离不开。
今年世界杯,就有人提出,要在每个球员身上装RFID,对球员进行实时精确定位,用来作为裁判的辅助依据。虽然最后没有这么干,但这一天迟早会到来(注:后来才知道,马拉松比赛已经开始用RFID来跟踪选手的位置)。
(此处省略几页对RFID安全问题科普讲解的PPT内容)
刚才讲的比较科幻。落到现实中来,你我能看到的未来若干年中,可能的新热点有:Wi-Fi、蓝牙、WiMax、UWB等无线通信技术的安全问题,RFID的安全问题,消费类个人电子产品的安全问题,数字家电的安全问题,等等。
人类社会用信息技术越多,意味着越多的的财富和荣誉将由数字介质承载,越多的风险将是信息安全风险,信息安全技术就越重要,这个职业就越重要。
现在国外有种职业叫保安顾问,保障你现实世界的安全。有为企业服务的,也有为个人服务的。我瞎猜一下:在未来,可能要有类似这样的信息安全顾问。而且可能比较普及,就像现在国外的私人医生、私人律师一样。 退一万步说:信息安全企业也许会消失,但信息安全这个职业永远不会消失——只要人类还使用信息技术。
谢谢大家。
以上四篇“漫谈”是根据当时讲的PPT和备注整理出来的。当时讲的肯定比这些要多,不过大致的意思就这些,主要是“红旗还能打多久”的问题。当时Vista刚刚出来,初步研究后,自己也想过“红旗还能打多久”,所以借B105沙龙,把一些想法和大家分享了一下。
如果仅从技术角度着眼,那么,今天你搞不出来,就会认为红旗要倒了;明天搞出来了,就会认为红旗还能飘。但是从事物发展的一般规律来看,红旗绝不会一套新技术新办法就倒了。
就像挖石油。刚开始油多,好挖,随便一锹下去就喷一身,所以区分度不明显。后来油慢慢少了,难挖的油田也要挖,还是能挖出来。万一有天油真挖光了,怎么办?别忘了,挖油以前,这把锹是挖煤的,挖煤以前,这把锹是挖土的。脚下油没了,头上还有 氦三 。
这是我当时的观点,现在也还是这么认为的。不过现在更有底气一点。因为,今天即使从技术角度看,红旗也还能打几天。
我去年在 一篇Blog 中写过,对部分类型的漏洞来说,DEP+ALSR+SEHOP已经浮云。后来在SSCON 2009上讲《安全漏洞的下一个十年》,提了未来对抗这些的办法大致可以分成两类:一类很黄,一类很暴力。也给大家看了 一个“很黄”的PoC (谢谢vessial的整理,省得我写了)。之所以用那个PoC,是因为它非常PoC,无害,又刚好能说明点问题。
那天yuange在Full Disclosure上发了张图( http://seclists.org/fulldisclosure/2010/Jan/614 ),我没看到那张图,不过从留在Full Disclosure里那行信息来看,用的可能也是“很黄”的一类办法。不过那应该已经超越PoC的范畴了。估计也就因为这个,所以现在图已经看不到。不过这至少可以告诉大家:红旗还在飘。
我为什么写Blog
2010-01-17
前阵子benjurry再一次提醒我:有好几个月没有真正写一篇Blog了。他不知道的是,我正在又一次戒Blog。
就像很多人戒烟戒酒一样,我也多次戒Blog。从现在仍在写来看,显然暂时是都失败了。
我为什么要戒Blog呢?在一个有两千年文字狱传统的国家,写字是一件风险不确定的事。那些清洁摩天大楼的工人,虽然整天都在冒险,然而为了挣钱养家,不得已而为之。而我并不指望Blog挣钱吃饭,并无不得已之处。从利害算计上说,戒Blog是一个理性的选择。
我为什么要写Blog呢?每年都有很多人去登山攀岩,这并不能挣钱养家,甚至还要花不少钱,然而人们仍然愿意以身犯险。这是因为有些人觉得,人生应当如此,生活需要吃饱了撑的。刘勰说“蚌病成珠”,韩愈说“物不平则鸣”,大概就是我写Blog的原因。
我从事的并不是“越多人知道我越好”的那些类工作。Blog对我而言,非但不能赚钱,甚至都不是一个赚钱的辅助工具。所以我也没有尽可能扩大读者群的强烈愿望。事实上,我有时候还会刻意避免这种情况发生。譬如,经常使用一些过于书面化的语言,大段引用文言,使用一些晦涩的表述方法,以使文章产生选择性的可读性降低。
我写Blog更不指望说服别人,让原本有着另一想法的人接受我的观点。事实上,如果一个成年人的思想仍能轻易被一篇文章所改变,读了A便赞同A,读了B便赞同B,那么,这样的思想,也是不值得去改变的。对于持不同意见的朋友,如果能够放开思想,把我的观点作为一种可能性加以思考,我就很高兴了。
每当我犹豫要不要就某事写篇Blog的时候,常常会想:世上能访问互联网,又能阅读中文的数亿人中,必有人也是如我这般想的,这些人若能凑巧看到这篇Blog,该是多么欣慰。
卖个瓜
2009-11-26
刚才从道哥的Blog上看到 Microsoft Research关于Heapspray检测的论文 。
其实这种基于统计的行为分析检测方法我们几年前就研究出来,并用到 公司的主机安全产品 (当时叫Matrix,现在叫NSFOCUS EPS)里了。 后来在xKungfoo上”用革命的HeapSpray对抗反革命的HeapSpray“的演示,包括“ 家用防挂马小工具 ”都只是那个研究中小把戏性质的副产品。
由于是在底层做的,所以不但可以检测,还可以拦截防护;不但可以保护浏览器,基于PDF阅读器、Flash播放器以及在Office文档中进行的Heapspray也都可以检测到。
当时对挂马网站样本进行测试,检出率远远大于一般杀毒软件,误报率则很低。以至于常有客户反映,说为什么你们报了但是XX杀毒软件却没有报呢?是不是你们误报?最后手工检查的结果基本上都是杀毒软件漏报了。
小P进家记
2009-09-12
以前接触小动物也不算少,不过大都是在实验室,所以相处得不是很愉快——主要是它们不太愉快,我还行。
刚来北京时和backend合租过。他养的那只大白猫虽然热衷于把家里所有的房门柜门都一一抠开,但胜在模样喜人,姿态优雅,又很安静。所以我对猫的印象还不错。
后来去Arrow家过中秋节,见了他们家的金毛巡回犬芭比。我吃着月饼,芭比就坐在边上看着我。我也不知道狗能不能吃月饼,就没给它。芭比一直很有涵养地坐着,直到眼睁睁看着最后一口月饼被我塞进嘴里。就在我吃完的瞬间,它忽然充满悲愤地冲我吼叫起来。这让Arrow两口子觉得家门不幸,很丢脸。
结婚后,老婆几次提出要养狗,都被我以各种理由驳回了。去年,有个朋友回老家,把一只名叫“大熊”的吉娃娃(就是“ 中华立领 ”那只)暂时寄养在我们家——给吉娃娃起名叫“大熊”也真够讨吉利的。
“大熊”让老婆再次想起了养狗这茬事。我说养个乌龟什么的吧,不闹,好养活,而且比咱们活得长,你十几年后也不会因为白发人送黑发人而悲伤。老婆说乌龟光秃秃,不可爱。我说那绿毛龟行么……一番斗争之后,我同意了养狗,但品种得我来选,狗要我来挑。老婆说可以,反正是个会叫会跳毛茸茸的小动物就行。
于是我开始研究关于狗,以及买狗的一切信息。设法找一只对我不良扰动最小的狗。
首先是智力问题,我对愚蠢的耐受力极差,必须找个智力够高的品种,要不然最后不是它把我气死,就是我把它掐死。当时大熊寄养在家的时候,我就时常有想掐死它的冲动。这次查了关于各种狗智力的资料,发现吉娃娃在STANLEY COREN教授对79种狗的智力评估中排名67——果不其然。(大熊的主人后来养了一只哈士奇——就是那种嘴里长牙的哈士奇。大熊勇敢地去和哈士奇叫板, 然后勇敢地被哈士奇一口咬死。那只哈士奇因为犯了这个错误,现在被送到一个工地看门去了。哀哉大熊,冤哉哈士奇。)
其次是个头不能太大,要保证我想掐死它的时候能顺利掐死。要是养个圣伯纳那样的,就不定谁掐死谁了。另外狗大必然屎尿大。大坨屎大泡尿肯定比小坨屎小泡尿难弄。
另外,有些狗体臭很重,有些狗掉毛厉害……等等等等。这些细节都得考虑。
最后我选了贵宾这个品种。贵宾在79种狗中智力排名第2,有多种颜色和体形可选,而且完全不掉毛,也是唯一没有体臭的狗。不掉毛当然也有不掉毛的麻烦,就是得定期剪毛。但综合评估,养这种狗对我生活质量的威胁最小。
贵宾有多种颜色,我选了棕红色的。这一方面是比较好看,另一方面也是出于耐脏的考虑。必要时可以用来擦手,拖地什么的。
另外贵宾也分标准体形、大型、小型、微型等等。按我的想法,当然是越小越好。不过越小越贵,俗称“茶杯”的那种袖珍型,没一万下不来。另外体形越小也越娇气,容易咳嗽拉稀。所以最后决定选个半大不小一尺来长的。
Star谈过他对男孩女孩的独到看法:“我宁可将来儿子对我说:我把某某肚子搞大了,也不愿意女儿对我说:谁谁把我肚子搞大了”。这个问题在宠物身上更加现实,尤其狗这种不怎么挑剔的动物。前面说的芭比,就不慎被只杂毛狗搞大了肚子,生出一窝小杂毛。我们小区里没有纯种红贵宾,甩着哈喇子肚子拖到地的京 叭等杂毛小癞狗却不少。所以,养母狗风险很大。我又不会做狗的流产手术。所以,决定养公狗。
一切定好后,我开始阅读关于贵宾犬的各种资料文档,学习买狗卖狗的各种陷阱骗局,等等等等。在中国想干点啥事,非得自己成为专家不可。
首先不能去狗市买。别以为活物不能造假,在中国,“一切皆有可能”。狗市里的门道,不亚于潘家园。病狗喂兴奋剂冒充健康狗、杂毛狗染色冒充纯种狗……各种点子都想绝了。就算狗本身没问题,但因为狗贩子舍不得给小狗打疫苗,而狗市的环境是什么病毒都有的。另外,狗贩子四处收的狗,来源往往不好,狗贩子也舍不得好好喂,小狗多半营养不良,体弱易病。所以不少狗市买的狗,回来少则两三天,多则一周,就发病了。不治,死路一条;治,比买狗的钱还多。
(后来听一个兽医说,他几乎每月都会遇到不少从狗市买回来的狗,有的还能治,有的治都治不了。我们也有两个朋友不信邪买了狗市的狗,最后也是或病或死。并不是说去狗市就一定会有问题,不过这个风险很大。)
最好从养狗的人家买。有些经济条件本不错的人家也并不指望卖狗挣钱,只希望给小狗找个好归宿,不过毕竟是贵宾这个品种,所以多少要点钱。有些人的确指望这个换点零花钱,要价不低,比狗市高,因为毕竟几个月的饲喂费用和疫苗的费用在那摆着呢,但一般小狗的品种和健康状况总是有保证的。
于是我们在网上找了很多个家里有小狗出售的,一个个联系确认,最后定下两家。一个是通州卖家具的老太太。她们家狗多,挑选的余地大。另外小狗的父母也都在, 可以参考。贵宾犬长大可能会变样,往往小时候王力宏,七八个月后就赵本山了。所以参考父母的样子很重要。另一家本身是在宠物美容店工作的,住在市里。但她们家只有一只合适的狗可买,其它要么被别人定了,要么太小。刚才说了,贵宾犬长大可能会变样,所以尽量买三个月以上的。太小的变数更多。
我们决定先去市里这家看看。一进门,就四五条小贵宾迎了上来,活蹦乱跳直扑腾。还有一只摇摇摆摆的腊肠扭着屁股往上拱。边上小铁栅栏里还有两只在吃奶的小贵宾仔。她说其它几只小狗都被人订了,只剩下一只名叫“大胖”的。之所以叫“大胖”,是因为这只小狗从小就会抢食,比别的狗吃得多,长得壮。我们一看,“大胖”果然个头大一点,而且比较特立独行。其它小狗一直在我们身边扑腾,而“大胖”只是扑了几下,就低头自顾自溜达去了。
我们觉得“大胖” 比我们想要的个头略大,所以决定再去老太太家看看。按着老太太给的地址,我们往通州就去了。车是越开越远,但找不到老太太说的那个地方。一边走一边给老太太打电话,后来干脆直接把电话交给司机,让老太太跟他说,这还是找不到。最后老太太让我们先去某家具城,然后她带我们到家去。这时我 恶毒的心灵 “嘀嘀”开始报警,于是掏出手机查地图。看了那个家具城的位置,忽然发现边上不远就是北京一个有名的狗市。我想了一下,跟老婆说:咱们别去了。我也不确认这家有没有问题,有什么问 题,但从目前形势看和这家打交道的风险较大。另外,万一有问题,找她算账也得跑老远的。来通州的车钱不算白花,这是总投入成本的一部分。
于是我们又回到刚才那家,把“大胖”带了回去。我们俩都嫌“大胖”这个名字不雅,想另起一个新名字。我想到电影《导盲犬小Q》。人家叫小Q,咱就叫小P吧。“狗”和“P”连起来喊也很高雅。
小P就是现在我们养的 这条小狗 。