2007安全焦点信息安全技术峰会有感

8月份在北京参加了2007 XCon，安全焦点信息安全技术峰会。今天终于有机会静下心写一点会后感了。

Xcon 是由XFocus组织的。XFocus，可以说是国内最大最有名的黑客/白客组织之一了。从这个会议里，我们来讨论一下安全发展的最新趋势。

例子1:

利用英特尔南桥之“顶块交换”模式进行BIOS启动劫持

主讲者：孙冰

议题将揭示一种全新的，利用英特尔ICHx（I/O Controller Hub）系列南桥芯片支持的所谓“顶块交换”（Top-Block Swap）模式进行BIOS启动劫持的方法

这个讲座的特点是分析BIOS的导入过程，指出可以例如写入某些特定的位，导致系统当机，甚至有可能在操作系统前执行攻击者设置的指令。

这里可以看出发展趋势一：低的越低。如果说以往的安全攻击是集中于操作系统一层，近年来，我们可以看到越来越多的研究在更低一级的层次上，例如利用PCI的攻击，在physical memory一级（而不是virtual memory）的攻击。

例子2：

漫谈基于Java的Web程序的安全问题剖析JSON/BISON - JNLP-JWIG-JUMP

主讲者：Aditya K Sood

这个讲座集中与对基于Java的web应用的攻击。

这里可以看出发展趋势二：高的越高。对操作系统上的应用程序一级的攻击，是另一个发展方向。我们可以看出进来了对Office系统，Adobe PDF、FLASH，web应用程序的攻击越来越多。所以当你给系统打补丁的时候，不要光看Windows的补丁，其它应用程序的补丁也要注意。

另外，在会场上可以感受到越来越多的软件开发厂商开始对微软提出的安全软件开发流程（Secure Software Development : SDL）感兴趣。可见提高软件的安全性已经不只是作操作系统一级的公司需要考虑的，任何应用程序的开发，对不可避免的要面对这个问题。对SDL有兴趣的读者可以参见http://blog.csdn.net/chengyun_chu/archive/2007/05/08/1600590.aspx

关于XCon的进一步信息可以参见：http://xcon.xfocus.net/