編者按：Dan Kaminsky 是一名安全專家兼IOActive公司滲透測試總監(jiān)，曾因揭露DNS（域名解析系統(tǒng)）的設計概念中存有致命弱點而聲名鵲起，如果這個漏洞被人利用，互聯(lián)網(wǎng)將會大面積崩潰。這位總是身穿自己喜歡的主題T恤的32歲美國黑客，并評為白帽黑客圈的外交家與政治家。他認為安全合作十分重要，幫助互聯(lián)網(wǎng)企業(yè)在產(chǎn)品發(fā)布前發(fā)現(xiàn)并掩蓋漏洞，可以大大減少惡意攻擊者的利用空間，Kaminsky 把自己的工作視作互聯(lián)網(wǎng)自由斗爭的一種形式。以下是對Kaminsky 在Black Hat 2016演講內(nèi)容整理。

安全大牛 Dan Kaminsky在Black Hat 2016上，呼吁安全企業(yè)在網(wǎng)站運營虛擬空間中擁抱“隔離”架構與云技術來保護在線數(shù)據(jù)以及終端用戶。在主題演講中，Kaminsky詳細介紹了IronFrame瀏覽器的原型與一款新的防火墻技術，并稱這些技術會讓安全企業(yè)更好的保護網(wǎng)絡安全保護。

在Black Hat 2016開始前Kaminsky曾在采訪中說：

我在一流的技術團隊中占有一席之地。我們處在一個隨時都有可能被黑的時代，這也正推動著安全行業(yè)的發(fā)展。

你會發(fā)現(xiàn)，政府都更加關注于數(shù)據(jù)加密技術。這也讓我開始思考，怎樣才可以讓安全防御部署到每一個人。我和我的團隊希望這種安全防御是一種既簡單又可以整合的措施。

在Black Hat 2016的演講主題全名為“The Hidden Architecture of our Time: Why This Internet Worked, How We Could Lose It, and the Role Hackers Play”。在發(fā)布新的技術研究成果的同時，此次演講看上去更像是一個呼吁安全行業(yè)解決網(wǎng)絡安全問題的戰(zhàn)斗號令。他認為，不管是互聯(lián)網(wǎng)監(jiān)管機構還是黑客，都要重視網(wǎng)絡安全問題，否則我們必將有所失去。

Kaminsky的IronFrame網(wǎng)站原型方案，基本上可以減少瀏覽器防火墻防御功能失效時，導致瀏覽器被“托管”的情況發(fā)生。Kaminsky介紹說，給Chrome建立一個自己的內(nèi)核，并裝上其所需要的應用程序，這個內(nèi)核就變成了一個擁有系統(tǒng)調(diào)用功能的防火墻。”

據(jù)了解，Kaminsky過去一整年都在研究IronFrame，探索如何可以真正干掉點擊劫持（clickjacking）。也就是說當用戶點擊網(wǎng)站上的廣告或其他內(nèi)容時，不會轉(zhuǎn)到其它惡意網(wǎng)站。

點擊劫持就是一個網(wǎng)站上隱蔽的惡意內(nèi)容和鏈接，用戶和網(wǎng)站運營商也許并不知道這些內(nèi)容或鏈接的存在，但在網(wǎng)站分層上是合法存在的。

IronFrame 的操作就像積木一樣，可以說是一個積木模型，把網(wǎng)站底層原本的圖形內(nèi)容移動至頂層，這樣，在用戶使用時，就不會點擊到包含有惡意鏈接的層。“就是用這種辦法來終結點擊劫持?！盞aminsky說，“一年前當他第一次揭示瀏覽器以后，就發(fā)現(xiàn)通過對網(wǎng)站設計發(fā)生改動可以解決點擊劫持?！?/p>

用IronFrame， Kaminsky把攻擊者可以利用的強大的在線應用程序都放在沙盒里，只允許少數(shù)的良性系統(tǒng)調(diào)用操作。他說，“這是為想安全鎖定主機內(nèi)容用戶設計的非常好的安全防護措施，我們要拒絕為攻擊者提供可以利用的應用程序。通過鎖定，攻擊者就不能夠為所欲為了”

在演講的結尾，Kaminsky說，關于網(wǎng)絡安全，不論是政府部門還是黑客，實際上我們真正可以做的還有很多。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。