在8月1日~8月4日美國拉斯韋加斯召開的全美黑帽安全大會(Blackcap)上,電腦黑客們用行動證明:沒有攻不破的山頭。

  「看看那些無知的消費者,為一個所謂的新技術就能夠那麼興奮,然後欣然地為之買單。」但是,在約翰·埃克和他的同行的眼裡,那些都是「小菜一碟」。約翰·埃克平常的身份是美國加利福尼亞州蒙特裡海軍研究生學校的一名學生,而在這次全美黑帽安全大會上,他是一位剛剛入行的優秀黑客。

  全美黑帽安全大會一貫以披露軟件中的安全缺陷和共享黑客工具為主要議題。在黑客們的心目中,一年一度的大會是同行們切磋技藝的節日,來自世界各地的電腦高手紛紛奉獻自己的發現,並從中獲得樂趣。

  對於電腦軟件廠商們來說,這個節日卻是他們的「世界末日」,總有許多知名軟件或者程序被黑客們認定為「不安全的」。今年也不例外。

  無線網絡有漏洞

  在某互聯網公司任安全系統工程師的大衛·馬伊諾是約翰·埃克的好朋友,也是「好夥伴」。8月3日,兩人在黑帽安全大會上做了利用無線網漏洞入侵計算機的演示。演示證明,他們發現了一種利用無線系統設備驅動程序中的漏洞來獲取筆記本電腦控制權的方法。即使電腦沒有連在網絡上,上網密碼、銀行賬戶的詳細資料和其他敏感信息也可能被盜走。

  他們使用的是一個名為「LORCON」(多點連接)的黑客工具軟件,其方法是將超大量的無線信息包發送到不同的無線網卡上,並僅用了大約1分鐘的時間就完全控制了蘋果(美國著名電腦製造商)的MacBook電腦,這種電腦安裝有被認為安全性能更好的蘋果操作系統。馬伊諾說,裝有Windows和Linux操作系統的電腦同樣難以倖免。

  馬伊諾能夠在這台電腦上創建、讀取和刪除文件。更可怕的是,當筆記本電腦斷開網絡連接以後,馬伊諾還可以做同樣的事情。

  另外,馬伊諾說,這種信息包是一個幾乎無法被發現的程序,犯罪分子可用它盜取登錄密碼,獲取敏感信息。

  馬伊諾表示,設備驅動程序破解是一項技術難題,但這項領域已變得越來越吸引人,因為困難程度正在逐步降低。「這要部分歸功於新的工具軟件,比如知名的像腳本工具軟件等,它使得黑客所需要的專業知識更少,而實現目的也更容易。」

  互聯網2.0時代更便於黑客「發揮」

  互聯網在經過多年發展之後,現在被認為正在進入Web2.0時代,網站更具互動性是Web2.0的主要特色,使用者可以像佈置自己的電腦桌面一樣佈置經常瀏覽的網站。Ajax技術是實現這些新應用的重要技術之一。在使用者和服務器之間引入的Ajax引擎,能帶給網絡使用者更多的自由空間,並能提高訪問速度。

  但是,在美國黑客霍夫曼看來,Ajax技術的「功能」不只是把網頁變得更互動而已,它也提供黑客整垮Web服務器、攻擊使用者的渠道。

  8月4日,霍夫曼在黑帽安全大會上播放了自己通過Ajax技術實現攻擊計算機的視頻錄像。他說:「傳統網站好比一幢沒有窗子、只有一扇門的房子,而Ajax網站則是一個有數不清窗子和旋轉門的房子,儘管你在前後大門上加了最安全的鎖,但我還是可以從窗口鑽進去。」

  「以這種新技術開發的網站可攻擊面積更大,因為它和瀏覽器有更多互動,而且可以在用戶端PC上執行javascript。」霍夫曼笑稱。javascript是常見的描述性語言。

  Ajax也增加了跨網站指令碼(Cross-SiteScripting)的可能性,如果網站源代碼撰寫不留意就可能發生。專家指出,攻擊者可以利用這項弱點盜取使用者賬號、詐騙私人信息,或甚至把惡意源代碼下載到使用者電腦中。一些知名公司像微軟、eBay、雅虎與Google等網站都曾出現跨網站指令碼的漏洞。

  波蘭女黑客當眾羞辱微軟

  為了擺脫安全漏洞帶來的困擾,全球最大的軟件生產商美國微軟公司出人意料地出現在今年的黑帽安全大會上,並於8月 2 日發佈了一個Vista (下一代Windows操作系統)的測試版本,邀請安全界專家為其查找漏洞。

  但是,結果證明,微軟是在自取其辱。

  僅僅兩天以後,也就是8月4日,來自波蘭的女黑客喬安娜·魯特克絲卡就當眾演示了如何利用Vista漏洞攻擊目標系統。

  喬安娜通過演示證實,具有系統管理員權限的攻擊者可以禁用系統的簽名認證功能,從而允許用戶系統加載未簽名的設備驅動程序和軟件。「如果我加入一些惡意程序的話,這個系統就……」喬安娜神秘地一笑。

  微軟在Windows中採用了數字簽名機制,使用戶可以瞭解哪些驅動同特定版本的Windows兼容。眾所周知,由於驅動程序一般應用於操作系統底層,因此可以對系統構成致命危險。

  黑客拉博客做「幫兇」

  「你正在閱讀的博客也是個不錯的工具。」黑客鮑勃在黑帽大會上正式宣佈這個最令廣大互聯網用戶震驚的消息。通過廣受歡迎的RSS或Atom等工具來閱讀博客(Blog)文章的行為可能會使計算機用戶受到攻擊。

  RSS和Atom都是一個網站用來和其他網站之間共享內容的工具,通常被用於新聞和其他按順序排列的網站,例如博客。用戶需要下載和安裝一個支持RSS和Atom的聚合工具軟件,然後從網站提供的聚合新聞目錄列表中訂閱您感興趣的新聞欄目的內容。訂閱後,用戶將會及時獲得所訂閱新聞頻道的最新內容,並在不打開網站內容頁面的情況下閱讀支持RSS和Atom輸出的網站內容。

  8月3日,鮑勃一邊喝茶一邊在黑帽安全大會上現場演示了這種攻擊的全過程。他通過在RSS或Atom等工具傳輸給用戶的內容中插入惡意javascript代碼,而這些javascript代碼常常能夠在用戶的PC上運行,這意味著用戶的PC可能遭受攻擊。

  鮑勃通過多個方式實現這種攻擊。他可以通過建立惡意博客,並引誘用戶訂閱該RSS或Atom等工具而利用這一問題興風作浪。他也可以通過在其他人的博客的評論上添加惡意javascript代碼來實現攻擊。




    全站熱搜

    Neo Chao 發表在 痞客邦 留言(0) 人氣()