黑客:没有攻不破的山头
球速体育在8月1日~8月4日美国拉斯韦加斯召开的全美黑帽安全大会(Blackcap)上,电脑黑客们用行动证明:没有攻不破的山头。
“看看那些无知的消费者,为一个所谓的新技术就能够那么兴奋,然后欣然地为之买单。”但是,在约翰·埃克和他的同行的眼里,那些都是“小菜一碟”。约翰·埃克平常的身份是美国加利福尼亚州蒙特里海军研究生学校的一名学生,而在这次全美黑帽安全大会上,他是一位刚刚入行的优秀黑客。
全美黑帽安全大会一贯以披露软件中的安全缺陷和共享黑客工具为主要议题。在黑客们的心目中,一年一度的大会是同行们切磋技艺的节日,来自世界各地的电脑高手纷纷奉献自己的发现,并从中获得乐趣。
对于电脑软件厂商们来说,这个节日却是他们的“世界末日”,总有许多知名软件或者程序被黑客们认定为“不安全的”。今年也不例外。
在某互联网公司任安全系统工程师的大卫·马伊诺是约翰·埃克的好朋友,也是“好伙伴”。8月3日,两人在黑帽安全大会上做了利用无线网漏洞入侵计算机的演示。演示证明,他们发现了一种利用无线系统设备驱动程序中的漏洞来获取笔记本电脑控制权的方法。即使电脑没有连在网络上,上网密码、银行账户的详细资料和其他敏感信息也可能被盗走。
他们使用的是一个名为“LORCON”(多点连接)的黑客工具软件,其方法是将超大量的无线信息包发送到不同的无线分钟的时间就完全控制了苹果(美国著名电脑制造商)的MacBook电脑,这种电脑安装有被认为安全性能更好的苹果操作系统。马伊诺说,装有Windows和Linux操作系统的电脑同样难以幸免。
马伊诺能够在这台电脑上创建、读取和删除文件。更可怕的是,当笔记本电脑断开网络连接以后,马伊诺还可以做同样的事情。
另外,马伊诺说,这种信息包是一个几乎无法被发现的程序,犯罪分子可用它盗取登录密码,获取敏感信息。
马伊诺表示,设备驱动程序破解是一项技术难题,但这项领域已变得越来越吸引人,因为困难程度正在逐步降低。“这要部分归功于新的工具软件,比如知名的像脚本工具软件等,它使得黑客所需要的专业知识更少,而实现目的也更容易。”
互联网在经过多年发展之后,现在被认为正在进入Web2.0时代,网站更具互动性是Web2.0的主要特色,使用者可以像布置自己的电脑桌面一样布置经常浏览的网站。Ajax技术是实现这些新应用的重要技术之一。在使用者和服务器之间引入的Ajax引擎,能带给网络使用者更多的自由空间,并能提高访问速度。
但是,在美国黑客霍夫曼看来,Ajax技术的“功能”不只是把网页变得更互动而已,它也提供黑客整垮Web服务器、攻击使用者的渠道。
8月4日,霍夫曼在黑帽安全大会上播放了自己通过Ajax技术实现攻击计算机的视频录像。他说:“传统网站好比一幢没有窗子、只有一扇门的房子,而Ajax网站则是一个有数不清窗子和旋转门的房子,尽管你在前后大门上加了最安全的锁,但我还是可以从窗口钻进去。”
“以这种新技术开发的网站可攻击面积更大,因为它和浏览器有更多互动,而且可以在用户端PC上执行JavaScript。”霍夫曼笑称。JavaScript是常见的描述性语言。
Ajax也增加了跨网站指令码(Cross-SiteScripting)的可能性,如果网站源代码撰写不留意就可能发生。专家指出,攻击者可以利用这项弱点盗取使用者账号、诈骗私人信息,或甚至把恶意源代码下载到使用者电脑中。一些知名公司像微软、eBay、雅虎与Google等网站都曾出现跨网站指令码的漏洞。
为了摆脱安全漏洞带来的困扰,全球最大的软件生产商美国微软公司出人意料地出现在今年的黑帽安全大会上,并于8月2日发布了一个Vista(下一代Windows操作系统)的测试版本,邀请安全界专家为其查找漏洞。
仅仅两天以后,也就是8月4日,来自波兰的女黑客乔安娜·鲁特克丝卡就当众演示了如何利用Vista漏洞攻击目标系统。
乔安娜通过演示证实,具有系统管理员权限的攻击者可以禁用系统的签名认证功能,从而允许用户系统加载未签名的设备驱动程序和软件。“如果我加入一些恶意程序的话,这个系统就……”乔安娜神秘地一笑。
微软在Windows中采用了数字签名机制,使用户可以了解哪些驱动同特定版本的Windows兼容。众所周知,由于驱动程序一般应用于操作系统底层,因此可以对系统构成致命危险。
“你正在阅读的博客也是个不错的工具。”黑客鲍勃在黑帽大会上正式宣布这个最令广大互联网用户震惊的消息。通过广受欢迎的RSS或Atom等工具来阅读博客(Blog)文章的行为可能会使计算机用户受到攻击。
RSS和Atom都是一个网站用来和其他网站之间共享内容的工具,通常被用于新闻和其他按顺序排列的网站,例如博客。用户需要下载和安装一个支持RSS和Atom的聚合工具软件,然后从网站提供的聚合新闻目录列表中订阅您感兴趣的新闻栏目的内容。订阅后,用户将会及时获得所订阅新闻频道的最新内容,并在不打开网站内容页面的情况下阅读支持RSS和Atom输出的网站内容。
8月3日,鲍勃一边喝茶一边在黑帽安全大会上现场演示了这种攻击的全过程。他通过在RSS或Atom等工具传输给用户的内容中插入恶意JavaScript代码,而这些JavaScript代码常常能够在用户的PC上运行,这意味着用户的PC可能遭受攻击。
鲍勃通过多个方式实现这种攻击。他可以通过建立恶意博客,并引诱用户订阅该RSS或Atom等工具而利用这一问题兴风作浪。他也可以通过在其他人的博客的评论上添加恶意JavaScript代码来实现攻击。
凡本网注明来源:中青在线或中国青年报的所有作品,版权均属于中青在线或中国青年报社,未经本网授权,不得转载、摘编或以其它方式使用上述作品。
本网授权使用作品的,应在授权范围内使用,并按双方协议注明作品来源。违反上述声明者,中青在线将追究其相关法律责任。
凡本网注明“来源:XXX(非中青在线)”的作品,均转载自其它媒体,转载的目的在于传递更多信息, 并不代表本网赞同其观点和对其真实性负责。
本网站文章仅代表作者本人的观点,不代表本网站的观点和看法,与本网站立场无关,文责作者自负。
上一篇:AJAX新技术借力Web应用增长 催生在线版Office
栏 目:AJAX
本文标题:黑客:没有攻不破的山头
本文地址:http://aihaoedu.com/wangluobiancheng/1238.html
您可能感兴趣的文章
- 10-27将网络操作系统变成现实 ajaxWindows正式上线
- 10-27AJAX的应用
- 10-27jquery-django项目的csrf保护导致ajax请求返回403
- 10-27Ajax的使用方法和原理讲解
- 10-27总结Ajax的用法
- 10-26Spring Cloud + Vue 前后端分离
- 10-26vue中怎么引入layui
- 10-26vue怎么动态引入img标签
- 10-26Web前端:确保项目成功的10大Web开发框架
- 10-26vue监听滚动事件如何实现滚动监听
阅读排行
推荐教程
- 10-12期货投资新手如何入门?
- 09-03明日之后第三季新手任务怎么过 第三季教程剧情彩蛋详解
- 09-19iPhone 16最大的卖点竟是苹果花钱买来的?!
- 10-09XTools十周年十大里程碑事件
- 07-18P2P到底是什么意思
- 09-14Java EE轻量级框架整合开发教与学(教案+大纲+源码+PPT+视频彭之军)
- 09-25世界这么大 为嘛这的西瓜能过生日
- 10-09ajax基本用法
- 08-0690%中国人都会读错的5个汽车名词你能读对几个?
- 08-11AJAX新技术借力Web应用增长 催生在线版Office