注册
登录
| 关键词: 用户 脸部 黑客 技术 研究人员 安全 攻击 大会 网络 中间人 |
每年举办几次的黑帽会议是黑客圈中难得的盛事,本周在美国华盛顿举行的今年第一次黑帽会议就吸引了公众的广泛关注。本次黑帽大会上来自世界各地的研究人员发表各自的最新研究成果,内容涵盖了最新的安全漏洞、攻击手段和技术,从选题上来看,针对的主要是去年安全业界关注较多的Web 2.0、网络基础设施和网络应用等热门领域。 虽然看起来挺热闹,但更多是去年一些概念性技术或理念的进一步发展,并没有出现太多创新的或趋势性的新攻击技术,本次黑帽大会上还有另外一个挺有意思的特点,如越南、意大利等小国家的安全研究人员也开始在黑帽大会上发言,显示了小国家在信息安全和黑客技术领域的发展同样有其独到之处。下面我们来了解一下本次黑帽大会上公开的几个比较有特点的技术: 1) 用XSS构建匿名浏览网络:跨站脚本攻击XSS漏洞,通常被黑客用于在知名的站点尤其是电子商务或在线金融站点上窃取用户的账号密码,或是用于通过外部网站向用户的系统中植入恶意软件。 本次黑帽大会上有研究人员提到,XSS也能用于构建匿名的浏览网络,从而用于隐藏攻击者的痕迹——实际上该技术也可以认为是XSS用于植入恶意软件这种攻击手法的扩展,黑客通过XSS来向目标用户的浏览器恶意代码,指令目标用户的浏览器浏览特定的网站并将该网站的数据返回到黑客指定的第二个网站上,从而使黑客能够通过目标用户的浏览器访问到特定的网站,同时不留下访问痕迹,不过这种技术存在不能正常处理非文本信息的缺陷。 笔者觉得,这种技术有可能发展成XSS与系统漏洞利用程序相结合,并在用户的系统上植入能够完成代理功能的恶意软件,最终通过众多受害者的系统组成代理网络,供黑客实施攻击之用。 2) 不可靠的脸部识别验证方法:用户只需在摄像头前露一下脸,系统就会自动确认是否用户身份,而无需用户再输入密码,这种脸部识别技术听起来相当的强,市场上也有数个厂商已经开始推广使用这种脸部识别技术的笔记本计算机。 但这种生物识别方法不见得是很安全,在本次黑帽大会上来自越南的安全研究人员提出,目前在联想、东芝和华硕三计算机厂商的笔记本计算机产品上使用的脸部识别技术并不可靠,很容易通过特定的技术绕过其保护直接访问用户的计算机。 研究人员称,脸部识别技术最大的缺陷在于,无法识别照片和用户真人之间的区别,在使用低分辨率的摄像头时该问题更加严重。黑客只需要获得用户的多张照片,就能通过这些照片计算出用户的脸部特征并制作成足以通过脸部识别保护的数码照片。 笔者认为,该研究人员提到的问题确实存在,就目前的脸部识别技术的准确率来看,笔记本计算机上通过内置摄像头实现脸部识别并不实用,会给用户带来相当大的潜在风险。如果厂商是打算为用户提供低成本的生物特征识别技术,其实还不如采用密码加用户击键习惯进行生物特征验证的双重验证方式,这样安全性会提高很多。 3) SSL/TLS中间人攻击:传统的SSL/TLS中间人攻击方法,都是利用了SSL/TLS本身加密算法上的缺陷或者通过调换加密证书的方式,来达到黑客获取用户账号密码的目的。 但研究人员在本次黑帽大会上发布的新SSL中间人攻击方式却采取了另外的途径,黑客通过TOR代理网络劫持等方式拦截用户的通讯之后,通过一个名为SSLstrip的程序将用户与真实网站的加密连接转换成普通HTTP连接,并通过伪造安全图标等方式,让用户相信自己正在安全的浏览真实站点,实际上黑客已经可以通过嗅探的方法来获得用户的账号密码。 用户要防御这种攻击手段其实并不困难,只要尽量不要在不安全的地点或通过不安全的网络连接(包括各种代理),访问电子商务或网络金融类站点即可。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
