注册
登录
| 关键词: 攻击 密码 安全 恶意 黑客 用户 亚马逊 Websense 服务 同时 |
各位网友大家好!欢迎收看比特网每周安全回顾栏目。欣赏美女似乎是每个人的嗜好,不论男女,也不论老少,似乎看到了这个现象黑客也开始在这个方面蠢蠢欲动,据相关数据统计,任何有关美女名人的搜索结果,都有可能包含恶意网站,这与该女星“摆弄风姿”的出场有关,也与网络罪犯锁定的目标受害者有关;微软上周发布了6个安全补丁,其中包括一个可修复IE零时攻击漏洞的补丁,看起来微软不得不承认自己的错误了! 热点:八项流行趋势预示Web安全变化;关注指数:高 经过潜心分析研究,Websense Security Labs研究人员发现未来一年Web威胁的变化趋势是以全面混合的安全威胁为主体,同时包含多种攻击手段,其目标是侵害无辜的计算机并将其变成僵尸网络的一部分,同时窃取有价值的关键信息。研究人员认为,黑客正在疯狂寻找新的入侵平台,如智能电话、利用Windows 7的普及优势等,不法分子也会通过破坏搜索结果的完整性和攻击合法广告来传播恶意内容。 Websense安全实验室预计2010年安全威胁将呈现以下趋势: 1、基于Web 2.0的攻击更加复杂和流行 Topsy.com,Google和Bing.com等都新增了实时搜索功能,在2010年,大量垃圾邮件和攻击将针对社交网络和实时搜索引擎发起。在2009年里,Websense研究人员已经发现恶意使用社交网络和其协作工具(如Facebook,Twitter,MySpace和Google Wave等)传播恶意内容的行为在激增。垃圾邮件发送者和黑客攻击Web 2.0网站屡屡得逞的原因是,人们高度信任知名网站及网站上的其他用户。Websense研究人员预计这种趋势将2010年继续蔓延。 2、僵尸网络团伙发起地盘争夺战 在2009年,Websense安全实验室注意到不同的僵尸网络作俑者相互模仿,并使用类似垃圾邮件和Web的攻击战略,如伪造DHL和美国邮政总局的通知和及其他仿冒行为。 3、电子邮件再次成为恶意攻击的首要载体 在2010年,电子邮件作为传播恶意攻击的主要载体而变得更加复杂。在2009年期间,Websense安全实验室发现:在沉寂了多年之后,电子邮件再次成为了传播恶意内容和发布带有木马附件的主要载体。 4、更多针对Microsoft系统的攻击,包括Windows 7和IE 8 在预见Windows 7即将快速流行的同时,Websense监测到更多针对这一新型操作系统的恶意攻击,它们使用特定手法绕过用户访问控制警告,同时利用IE 8的缺陷。 5、不要轻信搜索结果 搜索引擎优化中毒的恶意攻击,也被称为黑帽搜索引擎优化攻击。它发生在当黑客攻陷某个搜索引擎,使它们的恶意链接出现在合法的搜索结果的之前。当用户搜索某个相关条目时,受感染的链接会显示于搜索结果的顶部,这样就会引发更多的对恶意链接的点击 6、智能手机是下一个进攻点 在2009年末,Websense安全实验室记录了在短短几周时间之内发生了4次针对iPhone的攻击,这表明首次针对iPhone平台的重大攻击和首次针对iPhone的数据窃取恶意软件并伴随僵尸功能的攻击出现了。 7、黑客利用合法广告进行攻击 在2009年,《纽约时报》网站的访问者在浏览时看到了一个警告称发现病毒的弹出式对话框,并将访问者引导一个所谓的防病毒软件,这实际上是一个流氓视听软件。 8、苹果电脑不再免于攻击 黑客已经注意到苹果公司的市场份额在个人用户领和企业领域都获得了快速增长。对于苹果用户而言,由于大多数人认为苹果是免疫的,所以减少了防护措施和补丁,这将让这些用户面临了更多安全风险,因为攻击者早已对OS X平台垂涎三尺。 热点:云计算服务给密码保护造成的新挑战;关注指数:高 据安全专家David Campbell的计算,即便用户不使用安全专家建议的大小写字母混合式的密码组合,使用亚马逊提供的云计算服务进行密码暴力破解的黑客,出于成本过高的原因可能也将无法使用这种服务对具备12位长度的密码进行破解。 目前,亚马逊公司为用户提供一种名为EC2的云计算网络服务,这种服务按小时计费.而如果要利用这种服务来暴力破解长度为12位的密码,黑客需要为此支付150万美元以上金额的服务费。不过如果密码的长度缩短为11位,那么便只需要不到6万美元服务费即可,而10位密码则需要支付不到2300美元的费用。 按照传统的安全建议,在密码中采用大小写字母混搭的形式更为安全一些,但根据最近的研究,其提升的安全等级并不如我们所想像得那么大,而密码的位数对密码安全性的提升作用则更大一些。采用这种混搭形式的10位密码只需要支付不到6万美元的服务费,便可以利用EC2云计算服务暴力破解成功。而11位这样的密码则需要花费210万美元。而如果密码的长度较短,即使用户在设置密码时采用诸如“!@#$%”这类生僻字符,暴力破解密码同样比较容易。采用EC2计算8位长度的这种密码的费用大约是10.6万美元左右。 这篇分析文章的全文可以点击这个链接进行查阅。这篇文章以今年早些时候SensePost的安全顾问Haroon Meer在“黑帽”大会上所作的研究报告为基础。在这篇文章中,Campbell向我们介绍了一种利用亚马逊EC2云计算服务来暴力破解并窃取用户信用卡密码的方法。 “由于黑帽组织已经开始利用云计算等超级计算服务开展破解行动,因此我们这批负责安全管理的技术人员需要重新考虑一些过去被我们忽视的安全细节。黑客们窃取了用户的信用卡后,可以利用这些卡里的钱来购买计算能力强劲的机器,这些机器的威力甚至比国家安全机关中装备的超级计算机还强。” 尽管亚马逊向单独一名用户提供的云计算服务计算能力有限,但黑客们也有对应的办法,他们可以利用窃取的多个信用卡账号同时登陆云计算服务,让这些计算同时进行。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
