全球黑客盛会:2008年黑帽大会要闻摘要(2)

  • 时间:
  • 浏览:2
  • 来源:5分3D平台-5分彩投注平台_5分快3娱乐平台





作者: 梁林 51CTO.com  

CNETNews.com.cn

1508-08-20 09:42:55

关键词: 技巧 数据库 ORACLE

  【51CTO.com 独家报道】全球瞩目的信息安全会议Black Hat USA 1508上周在美国拉斯维加斯开幕,众多的安全厂商和独立安全研究人员都不 会上发表了被委托人最新的研究成果。作为全球水平领先的安全会议,Black Hat会议上公开的研究成果大都不 信息安全的近期热点,都不 统统相当具有前瞻性的趋势。51CTO《一周安全要闻回顾》专栏将密切关注Black Hat会议的线程,及时为你带来最新的报道和分析。

  (1) 社会网络网站的安全受第三方插件威胁;

  内容:在8月7日的Black Hat会议上,两名安全研究人员Shawn Moyer 和Nathan Hamiel公开了亲们 对社会网络网站(SNS)的最新研究成果:不安全的第三方插件肯能严重威胁用户使用社会网络网站的安全,另外,该研究还发现用户之间的信任仍然是社会网络网站安全的最大漏洞。这两名研究人员还在与会者头上进行了对美国社会网络网站LinkedIn的攻击演示。

  分析:社会网络网站是近几年最为流行的Web 2.0产品之一,用户也能很方便的在社会网络网站上和亲们 联络、交换信息,国内都不 数个较为出名的本土社会网络网站。肯能SNS市场竞争日趋激烈,用户数量急剧增加,MySpace、Facebook等市场领先的社会网络网站先后开放了开发接口,用户和开发人员还需用自行创建各种第三方插件,增强被委托人在社会网络网站的用户体验和提升使用速率。

  本届Black Hat会议上公开的研究成果,揭露了原来另有一个 问题报告 :社会网络网站运营商在开放开发接口的并肩,却那么为普通用户提供另有一个 可靠安全的插件认证手段,用户使用不安全的第三方插件但是,被委托人的敏感信息受到威胁,甚至造成之类病毒扩散的后果,这个 责任应该由谁承担?从目前的状态来看,在开放了开发接口的社会网络网站运营商眼里,这个 后果都应该由插件的使用者也即用户承担。上个月,反病毒厂商卡巴斯基和软件厂商Adobe就曾联合发布过另有一个 安全公告,称黑客利用MySpace和Facebook散布实际上是另有一个 特洛伊木马线程的虚假Flash升级线程。尽管该安全公告中那么明确指出第三方插件算是 在黑客的攻击中发挥了作用,但黑客是还需用通过使用精心构造的第三方插件,进行获取使用者的敏感信息或使用用户的名义发送虚假的信息等攻击行为。

  笔者认为:与社会网络网站同为Web 2.0技术的博客、社区等一点公众服务也同样所处上述威胁,着实第三方开发者和厂商提供的插件线程,着实也能显著的提升用户体验,让用户被委托人的空间看起来很有个性,但在目前运营商不重视安全,控制手段严重缺失的状态下,用户使用来源不明的第三方插件具有相当大的敏感信息丢失或成为攻击源的风险。建议用户在不言而喻十分必要的状态下,尽量不言而喻使用来自不可信来源的第三方插件,统统要轻易相信被委托人博客、空间上的所含链接或误导性言语的留言,肯能这很肯能统统黑客精心策划的恶意陷阱。

  (2) 不使用漏洞的Web攻击措施;

  内容:在普通用户的心里,擅长攻击Web的黑客大多都不 装备精良、经验丰富的技术老手,然而在8月8日的Black Hat会议上,来自WhiteHat Security的两名研究人员Jeremiah Grossman和 Trey Ford向与会者展示了多种不使用漏洞的Web攻击措施,以及黑客怎么还可以使用这个 攻击措施来获取经济利益。其中较有代表意义的攻击措施有:通过注册絮状虚假账户来突破CAPTCHA验证措施进行投票造假;使用虚假数据来欺骗在线银行系统;利用网络交易过程的过高 免费获得货物;利用证券市场上的未公开信息进行获利等。

  分析:WhiteHat Security研究人员在Black Hat会议上所公开的措施并都不 非常创新的攻击措施,其中提到的一点措施在早至五、六年前就在国内广为使用。就用网络投票中常见的验证系统作为例子,一点网站在举行有奖投票的但是,一般都不 会刻意去除理他们进行投票作弊,原来,往往都不 人用有偿代投票的形式进行作弊并获取相应的经济利益,即使是被多个大型电子邮件服务商采用,公认比较可靠的CAPTCHA验证系统,在去年和今年数次被黑客攻破,并用来进行投票作弊或垃圾邮件散发。利用网络交易过程中所处的过高 进行的网络欺诈案件,肯能利用第三方的网络支付服务进行洗钱等也是亲们 比较熟悉的案例。

  笔者认为:对运营商来说,和较为容易发现和清除的系统或代码漏洞不同,业务流程逻辑上的漏洞往往更为隐蔽和难以清除,而在电子商务的整个链条中,人这个 环是安全性最弱的。WhiteHat Security研究人员的成果所透露出来,除了提供多个新颖的攻击思路外,更多的是透露出另有一个 趋势:黑客进行攻击时,将不多的着眼电子商务业务流程上的过高 。而目前的信息安全肯能安全审计领域,也往往把企业业务风险和信息风险这两者删改割离开来,企业五种在进行信息安全项目时,也主要关注在技术方面的风险,信息化业务流程的风险、攻击和防御,肯能成为较长时期内安全行业和市场内的热点话题。

  (3) Microsoft新计划帮助修复第三方软件中的漏洞

  内容:在8月7号的Black Hat会议上,Microsoft组阁 将发起另有一个 名为微软漏洞研究(MSVR)的新计划,该计划旨在帮助参与计划的第三方厂商修复其软件产品中所处的安全漏洞。Microsoft将与参与计划的第三方厂商共享由Microsoft被委托人的研究人员或实物研究人员所发现的安全漏洞,并帮助第三方厂商修正这个 漏洞。

  分析:1506年开始的Windows平台第三方软件漏洞挖掘和攻击热潮,是Microsoft推出该项新计划的最主要目的。这两年Windows和一点Microsoft产品上所发现的漏洞数,只比但是几年有小幅度的上升,而Windows平台上的第三方软件漏洞,则以相当快的速率进行增长,甚至成为黑客攻击Windows系统的主要手段,最近的Flash媒体播放器漏洞,就显示第三方软件的漏洞,也会成为用户系统的严重安全威胁。

  根据Microsoft的统计数据,目前在攻击Windows平台的漏洞利用线程中,有150%是针对Windows XP上的第三方软件,90%是针对Windows Vista上的第三方软件。笔者估计,Microsoft的新计划在开始时肯能只会加入Adobe等大型软件厂商,较小或不被Microsoft承认的软件厂商仍将游离在外。Microsoft的新计划也将进一步有益于Windows平台安全一体化的思路,而现有的Windows Update服务算是 成为通用的软件升级服务,值得期待。

  【51CTO.COM 独家特稿,转载请注明出处及作者!】