“黑客：没有攻不破的山头”

本篇文章2171字，读完约5分钟

黑客：没有攻不破的山头 2006-08-08 本报记者 滕兴才

在8月1日~8月4日于美国拉斯维加斯召开的全美黑帽安全大会( blackcap )上，黑客们用行动说明没有无法攻击的山头。 “让我们来看看什么样的无知顾客会因为所谓的新技术而那么兴奋，高兴地买下它。 ”。 但是，在约翰·埃克和他的同行眼里，每一个都是“小菜一碟”。 约翰·艾克是美国加州蒙特雷海军研究生院的学生，在这次全美黑帽安全大会上，他正好是个优秀的黑客。 全美黑帽安全大会一贯以披露软件中的安全缺陷和共享黑客工具为首要议题。 在黑客们心中，一年一度的大会是伙伴们切磋的节日，来自世界各地的计算机高手纷纷奉献自己的发现，从而获得了幸福。 对计算机软件制造商来说，这个节日是他们的“世界末日”，总是有许多著名的软件和程序被黑客们认定为“不安全”。 今年也不例外。 无线互联网存在漏洞 在一家网络公司担任安全系统工程师的大卫·迈诺是约翰·埃克的好朋友，也是“好伙伴”。 2人于8月3日在黑帽子安全大会上，进行了利用无线网络漏洞入侵计算机的示威。 据演示，他们发现了利用无线系统设备驱动程序的漏洞取得笔记本电脑控制权的方法。 即使电脑没有连接互联网，互联网密码、银行账户详细信息和其他机密新闻也有可能被盗。 他们采用了名为“lorcon”(多点连接)的黑客工具软件，大约1分钟就可以完全控制苹果(美国著名计算机制造商)的macbook计算机，认为其安全性能很高。 马诺说，配备windows和linux操作系统的计算机也不例外。 微诺可以在这台计算机上创建、读取和删除文件。 更可怕的是，在笔记本电脑断开互联网连接后，迈诺也能做同样的事。 另外，迈诺表示，这个新闻包是几乎无法发现的程序，犯罪者可以窃取登录密码，获取机密新闻。 迈诺说，解读设备驱动程序是一个技术难题，但这个行业越来越吸引人。 因为困难度在慢慢降低。 “这得益于新的工具软件，如知名的脚本工具软件，黑客所需的专业信息很少，更容易实现目的。 ”。 网络2.0时代黑客“容易发挥” 网络经过多年的快速发展，目前已进入web2.0时代，网站更具互动性是web2.0的第一大特点 ajax技术是实现这些新应用的关键技术之一。 在招聘者和服务器之间引入的ajax引擎，给互联网招聘者带来了越来越多的自由空空间，可以提高访问速度。 但是，在美国黑客霍夫曼看来，ajax技术的“功能”不仅使网页更具互动性，还提供了黑客破坏网络服务器、攻击招聘者的途径。 8月4日，霍夫曼在“黑帽安全大会”上播放了一段关于实现ajax技术攻击的计算机视频。 以前，网站像没有窗户，只有一扇门的房子，而ajax网站是窗户和旋转门数不胜数的房子。 你把前后门锁得最安全，但我可以从窗户进去。 “使用这种新技术开发的网站，由于与浏览器的交互增加，可以在客户端pc上运行javascript，所以可以攻击的面积会变大。 ”。 霍夫曼笑了。 javascript是一种常用的描述语言。 ajax还增加了网站之间脚本的可能性，如果不注意网站源代码的编写，则有可能发生。 专家表示，攻击者可以利用这个弱点窃取招聘者的账户，诈骗个人新闻，将恶意源代码下载到招聘者的电脑上。 微软、ebay、雅虎、谷歌等知名企业存在跨网站脚本漏洞。 波兰女黑客为了公开侮辱微软 ，摆脱安全漏洞的困扰，邀请了世界最大的软件制造商美国微软公司参加今年的黑帽安全大会，8月2日，vista 但是，我发现微软是在自取其辱。 仅两天后的8月4日，来自波兰的女黑客乔安娜·路德·库斯卡当众演示了如何利用vista漏洞攻击目标系统。 乔安娜通过演示证明，具有系统管理员权限的攻击者可以禁用系统的签名认证功能，加载未签名的设备驱动程序和软件。 “一旦我进入了有点恶意的程序，这个系统就会……”乔安娜神秘地笑了。 微软在windows上使用数字签名机制，使用户能够理解与特定版本的windows的兼容性。 众所周知，驱动程序通常应用于操作系统的基础，因此对系统有致命的危险。 黑客博客是“共犯” “你正在浏览的博客也是个好工具。 ”。 黑客鲍勃在黑帽大会上正式发布了这个震惊最广泛的互联网用户的消息。 使用热门的rss和atom等工具浏览博客( blog )副本的行为可能会对计算机客户造成攻击。 rss和atom是网站与其他网站共享副本的工具，通常用于博客等信息和按其他顺序排列的网站。 客户必须下载并安装支持rss和atom的聚合工具软件，然后从网站提供的聚合信息目录列表中订阅感兴趣的信息栏的副本。 订阅后，客户将及时获得订阅的信息渠道的最新副本，并浏览支持rss和atom输出的网络副本，而不打开网络副本页面。 8月3日，鲍勃一边喝茶一边在黑帽安全大会上示范了这次攻击的全过程。 他在使用rss和atom等工具转发给客户的副本中插入了恶意的javascript代码。 这些javascript代码通常可以在客户的pc上运行。 也就是说，您的电脑可能会受到攻击。 鲍勃通过多种方法实现了这样的攻击。 他可以通过创建恶意博客，引导客户订阅rss、atom等工具，利用这个问题掀起风波。 他也可以通过在别人博客的评论中添加恶意的javascript代码来实现攻击。 / h// h// h /