导读:美国科技博客读写网(ReadWriteWeb)今天对黑帽安全大会(Black Hat)和Defcon安全大会期间的一些重要事件进行了回顾。
以下为文章概要:
黑帽安全大会流媒体视频被破解
虽然黑帽安全大会组委会对现场的流媒体视频直播收费为395美元,但Mozilla网络安全专家迈克尔·科兹(Michael Coates)却发现了一种方法,可以免费收看直播。科兹向提供视频流的第三方企业告知了这一情况,并且在几小时内修复了这一漏洞。科兹表示,这一事件表明,即使是最有安全意识的组织仍然会有纰漏,因此企业必须经常审查第三方服务提供商。
假冒手机基站
你的员工是否会利用手机来讨论敏感问题?担心黑客劫持电话似乎已经过时,但克里斯·佩吉特(Chris Paget)在Defcon大会上的演示却表明,这种担忧并不过分。佩吉特设计了一个假冒的手机基站,甚至连加密的电话也会被拦截。
谷歌充满恶意软件风险
在黑帽安全大会上,安全厂商Barracuda Networks发布的一份《年中安全报告》显示,谷歌的链接中所包含的恶意软件是必应、雅虎和Twitter总和的两倍。
赛门铁克上周也发布了类似的报告,并推出了一款名为Norton Safe Web Lite的免费工具,专门用于探测恶意搜索结果。
Barracuda和赛门铁克的发现与NSS Labs的研究一致。该研究对IE、Chrome和火狐的恶意软件探测率进行了对比,IE使用了微软的恶意网站数据库,Chrome和火狐则使用了谷歌的数据库。
在Defcon大会上,secTheory CEO罗伯特·汉森(Robert Hansen)测试了多种通过第三方插件获取iGoogle和Gmail信息的方法。
Android安全性不佳
在Defcon大会上,有安全专家发布了一个可以控制Android的rootkit工具。另外,安全公司Lookout也在黑帽安全大会上发现了Android Marketplace中一系列壁纸,可以将用户的电话号码、SIM卡信息甚至语音邮件密码发送给开发者。虽然这位开发者否认存在恶意目的,但此事却引发了对Android安全问题的担忧。
更多安全漏洞
在黑帽安全大会上,罗伯特·汉森(Robert Hansen)和约什·索科尔(Josh Sokol)展示了如何利用未加密的浏览器标签来获取借助SSL技术加密的浏览器标签中的流量。除此之外,还有研究人员发现DNS重新捆绑(DNS-rebinding)技术能够让黑客控制无线路由器,从而欺骗用户访问恶意网站。
在Defcon大会上,HolisticInfoSec.org的罗斯·马克瑞(Russ McRee)和Skeptikal.org的麦克·贝利(Mike Bailey)演示了类似的技术,可以在Linksys和Netgear路由器上伪造跨站点请求。他们还发现,可以利用同样的方法入侵网络托管管理工具CPANEL。
在黑帽大会上,安全厂商发布了一份报告,列举了企业网站的三大恶意软件漏洞。在这两个大会上,克里斯·盖茨(Chris Gates)和马里奥·塞巴罗斯(Mario Ceballos)都发布了可以入侵甲骨文数据库的工具。
甚至有报道称,Defcon的工程师竞赛令美国联邦调查局颇感不安。
但还有一些好消息,例如,Mozilla公布了增强浏览器安全性的具体计划,Twitter的安全性也被证明好于外界预料。
全美安全状况堪忧
美国计算机应急响应小组(United States Computer Emergency Readiness Team)的报告显示,美国的一些关键的基础设施都容易受到网络攻击,使得全美所有网民在使用无线网络时都会面临信用卡账号和密码被盗的风险。在Defcon大会上,安全专家查理·米勒(Charlie MIller)还对朝鲜如何对美国发动有效的僵尸网络进攻进行了专门描述。
根据黑帽安全大会上披露的另外一条信息,恶意软件工具在中国被公开兜售,使得黑客很容易破解存在问题的软件。
美国网络安全存在诸多担忧,因此美国联邦政府经常会在Defcon大会上积极招募研究人员。但是多数Defcon与会人士都不喜欢与政府合作,因此美国政府很难招到合适的人。
但Defcon上最令人震惊的消息并非安全漏洞,而是一家名为Project Vigilant的秘密私有网络情报组织的主管切特·尤伯(Chet Uber)证实,号称全球五大著名黑客之一的阿德里安·拉莫(Adrian Lamo)帮助美国政府寻找“维基解密”(Wikileaks)网站的视频来源。
与TOR项目和维基解密关系密切的雅各布·阿皮尔巴姆(Jacob Appelbaum)在从荷兰返回美国时被扣留。有消息称,在参加Defcon大会时,美国联邦调查局也曾接触过他。
银行安全
除此之外,这两个安全大会上还公布了一些与银行系统有关的安全漏洞。包括破解自动柜员机(ATM)的方法。(鼎宏)