顶尖黑客大会——唤起电子焦虑综合征
热点直击
备受瞩目的黑客年度大会Black Hat(黑帽)和Defcon,不仅为公众提供了一个见识顶尖黑客大显身手的机会,也传递着今后一段时间内的攻击趋势。代表了当今黑客最高水平的Black Hat和Defcon大会,从来都不缺少吸引公众眼球的话题。回顾今年大会中那些有意思的展示,你会发现:安全问题已经渗透到了生活中的方方面面,危险无处不在。
最不可思议:控制ATM机自动吐钱
无需银行卡,利用漏洞直接控制ATM机,让ATM机中的钱源源不断地吐出来,这听起来不可思议,但黑客的演示证明,这不光可能,而且可行。
ATM机多数运行的是Windows XP或Windows CE系统,但黑客利用的并非是系统的漏洞,而是ATM机固件的漏洞。利用这个漏洞,黑客可以在有USB接口的ATM机上插入闪存,输入特殊程序,修改机器的固件指令(和我们常说的“刷机差不多”),从而控制ATM机,于是大会现场中出现了一台机器狂吐钞票的一幕。
更可怕的是,黑客还可以远程攻击ATM机,不需要接触ATM机,就能让ATM机吐钱,同时能在用户输入密码时记下信用卡的密码和使用记录,并传送到他手里。尽管演示的只是两家ATM机制造商的产品,不过该黑客声称,根据他的研究,很多ATM机产品都存在类似风险。
在ATM机上实施犯罪,我们能看到的报道多是自制假ATM机、在ATM机上加装银行卡复制器之类的,这些手法相当于在骗取用户的银行卡卡号和密码,并不会影响ATM机系统本身。要说对系统本身有影响的,许霆案中的ATM机也许算得上是一例,但那也是系统自身的故障,比较罕见,而且个人无法控制。
而该黑客的演示证明,这个大众以为牢不可破的金融装置,其实是可以被破解的。这个可以把银行变成你的提款机的技术似乎有点让人向往,但实际想象一下,这样的技术如果真的被普通大众所掌握,那将是多么可怕的一幕。
最可怕:假冒基站窃听手机
手机窃听的话题这两年也经常被提起,不过多数都需要在手机中安装窃听器或者窃听软件才能实现,但黑客有更酷更炫的窃听方式。
这种窃听方式的关键就是伪装:制作一个特殊装置,“伪装”成合法的信号发射塔,“欺骗”附近的拨号手机发出通讯请求(对使用GSM的手机有效),然后利用基于互联网的音频通讯技术让拨打用户跟接听用户实现连接,并记录他们的通话内容。
这种窃听方式不需要接触被窃听者的手机,窃听对象也没有限制,只要你在这个假基站周围,通话都有被窃听的危险。这种我们想象中只被军事或安全部门采用的技术,如今也很容易被个人用户采用,因为要实现它的成本并不是很高(大约1500美元)。想象一下,别有用心的犯罪分子带着这样的一个装置进入小区,基本上小区内的手机通话就没有秘密可言了。
最科幻:远程读取护照数据
运气好买彩票中了1亿元奖金,怕被犯罪分子绑架,于是整容甚至变性,但犯罪分子掌握了一项技术,在很远的地方“读”到了你携带的嵌有智能芯片的证件,结果……这样的场景很科幻,可惜是事实,黑客已经找到了远程读取这类证件的方法。
黑客用花费不到2500美元组装的一套系统,通过发射无线电波,可以从数百英尺之外甚至更远的地方,读取嵌在美国护照中的射频识别标签(RFID)中的数据。这项演示表明,护照的持有者在不断地播出自己的名字、国籍、年龄、地址和这个射频识别标签芯片中存储的任何数据,而拥有“阅读器”的任何人都能获取到这些信息,不需要护照持有者知情或者许可。
于是,这些我们不得不用的证件,又让我们多了一个泄露身份的危险……
最恐惧:安全协议不安全
支付网站、网银网站等对安全需求较高的网站,都大量使用了经过高强度加密的HTTPS和SSL协议,以保障登录用户的账号安全,这些协议以前很安全,现在也不安全了,因为黑客找到了HTTPS和SSL协议的24个漏洞,通过这些漏洞可以劫持浏览器,获取用户发出的敏感信息,记录用户输入的账号和密码或者执行恶意代码控制用户的电脑。
黑客猜测,HTTPS和SSL协议中可能还有数百个安全问题,他们会继续研究,挖掘新的漏洞。如此看来,这个本应该受信赖的安全协议已经不再保险,需要尽快作出修改,以增加黑客破解的难度。对于当前的普通用户而言,一旦遭遇这样的攻击,多数都会束手无策,因为至少目前还没有很简单的办法可以解决这个问题。
最易被忽视:浏览器主动泄露个人隐私
目前主流浏览器,例如IE、Firefox、Chrome等,都存在类似的漏洞,可以将用户的个人隐私主动提供给黑客。一般来说,要收集用户的个人隐私,最好的方法是使用木马,通过远程控制的方式获取用户的个人隐私。
但黑客有了更隐蔽的方法,他们特制一个陷阱网页,诱使用户访问该网页,用户打开网页后,网页中的恶意代码就激活了浏览器自动完成功能中的漏洞(这个功能的作用是保存个人隐私,例如以前访问过的网址、保存用户名和密码等,减少用户上网的输入过程),然后浏览器就自动泄露用户的个人隐私,而这些信息对黑客来说是极有价值的。
最具颠覆性:黑客活动进入工业领域
工业领域和IT行业相距遥远,但黑客依然没有放过它。工业领域中也有很多地方用到电脑,也有独特的网络,用到了很多设备。黑客发现工业领域采用的西门子公司生产的数据采集与监视控制系统存在漏洞,利用该漏洞就可以运行恶意代码,从而控制发电厂、炼油厂、自来水厂等工业企业。
如果黑客发出恶意指令,就有可能导致停电、停水等,后果不堪设想。在工业领域智能化、网络化的今天,工业领域也成为黑客关注的领域,今后黑客针对工业领域的研究会逐渐增多,工业领域的安全问题将会越发受重视。
延伸阅读>>
黑客大会趣闻
美国黑客兵团“全球招兵”
一个名为“Vigilant”(警戒)的美国黑客组织,在黑帽大会上招兵买马,计划招募1750位新成员,这个被称为网上美国特种部队的组织首次露面,引起了大众关注。该组织由600多位计算机精英组成,监视和追踪恐怖分子、贩毒团伙、犯罪歹徒等不法分子在互联网上的活动。
顶尖黑客替政府卖命
在黑帽大会上,有人证实,全球五大黑客之一的阿德里安·拉莫(Adrian Lamo)揭发了“维基解密”网站中美军直升机攻击伊拉克平民视频的来源,帮助美国政府逮捕了泄密嫌疑人拉德利·曼宁。“维基解密”网站是一个专门曝光各国政府保密文件和视频的网站,该网站最近还曝光了美军9万份阿富汗战争秘密文件。
编辑观点>>
黑客渗透 危险无处不在
黑客,这个词似乎在互联网世界已经出现了审美疲劳,他们已经不是我们想象那般,敲击键盘的侠客。但是我们却不能够无视现实,我们的世界已经被电子产品包围了!电脑、手机、ATM取款机、MP3和各式各样内嵌芯片电子设备已经遍布我们的生活,我们已经深深嵌入到了一个电子世界之中。我们的世界越来越让他们如鱼得水,黑客大会唤醒了我们的电子焦虑综合征,危险已经变得无处不在。
根据调查,在我们所处的世界中,每五人中就会有一人是网络犯罪的受害者。今年,网络犯罪的受害者平均损失931美元,而修复失窃身份信息的平均成本,为1865.00美元。现在是每次和电子设备发生关系都可能有安全顾虑的时代,电脑安全已经扩展为生活安全,我们无法保证万无一失,我们也不能够单凭陈旧的方法确保自身的安全。
而今生活的确已经像黑客们所展示的那样,艳照门、网络诈骗、手机窃听等众多高科技犯罪已经出现在了我们身边,连高考都成为黑客一试身手的乐园。我们该如何保证自己的生活安全呢?况且如今,各种电子设备错综复杂,如同一枚硬币的两面,电子时代的便捷也在不断带来新的威胁。为此,我们希望我们现在所展示的这些黑客技术,能够勾勒出未来我们生活中的各种危险,也希望这种探秘式的信息,能够发掘出真正的应对之道。