黑客盯上提款机
- 来源:计算机世界
- 关键字:黑客
- 发布时间:2010-08-10 16:50
“黑帽大会和DefCon 包含了技术与社交两层含义。”大会创始人Jeff Moss 说,这是来自世界各地的安全专家、研究人员,以及黑客和 IT 爱好者们最盛大的聚会之一。从1993 年至今,这已经是“黑帽们”第14 次聚集在拉斯维加斯了。
ATM 机疯狂吐钞
来自西雅图IOActive 公司的安全测试总监Barnaby Jack 的演示,是今年黑帽大会上最“多金”的“表演”了——他破解了ATM 取款机,可以让这些机器疯狂地向他吐钞票。
据了解,目前ATM 冒领存款的普遍做法是窃取银行卡信息。罪犯通常事先在ATM 机上安装读卡器和隐蔽的摄像头,获取银行卡上的磁条信息和用户密码。
接着,用磁条信息复制一张银行卡,再用正确的密码提走现金。
不过,Jack 的做法技术含量要高得多,而且在任何一台ATM 实施,都是100%成功——用电话数据机或其他远程管理工具连上ATM,再利用ATM 的远程访问漏洞和身份验证旁路漏洞就可以进入系统,令其狂吐现金。
此外,Jack 还展示了另外两种侵入ATM 的方式:一个是用rootkit 软件重写机器的固件,绕过远程认证系统;另一个是利用在线管理工具,随时跟踪受到攻击的机器,并窃取使用此机器的用户数据。
这个本该在去年黑帽大会上发布的话题,由于遭到ATM 机厂商的阻止而搁浅。但直到今日,ATM 制造商似乎还没能找到解决的方法。
浏览器安全堪忧
浏览器是每个人上网绕不过的一道“门槛”,它与我们的关系太密切了,所以每年的黑帽大会上,浏览器安全都是最热门的话题之一。“各式各样的浏览器虽然有着令人眼花缭乱的功能,但其实,它们不过是一层玻璃,漏洞百出。”一位安全专家指出。
目前, 大多数浏览器采用的Auto-Complete,能够自动记录用户名、邮箱地址,以及在线银行的密码、信用卡号等,这是极大的安全隐患。白帽安全公司的CTO Jeremiah Grossman 就向同行们演示了如何诱骗浏览器交出自动存储的用户信息。Grossman 说,虽然早在2008 年就有人发现过这种漏洞,也通知过各家浏览器厂商,但迄今为止,这类漏洞都还没有得到修补。
此外, 作为Web 安全和可信电子商务的核心,HTTPS( 安全HTTP) 和SSL/TLS(安全套接层/ 传输层安全)协议的漏洞威胁,也是此次大会上的关注重点。Web 应用安全专家Robert Hansen 和Josh Sokol 指出,他们已经发现HTTPS和SSL/TLS 协议中的24 个安全漏洞。“通过发起中间人攻击,攻击者就能利用这些漏洞劫持浏览器会话,从而窃取用户凭据,或远程秘密执行代码。”
同时,两位研究人员还强调,中间人攻击并不是攻击者的终极目的,“利用中间人攻击,攻击者还可以实现许多的攻击。对于电子商务应用来说,这些攻击简直是毁灭性的灾难”。
智能手机也不安全
最近几年,智能手机在速度、内存及网络连接等方面,已能与几年前的台式电脑相媲美。目前,它正逐步成为新的个人信息库,但也同时成为网络犯罪的目标。
对于这个问题,苹果和谷歌采取了两种截然不同的对策:苹果通过封闭的应用程序商店来保护用户的安全;谷歌的Android 在安全性上稍好,但其应用程序可以不经过任何审核就能被上传。此次黑帽大会上,Android 与iPhone 的漏洞都被揪了出来。
大会上,为智能手机提供安全数据备份服务的Lookout 公司发布了手机应用程序的危险性报告。他们在分析了30 多万种Android 和iPhone 手机的免费应用程序之后,发现其中近1/3 的程序可以获取手机用户的联系人名单和位置信息。
而且,iPhone 的应用程序风险比Android的更大。
在Lookout 披露的Android 漏洞中,最引人注目的是一款中国开发者开发的壁纸软件Jackeey Wallpaper。Lookout 公司CEO John Herring 称,这款已经下载超过百万次的应用,会向服务器发送一些敏感数据,不过Herring 强调,这些信息并不涉及短消息、浏览器历史或语音邮箱密码,用户不必担心该应用存在恶意攻击,他只是借此证明Android 存在漏洞。
同时Lookout 的移动安全研究员Anthony Lineberry 还向观众演示了通过攻击Android 底层Linux 系统中的已知漏洞,完全控制Android 手机。Lineberry 说:“一旦这些恶意程序下载到手机上,就会对该手机进行‘根控制’。而根是Linux 环境下的万能模式,控制了根,就可以对该系统为所欲为了。”
关注读览天下微信,
100万篇深度好文,
等你来看……