在8月1日~8月4日美国拉斯韦加斯召开的全美黑帽安全大会(Blackcap)上,电脑黑客们用行动证明:没有攻不破的山头。
“看看那些无知的消费者,为一个所谓的新技术就能够那么兴奋,然后欣然地为之买单。”但是,在约翰·埃克和他的同行的眼里,那些都是“小菜一碟”。约翰·埃克平常的身份是美国加利福尼亚州蒙特里海军研究生学校的一名学生,而在这次全美黑帽安全大会上,他是一位刚刚入行的优秀黑客。
全美黑帽安全大会一贯以披露软件中的安全缺陷和共享黑客工具为主要议题。在黑客们的心目中,一年一度的大会是同行们切磋技艺的节日,来自世界各地的电脑高手纷纷奉献自己的发现,并从中获得乐趣。
对于电脑软件厂商们来说,这个节日却是他们的“世界末日”,总有许多知名软件或者程序被黑客们认定为“不安全的”。今年也不例外。
无线网络有漏洞
在某互联网公司任安全系统工程师的大卫·马伊诺是约翰·埃克的好朋友,也是“好伙伴”。8月3日,两人在黑帽安全大会上做了利用无线网漏洞入侵计算机的演示。演示证明,他们发现了一种利用无线系统设备驱动程序中的漏洞来获取笔记本电脑控制权的方法。即使电脑没有连在网络上,上网密码、银行账户的详细资料和其他敏感信息也可能被盗走。
他们使用的是一个名为“LORCON”(多点连接)的黑客工具软件,其方法是将超大量的无线信息包发送到不同的无线网卡上,并仅用了大约1分钟的时间就完全控制了苹果(美国著名电脑制造商)的MacBook电脑,这种电脑安装有被认为安全性能更好的苹果操作系统。马伊诺说,装有Windows和Linux操作系统的电脑同样难以幸免。
马伊诺能够在这台电脑上创建、读取和删除文件。更可怕的是,当笔记本电脑断开网络连接以后,马伊诺还可以做同样的事情。
另外,马伊诺说,这种信息包是一个几乎无法被发现的程序,犯罪分子可用它盗取登录密码,获取敏感信息。
马伊诺表示,设备驱动程序破解是一项技术难题,但这项领域已变得越来越吸引人,因为困难程度正在逐步降低。“这要部分归功于新的工具软件,比如知名的像脚本工具软件等,它使得黑客所需要的专业知识更少,而实现目的也更容易。”
互联网2.0时代更便于黑客“发挥”
互联网在经过多年发展之后,现在被认为正在进入Web2.0时代,网站更具互动性是 Web2.0的主要特色,使用者可以像布置自己的电脑桌面一样布置经常浏览的网站。Ajax技术是实现这些新应用的重要技术之一。在使用者和服务器之间引入的Ajax引擎,能带给网络使用者更多的自由空间,并能提高访问速度。
但是,在美国黑客霍夫曼看来,Ajax技术的“功能”不只是把网页变得更互动而已,它也提供黑客整垮Web服务器、攻击使用者的渠道。
8月4日,霍夫曼在黑帽安全大会上播放了自己通过Ajax技术实现攻击计算机的视频录像。他说:“传统网站好比一幢没有窗子、只有一扇门的房子,而Ajax网站则是一个有数不清窗子和旋转门的房子,尽管你在前后大门上加了最安全的锁,但我还是可以从窗口钻进去。”
“以这种新技术开发的网站可攻击面积更大,因为它和浏览器有更多互动,而且可以在用户端PC上执行JavaScript。”霍夫曼笑称。JavaScript是常见的描述性语言。
Ajax也增加了跨网站指令码(Cross-SiteScripting)的可能性,如果网站源代码撰写不留意就可能发生。专家指出,攻击者可以利用这项弱点盗取使用者账号、诈骗私人信息,或甚至把恶意源代码下载到使用者电脑中。一些知名公司像微软、eBay、雅虎与Google等网站都曾出现跨网站指令码的漏洞。
波兰女黑客当众羞辱微软
为了摆脱安全漏洞带来的困扰,全球最大的软件生产商美国微软公司出人意料地出现在今年的黑帽安全大会上,并于8月 2 日发布了一个Vista (下一代Windows操作系统)的测试版本,邀请安全界专家为其查找漏洞。
但是,结果证明,微软是在自取其辱。
仅仅两天以后,也就是8月4日,来自波兰的女黑客乔安娜·鲁特克丝卡就当众演示了如何利用Vista漏洞攻击目标系统。
乔安娜通过演示证实,具有系统管理员权限的攻击者可以禁用系统的签名认证功能,从而允许用户系统加载未签名的设备驱动程序和软件。“如果我加入一些恶意程序的话,这个系统就……”乔安娜神秘地一笑。
微软在Windows中采用了数字签名机制,使用户可以了解哪些驱动同特定版本的Windows兼容。众所周知,由于驱动程序一般应用于操作系统底层,因此可以对系统构成致命危险。
黑客拉博客做“帮凶”
“你正在阅读的博客也是个不错的工具。”黑客鲍勃在黑帽大会上正式宣布这个最令广大互联网用户震惊的消息。通过广受欢迎的RSS或Atom等工具来阅读博客(Blog)文章的行为可能会使计算机用户受到攻击。
RSS和Atom都是一个网站用来和其他网站之间共享内容的工具,通常被用于新闻和其他按顺序排列的网站,例如博客。用户需要下载和安装一个支持RSS和Atom的聚合工具软件,然后从网站提供的聚合新闻目录列表中订阅您感兴趣的新闻栏目的内容。订阅后,用户将会及时获得所订阅新闻频道的最新内容,并在不打开网站内容页面的情况下阅读支持RSS和Atom输出的网站内容。
8月3日,鲍勃一边喝茶一边在黑帽安全大会上现场演示了这种攻击的全过程。他通过在RSS或Atom等工具传输给用户的内容中插入恶意JavaScript代码,而这些JavaScript代码常常能够在用户的PC上运行,这意味着用户的PC可能遭受攻击。
鲍勃通过多个方式实现这种攻击。他可以通过建立恶意博客,并引诱用户订阅该RSS或Atom等工具而利用这一问题兴风作浪。他也可以通过在其他人的博客的评论上添加恶意JavaScript代码来实现攻击。