Chinadu`s Blog

内容很精彩.

ATM Hacking, GSM Hacking, SCADA Network ...

http://www.blackhat.com/html/bh-us-10/bh-us-10-archives.html

HTTPS(安全HTTP)和SSL/TLS(安全套接层/传输层安全)协议是Web安全和可信电子商务的核心,但Web应用安全专家Robert "RSnake" Hansen和Josh Sokol在昨天的黑帽大会上宣布,Web浏览器的基础架构中存在24个危险程度不同的安全漏洞.这些漏洞基本上使HTTPS和SSL能够提供的浏览器保 护荡然无存. HTTPS对HTTP协议进行了加密,以保护用户的页面请求和Web服务器返回的页面不被窃听.SSL及后来的TLS协议允许HTTPS利用公钥加密验证Web客户端和服务器.

Hansen和Sokol指出,攻击者要利用这些漏洞,首先需要发起中间人攻击.攻击者一旦劫持了浏览器会话,就可以利用这些漏洞中的大多数对会话进行重定向,从而窃取用户凭据或者从远程秘密执行代码.

然而,两位研究人员强调,中间人攻击并不是攻击者的终极目的.

Hansen指出,“利用中间人攻击,攻击者还可以实现许多更加容易的攻击.你不得不'执行'中间人攻击,并被迫成为一个十分坚定的攻击者……然而,这还不是最坏的情况.对于电子商务应用来说,这些攻击简直是毁灭性的灾难.”
阅读全文...

财富500强中的一些企业需要升级自己的浏览器。虽然他们在这样做，但是，在内部进行一些社交工程培训也是一个好主意。社交工程黑客能够欺骗员工做或者说他们不应该做或者不应该说的事情。社交工程黑客星期五(7月30日)在Defcon大会开展的比赛中对财富500强企业进行了试验攻击，展示了如何轻而易举地让人们讲话，只要你会说恰当的谎言。

参赛者让包括微软、思科、苹果和Shell在内的大公司的IT人员透露了能够用于计算机攻击的各类信息，包括他们正在使用什么浏览器和哪一个版本的 浏览器(星期五打电话联系的前两家公司使用的是IE6)、他们使用什么软件打开PDF文件、他们的操作系统和服务包号、他们的电子邮件客户端软件、他们使 用的杀毒软件、甚至还有他们本地无线网络的名称。

前两个参赛者使这个事情看起来非常容易。
阅读全文...

拉斯维加斯黑帽大会上，Lookout的安全人员指出，一个伪装成Android手机壁纸应用的偷窃个人信息程序已经被下载了百万次，它会收集您的个人资料，并将其发送到一个来自中国深圳的神秘网站imnet.us中。安全人员估计这款程序Kevin MaHaffey是由正常的壁纸应用修改而来，黑客将其上传到Android Market，希望装饰自己手机的用户因此而中招。

泄漏的数据包括浏览历史记录，短信，手机的SIM卡号码，用户识别号，语音邮件，甚至是密码，他警告称每个人都应该警惕来自手机上的威胁。

要预测本周举行的两大顶级黑客大会Black Hat和Defcon会出现什么重大新闻可不容易，因为最刺激的一幕往往发生在最后一刻，Black Hat和Defcon每年都会在赌城拉斯维加斯举办一次，前后不过相差一两天时间，因此人们称之为姊妹会议，今年的Black Hat会议定于周三和周四，Defcon大会定于周五和周六举行。纵观今年拟定的演讲主题，今年的两会将主要有以下五大看点。

1、终结者2现实版，让ATM自动吐钞

今年最值得期待的演讲会是来自曾在瞻博网络工作过的Barnaby Jack，Jack过去数年一直从事ATM(自动取款机)安全研究，本次大会他将会精彩呈现他发现的部分漏洞，ATM目前是漏洞研究的绿地。

Black Hat大会主席Jeff Moss说ATM漏洞研究使人想起几年前的投票机漏洞研究，当时发现了投票系统的严重漏洞，迫使许多政府机构重新考虑他们的电子投票方式。

Jack的演讲备受争议，大会收到了多家ATM厂商的严正警告，在去年的Black Hat大会，直到最后一分钟瞻博才决定让Jack上，今年情况不同了，Jack已经离开瞻博到了IOActive，他打算在今年的大会上展示几种新型 ATM攻击方法，包括远程攻击，根据大会主办方的活动说明，Jack还会透露所谓的“跨平台ATM Rootkit”。

Jack在他的摘要中写道：“我喜欢终结者2中的场景，John Connor走到ATM前，将他的Atari连接到读卡器，然后ATM就自动吐出现金，我已经让它变成了现实”。

(译者乱评：这和前不久前在国内出现的山寨ATM机完全不是一回事，Jack可以让任何一家银行的真实ATM自动吐钱，技术含量谁高谁低?)

阅读全文...

Mozilla公司宣布用户报告火狐漏洞，最高将获得3000美元奖励。

最初Mozilla设置的奖励金额为500美元，这也是谷歌为其Chrome浏览器设置的奖励金额，也是谷歌奖励过的最高1，337美元的两倍。Mozilla和谷歌是业界唯一会向报告漏洞的用户提供奖励的浏览器生产商。

“六年来，Mozilla的奖励计划做了不少的调整。我们相信，最好的保证用户浏览安全的方法就是引入奖励机制，”Mozilla的安全设计部门总监 Lucas Adamski说。从2004年8月开始，Mozilla就推出了报告漏洞奖励计划。

只有那些被Mozilla列为“严重” 和“高危”的漏洞可以得到奖励。在Mozilla的分级制度里，严重的漏洞是那些会导致遥控代码执行的，换句话说，会导致黑客完全控制电脑的漏洞。高危漏 洞是那些会暴露用户关键信息，如用户名，密码和信用卡号码的漏洞。“拒绝服务“漏洞不符合奖励计划。
阅读全文...

5月5日，由ICANN，美国政府和Verisign领导的全球13台根域名服务器将会迎来DNSSEC（Domain Name System Security Extensions，域名系统安全扩展）升级，DNSSEC升级将会在反馈给互联网用户的DNS请求响应中插入数字签名，确保返回的域名地址是未经篡改的。

DNSSEC是为阻止中间人攻击而设计的，利用中间人攻击，黑客可以劫持DNS请求，并返回一个假地址给请求方，这种攻击手段类似于正常的DNS重定向，人们在不知不觉中被转到另一个URL。（实际上域名劫持技术和DNS缓存投毒攻击相当广泛，这也是互联网最大的漏洞——DNS缓存漏洞造成的，DNSSEC可以解决这类问题，今年年初，百度事件就是因为DNS服务器被攻击造成的。）

据Melbourne IT首席战略官，ICANN董事Bruce Tonkin说，本次升级将会给那些毫无准备的网络管理员一个措手不及，响应标准DNS请求往往只有一个单一的数据包（UDP协议），大小一般不会超过521字节，在某些较旧的网络设备中，比这个大的请求将会被出厂默认配置阻止掉，它会认为超过这个大小的数据包是异常的。
阅读全文...

把合适的人员吸引到自己的信息安全职业关系网中并不是一件容易的事情，你需要付出很多努力，而且需要另辟蹊径。

你越是努力地为你的关系网选择合适的成员，你的关系网就能越有效地帮助你实现自己的最终目标，即实现你的信息安全职业目标。比如，吸引一个从事相同 信息安全工作的同事要比寻找一个能够促进你职业发展的CIO或者CISO容易得多。而在这篇文章中，我们将提供一些关于接近这几种人的方法。

去那些可以让自己显得独特的地方

作为一个群体，信息安全职业人员大都倾向于跟他们的同行进行沟通。这样做虽然很容易，但效果却并不好。虽然可以跟那些具有类似职位以及面临类似挑战 的同行们愉快地交流“战争故事（war stories）”，但他们并不会给你的职业关系网增加多少独到的见解。

在一开始的时候，你可以寻找那些你能够提供特殊知识的群体、组织或者社会环境，并且那里的人们也对你的独特视角感兴趣。这些听众通常有很多是高层人 士，他们急切的想了解信息安全知识。比如，如果你是一个侧重于卫生医疗方面的信息安全职业人员，那么你应该加入一个由医院管理人员、医院CFO和CIO构 成的组织。通过与这些人分享你的观点，你能够跟那些欣赏你的观点并且需要你帮助的人发展可信赖关系。如果他们需要你的知识，那么你就可以要求他们以自己的 专业知识作为回报。

非专业群体也可以提供帮助。这些群体包括慈善机构、宗教团体或者特殊利益团体等。这些外部群体里有许多处于不同的生活阶段和事业阶段的人，在很多情 况下你会发现这些人中会有人给你的职业关系网提供独特的价值，并且愿意帮助你事业的发展。
阅读全文...

设想一下：你坐在一家咖啡馆，拿着一杯拿铁享受着无线上网的快乐，准备回顾销售策略和季度财务预测报告。首先你需要连接咖啡馆提供的免费Wi- Fi。然后将你的笔记本和放映机连起来，以便整个咖啡馆的人都可以看到，最后你发出去一些打印好的副本给其他人参考，这些里面含有机密的产品规格信息。这听起来可能有点可笑，但是如果你使用公共Wi-Fi而且没有采取适当的措施的话，那么你的商业机密就可能会被其他的“咖啡同胞”分享。

开放Wi-Fi无隐私可言

今天，大多数的科技用户都知道如何(以及为何)确保家庭无线路由器的安全。Windows 7和Vista在连接到未加密无线网络的时候都会弹出一个对话框提醒用户。

而在咖啡馆、机场休息室或图书馆人们频繁地不假思索地连接无线，尽管使用加密的连接查看比赛结果或航班状态是可以接受的，但是读取电邮或进行任 何Web活动等需要登录的做法，就好像你在人群中使用对讲机不安全。

那么为什么所有的企业不对他们Wi-Fi网络进行加密呢？答案就是IEEE 802.11设计规范的密钥系统太过复杂：如果对流量进行加密，网络所有者和管理者需要选择一个密码，也就是“网络密钥”。需要每个网络都有自己的密钥， 无论网络所有者选择了相对不安全、并很久未更新的WEP还是相对安全的WPA或WPA2，这个密钥都需要在所有的用户中共享。

在家中，你需要进行设置，然后将密码告诉你的家人，那么你们就可以在家中享受无忧的网上冲浪了。而在咖啡馆，咖啡师不得不将密码(或26位的十 六进制WEP密钥)告诉给每位客人，可能他们就可以联网了。在这种情况下没有什么比空密码更简便了。

然而，就算网络已经加密了，你可能也不是绝对安全的。一旦你的计算机知道了密钥，只有对于那些和你不在同一网络的人来说，你的信息才是安全的; 所有“咖啡同胞”都可以看到你的流量，因为他们使用的是同一个密钥。

阅读全文...

Google对于网络搜索的排名有着极为复杂的算法，今天他们宣布，网站的速度也将成为搜索排名的新因素。
Google认为，网站和网页加载迅速，可以让用户节省下时间并且观感更好，这也符合Google的经营理念，不过需要注意的是，速度并不是最主要的排名因素，“相关性”在排名中的主导作用依然不会改变，速度对搜索结果的影响程度应该不到1%。