10年黑客的手法层出不穷
7. 钓鱼
在某些情况下,即使不侵入并盗用数据也可以造成损害,而且它比垃圾邮件更为有效,这就是钓鱼。钓鱼就是利用一种“富于创造性设计”的电子邮件来诱骗您访问那些看起来很真实的网站,而这些网站存在的目的就是盗取您的个人资料。通常这些网转会使用“快速转换”,即迅速变换域名的能力,从而防止您带着执法人员再次访问并取证。
8. 老协议、新问题
在Internet的背后有很多的协议,其中一些协议在今天发挥的作用已经远远超出其当年的初始设计目标。在这些过度使用的协议中,最为人熟知的可能就是域名系统(DNS)。根据IOActive公司研究员Dan Kaminisky在2008年的解释,该协议很容易受到多种形式的攻击,其中包括DNS缓冲中毒。
DNS可以将一个网站的普通名称(例如www.pcworld.com)转换为数字式的服务器地址(例如123.12.123.123)。缓存中毒意味着已存储的普通名称地址不正确,因此导致用户被带到一个受感染的网站而非其预期的网站,而且用户自己根本不可能发现。Kaminsky曾尝试在六个月的时间里将这一缺陷通知给数量有限的一些公司,并且在后来发布了一系列协调好的补丁,这些补丁似乎解决了很多更为严重的漏洞问题。
9. 微软的周二补丁
十年前,微软只在需要时才发布补丁。有些补丁的发布时间为周五下午较晚的时间,这意味着坏人可以利用整个周末对补丁进行逆向工程,并在系统管理员周一上班之前找出这些补丁中的漏洞。
从2003年秋季开始,微软开始按照一个简单的时间表来发布补丁:每月第二个星期二。这就是过去六年中人们所熟知的“补丁周二”,这样,每月都会有新的补丁,但有四个月除外。Oracle公司会每个季度发布一次补丁,而Adobe最近宣布该公司也将每季度发布一次补丁,时间与微软的补丁周二相同或接近。在所有大厂商中,苹果公司是惟一没有定期补丁发布计划的企业。
10. 付费漏洞披露
很多独立研究机构多年来一直在辩论,是否应该将新发现的漏洞立即公之于众,还是等到厂商编写好补丁再予以公布。经过多年的反复后,最近有一两家安全企业已经决定,为了让研究人员守口如瓶,它们会支付费用;而公司将负责与有关的厂商打交道,监督它们及时发布补丁,并且让公司的客户在普通公众了解漏洞详情之前获得相关的信息。
例如,在CanSecWest应用安全大会上,Tipping Point Technologies每年会向有能力侵入特定系统的研究人员奖励1万美元。最近几年,付费寻找漏洞的计划已经日趋成熟。
网友评论