• 关于我们 联系我们
当前位置:安全行业动态 → 正文

起底那些网络安全中不为人知的事

责任编辑:editor006 |来源:企业网D1Net  2015-07-21 17:02:26 本文摘自:电子信息产业网

起底那些网络安全中不为人知的事

网络处处是陷阱突破束缚困难重重

互联网是自由的,在网上我们可以随心所欲的获得我们想要的信息,做我们想做的事。然而,无论你做任何事,你的每一步行动都有一双隐藏在黑暗中的眼睛监视着你,记录着关于你的一切。“黑客只需向你的邮箱发送一封邮件,只要你点开查看,你的所有邮件信息就尽在对方的掌握之中。”一位名为Only_Guest的乌云白帽子介绍道,“即使退出登录,重新启动电脑,删除Cookie亦或使用目前流行的杀毒软件查杀都无法摆脱控制,突破束缚困难重重。”

早在2010年,Struts2就被爆出安全漏洞,后来虽被修补,但在2013年最新发布的2.3.15版本出现了一次大爆发,黑客利用这个重大的安全漏洞远程执行服务器脚本代码,可造成系统无法运行。利用此漏洞也可以引导用户点击进入钓鱼网站,获取用户的密码。乌云平台负责人疯狗说:“此次漏洞的大爆发,让国内外众多知名企业网站纷纷中招,几乎所有使用Struts2的企业均存在漏洞,这让白帽子惊心动魄,一边流泪一边审核。其中一家企业甚至影响到了主域名(www.xx.com),如果被利用,那么其最核心的业务服务器将全部被黑客掌握。到那时候,黑客将指哪打哪,随心所欲。”

“有人问,如果我只注册账号,而没有任何的使用,不会留下任何痕迹,这样会安全吗?答案是否定的。”Only_Guest说,“即使你的账号没有做任何事,但是你的用户名,绑定的手机号、QQ号、邮箱等信息均会被黑客所获得,并借此查找到这些账号在其它任何网站所注册的信息,依然逃脱不了被监控的命运。”

通信防线薄如蝉翼号码复制盗用轻而易举

电信诈骗近些年呈现直线上升的趋势,手段不断翻新,令人防不胜防。现如今又出现了伪造号码和复制USIM卡的诈骗方式。那么这些是如何做到的呢?

“有这样一个案例,女大学生失踪遭到遥控,骗子冒充女大学生的手机给其家人打电话诈骗,甚至到了最后连公安局电话也被人伪造。”乌云白帽子毕月乌说道,“实现这个并不难,只需利用现在方兴未艾的网络电话,利用其没有身份校验的漏洞,骗过网络运营商,即可达到伪造号码的目的。”

毕月乌表示,实现号码伪造也就是两分钟的事,电话费不过几毛钱一分钟,然而对于受害者就可能是几十万甚至上百万的损失。为了确定实现伪造号码的真实性,毕月乌还在现场做了演示。演示过程中可以看到,无论嘉宾需要什么号码,都可以迅速的实现伪造,显示在被叫人的手机上。

白帽子现场演示伪造手机号码

除了伪造号码,还有一种危害更大的电信诈骗方式——复制USIM卡。

复制卡就是平时所说的“黑”卡,它是一张与原USIM卡一模一样的卡,可以被运营商正确识别,并使用与原卡相同的功能,包括拨打电话,接收短信等等。很多诈骗短信就是复制卡和猫池所为,让用户可能遭受损失的同时给查处一定困难。更重要的是,现如今我们很多账号都与手机号码绑定,而一些企业将手机号码设定为“最高级别”。例如支付宝,当我们需要修改账户密码时,只需向手机发送一条验证码,便可将密码重置。而复制卡就可以轻松的实现这一点,让个人的账户岌岌可危。

“2G时代的SIM卡缺陷早已被众人所知,而到了3G和4G时代,尽管USIM卡已经做了加密处理,但是展开旁路攻击仍然可以进行破解。”来自上海交通大学LoCCS实验室的葛毅杰说,“在加密过程中会释放中大量的物理信息,包括功耗、电磁、时间、温度等等,利用这些信息用专业的设备和算法对USIM卡进行分析,即可成功的攻破防御。”

安全大任,望君莫辞

中国的白帽子群体在世界上的规模数一数二,并且相当一部分是来自于世界500强企业,或者世界级的互联网巨头。但是,中国的信息安全现状缺依然不容乐观,安全事件比比皆是,企业漏洞也依旧呈增长趋势。何为?维护网络的安全,不能仅仅依靠白帽子,而需要个人、企业、政府的共同努力。

“现如今,很多企业或个人尚未意识到网络安全问题的危害,对安全方面的信息了解甚少。对于个人而言最典型的就是弱口令,为了记忆方便将密码设置的过于简单,而被黑客轻松破解。很多人的意识不到潜伏的危机,认为没有被盗用就是安全的,等到遭受损失后才意识到问题为时已晚。”疯狗说。

在互联网界,主动攻击才是最好的防御手段,白帽子寻找漏洞也经常需要对可能存在问题的点进行攻击,发现漏洞后将信息提交给相关企业。至于漏洞的修复工作,只能由企业完成。而一些企业并未对此重视,没能及时修补,因此造成本可避免的损失。

“乌云平台一旦发现漏洞便会第一时间上报,但是一些企业对于安全问题的态度让人难以接受。曾经我们发现某网站存在支付漏洞,就是可以免费购买服务和商品那种。我们直接提交给厂商,厂商很快便给了‘已进行修复’的回应。原本以为这件事就过去了,然而几天后又有另一个白帽子提交了相同的漏洞,沟通中我们得知此漏洞厂商并未修复,可能是企业内部的协调沟通不是十分妥善。”疯狗说,“只有企业和个人都更多的投入到维护网络安全的工作中,对网络安全问题有了一定的认知和重视,才能避免由于信息不对称而导致行动意愿南辕北辙,漏洞越补越多的恶性循环当中。”        

关键字:网络安全钓鱼网站支付宝

本文摘自:电子信息产业网

x 起底那些网络安全中不为人知的事 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

起底那些网络安全中不为人知的事

责任编辑:editor006 |来源:企业网D1Net  2015-07-21 17:02:26 本文摘自:电子信息产业网

起底那些网络安全中不为人知的事

网络处处是陷阱突破束缚困难重重

互联网是自由的,在网上我们可以随心所欲的获得我们想要的信息,做我们想做的事。然而,无论你做任何事,你的每一步行动都有一双隐藏在黑暗中的眼睛监视着你,记录着关于你的一切。“黑客只需向你的邮箱发送一封邮件,只要你点开查看,你的所有邮件信息就尽在对方的掌握之中。”一位名为Only_Guest的乌云白帽子介绍道,“即使退出登录,重新启动电脑,删除Cookie亦或使用目前流行的杀毒软件查杀都无法摆脱控制,突破束缚困难重重。”

早在2010年,Struts2就被爆出安全漏洞,后来虽被修补,但在2013年最新发布的2.3.15版本出现了一次大爆发,黑客利用这个重大的安全漏洞远程执行服务器脚本代码,可造成系统无法运行。利用此漏洞也可以引导用户点击进入钓鱼网站,获取用户的密码。乌云平台负责人疯狗说:“此次漏洞的大爆发,让国内外众多知名企业网站纷纷中招,几乎所有使用Struts2的企业均存在漏洞,这让白帽子惊心动魄,一边流泪一边审核。其中一家企业甚至影响到了主域名(www.xx.com),如果被利用,那么其最核心的业务服务器将全部被黑客掌握。到那时候,黑客将指哪打哪,随心所欲。”

“有人问,如果我只注册账号,而没有任何的使用,不会留下任何痕迹,这样会安全吗?答案是否定的。”Only_Guest说,“即使你的账号没有做任何事,但是你的用户名,绑定的手机号、QQ号、邮箱等信息均会被黑客所获得,并借此查找到这些账号在其它任何网站所注册的信息,依然逃脱不了被监控的命运。”

通信防线薄如蝉翼号码复制盗用轻而易举

电信诈骗近些年呈现直线上升的趋势,手段不断翻新,令人防不胜防。现如今又出现了伪造号码和复制USIM卡的诈骗方式。那么这些是如何做到的呢?

“有这样一个案例,女大学生失踪遭到遥控,骗子冒充女大学生的手机给其家人打电话诈骗,甚至到了最后连公安局电话也被人伪造。”乌云白帽子毕月乌说道,“实现这个并不难,只需利用现在方兴未艾的网络电话,利用其没有身份校验的漏洞,骗过网络运营商,即可达到伪造号码的目的。”

毕月乌表示,实现号码伪造也就是两分钟的事,电话费不过几毛钱一分钟,然而对于受害者就可能是几十万甚至上百万的损失。为了确定实现伪造号码的真实性,毕月乌还在现场做了演示。演示过程中可以看到,无论嘉宾需要什么号码,都可以迅速的实现伪造,显示在被叫人的手机上。

白帽子现场演示伪造手机号码

除了伪造号码,还有一种危害更大的电信诈骗方式——复制USIM卡。

复制卡就是平时所说的“黑”卡,它是一张与原USIM卡一模一样的卡,可以被运营商正确识别,并使用与原卡相同的功能,包括拨打电话,接收短信等等。很多诈骗短信就是复制卡和猫池所为,让用户可能遭受损失的同时给查处一定困难。更重要的是,现如今我们很多账号都与手机号码绑定,而一些企业将手机号码设定为“最高级别”。例如支付宝,当我们需要修改账户密码时,只需向手机发送一条验证码,便可将密码重置。而复制卡就可以轻松的实现这一点,让个人的账户岌岌可危。

“2G时代的SIM卡缺陷早已被众人所知,而到了3G和4G时代,尽管USIM卡已经做了加密处理,但是展开旁路攻击仍然可以进行破解。”来自上海交通大学LoCCS实验室的葛毅杰说,“在加密过程中会释放中大量的物理信息,包括功耗、电磁、时间、温度等等,利用这些信息用专业的设备和算法对USIM卡进行分析,即可成功的攻破防御。”

安全大任,望君莫辞

中国的白帽子群体在世界上的规模数一数二,并且相当一部分是来自于世界500强企业,或者世界级的互联网巨头。但是,中国的信息安全现状缺依然不容乐观,安全事件比比皆是,企业漏洞也依旧呈增长趋势。何为?维护网络的安全,不能仅仅依靠白帽子,而需要个人、企业、政府的共同努力。

“现如今,很多企业或个人尚未意识到网络安全问题的危害,对安全方面的信息了解甚少。对于个人而言最典型的就是弱口令,为了记忆方便将密码设置的过于简单,而被黑客轻松破解。很多人的意识不到潜伏的危机,认为没有被盗用就是安全的,等到遭受损失后才意识到问题为时已晚。”疯狗说。

在互联网界,主动攻击才是最好的防御手段,白帽子寻找漏洞也经常需要对可能存在问题的点进行攻击,发现漏洞后将信息提交给相关企业。至于漏洞的修复工作,只能由企业完成。而一些企业并未对此重视,没能及时修补,因此造成本可避免的损失。

“乌云平台一旦发现漏洞便会第一时间上报,但是一些企业对于安全问题的态度让人难以接受。曾经我们发现某网站存在支付漏洞,就是可以免费购买服务和商品那种。我们直接提交给厂商,厂商很快便给了‘已进行修复’的回应。原本以为这件事就过去了,然而几天后又有另一个白帽子提交了相同的漏洞,沟通中我们得知此漏洞厂商并未修复,可能是企业内部的协调沟通不是十分妥善。”疯狗说,“只有企业和个人都更多的投入到维护网络安全的工作中,对网络安全问题有了一定的认知和重视,才能避免由于信息不对称而导致行动意愿南辕北辙,漏洞越补越多的恶性循环当中。”        

关键字:网络安全钓鱼网站支付宝

本文摘自:电子信息产业网

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^