upside
 
   
  
 反病毒 反詐騙 反虐犬
|
分享:
▼
x0
|
黑帽2009大會:Mac係統/面部識別/HTTPS均被攻破
今年的黑帽安全大會成爲了衆多黑客展示自己技術的舞台,它繼續向人們展示著加密技術和係統等方面的不安全性。本次大會中,Apple操作係統,華碩面部識別係統和HTTPS均告破。來自越南的安全研究員Minh Duc Nguyen ...
今年的黑帽安全大會成爲了衆多黑客展示自己技術的舞台,它繼續向人們展示著加密技術和係統等方面的不安全性。本次大會中,Apple操作係統,華碩面部識別係統和HTTPS均告破。來自越南的安全研究員Minh Duc Nguyen演示了如何簡單破解面部識別係統。
他聲稱自己如何簡單繞過這種安全技術,入侵采用面部識別係統的Toshiba, Lenovo, ASUSTek機器。他使用的是自己封裝的特別軟件套裝,它可以使用合法用戶的圖片(比如Facebook社交網站等多種方式獲得),生成與登錄係統中圖像一致的僞造圖像,從而成功進行登錄。該係統不能很好的辨別2D和3D,所以可以在一台筆記本中顯示該僞造圖像,對準采用面部識別係統的筆記本的攝像頭即可完成登錄。
他稱,“我們的研究顯示了這三家PC廠商均采用存在這種缺陷的面部識別技術,盡管他們可以稍微進行改善,但是都不能完全解決,在黑帽安全大會中,我們已經證明這種技術不足夠安全來保護用戶的電腦。”
此次大會的第二個亮點是,來自意大利Politchnico di Milano 大學安全研究人員 Vincenzo Iozzo演示了如何在Mac OS X係統中悄然無聲的注入惡意代碼。該攻擊借助了Mac OS X中的一個未知漏洞。據悉該攻擊不易被察覺而且運行的代碼都是在內存中,無需安裝在硬盤裏。
Vincenzo Iozzo
據Iozzo先生的描述,“我的這項技術能偶解決之前的問題(易被察覺),事實上整個攻擊都在內存中完成,這就意味著一旦機器關閉,就無法獲知剛才機器發生了什麽事情,因爲它不會在機器中留下任何痕迹。此種攻擊方式可能會給一些IDS(入侵檢測係統 )敲響了警鍾。”
第三個大會的亮點就是SSL攻擊,安全研究員Moxie Marlinspike展示了名爲SSLstrip的SSL攻擊工具,可以允許黑客在HTTPS傳輸中起到中間人的作用,從而截獲用戶的信息。
詳情可以參考cnBeta昨天編譯的文章:安全研究人員在黑帽安全大會上演示SSL攻擊
雖然現在Black Hat DC 2009已經告一段落,如果你還想獲知黑帽大會方面的新聞,可以關注Black Hat USA,它將在今年7月25至7月30日在拉斯維加斯舉行。
|
