| | 网站首页 | 新闻快报 | 软件教程 | 硬件教程 | 设计学院 | Q Q 专区 | 编程开发 | 网络安全 | | ||
|
|
|
|
|
|
|
|
|||||
| 您现在的位置: 浩扬网络 >> 新闻快报 >> 黑客新闻 >> 新闻正文 |
由台湾白帽黑客团体举办的第三届台湾黑客年会(Hacks In Taiwan)刚落幕,虽然不像去年公布各种商用系统平台可能造成零时差攻击的漏洞,此次会场主讲的议题除了攻击手法,随着客户端的系统防护逐渐缜密,转由应用系统越来越多的Web外,更有SNORT创办人之一的主讲者Fyodor,讲解目前常见的自动化黑客工具等Web攻击手法。
报名人数暴增,军方单位参与人数变多
第三届台湾黑客年会与去年相比,报名人数增加了将近90名,包含工作人员、学员及讲师等大约270人左右。主办者徐千洋(TimHsu)表示,增加的人数来自于报名首度举行教育训练课程的免费赠票。其中,报名教育训练课程的更有2/3来自军方等单位。
徐千洋指出,此次效法美国Black Hat黑客年会,首度在黑客年会活动进行前举行教育训练课程。原订举行的7堂训练课程中,学员选课比重呈现相当偏颇的现象,包括垃圾邮件、微软系统安全课程等,选课学员兴趣缺缺。反倒是有3堂课大爆满,分别是由邱铭彰(Birdman)讲解的进阶间谍程序侦测与分析,李伦铨(Alan)讲解的白帽黑客入侵手法,和近期备受多方重视,由刘俊雄(OuTian)主讲的如何保护自家网站。李伦铨表示,从这次学员报名的开课内容中也可以看出,目前企业与IT人员看重的相关防护技巧内容,多与企业网站安全以及有效杜绝恶意间谍程序泛滥有关。
课程偏重Web攻击手法
从黑客年会的讲师主讲的内容方向,多数可以作为观察黑客入侵手法的指标。此次有两名外国讲者谈论黑客所使用的工具,包括SNORT创办人、现在就读台大电机博士班的Fyodor,便以自动化的黑客工具做为讲解主题;另外便是来自泰国的grugq,也同样以黑客所使用的工具链为主题。
对于黑客而言,自己写攻击程序、尝试入侵有漏洞的系统,乱枪打鸟成效总是不彰。但若有自动化的工具,效果总是好上几倍。根据Fyodor的研究,包括Yawatt、HttpBee以及Pbounce则是目前几款常见的黑客自动化攻击工具。其中,Yawatt是一款可以实时分类、测试与自动学习的Web应用程序黑客工具,而HttpBee则是一把Web应用程序的万用瑞士刀,可以透过API与各种应用程序(包含Yawatt)或其它程序模块整合。
随着网络应用数量越来越多,也促使许多黑客初学者,纷纷以模仿方式,入侵已经出现漏洞的Web应用程序。此时,具有自动学习功能的黑客工具,成为最好的黑客帮手。
台湾恶意网页泛滥
自动化黑客工具节省黑客入侵时尝试错误的时间,但在台湾,网络应用系统的漏洞,让黑客更轻易入侵企业网站服务器,取得重要的机密资料。台湾最常见透过浏览器漏洞,企业网站被植入iFrame重新引导到其它恶意连结,带动台湾企业对于Web安全的重视。
阿码科技开发1套自动化恶意网页与恶意程序分析系统,该公司首席安全研究员邱铭彰说,全台150万个台湾网域名称网站的主要网页,有效的大约12,000个。目前所有检查的网页中,「有400多个网站的主要网页,被植入恶意连结,」邱铭彰指出,其中被植入的恶意连结数量有200多个,透过这些恶意连结下载的恶意程序大约有40多个。
网站信息全都露
当多数的服务提供来自Web,也意味着提供服务的网站本身,已经具备有相当程度的重要讯息,不论是顾客名单、会员名册等。多数人可能会想到杜绝外来的黑客攻击,但此次黑客年会讲者丁丁大站站长XDite表示,许多人对于提供服务的网站少了很多戒心,有高达许多8成的会员资料填写是真实的。也就是说,只要有心人士可以趁机入侵网站服务器,相关会员数据等,都将成为黑客的囊中之物。
XDite表示,随着各种网络开发工具,例如使用Ajax或者是ROR的比例增加,好用的架构,让使用者照本宣科,反而容易使开发者陷入一种惯性,例如网站ID等于个人账号等。XDite指出,这样的作法让黑客更容易透过XSS(跨站脚本攻击)的手法,入侵各种网站服务器,取得重要的个人与企业信息。
客户端系统安全仍是基本
虽然各种网站服务器提供越来越多的服务,客户端计算机系统的安全防护,仍是所有防护措施的基本。
此次黑客年会上讲者Nanika表示,「只要能够忍受Vista带来的各种限制,系统的安全性将更为提高,对于系统安全与数据保护,有正面帮助。」
迄今举办3届台湾黑客年会,在规模与知名度上仍有努力空间,中华软协安全促进会会长陈振楠直言,「目前台湾安全驱动力,来自于这群参加黑客年会的热情成员们。」阿码科技执行长黄耀文则说,「台湾黑客年会的出现,更是一个国家安全产业的成熟度指标。」
现任台湾安全公司高阶主管的资深白帽黑客OX,以及知名部落格大炮开讲格主邱春树(Roger)皆表示,台湾软件人才的缺乏,让相关产业缺乏研究能量。「所有的软件高手都被硬件厂商延揽去写韧体,使得软件研发后继无人,」OX说道。「这对于台湾安全能量的累积,有很大的杀伤力,」邱春树指出
|
|
|
|
|
| | 设为首页 | 加入收藏 | 联系站长 | 友情链接 | 版权申明 | 网站公告 | |