每年的黑帽大会都为期两天,固定在美国拉斯维加斯市举行,每年大会期间全世界的著名黑客和企业都将汇聚一堂,共同探讨当前业界所面临的各种安全问题。第一届黑帽大会是在1997年举办的。每年召开的黑帽大会一般都集中在查找软件中的漏洞和共享黑客工具等事务上。
据悉,本周即将在美国拉斯维加斯召开的黑帽计算机安全大会,一些研究人员将会给世人展示他们开发出来的能够盗取用户尤其是Facebook、eBay和Google用户在线全权证书的软件。
这种偷盗型攻击隐藏在一种新型的混合文件中,让你看不出它到底是什么类型文件或者是什么程序。它们一般被植入到允许用户上传个人图片的网站里面,从而可以绕开网站安全监控系统并窃取网站上用户的个人帐户信息。
对此,Next Generation Security Software公司的研究副总裁John Heasman表示,“我们已经想到了Java applet插件来对付这种利用图片来窃取用户帐号的方式。”他们还为这种新型混合文件取名为GIFAR,是GIF(graphics interchange format)和JAR(Java Archive)的简称,也代表了该种文件是GIF和JAR的混合体。在此次黑帽大会上,研究人员会为与会人员演示如何创建这种文件,但不会尽一步透露一些关键细节,以防被一些不法之徒利用展开大规模攻击。
从Web服务器角度来看,这种GIFAR文件会被看成是。gif格式文件(gif图片),但是对于浏览器上的虚拟机来说,则会被视作Java Archive文件并把它当作applet来打开执行。这样,就会使攻击者有机会在受害者浏览器上运行Java代码,从而让浏览器误以为恶意的Applet是网站开发人员编写的正常代码。
具体地说,攻击者首先在一个比较有人气的网站比如说Facebook网站上创建一个配置文件,然后以图片形式上传他事先编写好的GIFAR文件到网站上。紧接着,他需要诱使受害者访问恶意网站,并让恶意网站欺骗受害者的浏览器去打开并执行GIFAR文件。这个时候,恶意的applet可以在浏览器上自由执行,并为攻击者提供进入受害者的Facebook帐户的便利。
事实上,任何允许用户上传文件尤其是上传银行卡或者是信用卡照片的网站,都有可能会被受到攻击。由于GIFAR文件是以Java形式打开的,所以它们也就可以在各种类型的浏览器中大行其道获得执行。
特别需要指出的是,受害者必须登陆到受黑客监控的网站上他们才能开始进行下一步工作。Heasman说,“当你登陆过网站后,如果很长时间都不再登陆保持离线状态的话,那将会给黑客提供绝佳的机会。”
那我们是不是就束手无策呢?其实,我们有两种方法可以对付这种攻击。首先,网站可以通过强化过滤设施,以便即使发现可疑文件并采取相应措施。其次,Sun Microsystems可以紧缩Java 运行时间环境,以防止这种情况的发生。研究人员还希望通过此次黑帽大会,在不久的将来SUN公司能够推出一个修复工具以帮助更多的受害者。
但是,研究人员还表示,即使Java的修补程序可以减少一部分攻击,但是恶意软件被植入在合法网站应用程序中,却是个更为棘手的问题。一位在Ernst & Young LLP公司高级安全中心工作的研究员,也是GIFAR开发者之一的Nathan McFeters表示,“其实还可以运用其他的一些技术来解决这个问题”。他还说,“从长远来看,Web应用程序必须对服务内容进行有效控制,当然这只是Web应用程序的问题,利用Java进行的攻击也仅仅是使用Web应用中的一个载体而已。”
可以预见,浏览器制造商将不得不对他们的软件做出一些根本性的改变。网络安全问题更多的是出现在浏览器安全性上面。
