| 導購 | 订阅 | 在线投稿
分享
 
 
 

網絡交易協定SSL漏洞百出 黑客容易破解

來源:互聯網網民  2006-12-16 16:51:01  評論

[新浪科技]一名電腦專家周一表示,廣受網絡銀行和電子商務采用的安全性軟件可以輕易避過,因此瑞典數家大型銀行的顧客帳戶仍有遭入侵的危險。

這位不願具名的瑞典黑客專家展示了如何在數分鍾內便突破微軟網絡服務器軟件的安全防護。該名專家也展示如何破解網絡銀行的安全系統,並迅速連續入侵瑞典四大銀行中的三家。隨後他又展示如何隱藏自己的路徑,讓事後難以偵查。

雖然突破顧客帳戶後僅短暫停留,但該名專家表示,入侵者可以隱藏將存款轉至他戶的指令,當用戶動用其網絡銀行帳戶時,指令就會被啓動。

微軟裝置的安全插座層(Secure Socket Layer,SSL)兩周前暴露出的弱點就是專家所藉以突破的點。SSL是在網絡上傳輸信用卡號碼以及帳戶密碼的業界標准。這位不願具名的專家表示,「SSL通訊協定很容易破解,不像人們所想的那樣安全。」

他還說,黑客利用各種破綻發動攻擊,但微軟能掌握的漏洞只有部分。大部分的責任應該歸咎于銀行或組織內部的網絡管理人員,因爲他們並未適當地安裝微軟的軟件。

藉由這種方式,黑客就能夠以網站用戶的身分登入、進入網站根目錄後就可以進入組織的內部網絡。

微軟與銀行業淡化迫切的威脅

針對最近有關SSL漏洞的報告,微軟在回應中承認這些漏洞確實存在,也正在開發修補程序;但該公司也淡化這些瑕疵將導致安全威脅擴大的說法。微軟在瑞典的分公司也否認,SSL能夠被上述專家所展示的那種方法破解。

「理論上來說都不可能,」微軟瑞典分公司安全部門主管林克維斯特說。

該未具名的專家表示,黑客可以經由數百部電腦滲透安全系統,而警方光追蹤10部電腦的路徑就可能需耗費四至五個月的時間,因此要偵查這類犯罪是難上加難。這四家瑞典銀行並非特例。根據電腦專家,多數全球主要的金融機構幾乎同樣脆弱,因爲它們也采用SSL通訊協定。

Swedbank公關主任表示,「人類都可以上太空了,遲早總會有人有辦法打贏安全系統的。」Handelsbanken資訊主管也稱,「沒有哪個系統是百分之百安全的。」

冰山一角

但是,電腦專家說,銀行還是極爲脆弱。

矽谷智庫SRI International首席科學家紐曼表示,盲目地接受加上技術方面的無知,形成這些安全漏洞。「銀行說,我們沒事,這根本是胡扯。基本上一切都很脆弱的,」他說。

瑞典安全機構Deprotect的安全專家古特克指出,該公司曾經利用暗藏指令,自一家重量級歐系銀行轉走數千萬美元。該行要求Deprotect測試其安全系統。兩周後,古特克告知銀行這樁未被察知的轉帳。主要原因在于,秘密轉走的金額還不夠大到足以啓動警報系統。

古特克說,銀行花大筆的錢裝修客戶看得到的一面;但是卻忽略內部系統。紐曼也同意指出,離職的知情員工可能是更大的威脅。(王冠中/沈以文)

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
[新浪科技] 一名電腦專家周一表示,廣受網絡銀行和電子商務采用的安全性軟件可以輕易避過,因此瑞典數家大型銀行的顧客帳戶仍有遭入侵的危險。   這位不願具名的瑞典黑客專家展示了如何在數分鍾內便突破微軟網絡服務器軟件的安全防護。該名專家也展示如何破解網絡銀行的安全系統,並迅速連續入侵瑞典四大銀行中的三家。隨後他又展示如何隱藏自己的路徑,讓事後難以偵查。   雖然突破顧客帳戶後僅短暫停留,但該名專家表示,入侵者可以隱藏將存款轉至他戶的指令,當用戶動用其網絡銀行帳戶時,指令就會被啓動。   微軟裝置的安全插座層(Secure Socket Layer,SSL)兩周前暴露出的弱點就是專家所藉以突破的點。SSL是在網絡上傳輸信用卡號碼以及帳戶密碼的業界標准。這位不願具名的專家表示,「SSL通訊協定很容易破解,不像人們所想的那樣安全。」   他還說,黑客利用各種破綻發動攻擊,但微軟能掌握的漏洞只有部分。大部分的責任應該歸咎于銀行或組織內部的網絡管理人員,因爲他們並未適當地安裝微軟的軟件。   藉由這種方式,黑客就能夠以網站用戶的身分登入、進入網站根目錄後就可以進入組織的內部網絡。   微軟與銀行業淡化迫切的威脅   針對最近有關SSL漏洞的報告,微軟在回應中承認這些漏洞確實存在,也正在開發修補程序;但該公司也淡化這些瑕疵將導致安全威脅擴大的說法。微軟在瑞典的分公司也否認,SSL能夠被上述專家所展示的那種方法破解。   「理論上來說都不可能,」微軟瑞典分公司安全部門主管林克維斯特說。   該未具名的專家表示,黑客可以經由數百部電腦滲透安全系統,而警方光追蹤10部電腦的路徑就可能需耗費四至五個月的時間,因此要偵查這類犯罪是難上加難。這四家瑞典銀行並非特例。根據電腦專家,多數全球主要的金融機構幾乎同樣脆弱,因爲它們也采用SSL通訊協定。   Swedbank公關主任表示,「人類都可以上太空了,遲早總會有人有辦法打贏安全系統的。」Handelsbanken資訊主管也稱,「沒有哪個系統是百分之百安全的。」   冰山一角   但是,電腦專家說,銀行還是極爲脆弱。   矽谷智庫SRI International首席科學家紐曼表示,盲目地接受加上技術方面的無知,形成這些安全漏洞。「銀行說,我們沒事,這根本是胡扯。基本上一切都很脆弱的,」他說。   瑞典安全機構Deprotect的安全專家古特克指出,該公司曾經利用暗藏指令,自一家重量級歐系銀行轉走數千萬美元。該行要求Deprotect測試其安全系統。兩周後,古特克告知銀行這樁未被察知的轉帳。主要原因在于,秘密轉走的金額還不夠大到足以啓動警報系統。   古特克說,銀行花大筆的錢裝修客戶看得到的一面;但是卻忽略內部系統。紐曼也同意指出,離職的知情員工可能是更大的威脅。(王冠中/沈以文)
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 
 熱帖排行
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有