Defcon黑客会议:甲骨文等大企业员工安全意识差
8月8日消息,据国外媒体报道,周末在拉斯维加斯举行的全球最大规模的Defcon黑客会议上一项竞赛显示了为什么大公司容易成为网络犯罪分子的受害者的一个原因:员工在安全方面的训练很糟糕。
从索尼到国际货币基金组织等大型机构遭到一系列引人瞩目的网络攻击之后,人们认为许多大公司最近会特别关注安全。参加周五和周六Defcon黑客会议竞赛的黑客发现他们很容易欺骗美国大公司的员工泄露一些信息。黑客可以利用这些信息制定攻击这些公司的计划。
参加Defcon黑客会议竞赛的黑客还让公司员工利用自己的公司计算机访问黑客推荐的网站。如果参赛的黑客是犯罪黑客,这些网站就可能把恶意软件安装到PC中。在一个案例中,一位参赛黑客假冒一家公司IT部门的员工并且说服一家大企业的员工向他提供其PC配置。这个数据能够帮助黑客决定在攻击中使用什么类型的恶意软件。
Defcon黑客会议是一些仁义黑客组织的会议,部分目的是推动有关安全漏洞的研究,促使企业修复这些漏洞。由所谓白帽黑客组织的这个竞赛向企业展示他们的安全是多么薄弱,并且推动企业更好地教育员工有关黑客的风险。
在这次竞赛中,员工提交信息最多的公司是甲骨文。这次竞赛攻击的其它目标还包括苹果、AT&T、ConAgra Foods、达美航空公司、赛门铁克、Sysco、联合航空公司和Verizon通讯等。
Defcon黑客会议:Windows密码存储机制存在漏洞
拉斯维加斯Defcon黑客会议上,安全人员公布了Windows操作系统安全性的一些问题,黑客发现保存在Web浏览器和IM等网络工具中的“云密码”可以轻易地被一些计算机取证工具获取,这些数据包括Facebook、GMail账户等。这意味着如果您的Windows笔记本电脑被盗,那么您应当考虑更换所有的密码。
黑客解释称问题主要发生在Windows提供的内置数据加密API--DPAPI上,它允许应用程序调用编程接口即可实现散乱数据加密,不过黑客小组们提供的开源工具OWADE可以轻松在Ubuntu、Debian上实现对Web浏览器和即时消息客户端密码信息的提取。微软的一名代表表示,该公司将会公开回应这个问题。
黑客们还发现Wi-Fi网络密码的保存也相当脆弱,Firefox的脱机安全性也较为糟糕,而在IM软件中Skype的密码安全性足够强,难以被获取,一些第三方的IM软件例如9talk、Pidgin等的问题较为明显。如何解决这一问题?只需要利用Windows的磁盘加密技术就可以避免账户受到损害,不过很少会有人这么做。
