慧聪网首页慧聪IT网首页行业资讯技术中心产品透视热点人物热点专题专家在线市场研究找供应找求购免费注册立即登录加入买卖通即时沟通网站导航

两分钟“盗取”网银密码! GeekPwn 大赛再现TCP劫持技术

http://www.it.hc360.com2017年11月14日16:27T|T

    2017年11月13日,GeekPwn2018国际安全极客大赛启动仪式在美国硅谷举办,来自加州大学河滨分校的钱志云教授和他的学生陈伟腾带来了关于TCP劫持的破解演示。据选手介绍,他们是利用WiFi特性导致的侧信道来实现TCP旁路注入,由此可以在某银行网站非HTTPS加密的子页面中插入一个假的登录框,获取用户的账号密码。

    

    

    其实,侧信道攻击最早是针对加密算法的,随着研究的深入,侧信道攻击逐渐从加密设备延伸到计算机内部CPU内存等之间的信息传递等方面,并在Web应用交互信息传递越来越频繁时,延伸到了网络加密数据流的破解方面。钱志云和陈伟腾在GeekPwn2018启动仪式上演示的攻击手段,理论上可以攻击WiFi环境中的任意操作系统和浏览器,连接进行旁路TCP注入攻击,利用这种攻击手段甚至可以在任意的HTTP会话中注入任意脚本,打破同源策略,从而从会话中窃取包含用户身份在内的任意信息,或者进行任何操作。

    钱志云教授在现场表示,这种攻击能够实现对所有非HTTPS加密网站进行劫持攻击,强行篡改HTTP网站内容。一旦受害者在web中打开该恶意网页,就有可能导致用户信息泄露甚至身份被盗用。如果攻击者将该攻击方法用在金融网站上,就有可能造成用户的经济财产损失。同时,钱志云教授指出,相较于国外网站越来越多地实现全站HTTPS加密,该项技术在国内网站的普及程度还相对较低,这种攻击方式将会为国内的网站带来巨大影响。

    除了TCP劫持等高难的技术展示,还有来自加州大学伯克利分校教授DawnSong、谷歌大脑谷研发工程师、计算机视觉与图像处理博士AlexKurakin等人工智能领域的顶级专家分享了关于深度学习、对抗性样本等前沿议题。据悉,2018年GeekPwn将在美国硅谷举办年中赛,届时,人工智能、机器特工等精彩对决也将再度上演。

    

    

    

        

    责任编辑:王慧霞

    【征稿电话:010-82297456 邮箱:qixc@hc360.com QQ:379760415 3389438411 2082709872 】
    暂无内容