【.com 独家报道】3月18日在温哥华举办的CanSecWest黑客大赛如火如荼的开始之后,网上出现了很多相关赛事的报道。如“黑客5秒钟攻破Mac系统 Safari是罪魁祸首”和“黑客大赛曝Safari、IE8与Firefox零日攻击”等。也在之前为网友们提供了介绍和时间表,详情请见:“”
到底今年的大赛到底准备了那些系统和软件让大家来测试和攻击?到底准备了那些猛料?我们来看看以下来自记者的报道。
PWN2OWN 2009
在经过多次讨论和研究之后,PWN20WN比赛的最终安排如下:
浏览器和联合测试的平台
索尼VAIO – Windows 7(编者按:去年也是索尼VAIO
IE8FirefoxChrome
苹果机 – (这个不用说啥系统了吧)
SafariFirefox
第一天:默认不安装额外插件,用户去连接。
第二天:安装flash, java, .net, quicktime。用户去连接。
第三天:安装像Acrobat Reader那样的大众软件,用户去连接。
任务?- 在应用程序的环境中执行代码。(编者按:提权溢出之类的)
电话(和其他相关的测试平台)
黑莓(TBA)
谷歌Android手机(G1开发测试版)
苹果iphone手机(2.0正式版)
Nokia/Symbian(机型N95)
Windows Mobile (宏达 Touch)
第一天
SMS 短信
MMS 彩信
Email 电子邮件(只看收取的)
wifi 无线,如果默认开启的话
bluetooth蓝牙,同上
Radio 无线接收器
第二天
电子邮件/短信/彩信(只可以读取-不可以有间接行为)
无线保持启动
蓝牙保持启动(默认不接受配对。耳机是配好的。配对过程不可见。)
第三天
在默认应用程序用户界面的一个层面
蓝牙保持启动(默认不接受配对。耳机和满足以上要求的其他设备是配好的。配对过程不可见。)
任务?必须去实现……
1.造成信息丢失(用户数据)
2.造成财务损失
编辑观察:
首先,对老外能举办这类真刀真枪测试产品的活动表示赞扬。大致看了一下,基本上国外顶尖安全厂商全部参与。这次的大赢家是德国人Nils,这哥们快把所有主流浏览器都破坏了个遍。成功收获15000美元和一台笔记本电脑。上届冠军Charlie Miller在10秒内拿下Safari,顺利收获5000美元和一台苹果笔记本。相对来说,智能手机的安全性还是比较经受考验的,没有出现30秒内被攻破的事情。
事实证明,世界上并不存在绝对安全的浏览器,以前说什么用Firefox不会中毒这样的事情,很遗憾只是YY。这一年来Firefox的漏洞甚至超过其他浏览器的总和,虽然它的修补速度够快。在记者截稿前,谷歌Chrome的表现似乎足够坚挺。但之前爆的漏洞也不少。笔者认为暂时的未攻破有以下几点原因:
1.相对Firefox和IE8、Safari之类浏览器来说,谷歌chrome本身的代码量就少,说是个精悍的浏览器内核都不为过。
2.它真的是足够新了,目前还算是“非主流”( 编者按:Windows默认IE,MAC默认Safari,Linux默认Firefox。Chrome虽系出名门,但要想雄霸一方尚需时日) 其他浏览器都至少出了三代,它最近才出2.0beta,而且还已经是升的非常非常勤了。
3.Google设计chrome的初衷就是,除了本地的管理员以外,普通用户也可以不限使用。加上沙盒(sandbox)技术,让它的安全性显著提高,换句话说,即使发现了chrome的漏洞,骇客也只有很小的权限,无法造成很大的破坏。
当然,黑客们找到Chrome新的攻击方式只是时间问题,我们可以拭目以待。
希望我们国家也能尽快出现此类活动,并对国内的信息安全研究给予支持和良好导向。这类活动不仅能为社会发掘更多的技术天才,更是能有效推进我国的信息安全产业发展。有攻才有防,有防才有保障。将更多的安全人才引向“白色产业链”,避免让更多的优秀人才戴上“黑帽”,这是好事,更是值得去做的事。
【编辑推荐】
除了360安全卫士,什么软件能杀死Talksmile.exe这种病毒?
手动就能很简单的杀掉,你在任务管理器中结束该进程,然后在C:\windows\system32下删除该文件,运行 regedit 查找 删除相关引用行.这个病毒在U盘上复制U盘内的文件夹名称,然后建立对应名称的文件,原文件夹被隐藏(注意,文件夹内的文件夹也会被复制),删除和病毒建立的文件夹后,运行attrib X:\ /S /D (X为U盘盘符),可恢复U盘中文件夹的隐藏属性
为什么许嵩叫vae?
是读高中的时候要起英文名了,班里面的其他同学大都起得比较普通的英文名,他想要特别点的名字,后来他想到用vae,在网络上面搜索了一下,没有什么相关的信息,觉得比较独特,所以就用vae这个名字咯,`这个是他电台电话谈话的时候他说的.
如何选择杀毒软件?
第一种用户:业余级网民 这里所指的业余网民,是只在网络上进行普通的浏览、下载、上传文档的用户,而不涉及任何网络交易、资金往来,也不会在网上进行网络游戏、网络银行等业务的超级业余网民。 不同的用户在网络上进行的操作,是 不尽相同的。 许多用户对于电脑和网络的要求非常简单,只是进行浏览网页,发邮件,聊天,或者下载、上传文档等活动。 在这种情况下,采用一款免费的杀毒软 件,基本上就能满足杀毒需求。 虽然这些杀毒软件只提供了基本的杀毒功能,并没有提供高级的服务,但是这些软件下载方便,也不需要付费。 即便是不能彻底查杀 病毒,导致系统崩溃,也可以通过重装系统来解决。 当然,经常性地重装电脑操作系统也 会带来一定的烦恼,尤其是对于业余级的电脑用户来说。 不过,既然你要省钱,就得损失相应的安全防护,降低效率。 很多业余级的网民愿意采用免费杀毒软件,因 为对他们来说,原本在网上只是简单地看看新闻,电影,却要每月花费十多个大洋来购买杀毒软件,好像是一个沉重的负担,一年下来,省下100多元也可以吃顿 火锅。 目前在市面上可以看到很多免费下 载、免费使用的杀毒软件。 国内杀毒软件已经都宣布免费,而国外的免费版杀毒软件有小红伞。 使用其中任何一款免费杀毒软件,区别是不大的。 最多也就是谁家的 占用资源多少,扫描速度快慢,或者是界面的好看与难看,这些都属于旁枝末节问题,无伤大雅。 对于那些对个人隐私保护要求比较高的业余网民来说,购买一款付费杀毒软件也是值得的。 至少可以定期对电脑进行病毒查杀,避免电脑染病导致的运行缓慢和系统崩溃,省去了经常重装系统的烦恼。 推荐产品: 国内免费杀毒软件:金山、江民、瑞星、QQ电脑管家、360安全卫士,(无所谓了,都差不多。 ) 国外免费杀毒软件:德国小红伞 国外付费杀毒软件:德国G Data杀毒软件 第二种用户:高级网民 之所以说高级,不是说他出生在贵族家庭还是贫民窟,或者是他是亿万富翁还是民工,而是指他在网络上进行的操作,比业余级的操作要高级得多。 尤其是涉及到网络上的资金往来、网银支付、网购,以及大型网络游戏的操作等。 谈到这个话题,不得不提及当下最为 流传的一则消息:《黑客入侵外贸账户,义乌网商被骗30万元》。 看到这则消息,那些在淘宝、京东商城、团购网站进行贸易的人一定是震惊不已。 如今,网络上 进行资金转账、交易和其他涉及到金钱利益的行为越来越普及,越来越多的人在网络上进行商务注册、传递商务资料及注册账户等。 对高级网民来说,如果为了省却 100多元的杀毒软件费用,却时时刻刻担心着网银账号密码被盗,或者是网络游戏里的虚拟货币和武器装备被偷,确实是不值当的。 所谓久走夜路必碰鬼,在木马 盛行、蠕虫僵尸病毒满天飞的网络上,抱着侥幸心理,以为自己有诸神庇佑而不中招的人,恐怕得改变一下观念。 即便是一年下来平安无事,但是每天担心病毒而损 失的脑细胞,恐怕都比100多个银元的价值来得高。 至于那些因为疏忽大意或者过高估计运气而中招的高级网民,误中钓鱼网站,或者被盗账号密码,所遭受的损失往往是上千上万,甚至是数十万白银,就有点自作孽不可活了。 针对高级网民,专家的建议是采用付 费版的杀毒软件。 因为免费杀毒软件的功能有限,不能够提供完整的查杀病毒和安全防护能力。 而作为一个高级网民,必须要进行防护的项目要多得多,包括间谍软 件预防、邮件和网页的防护、网银和网购防护,以及数据的备份和恢复等等,这些都需要有专业级的杀毒软件和安全套装软件来完成。 推荐产品: 德国G Data全功能安全软件 第三种用户:企业级用户 所幸的是,企业级用户还没有遭到免费杀毒软件的困扰。 目前在国内市场上,企业级杀毒软件市场上演着国内版的“三国演义”和国际版的“三国演义”。 所谓国内版的三国演义,是指传统的国内杀毒软件厂商金山、瑞星和江民。 这三家厂商在国内耕耘多年,市场份额比较大。 但是随着国外杀毒软件厂商的进入,所占地盘越来越小。 所谓国际版的三国演义,是指以赛门铁克、麦咖啡和趋势为代表的美国杀毒软件,以卡巴斯基为代表的俄罗斯杀毒软件,以G Data为代表的德国杀毒软件。 “美、俄、德”三国杀毒软件在中国市场激战甚酣,杀得难解难分。 值得一提的是2009年才进入中国市场的德国杀毒软件G Data。 G Data ()于1985年成立于波鸿(德国), 在20多年前开发了第一款杀毒软件。 GData采用双引擎扫描技术及爆发护盾技术,病毒侦测率高达99.9%,拥有独步天下的病毒查杀能力。 GData获得德国国内及国际上的众多荣誉奖项,产品已经在全世界90多个国家销售,是全世界最著名的杀毒软件和安全产品服务商之一。 依靠德国人严谨而固执的技术追求精神,G Data在全球获得了极高的知名度,屡屡在AV-C、VB100等测试中排名第一。 2009年G Data在中国大陆设立了代表处,并于今年授权北京俊翔公司为大中华区独家发行商。 总结: 选择杀毒软件的基本原则,是基于你 自身的需求。 首先要分清,你是个人级用户,还是企业级用户;你对网络安全的需求是高级的,还是初级的;你的钱包是瘪的还是鼓的;等等。 这些都是选择杀毒软 件的基本标准。 从安全的角度来看,杀毒软件的查杀病毒能力永远是第一位的。 除此之外,也适当地综合杀毒的速度快慢,或者占用系统的资源多少、安装的便利性 等因素。 以我个人的偏好,我会选择德国杀毒软件G Data()。
发表评论