Black Hat 专题 | 黑客 Kaminsky 终结点击劫持,再也不怕点到恶意小广告了


发布人:admin分类:漏洞播报浏览量:42发布时间:2017-11-29

编者按:Dan Kaminsky 是一名安全专家兼IOActive公司渗透测试总监,曾因揭露DNS(域名解析系统)的设计概念中存有致命弱点而声名鹊起,如果这个漏洞被人利用,互联网将会大面积崩溃。这位总是身穿自己喜欢的主题T恤的32岁美国黑客,并评为白帽黑客圈的外交家与政治家。他认为安全合作十分重要,帮助互联网企业在产品发布前发现并掩盖漏洞,可以大大减少恶意攻击者的利用空间,Kaminsky 把自己的工作视作互联网自由斗争的一种形式。以下是对Kaminsky 在Black Hat 2016演讲内容整理。

Black Hat 专题 | 黑客 Kaminsky 终结点击劫持,再也不怕点到恶意小广告了

安全大牛 Dan Kaminsky在Black Hat 2016上,呼吁安全企业在网站运营虚拟空间中拥抱“隔离”架构与云技术来保护在线数据以及终端用户。在主题演讲中,Kaminsky详细介绍了IronFrame浏览器的原型与一款新的防火墙技术,并称这些技术会让安全企业更好的保护网络安全保护。

在Black Hat 2016开始前Kaminsky曾在采访中说:

我在一流的技术团队中占有一席之地。我们处在一个随时都有可能被黑的时代,这也正推动着安全行业的发展。

你会发现,政府都更加关注于数据加密技术。这也让我开始思考,怎样才可以让安全防御部署到每一个人。我和我的团队希望这种安全防御是一种既简单又可以整合的措施。

在Black Hat 2016的演讲主题全名为“The Hidden Architecture of our Time: Why This Internet Worked, How We Could Lose It, and the Role Hackers Play”。在发布新的技术研究成果的同时,此次演讲看上去更像是一个呼吁安全行业解决网络安全问题的战斗号令。他认为,不管是互联网监管机构还是黑客,都要重视网络安全问题,否则我们必将有所失去。

Black Hat 专题 | 黑客 Kaminsky 终结点击劫持,再也不怕点到恶意小广告了

Kaminsky的IronFrame网站原型方案,基本上可以减少浏览器防火墙防御功能失效时,导致浏览器被“托管”的情况发生。Kaminsky介绍说,给Chrome建立一个自己的内核,并装上其所需要的应用程序,这个内核就变成了一个拥有系统调用功能的防火墙。”

据了解,Kaminsky过去一整年都在研究IronFrame,探索如何可以真正干掉点击劫持(clickjacking)。也就是说当用户点击网站上的广告或其他内容时,不会转到其它恶意网站。

点击劫持就是一个网站上隐蔽的恶意内容和链接,用户和网站运营商也许并不知道这些内容或链接的存在,但在网站分层上是合法存在的。

IronFrame 的操作就像积木一样,可以说是一个积木模型,把网站底层原本的图形内容移动至顶层,这样,在用户使用时,就不会点击到包含有恶意链接的层。“就是用这种办法来终结点击劫持。”Kaminsky说,“一年前当他第一次揭示浏览器以后,就发现通过对网站设计发生改动可以解决点击劫持。”

用IronFrame, Kaminsky把攻击者可以利用的强大的在线应用程序都放在沙盒里,只允许少数的良性系统调用操作。他说,“这是为想安全锁定主机内容用户设计的非常好的安全防护措施,我们要拒绝为攻击者提供可以利用的应用程序。通过锁定,攻击者就不能够为所欲为了”

在演讲的结尾,Kaminsky说,关于网络安全,不论是政府部门还是黑客,实际上我们真正可以做的还有很多。

被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21942304(PV) 页面执行时间:70.029(MS)
  • xml
  • 网站地图