據一電腦安全專家8月26日表示,網路銀行和電子商務網站廣泛採用的安全軟體十分脆弱、不堪一擊。駭客可輕易繞過這些安全軟體,獲得瑞典幾家最大的銀行的用戶賬號。該專家是瑞典一非常知名的駭客專家,但他不願向外界透露他的名字。他向人們演示了在幾分鐘內就突破微軟的網路軟體的方法。
這個專家演示了如何攻入網際網路銀行的安全系統,他很快就成功地攻入了瑞典四大銀行中三家銀行。並演示了他如何隱藏行蹤,這使得以後對他的網路跟蹤應得更困難。
當這位專家進入一用戶的賬號後,這位由駭客轉行的顧問表示,當用戶從他的網際網路銀行賬戶中進行支付時,入侵者可以通過隱藏的指令把用戶賬戶上錢轉到另外的賬戶上。
他進行了攻擊主要依賴的是兩周來微軟的SSL上的各種漏洞。微軟的SSL是用來把信用卡號和帳戶器官通過網際網路進行傳送的一個標準協議。該專家稱這個協議極容易攻擊,該協議的安全保證遠不及用戶所想像的那樣安全。
該專家進行的攻擊利用了各種漏洞,微軟的專家只對這些漏洞進行部分的修補。當然駭客能攻入這些漏洞,銀行的網管以及一些機構組織未正確安裝微軟的軟體所導致。
通過這種攻擊方法,攻擊者可用網站用戶授權ID進行登錄,並能訪問到網路的根目錄,並通過這些目錄進入到這些機構的內部網路。
微軟最近也承認其SSL有一些缺陷,並稱正在為它打補丁。但同時表示,這個漏洞不會帶來大的危害。微軟瑞典公司還否認駭客能通過SSL達到那樣的攻擊效果。
電腦世界 2002-8-28