黑客利用HTTPS技术开发更多攻击方式

HTTPS协议并不像人们认为的那样安全。戴尔安全最近发现,利用HTTPS注入恶意软件的入侵事件数量正在增加。

戴尔安全通过流量探测器抓取了全球HTTPS链接的数量,该数字从2014年一月的1820亿上涨到了2015年三月的4370亿。

这意味着,HTTPS方式成为了网络连接的主流,在过去的一年中平均占到总连接数的60%。尽管该数字并未得到其它公司证实,但从SSL/TLS的快速发展情况上也能推断,加密网络链接几乎成为了当今的默认连接方式。

不幸的是,犯罪分子也明白这种趋势,他们利用HTTPS技术开发了更多攻击方式。戴尔方面提到的是雅虎公司与恶意广告的斗争,恶意广告是被传输加密的,因此能够绕过任何缺乏SSL检验机制的防火墙。

戴尔公司也提到,最近的福布斯事件中,黑客向福布斯网“Thought of the Day”页面注入了恶意软件,类似于“路过式登录”攻击,该软件可以感染特定类型的用户,并将用户重定向到一个Flash的零日漏洞上。不过,研究者并不确定此案例中福布斯网是否用到了HTTPS。

很多防火墙配备了SSL检验机制,但也有很多并没有该功能。在家使用电脑的用户如果不通过公司VPN进行连接,将会出现很多漏洞。

戴尔安全部门的负责人表示,在网络流量中检验出加密过的恶意流量是很困难的。

加密可以用于保护重要的个人信息和财务信息,但也可以用来保护恶意软件。各企业可以用过设置基于SSL的浏览器过滤来解决该问题,同时应当对常用商务软件设置白名单,以保证企业运行效率。

除了HTTPS,戴尔安全还发现了更多针对POS机的攻击,研究者分离出了13种类型的恶意软件,而该数字在2013年只为3种。攻击也采取了比以前更新型的技术,比如内存搜读(Memory Scraping)和HTTPS所提供的加密伪装功能。

全球针对SCADA系统的攻击在2012年一月为91676件,在2014年一月则上升到了675186件。其中,202322起事件发生在芬兰,69656起发生在英国,51258起发生在美国。对戴尔设备的大规模使用降低了这些国家的互联网设备使用率。

戴尔发言人表示,如今每个人都知道这些网络威胁是真实的,后果是严重的,因此不能再简单地把责任推给人们缺乏信息安全意识了。

黑客袭击事件不断发生,并不是因为公司没有采取安全措施,而是因为他们没有采取正确的。

时间: 2024-10-08 01:36:45

黑客利用HTTPS技术开发更多攻击方式的相关文章

WEB开发中一些常见的攻击方式及简单的防御方法

WEB开发中一些常见的攻击方式及简单的防御方法 20151127 转载http://www.lvtao.net/dev/582.html SQL注入最常见的攻击方式,所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击. 跨站脚本攻击(XSS)跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取

跟我一起学WCF(2)——利用.NET Remoting技术开发分布式应用

一.引言 上一篇博文分享了消息队列(MSMQ)技术来实现分布式应用,在这篇博文继续分享下.NET平台下另一种分布式技术——.NET Remoting. 二..NET Remoting 介绍 2.1 .NET Remoting简介 .NET REmoting与MSMQ不同,它不支持离线可得,另外只适合.NET平台的程序进行通信.它提供了一种允许对象通过应用程序域与另一个对象进行交互的框架..NET 应用程序都在一个主应用程序域中执行的,在一个应用程序域中的代码不能访问另一个应用程序域的数据,然而在

[转帖][思路/技术]Mimikatz的多种攻击方式以及防御方式

[思路/技术]Mimikatz的多种攻击方式以及防御方式 https://bbs.ichunqiu.com/thread-53954-1-1.html 之前学习过 抄密码 没想到还有这么多功能. 挖低危的清风i春秋作家 发表于 7 天前01372 本帖最后由 春风得意水先知 于 2019-9-25 23:50 编辑 Mimikatz的多种攻击方式以及防御方式 Mimikatz的简介:     Mimikatz为法国人Benjamin Delpy编写的一款轻量级的调试工具,在内网渗透过程中,它多数

黑客中级技术 缓冲区溢出攻击的介绍

大家都知道缓冲区溢出是一种普遍.而且危险性极强的漏洞,在各种操作系统.应用软件中广泛存在.利用缓冲区溢出攻击,可以导致程序运行失败.系统当机.重新启动等后果. 更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作. 缓冲区溢出攻击有多种英文名称:buffer overflow,buffer overrun,smash the stack,trash the stack,scribble the stack, mangle the stack, memory leak

DDoS攻击、CC攻击的攻击方式和防御方法

DDoS介绍 DDoS是英文Distributed Denial of Service的缩写,意即"分布式拒绝服务",那么什么又是拒绝服务(Denial of Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击.也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的.分布式拒绝服务攻击一旦被实施,攻击网络包就会从很多DOS攻击源(俗称肉鸡)犹如洪水般涌向受害主机,从而把合法用户的网络包淹没

linux系统服务器可能被攻击的几种攻击方式

linux系统随着Linux企业应用的扩展,有大量的网络服务器使用Linux操作系统.Linux服务器的安全性能受到越来越多的关注,这里根据Linux服务器受到攻击的深度以级别形式列出,并提出不同的解决方案. 对Linux服务器攻击的定义是:攻击是一种旨在妨碍.损害.削弱.破坏Linux服务器安全的未授权行为.攻击的范围可以从服务拒绝直至完全危害和破坏Linux服务器.对Linux服务器攻击有许多种类,本文从攻击深度的角度说明,我们把攻击分为四级. 攻击级别一:服务拒绝攻击(DoS) 由于DoS

利用Docker构建开发环境

最近接触PAAS相关的知识,在研发过程中开始使用Docker搭建了自己完整的开发环境,感觉生活在PAAS时代的程序员真是幸福,本文会简要介绍下Docker是什么,如何利用Docker来搭建自己的开发环境(本文主要是面向Mac OS X),以及期间所遇到的一些坑和解决方案.(本文会要求你对PAAS.LXC.CGroup.AUFS有一定的了解基础,请自行Google ) 大背景–虚拟化技术历史 计算机虚拟化技术由来已久,从硬件仿真到全虚拟化,再到准虚拟化和操作系统虚拟化,各种技术粉墨登场,种类繁多,

IT技术开发人员获得成功的六大步骤

IT技术开发人士成功的6大步骤 一个前辈在移民加拿大后写的文章,写得不错,值得借鉴,转来给大家看看,也给自己 序言:经过001多年的洗礼,认识了这里这么多的JJMMGGDD,前几天刚得到签证, 无限感慨 面对未来,我也不知道我31岁如何发展,尤其是我现在在北京还算过的去,各种机会都纷至沓来. 无论如何,我相信,世界上各种事物都有他们自己的原因,也结合自己在北京接近8年的感悟,写一个总结,我相信,世界上只要有人,无论是什么皮肤,总有人性可以探索,人作为"天生的政治动物"的本性,都是有规律

【方案】去哪儿网徐磊:如何利用开源技术构建日处理130亿+的实时日志平台?

转自:http://mp.weixin.qq.com/s?__biz=MzIzMzEzODYwOA==&mid=2665284466&idx=1&sn=2b06a529821734e36e26e642424f24fc&scene=2&srcid=0527p3qISp6dFqGg8iLIYgRF&from=timeline&isappinstalled=0#wechat_redirect [本文系互联网技术联盟(ITA1024)原创首发,转载或节选内容