两分钟“盗取”网银密码! GeekPwn 大赛再现TCP劫持技术

小熊在线 小熊在线 | 2017年11月14日
2017年11月13日,GeekPwn2018国际安全极客大赛启动仪式在美国硅谷举办,来自加州大学河滨分校的钱志云教授和他的学生…… ......
无标题文档

    2017年11月13日,GeekPwn2018国际安全极客大赛启动仪式在美国硅谷举办,来自加州大学河滨分校的钱志云教授和他的学生陈伟腾带来了关于TCP劫持的破 解演示。据选手介绍,他们是利用WiFi特性导致的侧信道来实现TCP旁路注入,由此可以在某银行网站非httpS加密的子页面中插入一个假的登录框,获取用户的账号密码。

    其实,侧信道攻击最早是针对加密算法的,随着研究的深入,侧信道攻击逐渐从加密设备延伸到计算机内部CPU、内存等之间的信息传递等方面,并在Web应用交互信息传递越来越频繁时,延伸到了网络加密数据流的破 解方面。钱志云和陈伟腾在GeekPwn2018启动仪式上演示的攻击手段,理论上可以攻击WiFi环境中的任意操作系统和浏览器,连接进行旁路TCP注入攻击,利用这种攻击手段甚至可以在任意的http会话中注入任意脚本,打破同源策略,从而从会话中窃取包含用户身份在内的任意信息,或者进行任何操作。

    钱志云教授在现场表示,这种攻击能够实现对所有非httpS加密网站进行劫持攻击,强行篡改http网站内容。一旦受害者在web中打开该恶意网页,就有可能导致用户信息泄露甚至身份被盗用。如果攻击者将该攻击方法用在金融网站上,就有可能造成用户的经济财产损失。同时,钱志云教授指出,相较于国外网站越来越多地实现 全站httpS加密,该项技术在国内网站的普及程度还相对较低,这种攻击方式将会为国内的网站带来巨大影响。

    除了TCP劫持等高难的技术展示,还有来自加州大学伯克利分校教授Dawn Song、谷歌大脑谷研发工程师、计算机视觉与图像处理博士Alex Kurakin等人工智能领域的顶级专家分享了关于深度学习、对抗性样本等前沿议题。据悉, 2018年GeekPwn将在美国硅谷举办年中赛,届时,人工智能、机器特工等精彩对决也将再度上演。

标签:GeekPwn

用户名:  密码:  没有注册?
网友评论:(请各位网友遵纪守法并注意语言文明,评论仅供参考不代表本站立场)