【大纪元8月7日讯】*后门程式可透过RSS传播
订阅整合服务(Really Simple Syndication, RSS)是一种以XML为格式基础的内容传送系统,目前有越来越多的读者透过RSS阅读软体浏览所订阅的文章。然而,根据资讯安全专家的研究发现,无论是网页版本还是安装在个人电脑的RSS服务,都存在安全漏洞。骇客可以利用该服务在用户的电脑中植入像是键盘跟踪程式等各种恶意程式。举例来说,骇客可以将内含恶意程式的内容植入RSS来源中,当用户开启新闻则会启动恶意程式。对与这种攻击手法的危害性可想而知,将能借此同时感染数以万计的订户群。专家列举了几种容易被骇客利用的RSS工具:像是网页版本的RSS工具—Bloglines;安装于个人电脑的RSS浏览器—RSS Reader、RSS Owl、Feed Demon和Sharp Readerd等,均被列入危险名单。
*RFID已遭破解 难以保障资讯安全
无线射频标签(RFID)是由包覆着微小无线电天线的晶片所组成,可以用来储存金融、身份和其他资料,并透过扫描器判读。两年前由美国零售巨擘威名百货开始使用这种科技来追踪库存以及供应商的供货,目前也应用在现金卡与护照上。这项看似安全的技术,现在已经面临被破解的危机。今年在拉斯维加斯举行的国际骇客年会上,来自荷兰Vrije大学的博士研究生雷贝克宣称她已破解RFID的技术。雷贝克指出,RFID制造商应该修改他们的加密与其他安全措施,否则将使卡片上储存的资讯遭人侵入、复制,或甚至用来追踪携带卡片的人。而雷贝克不是会中唯一一位公布破解方法的研究者。德国一家安全顾问公司的研究员葛伦瓦德也宣布,他发现复制高科技护照中晶片资讯的方法,可以将这些资讯传送到空白晶片上再植入假护照内,这将使得高科技护照无法发挥作用。据了解,破解设备的制造成本大约只有200美金。
*资安事件日趋减少安全担忧却未缓解
据美国CSI/FBI(电脑安全协会/联邦调查局)年度电脑犯罪和安全调查报告显示,网路攻击和骇客攻击造成的损失已经连续第四年下降。然而,市场研究公司Gartner副总裁Rich Mogull警告,人们应该以”非常怀疑的”态度看待这项结果,因为这可能是因为公司担心商誉受损而越来越不愿意报告网路被攻破的事件。 CSI/FBI的调查发现,三分之二的攻击是来自外部的攻击,主要是金融诈骗和未经允许的访问资讯。最令人担忧的是骇客利用自动的入侵测试工具寻找以前没有发现的安全漏洞。例如,开放源码的入侵侦测系统”Metasploit Project”在今年7月份每天就能公布一个IE浏览器的安全漏洞。
(http://www.dajiyuan.com)
