Jason 杰森

希望有更多的朋友来看一看我的博客
正文

互 联 网 设 计 有 大 漏 洞

(2008-07-11 00:06:54) 下一个
  美国互联网保安专家发现,互联网设计存在一个根本性缺陷,黑客可以利用这个漏洞,控制互联网信息的流动,把用户转接到假网站,盗取密码等资料。  

互联网出现这样严重的缺陷,是极坏的消息,幸好,至今并未发现相关的行骗案件,而各大软件与硬件商多个月来,已悄悄合作研究出补救方法,并在周二召开记者会发表“补丁”(patch)软件。保安专家希望这些补丁范围够广,使得黑客无法进行反向利用。  

电脑系统管理人有一个月时间下载补丁  

电脑系统管理人有一个月时间来下载这些来自微软、太阳微系统和红帽等公司的补丁,有关方面下个月将在拉斯维加斯的黑帽安全研讨会上,公布缺陷的细节。  

无意间发现这一个缺陷的IOActive Inc公司系统研究员唐·卡明斯基(Dan Kaminsky)说:“能发现此缺陷实在太幸运了,因为这是个设计漏洞,在所有网络都存在,所以修补也是针对设计而进行,没有直接指明改进了哪里。”  

黑帽会议发起人莫斯说:“唐的发现对整个互联网的稳定极为重要。”他说,要是他把这一个重大发现出售,肯定能赚得大笔金钱。  

Securosis公司分析师莫古尔在媒体电话会议上说:“问题十分严峻,涉及到整个域名框架如何运行。如果不修复这一漏洞,互联网仍将存在,但已不再是你想要的互联网了,因为黑客将控制一切。”  
这个在于网络域名系统(Domain Name System)中的漏洞,让袭击者可以控制所有网络使用者,不管用户输入什么网址,黑客都可以将他们转至伪造的银行或信用卡等公司页面,骗取银行账号、密码及其他信息。  

卡明斯基在六个月前发现这一个前所未见的域名系统安全漏洞,并且立即联系微软、太阳和思科等行业巨头合作制定解决方案。他说:“人们应该担心这个问题。但不必恐慌。”  

卡明斯基特别设立了网页www.doxpara.com,用户可以上网查看自己的电脑有没有域名系统缺陷。  新加坡微软:用户不必太担忧  

针对互联网设计上出现根本性的保安缺陷,新加坡微软说,只要视窗更新(Windows Update)保持在自动状态,视窗应该就会自动下载补丁和更新这个漏洞,用户不必过于担忧。  

至于没有设置自动更新的用户,新加坡微软平台策略经理哈德曼劝请他们尽快下载补丁。  

微软前天在网站公布这项互联网技术问题,并在新加坡时间昨天早上向本地视窗用户发出补丁。哈德曼暂时无法确知有多少用户下载了补丁。  

会受这个保安问题影响的微软操作系统,主要是视窗2000、视窗XP和视窗Server 2003。微软最新的操作系统视窗Vista则不受影响,因为它较早前发布的视窗Vista补丁包(Service Pack 1)已修正这个保安问题。补丁包是微软发布的产品更新的集成,包含系统稳定性、安全及其他方面的更新。  

哈德曼受访时说,这个保安缺漏可能让电脑黑客有机可乘。比方说,即使用户键入所要浏览的银行网址,黑客可以透过这个漏洞把用户骗到虚假或冒充的网站,从而套取用户的个人资料如银行户头号码、密码等。  

他强调,这不是微软的问题,而是互联网技术上的缺漏。无论如何,他劝请用户设置操作系统处于自动更新状态,让系统及时下载最新的补丁。  

防毒软件公司赛门铁克(Symantec)系统工程经理黄文庆受访时说,无论是公司服务器或家用电脑,上网时都会用到域名服务器,除非用户可以记得与每个网址相对应的IP地址。  

即使用户安装了补丁,也应该维持良好的电脑使用习惯,以防黑客有机可乘。用户应安装具防病毒、反恶意软件、防火墙、反入侵、反钓鱼(anti-phishing)功能的互联网保安软件,同时确保操作系统和防毒软件及时更新。  

用户也应该提高安全意识,避免安装和使用文件分享(file sharing)的程序、免费软件、共享软件(shareware)等,因为它们可能在用户不知情情况下安装恶意代码(malicious code)。


[ 打印 ]
阅读 ()评论 (1)
评论
目前还没有任何评论
登录后才可评论.