2014黑客大会—十大安全噩梦
作者 陈怀临 | 2014-08-13 20:34 | 类型 网络安全 | Comments Off
原文来自:信息安全与通信保密杂志社
又到了一年一度的黑客大会,在黑客大会召开的这一周里,全球的黑客和安全专家空降到拉斯维加斯炫耀他们的技能,并揭晓一个又一个听起来非常可怕的攻击方式。几周以前,想必大家也都听闻了一些新的攻击方式,如被恶意代码攻击导致飞机坠毁,间谍通过你设备中的摄像头监视你的行为,以及一些秘密的、不易察觉的代码可以使一个普通的U盘变成一个传播恶意代码的工具。 恶意USB:沉默但却致命
IOI研究员Ruben Santamarta表示,他可以通过飞机上提供的Wi-Fi和空中娱乐系统黑进飞机的卫星通讯系统,机载Wi-Fi和空中娱乐系统为黑客打开了攻击的大门,他们可以控制飞机的航线和安全系统。 Synack的Patrick Wardle和Colby Moore拆解了一台价值200美元的监控录像机以查看其工作原理,他们发现在一台被黑的Dropcam(多功能的无线网络视频监控摄像头)上黑客可以查看存储在其中的视频,或者黑客还可以上传来自该录像机的第三方视频。Wardle指出,该漏洞可以使攻击者劫持或接管视频流。 从丝绸之路毒品交易的终止到美国NSA前雇员Edward Snowden泄密事件,Tor网络在过去一年里一直是众人关注的焦点。当你在浏览网页时,通过一个又一个的节点最终到达你要浏览的网站,Tor在这个过程中为你提供的是匿名服务,每个节点只知道它将要连接的下一个节点的身份。但是,Carnegie Mellon的研究员Alexander Volynkin指出,现在可以以一种很低的成本破解Tor网络的匿名服务。 Offensive Security的首席培训师和开发者Mati Aharoni在赛门铁克的终端保护系统中发现了三个漏洞,可以使攻击者对受害者的电脑进行高级别的访问。也就是说,攻击者可以通过你的安全软件破解防御。 先不提软件,家用网络设备本身就是安全系数降低的一个源头。在本次黑帽大会的一个主题演讲中,In-Q-Tel的首席信息安全官Dan Geer以路由器为例,指出路由器是攻击者们最容易攻击的目标。攻击者们通过网上浏览很容易找到这些路由器,而在这些路由器上通常都保持着默认登录信息,而且大部分的用户从来没有想过要把他们的路由器升级到最新版本。 一名研究人员表示,网络附属存储(NAS)设备比路由器的漏洞还要多。Independent Security Evaluators的一名安全分析员Jacob Holcomb在2013年曾做过一项关于路由器漏洞的大调查,同时在今年的黑帽大会上他也关注了NAS盒子的安全漏洞问题。 还记得Carrier IQ,以及在它成立之初引起的轰动吗?它是第一个rootkit技术,是帮助运营商管理网络性能的计算工具,而实际上它可以使运营商监控你手机上的所有流量。Accuvant的Mathew Solnik和Marc Blanchou在本次黑帽大会上指出,这款由运营商放置在手机上的设备管理工具可以使你的手机更容易受到攻击。这款应用可以用于运行远程代码,并绕过操作系统的本地防御。 有关物联网的漏洞已经成为此次黑帽大会上黑客讨论的热点问题,而目前内置无线连接设备的安全问题以扩展到了更多设备和家用电器中。Qualsys的研究员Silvio Cesare将展示如何将一个由简单的、容易获得的零件组成的工具修复好,同时解决智能钥匙系统遇到的问题。 在本次黑帽大会上,安全顾问Jesus Molina讲述了跟多关于物联网安全漏洞的细节,非常实用,也令人大开眼界。在深圳瑞吉酒店,Molina已经弄明白如何利用驱动应用的KNX/IP家庭自动协议,对提供给酒店客户使用的“Digital Butler” iPad应用进行反向工程。Molina只是演示了一下利用这种漏洞控制走廊里的“请勿打扰”灯的触发装置,不过他说这一漏洞还可以控制电灯、电视、温度调节器、室内音乐等,甚至200多个房间内的自动窗帘,而黑客在别的国家就能完成这样的攻击。 上周最骇人的安全事件不是发生在美国拉斯维加斯的,而是发生在亚洲的。Hold security的Alex Holden指出,一名俄罗斯黑客积累了一个庞大的数据库,其中包含了12亿被盗的用户名和密码组合,以及5亿个邮箱地址。 看了这么多可怕的攻击方法和黑客攻击事件,想必你肯定会觉得生活中处处存在漏洞,没有什么安全可言。但是,你不必担心,这些在Black Hat 和Def Con黑客大会上演示的攻击的确很可怕,也时刻威胁着我们的数据和设备的安全,但这些攻击大多数都还只是停留在理论和学术层面上,并没有真正地被黑客们实现过。 | |