黑帽安全技術大會已經連續16年在拉斯維加斯舉辦,吸引了世界各地的大批黑客、安全顧問以及政府特工。整個會議包括為期四天的培訓和兩天的發布會。我們這些媒體人獲邀採訪發佈會。需要強調的是心臟承受力不好的人可不適合發佈會,因為會上公佈了太多讓人非常吃驚的安全問題。
或許你會認為黑帽安全技術大會上這些演講者披露如此危險的安全漏洞是一種不負責任的行為。他們難道真希望用戶都去發掘智能馬桶反向運行的能力,或者讓監控攝像頭打轉?放心,這些都不是,他們只是希望這些披露能迫使相關公司去修復這些漏洞,去解決問題。
從現實意義來說,在黑帽安全技術大會上公開這些安全漏洞也是一種利他主義的姿態。參加黑帽安全技術大會的時候,我們會仔細研讀所有摘要,預先選擇最有趣、披露信息最可怕的發布會。下面就讓我們羅列出2013黑帽安全技術大會所發佈的十大最可怕的警示。
1. 被控制的iPhone
沒人會否認安卓手機受惡意軟件攻擊的幾率要比iOS設備大得多,這也是我隨身攜帶一部iPhone的原因之一。可是我的這種想法完全被一場演示給澆 滅了。演示中使用一種改動過的充電器就能完全控制一部iPhone。即便之後將手機從充電器上取下,黑客也能就此完全控制這部iPhone。
讓人瞠目結舌的演示還包括,黑客控制iPhone後將其關機,然後在沒有任何人接觸的情況下,iPhone自動開機,劃過了滾動條並輸入了密碼,然後自動撥打了一個電話。這個演示的意義很明確,絕對不要用來路不明的充電器。
2. 未必安全的監控攝像
你在辦公室裡安裝了監控攝像以提高安全級別,但作用有可能恰恰相反。現代的攝像頭往往允許管理員遠程登錄並查看攝像內容。侵入這樣的系統對黑客來說也並非難事,這有可能造成嚴重的安全隱患。
有一場發佈會演示了如何獲取四家知名品牌監控攝像系統的最高管理權限。演示者搭建了一個監控系統用於監控一瓶啤酒,然後入侵該系統並輕鬆盜走啤酒。這個演示也意味著通過監控攝像系統黑客還能進入到相關局域網的其它部分。很讓人吃驚。
3. 攻陷安卓的主密鑰
沒錯,即便是新手黑客也能夠解包,植入木馬,然後重新打包一個安卓應用,但是該應用不再具有原始開發人員的認證信息。黑客們利用該漏洞,也能夠擁有 「主密鑰」,一個來自佐治亞科技大學的小組演示多種方式篡改一個安卓應用並仍能通過驗證表明其未被修改過。實際上安卓驗證的是一個應用,運行的卻不再是這 個程序。或許你認為自己可以在確定開發者的認證信息之後依然從非官方安卓應用市場下載應用,那你就想錯了。
4. 黑客通過微型基站劫持手機通訊
當我在門口看到「移動信號劫取示範正在進行中」的滾動字幕時,我想這一定是個不錯的主題。微型基站原本是用來增強移動通訊信號的,但是它卻有可能被濫用。演講者實時展示了讓研究人員捕獲所有流經受影響智能手機的信息,包括語音、短信,甚至通過彩信發送的圖片。
當然,Verizon已經修復了這裡所演示的漏洞。但這並非意味著用戶就可以高枕無憂了。演講者提供了一個可能的解決方案:停止生產這種微型基站。同時他們計劃發佈一個小工具能夠將手機調至飛行模式而不是連接到此類微型基站。
5. 百萬殭屍瀏覽器網絡,便宜!
為了發起一場規模巨大的DoS攻擊,殭屍網絡牧民不得不辛勤的工作以便在數以千計的計算機上植入各色木馬程序。事情真需要這樣嗎?錯啦。主要花 費$50左右在網頁廣告條上就可以了。來自白帽安全公司的研究人員成功試用這招搞垮了現場的測試服務器。或許你就是本次攻擊的參與者之一,卻被蒙在鼓裡。 當你打開網頁,廣告閃現的那一刻瀏覽器就執行了一個Java腳本,一次攻擊就此完成,而在本地不會留下任何痕跡。
6. 不要輕信朋友發來的郵件
釣魚郵件常常一次撒向成千上網的郵箱,並期待其中的少數人一時糊塗就上了假冒的銀行網站。而精準釣魚郵件的目標通常十分明確,常常只針對選定的個人 目標以騙取財產。騙子們會嘗試創建一個受害人所信任的郵件來源,以使自己看起來是合法的電子郵件,這樣受害人就有可能點擊偽造的有害鏈接。
新的研究表明他們會通過你的公開信息或者與你相關的公共郵箱,並模仿你信任的寫作風格,悄然向你發起攻勢。所以一定警惕來自陌生人的郵件,尤其是其中包含的連接。現在你需要注意的還包括貌似從朋友那裡發來的郵件。
7. 國家安全局頭頭們所承諾的真相
美國國家安全局的負責人基思·亞歷山大將軍在黑帽安全技術大會的揭幕演講中承諾唯有真相:「我們需要聽到你們的想法,而你們需要聽到真相。」一個與 會者稱將軍為騙子,會場保安還沒收了一箱雞蛋,不過聽眾居然令人驚奇的接受了這一說法。但我不禁想到,其實我們沒有得到任何事實。
8. 更大規模的DDoS攻擊
今年早些時候發生了有史以來最大的分佈式拒絕服務(DDoS)攻擊,針對反垃圾郵件預警網站Spamhaus。原有調查結果顯示該攻擊源自一名荷蘭 黑客。但後來的事實表明這場攻擊的策劃者是英國倫敦一名15歲的男孩兒,該男孩兒現已被羈押。現場演示包含如何用一個簡單的公式,只需要花費一點點代價就 能造成成百上千倍的破壞力。而能夠產生此類攻擊的漏洞如今依然存在,它們沒那麼容易被修復。每秒30萬億字節(300Gbps)的流量攻擊,你能想像嗎?
9. 耍火焰的女人
安全公司Rapid7以在安全會議上大搞奢華派對而聞名。在舊金山舉行的RSA大會上,他們包下整個巨大的RubySkye夜總會。而在黑帽安全技 術大會上,Rapid7則邀請來賓到The Palms酒店。他們圍坐在巨大的泳池旁,享受私人酒店,在Rain夜總會狂歡。娛樂活動包括一隊架子鼓手、三個極富才能的霹靂舞者,當然還有一對兒舞者 展現了她們令人眼花繚亂的煙火技能。她們扔火把,舞動身體在火旁轉著呼啦圈。幸運的是,演員們都沒有被火傷著。好吧這個內容跟安全科技沒什麼關係。但它還 是很讓觀眾擔驚受怕的。
10. Barnaby Jack之死
著名黑客,黑帽安全技術大會的常客Barnaby Jack在過去的幾年裡總是讓聽眾為之喝彩。他曾經演示了如何侵入一台ATM機並讓它吐出所有的錢。他還演示過如果從外部獲取一個胰島素生產泵的控制權, 列出了該產品的缺陷。Jack原本計劃在今年的大會上做一個類似的演講。然而不幸的是,在大會開幕前一週他卻突然離世了。沒有任何有關他殺的報 導,Jack今年才剛剛35歲。這是多麼令人難過的一件事情。
沒有留言:
發佈留言