黑帽安全技术大会十大恐怖见闻

jopen 11年前

黑帽安全技术大会十大恐怖见闻

        黑帽安全技术大会已经连续 16 年在拉斯维加斯举办,吸引了世界各地的大批黑客、安全顾问以及政府特工。整个会议包括为期四天的培训和两天的发布会。我们这些媒体人获邀采访发布会。需要 强调的是心脏承受力不好的人可不适合发布会,因为会上公布了太多让人非常吃惊的安全问题。

        或许你会认为黑帽安全技术大会上这些演讲者披露如此危险的安全漏洞是一种不负责任的行为。他们难道真希望用户都去发掘智能马桶反向运行的能力,或者让监控摄像头打转?放心,这些都不是,他们只是希望这些披露能迫使相关公司去修复这些漏洞,去解决问题。

        从现实意义来说,在黑帽安全技术大会上公开这些安全漏洞也是一种利他主义的姿态。参加黑帽安全技术大会的时候,我们会仔细研读所有摘要,预先选择最有趣、披露信息最可怕的发布会。下面就让我们罗列出 2013 黑帽安全技术大会所发布的十大最可怕的警示。

        1. 被控制的 iPhone

        没人会否认安卓手机受恶意软件攻击的几率要比 iOS 设备大得多,这也是我随身携带一部 iPhone 的原因之一。可是我的这种想法完全被一场演示给浇灭了。演示中使用一种改动过的充电器就能完全控制一部 iPhone。即便之后将手机从充电器上取下,黑客也能就此完全控制这部 iPhone。

        让人瞠目结舌的演示还包括,黑客控制 iPhone 后将其关机,然后在没有任何人接触的情况下,iPhone 自动开机,划过了滚动条并输入了密码,然后自动拨打了一个电话。这个演示的意义很明确,绝对不要用来路不明的充电器。

        2. 未必安全的监控摄像

        你在办公室里安装了监控摄像以提高安全级别,但作用有可能恰恰相反。现代的摄像头往往允许管理员远程登录并查看摄像内容。侵入这样的系统对黑客来说也并非难事,这有可能造成严重的安全隐患。

        有一场发布会演示了如何获取四家知名品牌监控摄像系统的最高管理权限。演示者搭建了一个监控系统用于监控一瓶啤酒,然后入侵该系统并轻松盗走啤酒。这个演示也意味着通过监控摄像系统黑客还能进入到相关局域网的其它部分。很让人吃惊。

        3. 攻陷安卓的主密钥

        没错,即便是新手黑客也能够解包,植入木马,然后重新打包一个安卓应用,但是该应用不再具有原始开发人员的认证信息。黑客们利用该漏洞,也能够 拥有“主密钥”,一个来自佐治亚科技大学的小组演示多种方式篡改一个安卓应用并仍能通过验证表明其未被修改过。实际上安卓验证的是一个应用,运行的却不再 是这个程序。或许你认为自己可以在确定开发者的认证信息之后依然从非官方安卓应用市场下载应用,那你就想错了。

        4. 黑客通过微型基站劫持手机通讯

        当我在门口看到“移动信号劫取示范正在进行中”的滚动字幕时,我想这一定是个不错的主题。微型基站原本是用来增强移动通讯信号的,但是它却有可能被滥用。演讲者实时展示了让研究人员捕获所有流经受影响智能手机的信息,包括语音、短信,甚至通过彩信发送的图片。

        当然,Verizon 已经修复了这里所演示的漏洞。但这并非意味着用户就可以高枕无忧了。演讲者提供了一个可能的解决方案:停止生产这种微型基站。同时他们计划发布一个小工具能够将手机调至飞行模式而不是连接到此类微型基站。

        5. 百万僵尸浏览器网络,便宜!

        为了发起一场规模巨大的 DoS 攻击,僵尸网络牧民不得不辛勤的工作以便在数以千计的计算机上植入各色木马程序。事情真需要这样吗?错啦。主要花费$50 左右在网页广告条上就可以了。来自白帽安全公司的研究人员成功试用这招搞垮了现场的测试服务器。或许你就是本次攻击的参与者之一,却被蒙在鼓里。当你打开 网页,广告闪现的那一刻浏览器就执行了一个 Java 脚本,一次攻击就此完成,而在本地不会留下任何痕迹。

        6. 不要轻信朋友发来的邮件

        钓鱼邮件常常一次撒向成千上网的邮箱,并期待其中的少数人一时糊涂就上了假冒的银行网站。而精准钓鱼邮件的目标通常十分明确,常常只针对选定的 个人目标以骗取财产。骗子们会尝试创建一个受害人所信任的邮件来源,以使自己看起来是合法的电子邮件,这样受害人就有可能点击伪造的有害链接。

        新的研究表明他们会通过你的公开信息或者与你相关的公共邮箱,并模仿你信任的写作风格,悄然向你发起攻势。所以一定警惕来自陌生人的邮件,尤其是其中包含的连接。现在你需要注意的还包括貌似从朋友那里发来的邮件。

        7. 国家安全局头头们所承诺的真相

        美国国家安全局的负责人基思·亚历山大将军在黑帽安全技术大会的揭幕演讲中承诺唯有真相:“我们需要听到你们的想法,而你们需要听到真相。”一 个与会者称将军为骗子,会场保安还没收了一箱鸡蛋,不过听众居然令人惊奇的接受了这一说法。但我不禁想到,其实我们没有得到任何事实。

        8. 更大规模的 DDoS 攻击

        今年早些时候发生了有史以来最大的分布式拒绝服务(DDoS)攻击,针对反垃圾邮件预警网站 Spamhaus。原有调查结果显示该攻击源自一名荷兰黑客。但后来的事实表明这场攻击的策划者是英国伦敦一名 15 岁的男孩儿,该男孩儿现已被羁押。现场演示包含如何用一个简单的公式,只需要花费一点点代价就能造成成百上千倍的破坏力。而能够产生此类攻击的漏洞如今依 然存在,它们没那么容易被修复。每秒 30 万亿字节(300Gbps)的流量攻击,你能想像吗?

        9. 耍火焰的女人

        安全公司 Rapid7 以在安全会议上大搞奢华派对而闻名。在旧金山举行的 RSA 大会上,他们包下整个巨大的 RubySkye 夜总会。而在黑帽安全技术大会上,Rapid7 则邀请来宾到 The Palms 酒店。他们围坐在巨大的泳池旁,享受私人酒店,在 Rain 夜总会狂欢。娱乐活动包括一队架子鼓手、三个极富才能的霹雳舞者,当然还有一对儿舞者展现了她们令人眼花缭乱的烟火技能。她们扔火把,舞动身体在火旁转着 呼啦圈。幸运的是,演员们都没有被火伤着。好吧这个内容跟安全科技没什么关系。但它还是很让观众担惊受怕的。

        10. Barnaby Jack 之死

        著名黑客,黑帽安全技术大会的常客 Barnaby Jack 在过去的几年里总是让听众为之喝彩。他曾经演示了如何侵入一台 ATM 机并让它吐出所有的钱。他还演示过如果从外部获取一个胰岛素生产泵的控制权,列出了该产品的缺陷。Jack 原本计划在今年的大会上做一个类似的演讲。然而不幸的是,在大会开幕前一周他却突然离世了。没有任何有关他杀的报道,Jack 今年才刚刚 35 岁。这是多么令人难过的一件事情。