从BlackHat 2013中我们收获了什么

拉斯维加斯-BlackHat全球黑客大会是每年围观革新安全技术的最好机会,还能和那些在这个行业里聪明至极的家伙交谈并从中得到些关于前沿技术的动向和启示。今年的会议无论参会人数还是议题数量是历届规模最大的,有很多可听和看之处。包括11个跟踪研究在内的关键议题以及新闻发布会从早晨一直延续到晚上,即使再精力充沛的人,想一个不落的都去围观也几乎是不可能的。

创新互联是专业的富裕网站建设公司,富裕接单;提供做网站、成都做网站,网页设计,网站设计,建网站,PHP网站建设等专业做网站服务;采用PHP框架,可快速的进行富裕网站开发网页制作和功能扩展;专业做搜索引擎喜爱的网站,专业的做网站团队,希望更多企业前来合作!

[[82624]]

但是,我们看到了一些有意思的家伙和一些牛逼的议题,因此我们将使用最通俗的语言来总结会议当中那些最引人注目的,最重要也最有趣的议题和片段。想要一个关于黑帽大会上那些好玩的玩意儿全面综合的报告几乎是不可能的,所以就把这篇文章看成是一个有特色的小吃菜单好了。好好享受噢!

Web已经彻底的烂掉了

这么说也许有些夸张,但其实是真的。在BlackHat大会上有一定数量的议题展示了对当前Web下层基础机制的全新的影响严重的攻击方式,而且目前基本没有任何简单有效的防御措施。BREACH Attack,是去年CRIME TLS攻击的扩展,能够让攻击者在特定的情况下读取加密之后的信息。

从某种程度上可以说SSL安全模型已经被攻破了,该协议当前正保护着互联网中大多数的Web通信。过去类似的攻击手法都有着各种各样的限制,而现在这种可以说是目前为止最可行也最易于实施的。

用US-CERT的话说:“对此问题我们当前还没有一个可行的解决方案。”无独有偶。在Paul Stone的演讲中,他发现了一种新的技术JavaScript-based timing attacks能够让受害者的浏览器泄露任何一个页面的源代码,这些页面可能会泄露用户ID或其他敏感信息。这种技术还能让他有能力重建目标网站中任何一个iframe中的内容。像一个Web安全研究员说的那样:“太疯狂了,没有方法能修复这个问题。”

你的私家车只不过是一台待宰的羔羊,和PC机无异

而在某些情况下,它已经被黑了。安全研究院Charlie Miller和Chris Valasek花费了数月时间来想办法入侵机动车的“大脑”电子控制单元(ECU)。最终他们找到了一种方式能够接管ECU并对其重新变成使之能够让攻击者为所欲为。

Miller和Valasek能够让刹车失效,控制方向盘并让其转向任何的方向,其中使用了Toyota Prius和Ford Escape进行了示范。上面说的只是Miller和Valasek发现的众多汽车漏洞中的一个。

“汽车在印象中是很安全的,但有保障才会有安全。如果一个攻击者能够发送CAN数据包,这可能会影响到机动车的安全”,他们在DEFCON 21的演讲Paper中说道。

黑客不喜欢联邦政府的人

这似乎是不言而喻的,但是近几年一些安全社区或者其中一些板块已经开始友善的对待那些联邦政府特工,政府调查员。联邦政府已经参与BlackHat和DEFCON很多年了,也许这要得益于它们的创始人Jeff Moss,Jeff目前正在多个项目上和政府紧密合作。

但这种相对和谐的气氛随着斯诺登事件一去不复返,所以当美国国家安全局的司令Keith Alexander在七月31号进行opening keynote的演讲时,面前礼貌安静的观众很快开始气愤并与之敌对了起来。

Alexander向大家展示他们所做的隐私搜集数据计划是合法且有效的,但有些参会者对此并不感冒,开始激烈的诘问他。Alexander依然讲满了全场,没有被扔鸡蛋,但也许这将是我们近期内最后一次看到政府官方人员出现在BlackHat的会场了。

移动设备没有安全可言

研究人员们已经折腾各种手机平台很多年了,并得到了不少成果。Android是一个炙手可热的目标,但其他平台也在慢慢得到研究人员们的重视。Ralf-Phillip Weinmann对黑莓10的安全模型进行了一次彻底的分析测试,并发现了一些有意思的特性,这个系统并没有想象中的那么安全。

他对黑莓这种工作和个人使用独立的安全特性不感冒并说攻击者很容易找到方法黑掉黑莓。与此同时,Karsten Nohl深入到硬件内部,并展示了入侵SIM卡的方法,这个手机里的微型电脑是它的大脑和感知器官。

他发现了一种方法能够发送命令给SIM卡并获得root权限,从而能够完全控制目标手机设备。

以上描述的这些可能会让人感到有些压抑,不过好的方面是像BlackHat以及其他类似的安全会议已经引起了各大制造商和供应商的重视,并开始关注那些演讲的内容并完善自身的产品。相比于通过法律渠道去恐吓那些研究人员,现在作为听众身份去学习并完善自身的方式似乎更有利于去推动他们的安全模式。这就是进步。

网站题目:从BlackHat 2013中我们收获了什么
浏览路径:http://www.gawzjz.com/qtweb/news3/167703.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联