当全世界的顶尖安全专家们准备云集美国,参加8月即将召开的2014黑帽大会之际,他们肯定是早已摩拳擦掌,准备在同行面前施展各自的绝技了,他们将会用各种最新式的方法去破解一切可能破解的设备,和所有我们相当信任的协议的漏洞。下面所举的将是本届大会上可能出现的一些最热门的演示和攻防手段。之所以公开这些,也是为了更好地进行安全防御。
汽车
破解汽车局域网已不算什么新鲜招数了,但是Twitter的安全工程师Charlie Miller和IOActive的安全主管Christopher Valasek所要演讲的内容,却是要全面审视来自不同厂家的各种汽车局域网的安全性。他们将介绍,哪些车的远程攻防比其他车好,过去五年来哪些车的安全性更好或者更糟,以及车载局域网如何防范攻击等等。
Kerberos
Kerberos是一个网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。而安全专家Alva Duckwall和Benjiamin Delpy将会演示如何在真实环境下彻底破解Kerberos。他们说,由于缺少正确的哈希值,Kerberos其实早已被一位攻击者在数年前便已获得了接入权限。“这种情况真的很糟糕。”
安卓
一位研究人员将演示安卓的一个漏洞是怎么允许恶意应用避开安卓的应用沙盒,在用户不知情的情况下获取安全权限的。Jeff Forristal已将这一漏洞告知了谷歌,而后者也已发布了补丁,但该漏洞依然会在尚未打补丁的版本中存在。在本届大会上,他将发布一个安全工具以帮助用户扫描其设备上的漏洞。
移动宽带猫
将移动宽带猫插入笔记本电脑,上网便捷,但是这些宽带猫已被证实是敏感信息泄露的途径,有可能成为多级攻击链条中的一环。安全分析师Andreas Lindh将会演示这些宽带猫为何很容易遭到攻击,而成为犯罪分子轻松获利的手段。他还将建议一种新的消费者技术,以便进行安全防护。
Hadoop
大数据[注]的好处使得商家们趋之若鹜,但他们这样做可能太失之谨慎了。EMC Trust部门总监Davi Ottenheimer甚至为此杜撰了一个新词——Hadoopy。他说他将做一次有关大数据系统的调查,指出这些系统所面临的最困难的挑战,以及相应的最佳解决方案。
U盘
U盘已成为日常电脑使用中内容丰富的一部分,但这也使得很多U盘厂商自认为安全无忧。而来自SRLabs的密码专家兼安全研究员Kareten Nohl和Jakob Lell将会展示一种新型恶意软件,可以通过U盘内部的控制芯片进行攻击操作。我们日常所使用的U盘可以重新编程,可模仿其他类型的设备来进行间谍攻击,窃取数据,或者完全控制肉鸡电脑。他们计划用一种目前尚未被安全专家们检测到的病毒演示这样的攻击(+本站微信networkworldweixin),然后指出该如何修复U盘。
比特币
一个神秘的漏洞导致比特币市场从2011年开始日益萎缩。如今Trustwave的安全研究人员Daniel Chechik和Ben Kayak已经仔细查看了影响了丝路、MTGox和其他很多交易网站的这一问题,并声称已找到了如何利用该漏洞而致使交易延迟的办法。他们计划演示利用这一漏洞的效果。
家用报警系统
家用报警系统所用的射频控制器的确使用方便,但也很容易用一个价格低廉的设备利用来作案。该设备是Qualys公司的研究人员Silvio Cesare制作的,售价仅为50美元。这个基于Arduino及Raspberri Pi的设备可以捕获并重用密码以关闭报警系统。他还将进一步演示如何物理地将该设备与报警系统连接,以便读取系统密码。开启和关闭报警系统。
智能手机
移动运营商用来通信并控制手机的控制协议可能蕴含着风险。Accuvant实验室的两位研究人员Mathew Solnik和Marc Blanchou已使用逆向工程破解了这些协议的工作原理。他们的研究揭示了这些协议是如何实现通信的,并将演示如何在空中执行代码,在GSM、CDMA和LTE网络上攻击安卓、iOS、黑莓和各种嵌入式机器对机器的通信设备。两人还计划发布一些可防范此类攻击的工具。
IPv6
独立安全专家Antonios Atlasis和Enno Rey指出,有很多设备即便只用于IPv4通信,也已为IPv6的通信做好了配置,但这样作其实是存在安全风险的。他们将会演示三种技术,可利用IPv6协议中的一些不被人注意的细节,让网络中的安全设备(诸如入侵检测与防御系统)检测不到任何类型的攻击。他们还会讨论这对于其他安全设备,如防火墙和缓解技术来说意味着什么。
iPhone和iPad
由Yeongjin Jang所领导的佐治亚理工学院的一个团队计划披露如何利用未做完补丁的一些漏洞来越狱最新版的iOS。他们将展示如何利用这些漏洞来发现新的攻击途径,将会用到一些在设备的沙盒之外运行的未签名代码。他们还将宣布几个新的漏洞,以及利用这些漏洞的技术。(波波编译)