頂級黑客昨日分享最新“黑動作”
責編:admin |2014-08-11 10:52:55有這樣一群人,兼具吸血鬼與灰姑娘的人格特質。他們鉆盡牛角尖挑這個世界的刺兒,直到真的如他們所料發現了問題;他們又勤奮溫馴,如灰姑娘一樣受到神仙教母的眷顧,飛上枝頭當鳳凰,年紀輕輕就已舉世聞名。
這兩種令人又愛又恨的矛盾性格,非但沒有搞得他們精神分裂,相反,與他們的機體相得益彰,使他們成為全世界最有價值的人群之一。
他們是一群“黑帽子”。
北京時間8月7日凌晨,2014世界黑帽子大會在美國拉斯維加斯召開,全世界1萬顆聰明大腦濟濟一堂。黑客們把這一年來廢寢忘食發現的各種信息安全領域的“不完美”,拿出來交流,目的是在真正的邪惡勢力利用到這些“不完美”之前,創造更好的生活。
黑帽子大會的門票,像飛機票一樣價格浮動,訂得早的,打個6折樣子,但總的來說票價不便宜——訂得早1000多美金,晚了就一口價2200多美金。
為什么這么貴?——牛人多唄!他們用最平常不過的一些硬件,就可以瞬間顛覆你以往認為安全得沒跑的事物;他們可以黑掉你認為比保險箱還堅不可摧的系統,來提醒大企業,這個漏洞太危險……
安卓系統被找茬
涉及99.9%的用戶
bluebox的技術總監jeffforristal今年又一次找了安卓的茬兒。他在昨天的黑帽子大會上,首次演示了如何利用安卓系統的一個應用漏洞,惡意攻入安卓系統手機。
不要以為這只是黑客之間無事“拗技術”的把戲,它確實涉及到超過全球99%的安卓系統用戶的信息安全。
通常,安卓系統的用戶下載一個app,會不斷有彈窗出來提示:安裝軟件需要打開您的gps功能,或者需要開放通訊錄功能等,只有你確認了才能安裝,就算沒有經過這一系列權限強行安裝了,系統也會崩潰沒法啟用。
但是在jeff手里,一個惡意app應用可以逃脫這些正常的權限,在用戶不知情的情況下獲得安全特權。然后安然“臥底”在你的手機里,并且跟所有的病毒一樣,它還要不斷地“策反”手機里所有的正常軟件,直到全變成一般黑的“烏鴉”。
這意味著什么呢?作為這部智能手機的“總統”,你已經是美劇《紙牌屋》里的“傀儡”總統了,因為整個手機的“黑道”惡意應用,已經可以無縫竊取用戶的數據,在特定場景下甚至完全控制android設備。
這個漏洞影響所有4.3系統以下的用戶(4.3是今年才出的系統)。
“不夸張地說,這可能涵蓋了99.9%的安卓用戶。”杭州安恒科技有限公司總裁范淵說,可能有10億的用戶,都會受到威脅,所以全世界都有理由來關注這個問題。
jeff的這個發現,也給安卓系統構建商出了一題,不趕緊修補漏洞,利益、聲譽損失太慘重。
車子越智能
越容易被“黑”
某種程度上講,黑帽子大會的議題,很富有哲學意義的。
昨天大會上,來自美國的“黑帽子”harliemiller和chrisvalasek,模擬演示了遠程控制別人汽車的過程。
“越來越智能的汽車,車身就是一個小網絡,如果這個網絡的圍墻‘透風’,也就是被外部連接上這個網絡,那么僅僅一點縫隙,都很可能被人反控全局——你的車既然有功能可以做到不需要你而自動泊車,也可能被人進攻,變成不需要你也能開車。縱然你雙手把著方向盤,車也不一定再由你控制。”
所有的交通工具,只要有控制網絡系統就會遇到同樣的問題。比如飛機,現在坐飛機,越坐越不無聊,十幾個小時的旅途,前面椅背上的平板電視,一堆可點播的影視劇,這種享受,建立在飛機構建了自己內部的無線網絡基礎上。
但是這個網絡如果搭建不嚴密,運行密碼被破解,飛機的導航系統就會被侵入,影響飛行安全。
“我們展示出這項攻擊,希望制造商加強智能交通工具的安全保障,比如控制訪問權限等,將來的制造商團隊,應該有一支強大的信息安全團隊。”
一整天不停地聽黑客講各種漏洞、各種攻擊,就越感到平時我們上網都像是穿著皇帝的新裝,自己認為安全,在攻擊者眼里早就“裸奔”。
升級不成黑客,怎么保護信息安全?跟黑帽子學幾招:
第一招,各種網上的賬號、賬戶,不用相同的密碼。
怎么設密碼?錢報記者隨機問到幾個黑客,人家都很不屑地說:“那么當然是大小寫、字母、數字、特殊字符,一樣不能少,長度至少8位以上。8位以下的密碼,就等著被秒殺好了。”
第二招,不同網站的密碼不要通用。
不重要的網站的注冊密碼,跟重要網站密碼不要通用。什么玩個星際爭霸啥的,就不要弄個網銀一樣的密碼了。在注冊新賬號的時候,盡量不要泄露自己的真實個人信息。
第三招,沒事不用信用卡。
黑帽子一般不用信用卡,迫不得已要給老婆刷卡買包包,做到信用卡不離開視線所及處。
第四招,不點不明鏈接。
黑帽子從不貿然點開不明鏈接,就算來自好友的賬號也一樣的,二維碼也不能胡掃。
第五招,票證不隨便扔。
有個人信息的票證、快遞簽收單等不要隨便扔,淘寶淘得多,處理這些“后淘寶”垃圾,也要多個心眼,花錢弄臺碎紙機來替你干活兒吧。