压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　一年一度的BlackHat大會于北京時間8月7日凌晨在美國內(nèi)華達(dá)州拉斯維加斯召開。移動安全是今年BlackHat大會一個重要議題，有關(guān)移動安全方面的議題很多，今日大會第一天，HTTPS再爆風(fēng)險，安卓系統(tǒng)欺騙認(rèn)證嚴(yán)重性史無前例。此外，值得一提的是，安恒信息總裁范淵率領(lǐng)安全技術(shù)達(dá)人們親臨現(xiàn)場，與來自世界各國的網(wǎng)絡(luò)安全專家進(jìn)行深入的探討和交流。

　　下面挑選幾個比較具有代表性的議題供大家參考：

　　Android FakeID漏洞

　　之前網(wǎng)上已經(jīng)公布了FakeID的漏洞， 但沒有公布具體的細(xì)節(jié)。而這次漏洞的發(fā)現(xiàn)者Jeff為我們講解了攻擊的原理。利用證書鏈認(rèn)證的安全問題，繞過了證書的校驗(yàn)，并能覆蓋掉之前安全的應(yīng)用。Jeff在現(xiàn)場為大家做了演示：poc沒有申請任何權(quán)限，最后獲得了一個遠(yuǎn)程控制的shell，完全控制了android操作系統(tǒng)。

　　TrustZone的安全問題

　　ARM TrustZone技術(shù)是系統(tǒng)范圍的安全方法，針對高性能計算平臺上的大量應(yīng)用，包括安全支付、數(shù)字版權(quán)管理(DRM)、企業(yè)服務(wù)和基于Web的服務(wù)。TrustZone技術(shù)與Cortex -A處理器緊密集成，并通過AMBA AXI總線和特定的TrustZone系統(tǒng)IP塊在系統(tǒng)中進(jìn)行擴(kuò)展。此系統(tǒng)方法意味著可以保護(hù)安全內(nèi)存、加密塊、鍵盤和屏幕等外設(shè)，從而可確保它們免遭軟件攻擊。而手機(jī)大量使用arm芯片，都會存在這樣的問題。演講者利用一個整型溢出漏洞成功的修改了特定內(nèi)存的數(shù)據(jù)，成功攻擊了TrustZone， 并解鎖了android的bootloader。

　　移動設(shè)備管理軟件可以訪問廣泛的數(shù)據(jù)，而這可能會因?yàn)镸DM產(chǎn)品中的漏洞而遭到泄漏。NTT COM Security公司研究人員Stephen Breen展示了如何執(zhí)行這種攻擊，并且列出了允許這種漏洞利用的漏洞。他表示，有些漏洞在一些商業(yè)MDM產(chǎn)品中非常常見。

　　此外，Google glass作為新興的產(chǎn)品，很受關(guān)注，其中一個議題《my google glass see your password》講述了應(yīng)用程序可以誘使視頻用戶輸入密碼到觸摸屏，并對其分析以竊取密碼，其原理并不復(fù)雜，但思路很有趣，利用googleglass的拍照攝像功能獲取按鍵的視頻，然后通過視頻處理的方式獲得對應(yīng)的按鍵從而獲得ipad等設(shè)備的解鎖密碼。并且據(jù)說在2m內(nèi)的成功率100%，3m內(nèi)的成功率也有80%－90%。

　　云計算是當(dāng)下最熱門IT技術(shù)之一，關(guān)于云計算的安全這兩年也是業(yè)內(nèi)非常重視的熱點(diǎn)之一。在今年的Blackhat第一天的會議上就有兩個關(guān)于云計算安全的議題。

　　第一個議題是來自w3af的Andres Riancho給大家?guī)砹恕禤IVOTING IN AMAZON CLOUDS》主題演講，針對目前越來越多的應(yīng)用程序被部署到Amazon云上，那Amazon云基礎(chǔ)平臺是否安全？傳統(tǒng)的安全測試手段是否適用云計算平臺測試？Andres Riancho給大家的答案是否定的。Andres Riancho在現(xiàn)場給大家演示和詳細(xì)講解了用于對Amazon云環(huán)境進(jìn)行安全測試的工具——nimbostratus。這個工具從測試AWS配置入手，發(fā)現(xiàn)多個Amazon安全問題。目前國內(nèi)的云計算服務(wù)商也越來越多，這些云服務(wù)提供商的云環(huán)境是否足夠安全，今天的議題可能會給國內(nèi)安全人員更多的思考和實(shí)踐。

　　第二個關(guān)于云計算安全的議題是Rob Ragan和Oscar Salazar帶給大家的《CLOUDBOTS： HARVESTING CRYPTO COINS LIKE A BOTNET FARMER》主題演講，當(dāng)計算機(jī)犯罪分子開始使用眾多的云服務(wù)進(jìn)行惡意活動的時候，會給我們的社會帶來什么危害。這個主題就是探討利用免費(fèi)試用云服務(wù)的計算能力，存儲和預(yù)制黑客攻擊環(huán)境。為了注冊免費(fèi)試用賬戶偽造大量電子郵件地址，然后通過這些郵箱注冊免費(fèi)試用云服務(wù)，繼而通過云環(huán)境構(gòu)建僵尸網(wǎng)絡(luò)，這將對傳統(tǒng)防范僵尸網(wǎng)絡(luò)的技術(shù)帶來嚴(yán)峻的挑戰(zhàn)。并且通過免費(fèi)試用云服務(wù)組建僵尸網(wǎng)絡(luò)，只是一種方式，還有其它很多攻擊手段可以利用。