压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　又到了一年一度的黑客大會，在黑客大會召開的這一周里，全球的黑客和安全專家空降到拉斯維加斯炫耀他們的技能，并揭曉一個(gè)又一個(gè)聽起來非?？膳碌墓舴绞?。幾周以前，想必大家也都聽聞了一些新的攻擊方式，如被惡意代碼攻擊導(dǎo)致飛機(jī)墜毀，間諜通過你設(shè)備中的攝像頭監(jiān)視你的行為，以及一些秘密的、不易察覺的代碼可以使一個(gè)普通的U盤變成一個(gè)傳播惡意代碼的工具。

　　在過去，這些攻擊方式可能更多地停留在理論上，但是，隨著網(wǎng)絡(luò)連接的不斷發(fā)展和完善，它已經(jīng)逐漸影響了我們的現(xiàn)實(shí)生活，帶來可怕的影響。接下來讓我們一一揭曉在2014年Black Hat和Def Con黑客大會上最可怕的安全事件。

　　我們先從一個(gè)令人震驚的事實(shí)說起。安全研究實(shí)驗(yàn)室(Security Research Labs)的研究人員表示，他們已經(jīng)創(chuàng)建了一種概念驗(yàn)證攻擊，專門針對拇指驅(qū)動器固件(thumb drive's firmware)，而不是該固件上存儲的文件。受感染的驅(qū)動一旦插入到任何PC端，都會偽裝成鍵盤下載惡意軟件。

　　由于大多數(shù)的驅(qū)動硬件制造商不會采取任何措施保護(hù)其固件，且反惡意軟件解決方案也不會掃描驅(qū)動固件以檢查惡意行為，理論上這種攻擊可以將這種難以發(fā)現(xiàn)和難以制止的惡意軟件傳播到PC端，而同時(shí)也將會感染到連接該P(yáng)C端的USB工具。幸運(yùn)的是，目前這種類型的攻擊在現(xiàn)實(shí)中還沒有出現(xiàn)。

　　IOI研究員Ruben Santamarta表示，他可以通過飛機(jī)上提供的Wi-Fi和空中娛樂系統(tǒng)黑進(jìn)飛機(jī)的衛(wèi)星通訊系統(tǒng)，機(jī)載Wi-Fi和空中娛樂系統(tǒng)為黑客打開了攻擊的大門，他們可以控制飛機(jī)的航線和安全系統(tǒng)。

　　英國路透社指出，基于這種襲擊的概率和潛在危害最小化的心理，一些通訊設(shè)備制造商對于這種威脅的重視程度并不高。不過，一些通訊設(shè)備供應(yīng)商表示，他們已經(jīng)修復(fù)了Santamarta曝光的漏洞。

　　Synack的Patrick Wardle和Colby Moore拆解了一臺價(jià)值200美元的監(jiān)控錄像機(jī)以查看其工作原理，他們發(fā)現(xiàn)在一臺被黑的Dropcam(多功能的無線網(wǎng)絡(luò)視頻監(jiān)控?cái)z像頭)上黑客可以查看存儲在其中的視頻，或者黑客還可以上傳來自該錄像機(jī)的第三方視頻。Wardle指出，該漏洞可以使攻擊者劫持或接管視頻流。

　　幸運(yùn)的是，假如黑客想要黑進(jìn)你的監(jiān)控錄像機(jī)的話，那么他需要物理地接觸到你的監(jiān)控錄像機(jī)，以便在錄像機(jī)上做些手腳。但是，換句話說，如果黑客真的可以有足夠的時(shí)間，并無所顧忌、無拘無束的進(jìn)入你的家中來完成這一系列的攻擊動作時(shí)，那么你遇到問題可能要比監(jiān)控你的錄像機(jī)還要嚴(yán)重。

　　從絲綢之路毒品交易的終止到美國NSA前雇員Edward Snowden泄密事件，Tor網(wǎng)絡(luò)在過去一年里一直是眾人關(guān)注的焦點(diǎn)。當(dāng)你在瀏覽網(wǎng)頁時(shí)，通過一個(gè)又一個(gè)的節(jié)點(diǎn)最終到達(dá)你要瀏覽的網(wǎng)站，Tor在這個(gè)過程中為你提供的是匿名服務(wù)，每個(gè)節(jié)點(diǎn)只知道它將要連接的下一個(gè)節(jié)點(diǎn)的身份。但是，Carnegie Mellon的研究員Alexander Volynkin指出，現(xiàn)在可以以一種很低的成本破解Tor網(wǎng)絡(luò)的匿名服務(wù)。

　　但是，怎樣破解目前仍然未知。而Volynkin突然取消了他在Black Hat的演示，Tor網(wǎng)絡(luò)運(yùn)營商發(fā)現(xiàn)了一組試圖破解用戶匿名的惡意節(jié)點(diǎn)，而這些節(jié)點(diǎn)被懷疑與Volynkin取消的演示內(nèi)容有關(guān)。

　　Offensive Security的首席培訓(xùn)師和開發(fā)者M(jìn)ati Aharoni在賽門鐵克的終端保護(hù)系統(tǒng)中發(fā)現(xiàn)了三個(gè)漏洞，可以使攻擊者對受害者的電腦進(jìn)行高級別的訪問。也就是說，攻擊者可以通過你的安全軟件破解防御。

　　據(jù)傳，賽門鐵克似乎已經(jīng)修復(fù)了這個(gè)漏洞。

　　先不提軟件，家用網(wǎng)絡(luò)設(shè)備本身就是安全系數(shù)降低的一個(gè)源頭。在本次黑帽大會的一個(gè)主題演講中，In-Q-Tel的首席信息安全官Dan Geer以路由器為例，指出路由器是攻擊者們最容易攻擊的目標(biāo)。攻擊者們通過網(wǎng)上瀏覽很容易找到這些路由器，而在這些路由器上通常都保持著默認(rèn)登錄信息，而且大部分的用戶從來沒有想過要把他們的路由器升級到最新版本。

　　當(dāng)然，很多人也已經(jīng)意識到家庭網(wǎng)絡(luò)已經(jīng)是一個(gè)很大的漏洞。在本次Def Con會議期間，將有一場由電子前線基金會(Electronic Frontier Foundation)贊助主辦的路由器攻擊比賽，被人戲稱為“SOHOplessly Broken”。

　　一名研究人員表示，網(wǎng)絡(luò)附屬存儲(NAS)設(shè)備比路由器的漏洞還要多。Independent Security Evaluators的一名安全分析員Jacob Holcomb在2013年曾做過一項(xiàng)關(guān)于路由器漏洞的大調(diào)查，同時(shí)在今年的黑帽大會上他也關(guān)注了NAS盒子的安全漏洞問題。

　　Holcomb說：“至少50%的NAS盒子是沒有經(jīng)過授權(quán)而使用的，利用ARP欺騙攻擊的技術(shù)，攻擊者在破解一個(gè)NAS設(shè)備之后，也可以劫持相同網(wǎng)絡(luò)上其他設(shè)備的流量。”

　　更可怕的是，當(dāng)Holcomb把他發(fā)現(xiàn)的這些漏洞報(bào)告給NAS盒子廠商，發(fā)現(xiàn)這些有漏洞的設(shè)備都還沒有打好補(bǔ)丁，而用戶將可能需要幾個(gè)月的時(shí)間才能實(shí)現(xiàn)NAS的修復(fù)。

　　還記得Carrier IQ，以及在它成立之初引起的轟動嗎？它是第一個(gè)rootkit技術(shù)，是幫助運(yùn)營商管理網(wǎng)絡(luò)性能的計(jì)算工具，而實(shí)際上它可以使運(yùn)營商監(jiān)控你手機(jī)上的所有流量。Accuvant的Mathew Solnik和Marc Blanchou在本次黑帽大會上指出，這款由運(yùn)營商放置在手機(jī)上的設(shè)備管理工具可以使你的手機(jī)更容易受到攻擊。這款應(yīng)用可以用于運(yùn)行遠(yuǎn)程代碼，并繞過操作系統(tǒng)的本地防御。

　　研究人員指出，在全球范圍內(nèi)，有70%到90%的手機(jī)內(nèi)部都有這一設(shè)備管理軟件，由于這個(gè)易受攻擊的OMA-DM協(xié)議，其他的設(shè)備(+本站微信networkworldweixin)，如筆記本、無線熱點(diǎn)、物聯(lián)網(wǎng)設(shè)備等也都存在風(fēng)險(xiǎn)。

　　有關(guān)物聯(lián)網(wǎng)的漏洞已經(jīng)成為此次黑帽大會上黑客討論的熱點(diǎn)問題，而目前內(nèi)置無線連接設(shè)備的安全問題以擴(kuò)展到了更多設(shè)備和家用電器中。Qualsys的研究員Silvio Cesare將展示如何將一個(gè)由簡單的、容易獲得的零件組成的工具修復(fù)好，同時(shí)解決智能鑰匙系統(tǒng)遇到的問題。

　　Cesare說：“我可以用這個(gè)工具鎖車、開車，或者打開汽車的后備箱。它可以輕而易舉地?fù)魯≈悄荑€匙的安全系統(tǒng)。”

　　在本次黑帽大會上，安全顧問Jesus Molina講述了跟多關(guān)于物聯(lián)網(wǎng)安全漏洞的細(xì)節(jié)，非常實(shí)用，也令人大開眼界。在深圳瑞吉酒店，Molina已經(jīng)弄明白如何利用驅(qū)動應(yīng)用的KNX/IP家庭自動協(xié)議，對提供給酒店客戶使用的"Digital Butler" iPad應(yīng)用進(jìn)行反向工程。Molina只是演示了一下利用這種漏洞控制走廊里的“請勿打擾”燈的觸發(fā)裝置，不過他說這一漏洞還可以控制電燈、電視、溫度調(diào)節(jié)器、室內(nèi)音樂等，甚至200多個(gè)房間內(nèi)的自動窗簾，而黑客在別的國家就能完成這樣的攻擊。

　　對此，瑞吉酒店并沒有證實(shí)這一說法，但在《南華早報(bào)》的采訪中，該酒店表示已暫時(shí)停止對室內(nèi)iPad遠(yuǎn)程控制系統(tǒng)的升級。

　　上周最駭人的安全事件不是發(fā)生在美國拉斯維加斯的，而是發(fā)生在亞洲的。Hold security的Alex Holden指出，一名俄羅斯黑客積累了一個(gè)龐大的數(shù)據(jù)庫，其中包含了12億被盜的用戶名和密碼組合，以及5億個(gè)郵箱地址。

　　這一消息的發(fā)出同時(shí)也帶來一些疑點(diǎn)， Hold security還推出一項(xiàng)每月120美元的安全服務(wù)，通過這一服務(wù)可以知道你的名字是否也出現(xiàn)在俄羅斯黑客的數(shù)據(jù)庫中。盡管Holden在安全領(lǐng)域很有聲望，但是這一做法不得不讓人懷疑整個(gè)事情的真實(shí)性。然而，記者Brian Krebs表示，他看到過Holden的數(shù)據(jù)和研究的第一手資料，可以肯定這一切都是真的。

　　看了這么多可怕的攻擊方法和黑客攻擊事件，想必你肯定會覺得生活中處處存在漏洞，沒有什么安全可言。但是，你不必?fù)?dān)心，這些在Black Hat 和Def Con黑客大會上演示的攻擊的確很可怕，也時(shí)刻威脅著我們的數(shù)據(jù)和設(shè)備的安全，但這些攻擊大多數(shù)都還只是停留在理論和學(xué)術(shù)層面上，并沒有真正地被黑客們實(shí)現(xiàn)過。