2014黑客大會:怎樣能破解一切?
責編:admin |2014-08-03 13:34:47當全世界的頂尖安全專家們準備云集美國,參加即將召開的2014黑帽大會之際,他們肯定是早已摩拳擦掌,準備在同行面前施展各自的絕技了,他們將會用各種最新式的方法去破解一切可能破解的設備和所有我們相當信任的協議的漏洞。
下面所舉的將是本屆大會上可能出現的一些最熱門的演示和攻防手段。之所以公開這些,也是為了更好地進行安全防御。
汽車
破解汽車局域網已不算什么新鮮招數了,但是Twitter的安全工程師Charlie Miller和IOActive的安全主管Christopher Valasek所要演講的內容,卻是要全面審視來自不同廠家的各種汽車局域網的安全性。他們將介紹,哪些車的遠程攻防比其他車好,過去五年來哪些車的安全性更好或者更糟,以及車載局域網如何防范攻擊等等。
Kerberos
Kerberos是一個網絡認證協議,其設計目標是通過密鑰系統為客戶機 / 服務器應用程序提供強大的認證服務。而安全專家Alva Duckwall和Benjiamin Delpy將會演示如何在真實環境下徹底破解Kerberos。他們說,由于缺少正確的哈希值,Kerberos其實早已被一位攻擊者在數年前便已獲得了接入權限。“這種情況真的很糟糕。”
安卓
一位研究人員將演示安卓的一個漏洞是怎么允許惡意應用避開安卓的應用沙盒,在用戶不知情的情況下獲取安全權限的。Jeff Forristal已將這一漏洞告知了谷歌,而后者也已發布了補丁,但該漏洞依然會在尚未打補丁的版本中存在。在本屆大會上,他將發布一個安全工具以幫助用戶掃描其設備上的漏洞。
移動寬帶貓
將移動寬帶貓插入筆記本電腦,上網便捷,但是這些寬帶貓已被證實是敏感信息泄露的途徑,有可能成為多級攻擊鏈條中的一環。安全分析師Andreas Lindh將會演示這些寬帶貓為何很容易遭到攻擊,而成為犯罪分子輕松獲利的手段。他還將建議一種新的消費者技術,以便進行安全防護。
Hadoop
大數據的好處使得商家們趨之若鶩,但他們這樣做可能太失之謹慎了。EMC Trust部門總監Davi Ottenheimer甚至為此杜撰了一個新詞——Hadoopy。他說他將做一次有關大數據系統的調查,指出這些系統所面臨的最困難的挑戰,以及相應的最佳解決方案。
U盤
U盤已成為日常電腦使用中內容豐富的一部分,但這也使得很多U盤廠商自認為安全無憂。而來自SRLabs的密碼專家兼安全研究員Kareten Nohl和Jakob Lell將會展示一種新型惡意軟件,可以通過U盤內部的控制芯片進行攻擊操作。我們日常所使用的U盤可以重新編程,可模仿其他類型的設備來進行間諜攻擊,竊取數據,或者完全控制肉雞電腦。他們計劃用一種目前尚未被安全專家們檢測到的病毒演示這樣的攻擊(+本站微信networkworldweixin),然后指出該如何修復U盤。
比特幣
一個神秘的漏洞導致比特幣市場從2011年開始日益萎縮。如今Trustwave的安全研究人員Daniel Chechik和Ben Kayak已經仔細查看了影響了絲路、MTGox和其他很多交易網站的這一問題,并聲稱已找到了如何利用該漏洞而致使交易延遲的辦法。他們計劃演示利用這一漏洞的效果。
家用報警系統
家用報警系統所用的射頻控制器的確使用方便,但也很容易用一個價格低廉的設備利用來作案。該設備是Qualys公司的研究人員Silvio Cesare制作的,售價僅為50美元。這個基于Arduino及Raspberri Pi的設備可以捕獲并重用密碼以關閉報警系統。他還將進一步演示如何物理地將該設備與報警系統連接,以便讀取系統密碼。開啟和關閉報警系統。
智能手機
移動運營商用來通信并控制手機的控制協議可能蘊含著風險。Accuvant實驗室的兩位研究人員Mathew Solnik和Marc Blanchou已使用逆向工程破解了這些協議的工作原理。他們的研究揭示了這些協議是如何實現通信的,并將演示如何在空中執行代碼,在GSM、CDMA和LTE網絡上攻擊安卓、iOS、黑莓和各種嵌入式機器對機器的通信設備。兩人還計劃發布一些可防范此類攻擊的工具。
IPv6
獨立安全專家Antonios Atlasis和Enno Rey指出,有很多設備即便只用于IPv4通信,也已為IPv6的通信做好了配置,但這樣作其實是存在安全風險的。他們將會演示三種技術,可利用IPv6協議中的一些不被人注意的細節,讓網絡中的安全設備(諸如入侵檢測與防御系統)檢測不到任何類型的攻擊。他們還會討論這對于其他安全設備,如防火墻和緩解技術來說意味著什么。
iPhone和iPad
由Yeongjin Jang所領導的佐治亞理工學院的一個團隊計劃披露如何利用未做完補丁的一些漏洞來越獄最新版的iOS。他們將展示如何利用這些漏洞來發現新的攻擊途徑,將會用到一些在設備的沙盒之外運行的未簽名代碼。他們還將宣布幾個新的漏洞,以及利用這些漏洞的技術。