压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　一年一度的BlackHat大會(huì)于北京時(shí)間8月7日凌晨在美國(guó)內(nèi)華達(dá)州拉斯維加斯召開。安恒信息總裁范淵率領(lǐng)安全技術(shù)達(dá)人們親臨現(xiàn)場(chǎng)，與來(lái)自世界各國(guó)的網(wǎng)絡(luò)安全專家進(jìn)行深入的探討和交流。

　　未來(lái)幾天，小安會(huì)陸續(xù)整理我們?cè)贐lackHat大會(huì)上的見(jiàn)面，以饗讀者。

　　移動(dòng)安全是今年BlackHat大會(huì)一個(gè)重要議題，有關(guān)移動(dòng)安全方面的議題很多，今日大會(huì)第一天，HTTPS再爆風(fēng)險(xiǎn)，安卓系統(tǒng)欺騙認(rèn)證嚴(yán)重性史無(wú)前例。下面挑選幾個(gè)比較具有代表性的議題供大家參考。

　　Android FakeID 漏洞

　　之前網(wǎng)上已經(jīng)公布了FakeID的漏洞， 但沒(méi)有公布具體的細(xì)節(jié)。而這次漏洞的發(fā)現(xiàn)者Jeff為我們講解了攻擊的原理。利用證書鏈認(rèn)證的安全問(wèn)題，繞過(guò)了證書的校驗(yàn)，并能覆蓋掉之前安全的應(yīng)用。Jeff在現(xiàn)場(chǎng)為大家做了演示： poc沒(méi)有申請(qǐng)任何權(quán)限，最后獲得了一個(gè)遠(yuǎn)程控制的shell， 完全控制了android操作系統(tǒng)。

　　TrustZone的安全問(wèn)題

　　ARM TrustZone 技術(shù)是系統(tǒng)范圍的安全方法，針對(duì)高性能計(jì)算平臺(tái)上的大量應(yīng)用，包括安全支付、數(shù)字版權(quán)管理 (DRM)、企業(yè)服務(wù)和基于 Web 的服務(wù)。 TrustZone 技術(shù)與 Cortex-A 處理器緊密集成，并通過(guò) AMBA AXI 總線和特定的TrustZone 系統(tǒng) IP 塊在系統(tǒng)中進(jìn)行擴(kuò)展。此系統(tǒng)方法意味著可以保護(hù)安全內(nèi)存、加密塊、鍵盤和屏幕等外設(shè)，從而可確保它們免遭軟件攻擊。 而手機(jī)大量使用 arm芯片， 都會(huì)存在這樣的問(wèn)題。 演講者利用一個(gè)整型溢出漏洞成功的修改了特定內(nèi)存的數(shù)據(jù)，成功攻擊了TrustZone， 并解鎖了android 的bootloader

　　移動(dòng)設(shè)備管理軟件可以訪問(wèn)廣泛的數(shù)據(jù)，而這可能會(huì)因?yàn)镸DM產(chǎn)品中的漏洞而遭到泄漏。NTT COM Security公司研究人員Stephen Breen展示了如何執(zhí)行這種攻擊，并且列出了允許這種漏洞利用的漏洞。他表示，有些漏洞在一些商業(yè)MDM產(chǎn)品中非常常見(jiàn)。

　　此外，Google glass作為新興的產(chǎn)品，很受關(guān)注， 其中一個(gè)議題《my google glass see your password》講述了應(yīng)用程序可以誘使視頻用戶輸入密碼到觸摸屏，并對(duì)其分析以竊取密碼，其原理并不復(fù)雜，但思路很有趣，利用googleglass的拍照攝像功能獲取按鍵的視頻，然后通過(guò)視頻處理的方式獲得對(duì)應(yīng)的按鍵從而獲得ipad等設(shè)備的解鎖密碼。并且據(jù)說(shuō)在2m內(nèi)的成功率100%，3m內(nèi)的成功率也有80%－90%

　　云計(jì)算是當(dāng)下最熱門IT技術(shù)之一，關(guān)于云計(jì)算的安全這兩年也是業(yè)內(nèi)非常重視的熱點(diǎn)之一。在今年的Blackhat第一天的會(huì)議上就有兩個(gè)關(guān)于云計(jì)算安全的議題。

　　第一個(gè)議題是來(lái)自w3af的Andres Riancho給大家?guī)?lái)了《PIVOTING INAMAZON CLOUDS》主題演講，針對(duì)目前越來(lái)越多的應(yīng)用程序被部署到Amazon云上，那Amazon云基礎(chǔ)平臺(tái)是否安全？傳統(tǒng)的安全測(cè)試手段是否適用云計(jì)算平臺(tái)測(cè)試 Andres Riancho給大家的答案是否定的。Andres Riancho在現(xiàn)場(chǎng)給大家演示和詳細(xì)講解了用于對(duì)Amazon云環(huán)境進(jìn)行安全測(cè)試的工具——nimbostratus。這個(gè)工具從測(cè)試AWS配置入手，發(fā)現(xiàn)多個(gè)Amazon安全問(wèn)題。目前國(guó)內(nèi)的云計(jì)算服務(wù)商也越來(lái)越多，這些云服務(wù)提供商的云環(huán)境是否足夠安全，今天的議題可能會(huì)給國(guó)內(nèi)安全人員更多的思考和實(shí)踐。

　　第二個(gè)關(guān)于云計(jì)算安全的議題是Rob Ragan和Oscar Salazar帶給大家的《CLOUDBOTS：HARVESTING CRYPTO COINS LIKE A BOTNET FARMER》主題演講，當(dāng)計(jì)算機(jī)犯罪分子開始使用眾多的云服務(wù)進(jìn)行惡意活動(dòng)的時(shí)候，會(huì)給我們的社會(huì)帶來(lái)什么危害。這個(gè)主題就是探討利用免費(fèi)試用云服務(wù)的計(jì)算能力，存儲(chǔ)和預(yù)制黑客攻擊環(huán)境。為了注冊(cè)免費(fèi)試用賬戶偽造大量電子郵件地址，然后通過(guò)這些郵箱注冊(cè)免費(fèi)試用云服務(wù)，繼而通過(guò)云環(huán)境構(gòu)建僵尸網(wǎng)絡(luò)，這將對(duì)傳統(tǒng)防范僵尸網(wǎng)絡(luò)的技術(shù)帶來(lái)嚴(yán)峻的挑戰(zhàn)。并且通過(guò)免費(fèi)試用云服務(wù)組建僵尸網(wǎng)絡(luò)，只是一種方式，還有其它很多攻擊手段可以利用。