2014黑客大会的十大安全噩梦

发表于:2014-08-18来源:弯曲评论作者:陈怀临点击数: 标签:安全
又到了一年一度的黑客大会,在黑客大会召开的这一周里,全球的黑客和安全专家空降到拉斯维加斯炫耀他们的技能,并揭晓一个又一个听起来非常可怕的攻击方式。几周以前,想必大

  又到了一年一度的黑客大会,在黑客大会召开的这一周里,全球的黑客和安全专家空降到拉斯维加斯炫耀他们的技能,并揭晓一个又一个听起来非常可怕的攻击方式。几周以前,想必大家也都听闻了一些新的攻击方式,如被恶意代码攻击导致飞机坠毁,间谍通过你设备中的摄像头监视你的行为,以及一些秘密的、不易察觉的代码可以使一个普通的U盘变成一个传播恶意代码的工具。

  在过去,这些攻击方式可能更多地停留在理论上,但是,随着网络连接的不断发展和完善,它已经逐渐影响了我们的现实生活,带来可怕的影响。接下来让我们一一揭晓在2014年Black Hat和Def Con黑客大会上最可怕的安全事件。

  恶意USB:沉默但却致命

  我们先从一个令人震惊的事实说起。安全研究实验室(Security Research Labs)的研究人员表示,他们已经创建了一种概念验证攻击,专门针对拇指驱动器固件(thumb drive’s firmware),而不是该固件上存储的文件。受感染的驱动一旦插入到任何PC端,都会伪装成键盘下载恶意软件。

  由于大多数的驱动硬件制造商不会采取任何措施保护其固件,且反恶意软件解决方案也不会扫描驱动固件以检查恶意行为,理论上这种攻击可以将这种难以发现和难以制止的恶意软件传播到PC端,而同时也将会感染到连接该PC端的USB工具。幸运的是,目前这种类型的攻击在现实中还没有出现。

  机载Wi-Fi漏洞

  IOI研究员Ruben Santamarta表示,他可以通过飞机上提供的Wi-Fi和空中娱乐系统黑进飞机的卫星通讯系统,机载Wi-Fi和空中娱乐系统为黑客打开了攻击的大门,他们可以控制飞机的航线和安全系统。

  英国路透社指出,基于这种袭击的概率和潜在危害最小化的心理,一些通讯设备制造商对于这种威胁的重视程度并不高。不过,一些通讯设备供应商表示,他们已经修复了Santamarta曝光的漏洞。

  监控录像机上的把戏

  Synack的Patrick Wardle和Colby Moore拆解了一台价值200美元的监控录像机以查看其工作原理,他们发现在一台被黑的Dropcam(多功能的无线网络视频监控摄像头)上黑客可以查看存储在其中的视频,或者黑客还可以上传来自该录像机的第三方视频。Wardle指出,该漏洞可以使攻击者劫持或接管视频流。

  幸运的是,假如黑客想要黑进你的监控录像机的话,那么他需要物理地接触到你的监控录像机,以便在录像机上做些手脚。但是,换句话说,如果黑客真的可以有足够的时间,并无所顾忌、无拘无束的进入你的家中来完成这一系列的攻击动作时,那么你遇到问题可能要比监控你的录像机还要严重。

  破解Tor网络

  从丝绸之路毒品交易的终止到美国NSA前雇员Edward Snowden泄密事件,Tor网络在过去一年里一直是众人关注的焦点。当你在浏览网页时,通过一个又一个的节点最终到达你要浏览的网站,Tor在这个过程中为你提供的是匿名服务,每个节点只知道它将要连接的下一个节点的身份。但是,Carnegie Mellon的研究员Alexander Volynkin指出,现在可以以一种很低的成本破解Tor网络的匿名服务。

  但是,怎样破解目前仍然未知。而Volynkin突然取消了他在Black Hat的演示,Tor网络运营商发现了一组试图破解用户匿名的恶意节点,而这些节点被怀疑与Volynkin取消的演示内容有关。

  赛门铁克终端无保护

  Offensive Security的首席培训师和开发者Mati Aharoni在赛门铁克的终端保护系统中发现了三个漏洞,可以使攻击者对受害者的电脑进行高级别的访问。也就是说,攻击者可以通过你的安全软件破解防御。

原文转自:http://www.valleytalk.org/2014/08/13/2014%E9%BB%91%E5%AE%A2%E5%A4%A7%E4%BC%9A-%E5%8D%81%E5%A4%A7%E5%AE%89%E5%85%A8%E5%99%A9%E6%A2%A6/