模板
教程
环境
性能
功能
管理
2014黑客大会的十大安全噩梦(2)
据传,赛门铁克似乎已经修复了这个漏洞。
最易攻击的网络设备:路由器
先不提软件,家用网络设备本身就是安全系数降低的一个源头。在本次黑帽大会的一个主题演讲中,In-Q-Tel的首席信息安全官Dan Geer以路由器为例,指出路由器是攻击者们最容易攻击的目标。攻击者们通过网上浏览很容易找到这些路由器,而在这些路由器上通常都保持着默认登录信息,而且大部分的用户从来没有想过要把他们的路由器升级到最新版本。
当然,很多人也已经意识到家庭网络已经是一个很大的漏洞。在本次Def Con会议期间,将有一场由电子前线基金会(Electronic Frontier Foundation)赞助主办的路由器攻击比赛,被人戏称为“SOHOplessly Broken”。
NAS漏洞
一名研究人员表示,网络附属存储(NAS)设备比路由器的漏洞还要多。Independent Security Evaluators的一名安全分析员Jacob Holcomb在2013年曾做过一项关于路由器漏洞的大调查,同时在今年的黑帽大会上他也关注了NAS盒子的安全漏洞问题。
Holcomb说:“至少50%的NAS盒子是没有经过授权而使用的,利用ARP欺骗攻击的技术,攻击者在破解一个NAS设备之后,也可以劫持相同网络上其他设备的流量。”
更可怕的是,当Holcomb把他发现的这些漏洞报告给NAS盒子厂商,发现这些有漏洞的设备都还没有打好补丁,而用户将可能需要几个月的时间才能实现NAS的修复。
网络管理工具助纣为虐
还记得Carrier IQ,以及在它成立之初引起的轰动吗?它是第一个rootkit技术,是帮助运营商管理网络性能的计算工具,而实际上它可以使运营商监控你手机上的所有流量。Accuvant的Mathew Solnik和Marc Blanchou在本次黑帽大会上指出,这款由运营商放置在手机上的设备管理工具可以使你的手机更容易受到攻击。这款应用可以用于运行远程代码,并绕过操作系统的本地防御。
研究人员指出,在全球范围内,有70%到90%的手机内部都有这一设备管理软件,由于这个易受攻击的OMA-DM协议,其他的设备(+本站微信networkworldweixin),如笔记本、无线热点、物联网设备等也都存在风险。
物联网漏洞
有关物联网的漏洞已经成为此次黑帽大会上黑客讨论的热点问题,而目前内置无线连接设备的安全问题以扩展到了更多设备和家用电器中。Qualsys的研究员Silvio Cesare将展示如何将一个由简单的、容易获得的零件组成的工具修复好,同时解决智能钥匙系统遇到的问题。
Cesare说:“我可以用这个工具锁车、开车,或者打开汽车的后备箱。它可以轻而易举地击败智能钥匙的安全系统。”
黑进酒店
在本次黑帽大会上,安全顾问Jesus Molina讲述了跟多关于物联网安全漏洞的细节,非常实用,也令人大开眼界。在深圳瑞吉酒店,Molina已经弄明白如何利用驱动应用的KNX/IP家庭自动协议,对提供给酒店客户使用的“Digital Butler” iPad应用进行反向工程。Molina只是演示了一下利用这种漏洞控制走廊里的“请勿打扰”灯的触发装置,不过他说这一漏洞还可以控制电灯、电视、温度调节器、室内音乐等,甚至200多个房间内的自动窗帘,而黑客在别的国家就能完成这样的攻击。
对此,瑞吉酒店并没有证实这一说法,但在《南华早报》的采访中,该酒店表示已暂时停止对室内iPad远程控制系统的升级。
俄罗斯黑客数据库
