未雨綢繆 盤點黑客大會披露十大安全噩夢

責(zé)任編輯:editor004

2014-08-21 14:03:32

摘自:天極網(wǎng)網(wǎng)絡(luò)頻道

從能入侵飛機的代碼到監(jiān)視監(jiān)控攝像頭,再到把任意USB設(shè)備變成攻擊工具,其中10個可能會造成驚人的安全噩夢。Qualsy公司的研究人員用廉價常見的零部件拼湊的工具搞定了智能汽車,可以開啟車門,以及開后備箱。

時下熱門的安全技術(shù)圍繞的是主流IT廠商的主流技術(shù),蘋果、微軟、安卓以及車載系統(tǒng)都囊括其中,移動互聯(lián)、云服務(wù)、智能系統(tǒng)甚至將來可能廣泛興起的大數(shù)據(jù)應(yīng)用,其實潛在的安全問題都數(shù)不勝數(shù),而信息安全大會的意義在于防患于未然,前瞻性的探索往往帶給用戶的不是憂慮,而是更多的保障。2014年的黑帽和Def Con兩大黑客大會上,黑客和安全大牛向世人發(fā)布了眾多安全漏洞。從能入侵飛機的代碼到監(jiān)視監(jiān)控攝像頭,再到把任意USB設(shè)備變成攻擊工具,其中10個可能會造成驚人的安全噩夢。

1. USB悄然致命

來自“安全研究實驗室”的研究人員聲稱,他們開發(fā)出攻擊USB設(shè)備固件的概念型工具。被感染的USB設(shè)備插入計算機時,會偽裝成鍵盤來下載惡意軟件。理論上而言,此漏洞可用來傳播難以發(fā)現(xiàn)、難以阻止的惡意軟件,想像一下全球有多少與計算機相連的USB設(shè)備,就知道這個漏洞有多么可怕。

https://mmbiz.qlogo.cn/mmbiz/f4CbNfICAmUuH3j11DVkBSxPibNG9cWQvFBLu6RibqAJicnKuGGwPZ7EiaNnWgJD4gFYYtDGicibmcCm2wZtKUexkEIw/0

  2. 入侵飛機

另一概念型攻擊的后果更為可怕。IO interactive的研究人員聲稱,通過飛機上Wi-Fi和娛樂系統(tǒng)可以侵入飛機的衛(wèi)星通訊系統(tǒng),進而讓攻擊者影響飛機的導(dǎo)航系統(tǒng)和安全系統(tǒng)。

3.監(jiān)控攝像頭被監(jiān)控

兩位安全研究人員展示了攝像頭的漏洞,不僅可以瀏覽攝像頭中存儲的視頻,還能上傳第三方的視頻,并偽造成本機拍攝的。簡而言之,黑客能夠劫持并接管攝像頭中的視頻流。

4. Tor遭遇安全危機

Tor網(wǎng)絡(luò)為使用者提供源節(jié)點到目的節(jié)點之間的匿名訪問,只有下一個節(jié)點才能知道到上一個節(jié)點的確切地址。但卡內(nèi)基梅隆大學(xué)的研究人員表示,用最小的成本來打破Tor網(wǎng)絡(luò)的匿名性是很有可能的。

5. 賽門鐵克終端防護漏洞

知名安全專家MatiAharoni在賽門鐵克終端防護工具中發(fā)現(xiàn)了三個漏洞,這些漏洞可使攻擊者對受害者的計算機進行高級別的訪問。換句話說,黑客可通過安全防護軟件入侵計算機。

6. 不安全的家用路由器

In-Q-Tel的安全專家表示,家用辦公路由器是最容易被入侵的。這些路由器可以通過網(wǎng)絡(luò)掃描輕易的發(fā)現(xiàn),通常會包含默認的登錄信息,而絕大多數(shù)人從未想過把他們的路由器固件更新到最新版。

7. NAS漏洞多多

與網(wǎng)絡(luò)相連的存儲設(shè)備更是漏洞多多。獨立安全評估機構(gòu)的安全分析人員Jacob Holcomn展示了NAS網(wǎng)絡(luò)存儲的漏洞。“確切地說,沒有一臺設(shè)備是我無法搞定的,至少有一半的設(shè)備無需驗證即可入侵。通過入侵NAS設(shè)備,攻擊者可以劫持相同網(wǎng)絡(luò)上其他設(shè)備的流量。”Jacob Holcomb表示。

8. 網(wǎng)絡(luò)管理工具顯漏洞

Accuvant公司安全人員透露,監(jiān)控手機流量的網(wǎng)絡(luò)性能診斷工具存在安全漏洞,可被用來執(zhí)行遠程代碼,并繞過操作系統(tǒng)的本地防護機制,導(dǎo)致安裝工具的手機十分容易被攻擊。據(jù)統(tǒng)計,全世界售出的手機有70%~90%都裝有設(shè)備管理程序。筆記本電腦、無線熱點設(shè)備和物聯(lián)網(wǎng)設(shè)備等,都面臨同樣的風(fēng)險。

未雨綢繆 盤點黑客大會披露十大安全噩夢

未雨綢繆 盤點黑客大會披露十大安全噩夢

9. 智能汽車隨意開啟

物聯(lián)網(wǎng)的安全威脅無疑是本次黑客大會的熱點議題。Qualsy公司的研究人員用廉價常見的零部件拼湊的工具搞定了智能汽車,可以開啟車門,以及開后備箱。

如今在全球范圍內(nèi),互聯(lián)網(wǎng)掀起了新一輪的技術(shù)革命浪潮,車聯(lián)網(wǎng)也成為各大車企的研發(fā)重點。導(dǎo)航、動態(tài)交通信息、車輛防盜、緊急救援等功能,已在很多車型上實現(xiàn)。據(jù)專家介紹,“目前智能汽車上至少有超過80個智能傳感器,每天向車聯(lián)網(wǎng)云端傳輸?shù)臄?shù)據(jù)據(jù)說達到100兆,這些數(shù)據(jù)涵蓋了汽車和駕駛者個人的各類信息。”

10. 入侵賓館

安全顧問Jesus Molina透露的物聯(lián)網(wǎng)漏洞更具實操性。他破解了酒店提供給旅客的iPad應(yīng)用程序“數(shù)字管家”,并利用KNX/IP路由器的協(xié)議漏洞,成功控制了房間的免打擾燈。電視、溫控、房間里的音樂,甚至酒店200多個房間的百葉窗都盡在掌控之中。

黑客大會精彩紛呈,其實北京也會看到精彩的演示據(jù)悉,。2014中國互聯(lián)網(wǎng)安全大會(isc.#)同樣邀請到國內(nèi)外安全大牛,分享和演示車聯(lián)網(wǎng)安全、移動安全、工業(yè)控制、Web、云的安全趨勢,演示谷歌眼鏡、智能電視、智能汽車等眾多設(shè)備的破解過程。 在9月份即將舉辦的2014中國互聯(lián)網(wǎng)大會上,舉辦方將邀請國內(nèi)車聯(lián)網(wǎng)安全專家與會,分享車聯(lián)網(wǎng)安全的技術(shù)趨勢和發(fā)展。360網(wǎng)絡(luò)攻防實驗室的安全專家也將現(xiàn)場演示特斯拉破解全過程。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號