新聞源 財富源

2024年07月22日 星期一

財經 > 滾動新聞 > 正文

字號:  

萬名“黑帽子”交流資訊安全

  • 發佈時間:2014-08-20 01:31:29  來源:科技日報  作者:佚名  責任編輯:羅伯特

  有這樣一群人,兼具吸血鬼與灰姑娘的人格特質。他們鑽盡牛角尖挑這個世界的刺兒,直到真的如他們所料發現了問題;他們又勤奮溫馴,如灰姑娘一樣受到神仙教母的眷顧,飛上枝頭當鳳凰,年紀輕輕就已舉世聞名。

  這兩種令人又愛又恨的矛盾性格,非但沒有搞得他們精神分裂,相反,與他們的機體相得益彰,使他們成為全世界最有價值的人群之一。

  他們是一群“黑帽子”

  北京時間8月7日淩晨,2014世界黑帽子大會在美國拉斯維加斯召開,全世界1萬顆黑帽子齊聚一堂。駭客們把這一年來廢寢忘食發現的各種資訊安全領域的“不完美”,拿出來交流,目的是在真正的邪惡勢力利用到這些“不完美”之前,創造更好的生活。

  黑帽子大會的門票,像飛機票一樣價格浮動,訂得早的,打個6折樣子,但總的來説票價不便宜——訂得早1000多美金,晚了就一口價2200多美金。

  為什麼這麼貴?牛人多唄!他們用最平常不過的一些硬體,就可以瞬間顛覆你以往認為安全得沒跑的事物;他們可以黑掉你認為比保險箱還堅不可摧的系統,來提醒大企業,這個漏洞太危險……

  2014年黑帽子大會的議題,分成“應用安全、網際網路延伸到各類設備(汽車、工控設備)的安全、移動網際網路安全,網路審計、取證”等幾大領域。從這個角度討論問題,就相當於我們站在虛擬世界不同的經緯度上,俯瞰這張由網際網路和網際網路衍生設備組成的大網路,了解這張網的疏密、佈局和人們生活的聯繫。

  黑帽子大會現場

  安卓系統被找茬 涉及99.9%的用戶

  Bluebox的技術總監Jeff Forristal今年又一次找了安卓的茬兒。他在黑帽子大會上,首次演示了如何利用安卓系統的一個應用漏洞,惡意攻入安卓系統手機。

  不要以為這只是駭客之間無事“拗技術”的把戲,它確實涉及到超過全球99%的安卓系統用戶的資訊安全。

  通常,安卓系統的用戶下載一個APP,會不斷有彈窗出來提示:安裝軟體需要打開您的GPS功能,或者需要開放通訊錄功能等,只有你確認了才能安裝,就算沒有經過這一系列許可權強行安裝了,系統也會崩潰沒法啟用。

  但是在Jeff手裏,一個惡意APP應用可以逃脫這些正常的許可權,在用戶不知情的情況下獲得安全特權。然後安然“臥底”在你的手機裏,並且跟所有的病毒一樣,它還要不斷地“策反”手機裏所有的正常軟體,直到全變成一般黑的“烏鴉”。

  這意味著什麼呢?作為這部智慧手機的“總統”,你已經是美劇《紙牌屋》裏的“傀儡”總統了,因為整個手機的“黑道”惡意應用,已經可以無縫竊取用戶的數據,在特定場景下甚至完全控制Android設備。

  這個漏洞影響所有 4.3系統以下的用戶(4.3是今年才出的系統)。

  “不誇張地説,這可能涵蓋了99.9%的安卓用戶。”科技有限公司總裁范淵説,可能有10億的用戶,都會受到威脅,所以全世界都有理由來關注這個問題。

  Jeff的這個發現,也給安卓系統構建商出了一題,不趕緊修補漏洞,利益、聲譽損失太慘重。

  車子越智慧 越容易被“黑”

  大會上,來自美國的“黑帽子”harlie Miller和Chris Valasek,模擬演示了遠端控制別人汽車的過程。

  “越來越智慧的汽車,車身就是一個小網路,如果這個網路的圍墻‘透風’,也就是被外部連接上這個網路,那麼僅僅一點縫隙,都很可能被人反控全局——你的車既然有功能可以做到不需要你而自動泊車,也可能被人進攻,變成不需要你也能開車。縱然你雙手把著方向盤,車也不一定再由你控制。”

  所有的交通工具,只要有控制網路系統就會遇到同樣的問題。比如飛機,現在坐飛機,越坐越不無聊,十幾個小時的旅途,前面椅背上的平板電視,一堆可點播的影視劇,這種享受,建立在飛機構建了自己內部的無線網路基礎上。

  但是這個網路如果搭建不嚴密,運作密碼被破解,飛機的導航系統就會被侵入,影響飛行安全。

  “我們展示出這項攻擊,希望製造商加強智慧交通工具的安全保障,比如控制訪問許可權等,將來的製造商團隊,應該有一支強大的資訊安全團隊。”

  一整天不停地聽駭客講各種漏洞、各種攻擊,就越感到平時我們上網都像是穿著皇帝的新裝,自己認為安全,在攻擊者眼裏早就“裸奔”。(李煒)

熱圖一覽

高清圖集賞析

  • 股票名稱 最新價 漲跌幅