谈谈安全威胁
本周在拉斯维加斯举行的一年一度黑帽(Black Hat)大会上,有数千名黑客和安全专家现身,揭示了如今我们在安全领域面临的最新、最大的安全威胁。在整个星期的介绍和演讲中,安全研究人员和黑客们展 示了在攻击和漏洞方面的发现,揭示了在连接设备、商业基础设施中的漏洞,等等。
下面就让我们来看看今年黑帽大会值得关注点的10个安全威胁。
软件定义网络
软件定义网络(SDN)带来了灵活性和控制力等好处,但是也带来了新的威胁,Changhoon Yoon和Seungsoo Lee这样表示。通过攻击SDN的每一层,包括控制平面、控制通道和数据平面,Kaist博士的学生和研究人员向参会者演示了他们如何渗透到不同的、常用 的SDN部署中。他们说,这些类型的攻击最有可能影响网络的可用性或者保密性,但是,渗透测试和安全扩展例如Security-Mode ONOS,可以帮助企业确保他们以更为安全的方式拥抱SDN。
VoIP
随着企业开始越来越多地采用VoIP解决方案,在理解VoIP可能会带来何种安全威胁方面却仍然存在空白,Context Information Security的Fatih Ozavci这样表示。这让那些使用VoIP解决方案的企业以及服务提供商面临被攻击的风险,例如僵尸网络和欺诈风险。其他攻击领域还包括厂商漏洞、IP Mutimedia Subsystem安全问题、攻击基于云的VoIP解决方案以攻入租户环境。
AirBnb
虽然公共场合如咖啡馆和酒店的公用网络安全性较差,这一点广为人知,但是Jeremy Galloway表似乎,用户和企业主应该更多地关注短期租赁如AirBnb的安全威胁,这些威胁包括中间人劫持流量、访问非法内容、设备入侵等。
汽车
车辆黑客在今年的黑帽大会上再次成为关注焦点。基于去年黑帽大会上被高度关注的汽车黑客话题,黑客Charlie Miller和Chris Valasek今年展示了他们如何利用Jeep Cherokee的UConnect系统中的一个零日攻击侵入车辆,最终让这辆车坠入路边沟,两名黑客展示了他们如何影响物理和安全关键系统。此前这些系 统被认为是能够抵抗入侵操作的,包括制动、转向和加速。
三星Pay
随着移动支付系统逐渐赢得用户的心,安全性也成为用户必须面临的一个问题。特别是三星Pay,曾声称安全是他们与众不同之处,但是在今年的黑帽大会 上有一个演讲称该系统也不能幸免于安全漏洞的问题。Salvador Mendoza展示了他关于三星Pay使用令牌方面的一些发现,三星不具有对其使用的完全控制,尤其是在飞行模式下,而且三星也无法确保由三星Pay声称 的令牌总是可以被同一台设备所使用,因为它使用的是随机令牌数字和磁性安全传输技术。这些缺陷可能让攻击者轻易地盗取和使用令牌,可能会猜出被标记的数 字。
智能灯泡
物联网设备再次成为今年黑帽大会的关注焦点。有一个演讲详细分析了围绕智能灯泡的安全威胁,以及这些系统是如何被轻松攻击的。研究人员Colin O’Flynn在演讲中展示了飞利浦Hue智能照明系统如何被黑客攻击,包括绕过加密引导程序读取敏感信息。
企业移动安全性
BYOD的兴起引发最令人关心的一个问题就是安全性,但是在今年的黑帽大会上,Vincent Tan在演讲中展示了加载额外的安全特性也会带来问题。拿Good Technology EMS来举例,该演讲分析了如何通过破解和非越狱设备攻击Enterprise Mobile Security解决方案,这个问题可能会让受保护的应用面临风险。该演讲还特别发布了Swizzler,这个渗透测试工具可以自动攻击EMS解决方案并 绕过EMS保护。
Windows 10
随着Windows 10部署规模越来越大,黑客们不可避免地瞄准了这个新的操作系统。在今年的黑帽大会上,有两个演讲就瞄准了这个话题。第一个演讲深入分析了Windows 10中的一个默认功能,跨虚拟机的内存重复数据删除,该演讲展示了可以利用Javascrip通过微软Edge浏览器读取该系统中的任意数据。另外一个演 讲分析了Windows 10基于虚拟化的安全性以及潜在问题可能导致该解决方案给底层平台带来的复杂性,此外还展示了针对安全解决方案和相关固件的问题。
ATM
以前有很多针对ATM的攻击,企业一直在加强他们的技术,推出所谓的下一代ATM防止攻击。但是在今年黑帽大会的演讲中,Rapid7安全研究员 Weston Hecker展示了“La Cara”,这是一个自动化套现机器,可以让现有的EMV和NFC ATM取出现金和信用卡数据。Hecker展示了如何用这种方法在不到15分钟内取出数万美元。
AWS
随着越来越多的企业将他们的数据迁移到云中,今年黑帽大会上安全工程师、开发者Andrew Hrug和Alex McCormack在演讲中分析了数据安全方面的挑战,特别围绕API密钥安全性和云中的事件响应。受攻击的API密钥可以访问敏感数据、关键存储库、数 据库等等。他的演讲为企业提供了应对这种挑战的技巧,包括采用最小特权原则,利用AWS服务提高安全性。