琅琊榜海宴小说,欢乐颂小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

從BlackHat 2013中我們收獲了什么

拉斯維加斯-BlackHat全球黑客大會是每年圍觀革新安全技術(shù)的最好機會，還能和那些在這個行業(yè)里聰明至極的家伙交談并從中得到些關(guān)于前沿技術(shù)的動向和啟示。今年的會議無論參會人數(shù)還是議題數(shù)量是歷屆規(guī)模最大的，有很多可聽和看之處。包括11個跟蹤研究在內(nèi)的關(guān)鍵議題以及新聞發(fā)布會從早晨一直延續(xù)到晚上，即使再精力充沛的人，想一個不落的都去圍觀也幾乎是不可能的。

創(chuàng)新互聯(lián)是專業(yè)的富裕網(wǎng)站建設(shè)公司，富裕接單;提供做網(wǎng)站、成都做網(wǎng)站,網(wǎng)頁設(shè)計,網(wǎng)站設(shè)計,建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行富裕網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團隊,希望更多企業(yè)前來合作!

[[82624]]

但是，我們看到了一些有意思的家伙和一些牛逼的議題，因此我們將使用最通俗的語言來總結(jié)會議當(dāng)中那些最引人注目的，最重要也最有趣的議題和片段。想要一個關(guān)于黑帽大會上那些好玩的玩意兒全面綜合的報告幾乎是不可能的，所以就把這篇文章看成是一個有特色的小吃菜單好了。好好享受噢!

Web已經(jīng)徹底的爛掉了

這么說也許有些夸張，但其實是真的。在BlackHat大會上有一定數(shù)量的議題展示了對當(dāng)前Web下層基礎(chǔ)機制的全新的影響嚴(yán)重的攻擊方式，而且目前基本沒有任何簡單有效的防御措施。BREACH Attack，是去年CRIME TLS攻擊的擴展，能夠讓攻擊者在特定的情況下讀取加密之后的信息。

從某種程度上可以說SSL安全模型已經(jīng)被攻破了，該協(xié)議當(dāng)前正保護著互聯(lián)網(wǎng)中大多數(shù)的Web通信。過去類似的攻擊手法都有著各種各樣的限制，而現(xiàn)在這種可以說是目前為止最可行也最易于實施的。

用US-CERT的話說：“對此問題我們當(dāng)前還沒有一個可行的解決方案?！睙o獨有偶。在Paul Stone的演講中，他發(fā)現(xiàn)了一種新的技術(shù)JavaScript-based timing attacks能夠讓受害者的瀏覽器泄露任何一個頁面的源代碼，這些頁面可能會泄露用戶ID或其他敏感信息。這種技術(shù)還能讓他有能力重建目標(biāo)網(wǎng)站中任何一個iframe中的內(nèi)容。像一個Web安全研究員說的那樣：“太瘋狂了，沒有方法能修復(fù)這個問題。”

你的私家車只不過是一臺待宰的羔羊，和PC機無異

而在某些情況下，它已經(jīng)被黑了。安全研究院Charlie Miller和Chris Valasek花費了數(shù)月時間來想辦法入侵機動車的“大腦”電子控制單元(ECU)。最終他們找到了一種方式能夠接管ECU并對其重新變成使之能夠讓攻擊者為所欲為。

Miller和Valasek能夠讓剎車失效，控制方向盤并讓其轉(zhuǎn)向任何的方向，其中使用了Toyota Prius和Ford Escape進(jìn)行了示范。上面說的只是Miller和Valasek發(fā)現(xiàn)的眾多汽車漏洞中的一個。

“汽車在印象中是很安全的，但有保障才會有安全。如果一個攻擊者能夠發(fā)送CAN數(shù)據(jù)包，這可能會影響到機動車的安全”，他們在DEFCON 21的演講Paper中說道。

黑客不喜歡聯(lián)邦政府的人

這似乎是不言而喻的，但是近幾年一些安全社區(qū)或者其中一些板塊已經(jīng)開始友善的對待那些聯(lián)邦政府特工，政府調(diào)查員。聯(lián)邦政府已經(jīng)參與BlackHat和DEFCON很多年了，也許這要得益于它們的創(chuàng)始人Jeff Moss，Jeff目前正在多個項目上和政府緊密合作。

但這種相對和諧的氣氛隨著斯諾登事件一去不復(fù)返，所以當(dāng)美國國家安全局的司令Keith Alexander在七月31號進(jìn)行opening keynote的演講時，面前禮貌安靜的觀眾很快開始?xì)鈶嵅⑴c之?dāng)硨α似饋怼?/p>

Alexander向大家展示他們所做的隱私搜集數(shù)據(jù)計劃是合法且有效的，但有些參會者對此并不感冒，開始激烈的詰問他。Alexander依然講滿了全場，沒有被扔雞蛋，但也許這將是我們近期內(nèi)最后一次看到政府官方人員出現(xiàn)在BlackHat的會場了。

移動設(shè)備沒有安全可言

研究人員們已經(jīng)折騰各種手機平臺很多年了，并得到了不少成果。Android是一個炙手可熱的目標(biāo)，但其他平臺也在慢慢得到研究人員們的重視。Ralf-Phillip Weinmann對黑莓10的安全模型進(jìn)行了一次徹底的分析測試，并發(fā)現(xiàn)了一些有意思的特性，這個系統(tǒng)并沒有想象中的那么安全。

他對黑莓這種工作和個人使用獨立的安全特性不感冒并說攻擊者很容易找到方法黑掉黑莓。與此同時，Karsten Nohl深入到硬件內(nèi)部，并展示了入侵SIM卡的方法，這個手機里的微型電腦是它的大腦和感知器官。

他發(fā)現(xiàn)了一種方法能夠發(fā)送命令給SIM卡并獲得root權(quán)限，從而能夠完全控制目標(biāo)手機設(shè)備。

以上描述的這些可能會讓人感到有些壓抑，不過好的方面是像BlackHat以及其他類似的安全會議已經(jīng)引起了各大制造商和供應(yīng)商的重視，并開始關(guān)注那些演講的內(nèi)容并完善自身的產(chǎn)品。相比于通過法律渠道去恐嚇那些研究人員，現(xiàn)在作為聽眾身份去學(xué)習(xí)并完善自身的方式似乎更有利于去推動他們的安全模式。這就是進(jìn)步。

名稱欄目：從BlackHat 2013中我們收獲了什么
文章鏈接：http://fisionsoft.com.cn/article/djposgi.html

新聞中心

其他資訊