未雨绸缪 盘点黑客大会披露十大安全噩梦

8/21/2014来源:安全在线人气:1684

时下热门的安全技术围绕的是主流IT厂商的主流技术,苹果、微软、安卓以及车载系统都囊括其中,移动互联、云服务、智能系统甚至将来可能广泛兴起的大数据应用,其实潜在的安全问题都数不胜数,而信息安全大会的意义在于防患于未然,前瞻性的探索往往带给用户的不是忧虑,而是更多的保障。2014年的黑帽和Def Con两大黑客大会上,黑客和安全大牛向世人发布了众多安全漏洞。从能入侵飞机的代码到监视监控摄像头,再到把任意USB设备变成攻击工具,其中10个可能会造成惊人的安全噩梦。

  1. USB悄然致命

  来自“安全研究实验室”的研究人员声称,他们开发出攻击USB设备固件的概念型工具。被感染的USB设备插入计算机时,会伪装成键盘来下载恶意软件。理论上而言,此漏洞可用来传播难以发现、难以阻止的恶意软件,想像一下全球有多少与计算机相连的USB设备,就知道这个漏洞有多么可怕。

2. 入侵飞机

  另一概念型攻击的后果更为可怕。IO interactive的研究人员声称,通过飞机上Wi-Fi和娱乐系统可以侵入飞机的卫星通讯系统,进而让攻击者影响飞机的导航系统和安全系统。

  3.监控摄像头被监控

  两位安全研究人员展示了摄像头的漏洞,不仅可以浏览摄像头中存储的视频,还能上传第三方的视频,并伪造成本机拍摄的。简而言之,黑客能够劫持并接管摄像头中的视频流。

  4. Tor遭遇安全危机

  Tor网络为使用者提供源节点到目的节点之间的匿名访问,只有下一个节点才能知道到上一个节点的确切地址。但卡内基梅隆大学的研究人员表示,用最小的成本来打破Tor网络的匿名性是很有可能的。

  5. 赛门铁克终端防护漏洞

  知名安全专家MatiAharoni在赛门铁克终端防护工具中发现了三个漏洞,这些漏洞可使攻击者对受害者的计算机进行高级别的访问。换句话说,黑客可通过安全防护软件入侵计算机。

  6. 不安全的家用路由器

  In-Q-Tel的安全专家表示,家用办公路由器是最容易被入侵的。这些路由器可以通过网络扫描轻易的发现,通常会包含默认的登录信息,而绝大多数人从未想过把他们的路由器固件更新到最新版。

  7. NAS漏洞多多

  与网络相连的存储设备更是漏洞多多。独立安全评估机构的安全分析人员Jacob Holcomn展示了NAS网络存储的漏洞。“确切地说,没有一台设备是我无法搞定的,至少有一半的设备无需验证即可入侵。通过入侵NAS设备,攻击者可以劫持相同网络上其他设备的流量。”Jacob Holcomb表示。

  8. 网络管理工具显漏洞

  Accuvant公司安全人员透露,监控手机流量的网络性能诊断工具存在安全漏洞,可被用来执行远程代码,并绕过操作系统的本地防护机制,导致安装工具的手机十分容易被攻击。据统计,全世界售出的手机有70%~90%都装有设备管理程序。笔记本电脑、无线热点设备和物联网设备等,都面临同样的风险。

9. 智能汽车随意开启

  物联网的安全威胁无疑是本次黑客大会的热点议题。Qualsy公司的研究人员用廉价常见的零部件拼凑的工具搞定了智能汽车,可以开启车门,以及开后备箱。

  如今在全球范围内,互联网掀起了新一轮的技术革命浪潮,车联网也成为各大车企的研发重点。导航、动态交通信息、车辆防盗、紧急救援等功能,已在很多车型上实现。据专家介绍,“目前智能汽车上至少有超过80个智能传感器,每天向车联网云端传输的数据据说达到100兆,这些数据涵盖了汽车和驾驶者个人的各类信息。”

  10. 入侵宾馆

  安全顾问Jesus Molina透露的物联网漏洞更具实操性。他破解了酒店提供给旅客的ipad应用程序“数字管家”,并利用KNX/IP路由器的协议漏洞,成功控制了房间的免打扰灯。电视、温控、房间里的音乐,甚至酒店200多个房间的百叶窗都尽在掌控之中。

  黑客大会精彩纷呈,其实北京也会看到精彩的演示据悉,。2014中国互联网安全大会(isc.360.cn)同样邀请到国内外安全大牛,分享和演示车联网安全、移动安全、工业控制、Web、云的安全趋势,演示谷歌眼镜、智能电视、智能汽车等众多设备的破解过程。 在9月份即将举办的2014中国互联网大会上,举办方将邀请国内车联网安全专家与会,分享车联网安全的技术趋势和发展。360网络攻防实验室的安全专家也将现场演示特斯拉破解全过程。