2011黑帽大会:由黑客操控的世界

7月30日至8月4日,一年一度的黑帽大会在拉斯维加斯召开。黑帽大会一直被公认为是信息安全领域的顶级盛会,在预测与描述未来信息安全形势的能力方面,它的权威性更是独一无二的。本届黑帽大会依旧没有让参与者与围观者失望,它再次汇聚了来自世界各地的企业、政府、学术界及“地下”信息安全组织的思 想领袖。在这个专业与技术水平极高的平台上,黑客们正在向人们展示操控世界的技术。

  你的房子可能被攻破

  植物大战僵尸不仅仅是游戏,如今我们家庭中的网络就如同弱不禁风的植物,而屋外,很多僵尸正在游荡,并随时可能破门而入。研究员Dave Kennedy和Rob Simon 展示了他们如何利用公共电源线破坏并暗中监视一个住宅或办公室的自动化网络。他们研发了一种叫做X10的黑色外设,一旦其接入目标建筑附近的电源,就能通 过编程来堵塞信号,控制门与灯的开关、使安全系统失效、改变室内气候控制系统,并干扰家庭自动化网络中的其他功能。他们还展示了X10嗅探器设备,这个设 备能够通过运动传感器跟踪人,还可以清楚地看到其准备入侵的房间内部的情况。

  黑客根本不用破门而入就能攻陷你的家。糖尿病和信息安全研究员Jay Radcliffe演示了一个利用网络攻击对糖尿病患者实施谋杀的可怕案例。攻击者利用强大的天线网络或者无线远程控制方法,就能对半公里之外的一个受害 者进行攻击控制胰岛素泵来实施谋杀,而发起攻击的密钥就是那些在产品外包装上明显标示的胰岛素泵的序列号。

  在黑客高手所控制的世界中,人们已经完全没有安全可言。在黑帽大会上,有三位研究员展示了通过人脸识别以获得个人隐私的技术。当那些在 Facebook上传了真实照片的学生进入网络摄像头时,黑客就可以通过与Facebook上的照片比对认出他们,了解他们的兴趣爱好,甚至可以推算出他 的社会保险号码。

  无处不在的漏洞

  黑帽大会的影响力,还体现在会上所展示的各种网络技术漏洞,以及对操作系统和网络设备的全新攻击方式上。在大会上发言或参加竞赛的黑客高手,对各种操作系统和网络设备中的漏洞,可谓手到擒来,8月3日颁出的Pwnie奖,便是为了表彰黑客们一年的“挖洞”成果。

  最佳服务器端漏洞:这类漏洞,包括任何不通过用户交互界面就可以实行远程控制的软件。漏洞示例:ASP.NET Framework Padding Oracle (CVE-2010-3332)。这是由于加密填充验证过程中处理错误不当而导致 ASP.NET 中存在一个信息披露漏洞。成功利用此漏洞的攻击者可以读取服务器加密的数据,篡改数据。虽然攻击者无法利用此漏洞来执行代码或直接提升用户权限,但可利用 漏洞产生信息,进一步危及系统的安全。在 Microsoft .NET Framework 3.5 Service Pack 1 及更高版本中,攻击者还可利用此漏洞检索ASP.NET 应用程序中任何文件(包括 web.config)的内容。

  最佳客户端漏洞:客户端不仅仅是网页浏览器,媒体播放器整数溢出也会制造巨大的漏洞。漏洞示例:FreeType vulnerability in iOS (CVE-2011-0226)。FreeType 2.4.6之前版本的psaux/t1decode.c存在整数符号错误,允许远程攻击者通过一个PDF文档中的特制Type 1字体执行任意代码或者引起拒绝服务(内存破坏和应用程序崩溃),该漏洞曾在2011年7月被利用。

  最佳提权漏洞:随着企业安全意识的不断加强以及越来越多地开始部署虚拟化系统,提权漏洞变得越来越重要。这些漏洞包括本地操作系统提权、避开操 作系统沙盒、虚拟机来宾账号突破等。漏洞示例:Windows kernel win32k user-mode callback vulnerabilities (MS11-034)。该漏洞导致Windows内核模式驱动程序允许特权提升。

  本届黑帽大会的最具影响力失败奖颁给了索尼,最具影响力入侵奖颁给了stuxnet。这也显示出了一种趋势,具有巨大影响力和破坏力的攻击越来 越多地聚集在商业与工业网络中。黑帽大会所展示的不仅是黑客的攻击能力,也有安全与设备厂商防护及修补产品缺陷的安全能力,双方在“魔”与“道”的较量中 必将共同成长。

《中国计算机报》

<script>window._bd_share_config={"common":{"bdSnsKey":{},"bdText":"","bdMini":"2","bdMiniList":false,"bdPic":"","bdStyle":"0","bdSize":"16"},"share":{}};with(document)0[(getElementsByTagName('head')[0]||body).appendChild(createElement('script')).src='http://bdimg.share.baidu.com/static/api/js/share.js?v=89860593.js?cdnversion='+~(-new Date()/36e5)];</script>

阅读(537) | 评论(0) | 转发(0) |

0

上一篇:configure/make/make install/gcc/cc

下一篇:Oracle AWR 介绍

给主人留下些什么吧!~~
评论热议

2011黑帽大会:由黑客操控的世界相关推荐

  1. 黑帽大会:黑客把入侵汽车当兴趣

    照片来自:REEBUF 来自美国的安全工程师Charlie Miller和Chris Valasek,给大家带来万众期待的远程操控汽车研究.(看之前文章:危险!克莱斯勒汽车系统漏洞 黑客可以远程控制行 ...

  2. INSEC WORLD精彩回顾:一场为中国定制的“黑帽大会”

    科技云报道原创. 上周,一场立足成都.面向世界的信息安全大会--INSEC WORLD圆满落幕.这场汇聚了数名国际级产学研专家.多个知名安全企业,并获得成都市政府及全国多个行业联盟支持的大会,现场吸引 ...

  3. 黑天黑地黑国际,黑帽大会这 20 个黑客演讲依然很燃

    雷锋网编者按:黑帽安全技术大会(Black Hat Conference)创办于 1997 年,被公认为世界信息安全行业的最高盛会,也是最具技术性的信息安全会议.值此 20 周年纪念日之际,雷锋网和你 ...

  4. Black Hat 2017黑帽大会:8款值得一看的黑客工具

    每年的7月下旬和8月上旬,对于信息安全行业人员而言就像总会如期而至的夏令营和圣诞节,充满着无限的期待和憧憬.今年的黑帽安全技术大会(Black Hat Conference)将于7月22-27日期间在 ...

  5. 字节跳动无恒实验室首次亮相Black Hat 2021亚洲黑帽大会:全生命周期管理的隐私保护框架

    5月4日至7日,Black Hat Aisa 2021(亚洲黑帽大会)如期在线上举行.Black Hat大会被公认为世界信息安全行业的最高盛会,被誉为黑客世界的"奥斯卡",也是最具 ...

  6. 黑帽大会_2020年黑帽大会上我们看到的最可怕的事情

    黑帽大会 Every year, hackers and researchers flock to Las Vegas for the Black Hat security conference (a ...

  7. 黑帽大会2014:10个酷炫的黑客工具

    http://www.csdn.net/article/2014-08-21/2821304 用于恶意软件分析的Maltrieve 安全研究人员使用Maltrieve工具收集服务器上的恶意软件.通过这 ...

  8. 工具解析:杀毒引擎惨遭打脸,黑帽大会爆惊天免杀工具

    今年的黑帽大会上,可谓是精彩不断.与往届大会对比看来,当属2017这届最有看头.各种推陈出新的技术暂且不论,光是爆出的新免杀工具AVET就足以惊艳全场. 该工具具有极强的病毒逃避功能,可以使原本弱小的 ...

  9. 全球黑客盛会:2008年黑帽大会要闻摘要(2)

    本文同时发布在:[url]http://netsecurity.51cto.com/art/200808/85246.htm[/url] 全球瞩目的信息安全会议Black Hat USA 2008上周 ...

  10. 2014黑帽大会揭露十大恐怖安全漏洞!

    2014年度黑客大会再次召开,黑客和安全大牛们齐聚拉斯维加斯,向世人展示他们的惊人技能.从能入侵飞机的代码到监视监控摄像头,再到把任意USB设备变成攻击工具--尽管这些安全问题,看起来是耸人听闻了些许 ...

最新文章

  1. 洛谷 P1055 ISBN号码【字符串+模拟】
  2. opencv-python处理图片的一些列操作之几何变换
  3. Vmware虚拟机网络模式NAT模式
  4. 第5周实践项目2 链栈的算法库建立
  5. 软件开发质量的双保险 — 2.业务设计验证与业务用例
  6. pythonc代码_Python实现C代码统计工具(一)
  7. Spring-tx-TransactionAnnotationParser接口
  8. 如何卸载FileZilla的Ftp服务
  9. VFS之基本数据结构
  10. CVE-2017-4901 VMware虚拟机逃逸漏洞分析【Frida Windows实例】
  11. 测试计划和测试方案有什么区别?
  12. list.stream().map().collect(Collectors.toList())
  13. python解决中文显示问题Glyph 24179 (\N{CJK UNIFIED IDEOGRAPH-5E73}) missing from current font. func(*args)
  14. Windows搭建邮件服务器,实现收发邮件(对第三方邮箱,例如QQ邮箱等)
  15. 【C#】C#实现端口扫描器
  16. 【ESP 保姆级教程】疯狂传感器篇 —— 案例:Mega + ESP8266 + MQ2烟雾 + MQ3酒精 + MQ7一氧化碳+ OLED + 阿里云物联网平台 + 微信小程序
  17. 网络推广恶意点击js_百度搜索推广碰到恶意点击该怎么解决
  18. Pembuatan Sistem Registrasi Kamar Hotel Berbasis Website Pada Hotel Graha Prima Pacitan 外文翻译
  19. Jira开发实践、ScriptRunner插件开发总结
  20. 安利三个好用视频配音乐的软件

热门文章

  1. 剖析2015四大合并案:滴滴快的、58赶集、美团大众点评、携程去哪儿 1+12?
  2. 欧拉线 Euler line
  3. 【Java设计模式 经典设计原则】 八 经典设计原则小结
  4. 写于即将23岁的前端转正前夕
  5. 【翠花学Vue】每日打卡——vue打卡6
  6. Jetpack Compose - CircularProgressIndicator、LinearProgressIndicator
  7. 以太网性能测试仪-Y.1564测试
  8. 到底是人穷志短,还是志短人穷?
  9. 云桌面是什么-如何选择云桌面?
  10. 如何查看同一服务器上挂有多少个网站