2014年度黑客大会再次召开,黑客和安全大牛们齐聚拉斯维加斯,向世人展示他们的惊人技能。从能入侵飞机的代码到监视监控摄像头,再到把任意USB设备变成攻击工具……尽管这些安全问题,看起来是耸人听闻了些许,但在某种意义上来说它们起着一个警示作用,或许有一天,这些骇人的安全问题会成为我们网络世界的巨大安全隐患。下面就来为大家一一介绍2014黑客大会上最可怕的十大安全漏洞:

1. 悄然致命的BadUSB

柏林一家名为“安全研究实验室”的研究人员声称,他们已经开发出攻击USB设备固件的概念型工具。当被感染的USB设备插入计算机时,会伪装成键盘以下载恶意软件。

由于绝大部分USB设备厂商都没有对固件采取任何保护措施,而且反病毒软件也不会对固件的恶意行为进行扫描。因此理论上而言,此漏洞可以在难以发现并难以阻止的情况下传播恶意软件,想像一下全球有多少与计算机互动的USB设备,就知道这个漏洞有多么的可怕了。万幸的是,现实中还未发现有针对此种漏洞的攻击。

 2. 入侵飞机

另一种概念型攻击的后果更为严重可怕。一位人机交互领域的研究人员,Ruben Santamarta声称通过飞机上Wi-Fi和娱乐系统可以进入飞机上的卫星通讯系统,进而让攻击者影响飞机的导航系统和安全系统。

该卫星通讯系统的生产商在接受采访时表示,这种攻击的可能性和能产生的危害都非常之小,不过他们还是表示,已经开始着手堵漏洞的工作。

3. 被监控的监控摄像头

两位安全研究人员拆开了一个价值200美元的Dropcam摄像头,想看看它的内部是如何工作的。结果发现其中的漏洞很多,黑客不仅可以浏览摄像头中存储的视频,还能上传第三方的视频,并伪造成本机拍摄的。简而言之,黑客能够劫持并接管摄像头中的视频流。

不过还好,实施这个可怕的安全漏洞有着一个明显的不利条件,攻击者需要物理接触到你的Dropcam摄像头。也就是说,如果攻击者能够大摇大摆地进入你的房间,并旁若无人的摆弄你的摄像头的话,你的安全问题可要比摄像头被监控严重的多。

  4. Tor的危机

从网络黑市“丝绸之路”的倒闭到爱德华·斯诺登事件的持续发酵,Tor网络越来越成为众人瞩目的焦点。Tor为使用者提供源节点到目的节点之间的匿名访问,只有下一个节点才能知道到上一个节点的确切地址。但是,据研究人员表示,用最小的成本来打破Tor网络的匿名性是很有可能的。但具体实现细节,尚未公布。

同时Tor的运营者也在最近发现一组不明身份的恶意中继节点,试图解密Tor使用者的身份。(参考阅读: 深度揭密“洋葱路由”Tor网络)

5. 赛门铁克终端防护漏洞

赛门铁克终端防护护工具存在三个漏洞,这些漏洞可使攻击者对受害者的计算机进行高级别的访问。换句话说,黑客可以通过你的安全防护软件入侵你的计算机。岂不是一件很讽刺的事?

  6. 不安全的家用路由器

家用办公路由器是最容易被入侵的。这些路由器可以通过网络扫描轻易的发现,通常会包含默认的登录信息,而绝大多数人从未想过把他们的路由器固件更新到最新版。也许,2014年家庭网络安全将是一个黑客攻击的热点。

7. 千疮百孔的NAS

与网络相连的存储设备更是漏洞多多 。“确切地说,没有一台设备是我无法搞定的,至少有一半的设备无需验证即可入侵。通过入侵NAS设备,攻击者可以劫持相同网络上其他设备的流量,使用的是与ARP类似的嗅探技术。”Jacob Holcomb在黑客大会上表示。

更为可怕的是,漏洞已经提交给NAS的生产商,但至今该漏洞仍未补上。而NAS的补丁通常要几个月才能到达用户。

8. 网络管理程序之殇

还记得开发智能手机隐藏追踪程序的Carrier IQ和它引发的天下大乱吗?实际上这款手机应用程序的初衷只是为了监控使用者手机上的流量,不过是一个诊断网络性能的工具而已。但是安装了这款诊断工具的手机,变得十分容易被攻击。该漏洞可被用来执行远程代码,并绕过操作系统的本地防护机制。

研究人员表示,全世界售出的手机有70%到90%都装有设备管理程序。其他一些设备,如笔记本电脑、无线热点设备和物联网设备等,都面临来自于《开放移动联盟设备管理协议》(OMA-DM)所含漏洞的风险。

 9. 廉价的撬锁工具

物联网的安全威胁无疑是本次黑客大会的热点议题,而且话题已经超出内置了无线连接功能的Dropcam摄像头和咖啡壶。Qualsy公司的研究人员Silvio Cesare,将演示如何简单的用廉价并容易获得的零部件拼凑一件工具,然后用它来搞定安装了智能系统的汽车。

Cesare表示,这种工具可以用来开车门,以及开后备箱。但目前还需要实施者在车的附近呆上2个小时才能搞定,因此偷车贼目前还不至于舍弃撬棍,而换台计算机。

10. 入侵宾馆

Molina曾在中国深圳的五星级酒店深圳瑞吉住过,当时Molina通过逆向工程破解了酒店提供给旅客的iPad应用程序“数字管家”,并利用KNX/IP路由器中的协议漏洞,成功的控制了房间走廊中的免打扰灯。除了灯光以外,电视、温控、房间里的音乐,甚至是酒店200多个房间中的百叶窗都尽在掌控之中。更夸张的是,控制这一切的黑客,本人都无需在中国。

瑞吉酒店声称,该漏洞未经证实。但同时表示将“暂时的停用酒店iPad的房间远程控制系统,直到系统升级。”

本次黑客大会的十大安全漏洞讲完了,骇人听闻的漏洞,处处存在的威胁,似乎让人无所适从。不过无需过分担心,这些漏洞大多数虽然可以引起麻烦,但也仅仅限于理论,而且也并没有被坏人利用。也就是说,它们仅仅是听上去非常可怕。然而我们始终应该谨记的是,防患于未然才是安全之道。

转自:联软科技

2014黑帽大会揭露十大恐怖安全漏洞!相关推荐

  1. 黑帽大会_2020年黑帽大会上我们看到的最可怕的事情

    黑帽大会 Every year, hackers and researchers flock to Las Vegas for the Black Hat security conference (a ...

  2. INSEC WORLD精彩回顾:一场为中国定制的“黑帽大会”

    科技云报道原创. 上周,一场立足成都.面向世界的信息安全大会--INSEC WORLD圆满落幕.这场汇聚了数名国际级产学研专家.多个知名安全企业,并获得成都市政府及全国多个行业联盟支持的大会,现场吸引 ...

  3. 黑天黑地黑国际,黑帽大会这 20 个黑客演讲依然很燃

    雷锋网编者按:黑帽安全技术大会(Black Hat Conference)创办于 1997 年,被公认为世界信息安全行业的最高盛会,也是最具技术性的信息安全会议.值此 20 周年纪念日之际,雷锋网和你 ...

  4. Black Hat 2017黑帽大会:8款值得一看的黑客工具

    每年的7月下旬和8月上旬,对于信息安全行业人员而言就像总会如期而至的夏令营和圣诞节,充满着无限的期待和憧憬.今年的黑帽安全技术大会(Black Hat Conference)将于7月22-27日期间在 ...

  5. 字节跳动无恒实验室首次亮相Black Hat 2021亚洲黑帽大会:全生命周期管理的隐私保护框架

    5月4日至7日,Black Hat Aisa 2021(亚洲黑帽大会)如期在线上举行.Black Hat大会被公认为世界信息安全行业的最高盛会,被誉为黑客世界的"奥斯卡",也是最具 ...

  6. 黑帽大会:黑客把入侵汽车当兴趣

    照片来自:REEBUF 来自美国的安全工程师Charlie Miller和Chris Valasek,给大家带来万众期待的远程操控汽车研究.(看之前文章:危险!克莱斯勒汽车系统漏洞 黑客可以远程控制行 ...

  7. 十大Web服务器漏洞扫描工具

    [收藏]十大Web服务器漏洞扫描工具 现在有许多消息令我们感到Web的危险性,因此,当前如何构建一个安全的Web环境成为网管员和安全管理员们义不容辞的责任.但是巧妇难为无米之炊,该选择哪些安全工具呢? ...

  8. 跨站点请求伪造_十大常见web漏洞——跨站点请求伪造(CSRF)

    CSRF介绍 什么是CSRF呢?我们直接看例子. https://mp.toutiao.com/profile_v3/graphic/preview?do=delete&pgc_id=6829 ...

  9. 十大常见web漏洞及防范

    十大常见web漏洞 一.SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击.SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞.在设计程序,忽略了 ...

最新文章

  1. 开源监控解决方案Nagios+Cacti+PNP4Nagios+NConf+NDOUtils+Nagvis(六)ndoutils安装
  2. R语言union函数计算数据对象(vector、list、dataframe)的并集:union函数计算两个vector向量、dataframe、列表list的并集
  3. hdu 5512 Pagodas
  4. 动态链接库DLL与静态链接库LIB
  5. java获取前端json数据_java如何获取前端ajax传来的json对象
  6. selenium得到一个动态页面
  7. vf更改当前路径_这份 window.location 备忘单,让你更有条理解决地址路径问题!...
  8. android 自定义太阳,第一个AOSP安卓10自定义ROM已经可用,并且非常稳定
  9. Linux怎么恢复已删除的文件,Linux中使用extundelete恢复已删除的文件
  10. SAMA5D3X-EK 嵌入式linux内核编译启动及通过nfs通过网络启动文件系统及文件系统镜像的制作
  11. [Noip2003] 侦探推理
  12. excel使用教程_汉字资料如何进行数据分析?Excel中医学汉字资料转化为数字资料视频教程——If/Iserror/Find函数的结合使用...
  13. WMS、WFS、WMTS、TMS
  14. OMIM 表型和基因如何关联
  15. openlayers标注面要素
  16. 笑死人不偿命的程序员内涵段子
  17. 笔记连载 | Day19【综合实验】之【数字钟】【Intel Cycle IV FPGA平台验证】
  18. 软件测试 | 测试开发 | 一种基于视频帧差异视频卡顿检测方案
  19. 计算思维导论——第一章:计算机,计算与计算思维
  20. 【英文科技论文翻译】- Detection and localization of multiple spoofing attackers in wireless networks

热门文章

  1. 盛世长缨rt8188gu安装网卡驱动(Ubuntu)
  2. vuex中mutation和action的详细区别
  3. 产品经理考什么证书?考这个准没错
  4. 手机短信验证码收不到怎么办?原因和解决方案全都在这里
  5. 关于Filename too long解决方法
  6. 使用腾讯云Ubuntu20.04搭建代理服务器
  7. 用python做一个木马_Python编程简单的木马程序(转载于乌云中)
  8. Android 隐藏 返回键 Home键 隐藏最下面的NAVIGATION栏
  9. mysql根据班级排序语文成绩_mysql 成绩排序
  10. 不得不服!以商品超卖为例讲解Redis分布式锁