2014黑客大會的十大安全噩夢

　　又到了一年一度的黑客大會，在黑客大會召開的這一周里，全球的黑客和安全專家空降到拉斯維加斯炫耀他們的技能，并揭曉一個又一個聽起來非?？膳碌墓舴绞?。幾周以前，想必大家也都聽聞了一些新的攻擊方式，如被惡意代碼攻擊導致飛機墜毀，間諜通過你設備中的攝像頭監視你的行為，以及一些秘密的、不易察覺的代碼可以使一個普通的U盤變成一個傳播惡意代碼的工具。

　　在過去，這些攻擊方式可能更多地停留在理論上，但是，隨著網絡連接的不斷發展和完善，它已經逐漸影響了我們的現實生活，帶來可怕的影響。接下來讓我們一一揭曉在2014年Black Hat和Def Con黑客大會上最可怕的安全事件。

　　惡意USB：沉默但卻致命

　　我們先從一個令人震驚的事實說起。安全研究實驗室(Security Research Labs)的研究人員表示，他們已經創建了一種概念驗證攻擊，專門針對拇指驅動器固件(thumb drive’s firmware)，而不是該固件上存儲的文件。受感染的驅動一旦插入到任何PC端，都會偽裝成鍵盤下載惡意軟件。

　　由于大多數的驅動硬件制造商不會采取任何措施保護其固件，且反惡意軟件解決方案也不會掃描驅動固件以檢查惡意行為，理論上這種攻擊可以將這種難以發現和難以制止的惡意軟件傳播到PC端，而同時也將會感染到連接該PC端的USB工具。幸運的是，目前這種類型的攻擊在現實中還沒有出現。

　　機載Wi-Fi漏洞

　　IOI研究員Ruben Santamarta表示，他可以通過飛機上提供的Wi-Fi和空中娛樂系統黑進飛機的衛星通訊系統，機載Wi-Fi和空中娛樂系統為黑客打開了攻擊的大門，他們可以控制飛機的航線和安全系統。

　　英國路透社指出，基于這種襲擊的概率和潛在危害最小化的心理，一些通訊設備制造商對于這種威脅的重視程度并不高。不過，一些通訊設備供應商表示，他們已經修復了Santamarta曝光的漏洞。

　　監控錄像機上的把戲

　　Synack的Patrick Wardle和Colby Moore拆解了一臺價值200美元的監控錄像機以查看其工作原理，他們發現在一臺被黑的Dropcam(多功能的無線網絡視頻監控攝像頭)上黑客可以查看存儲在其中的視頻，或者黑客還可以上傳來自該錄像機的第三方視頻。Wardle指出，該漏洞可以使攻擊者劫持或接管視頻流。

　　幸運的是，假如黑客想要黑進你的監控錄像機的話，那么他需要物理地接觸到你的監控錄像機，以便在錄像機上做些手腳。但是，換句話說，如果黑客真的可以有足夠的時間，并無所顧忌、無拘無束的進入你的家中來完成這一系列的攻擊動作時，那么你遇到問題可能要比監控你的錄像機還要嚴重。

　　破解Tor網絡

　　從絲綢之路毒品交易的終止到美國NSA前雇員Edward Snowden泄密事件，Tor網絡在過去一年里一直是眾人關注的焦點。當你在瀏覽網頁時，通過一個又一個的節點最終到達你要瀏覽的網站，Tor在這個過程中為你提供的是匿名服務，每個節點只知道它將要連接的下一個節點的身份。但是，Carnegie Mellon的研究員Alexander Volynkin指出，現在可以以一種很低的成本破解Tor網絡的匿名服務。

　　但是，怎樣破解目前仍然未知。而Volynkin突然取消了他在Black Hat的演示，Tor網絡運營商發現了一組試圖破解用戶匿名的惡意節點，而這些節點被懷疑與Volynkin取消的演示內容有關。

　　賽門鐵克終端無保護

　　Offensive Security的首席培訓師和開發者Mati Aharoni在賽門鐵克的終端保護系統中發現了三個漏洞，可以使攻擊者對受害者的電腦進行高級別的訪問。也就是說，攻擊者可以通過你的安全軟件破解防御。

原文轉自：http://www.valleytalk.org/2014/08/13/2014%E9%BB%91%E5%AE%A2%E5%A4%A7%E4%BC%9A-%E5%8D%81%E5%A4%A7%E5%AE%89%E5%85%A8%E5%99%A9%E6%A2%A6/