2014黑客大會的十大安全噩夢(2)

　　據傳，賽門鐵克似乎已經修復了這個漏洞。

　　最易攻擊的網絡設備：路由器

　　先不提軟件，家用網絡設備本身就是安全系數降低的一個源頭。在本次黑帽大會的一個主題演講中，In-Q-Tel的首席信息安全官Dan Geer以路由器為例，指出路由器是攻擊者們最容易攻擊的目標。攻擊者們通過網上瀏覽很容易找到這些路由器，而在這些路由器上通常都保持著默認登錄信息，而且大部分的用戶從來沒有想過要把他們的路由器升級到最新版本。

　　當然，很多人也已經意識到家庭網絡已經是一個很大的漏洞。在本次Def Con會議期間，將有一場由電子前線基金會(Electronic Frontier Foundation)贊助主辦的路由器攻擊比賽，被人戲稱為“SOHOplessly Broken”。

　　NAS漏洞

　　一名研究人員表示，網絡附屬存儲(NAS)設備比路由器的漏洞還要多。Independent Security Evaluators的一名安全分析員Jacob Holcomb在2013年曾做過一項關于路由器漏洞的大調查，同時在今年的黑帽大會上他也關注了NAS盒子的安全漏洞問題。

　　Holcomb說：“至少50%的NAS盒子是沒有經過授權而使用的，利用ARP欺騙攻擊的技術，攻擊者在破解一個NAS設備之后，也可以劫持相同網絡上其他設備的流量。”

　　更可怕的是，當Holcomb把他發現的這些漏洞報告給NAS盒子廠商，發現這些有漏洞的設備都還沒有打好補丁，而用戶將可能需要幾個月的時間才能實現NAS的修復。

　　網絡管理工具助紂為虐

　　還記得Carrier IQ，以及在它成立之初引起的轟動嗎?它是第一個rootkit技術，是幫助運營商管理網絡性能的計算工具，而實際上它可以使運營商監控你手機上的所有流量。Accuvant的Mathew Solnik和Marc Blanchou在本次黑帽大會上指出，這款由運營商放置在手機上的設備管理工具可以使你的手機更容易受到攻擊。這款應用可以用于運行遠程代碼，并繞過操作系統的本地防御。

　　研究人員指出，在全球范圍內，有70%到90%的手機內部都有這一設備管理軟件，由于這個易受攻擊的OMA-DM協議，其他的設備(+本站微信networkworldweixin)，如筆記本、無線熱點、物聯網設備等也都存在風險。

　　物聯網漏洞

　　有關物聯網的漏洞已經成為此次黑帽大會上黑客討論的熱點問題，而目前內置無線連接設備的安全問題以擴展到了更多設備和家用電器中。Qualsys的研究員Silvio Cesare將展示如何將一個由簡單的、容易獲得的零件組成的工具修復好，同時解決智能鑰匙系統遇到的問題。

　　Cesare說：“我可以用這個工具鎖車、開車，或者打開汽車的后備箱。它可以輕而易舉地擊敗智能鑰匙的安全系統。”

　　黑進酒店

　　在本次黑帽大會上，安全顧問Jesus Molina講述了跟多關于物聯網安全漏洞的細節，非常實用，也令人大開眼界。在深圳瑞吉酒店，Molina已經弄明白如何利用驅動應用的KNX/IP家庭自動協議，對提供給酒店客戶使用的“Digital Butler” iPad應用進行反向工程。Molina只是演示了一下利用這種漏洞控制走廊里的“請勿打擾”燈的觸發裝置，不過他說這一漏洞還可以控制電燈、電視、溫度調節器、室內音樂等，甚至200多個房間內的自動窗簾，而黑客在別的國家就能完成這樣的攻擊。

　　對此，瑞吉酒店并沒有證實這一說法，但在《南華早報》的采訪中，該酒店表示已暫時停止對室內iPad遠程控制系統的升級。

　　俄羅斯黑客數據庫

原文轉自：http://www.valleytalk.org/2014/08/13/2014%E9%BB%91%E5%AE%A2%E5%A4%A7%E4%BC%9A-%E5%8D%81%E5%A4%A7%E5%AE%89%E5%85%A8%E5%99%A9%E6%A2%A6/

• 共3頁:
• 上一頁
• 1
• 2
• 3
• 下一頁