同往常一樣,將于本周在拉斯維加斯舉行的年度黑帽大會(huì)無疑是重磅事件�����。會(huì)上��,安全專家將會(huì)粉碎人們不切實(shí)際的幻想——他們會(huì)告訴大眾高科技行業(yè)制造的東西��,不會(huì)有任何安全可言��。
在2011年的黑帽大會(huì)上���,安全研究人員將會(huì)展示50多種產(chǎn)品,其中最密集的是展示設(shè)備漏洞:包括USB設(shè)備���,打印機(jī)��,掃描儀���,iPhone與安卓設(shè)備���,Chrome,筆記本電腦���,行業(yè)監(jiān)控與數(shù)據(jù)采集系統(tǒng)(SCADA)��。
一些關(guān)于本次大會(huì)的細(xì)節(jié)已經(jīng)被提前披露��,比如查理米勒在“財(cái)富”雜志上寫道:已經(jīng)發(fā)現(xiàn)侵入蘋果MacBook, MacBook Pro與MacBook Air芯片且控制電池的方法�,這樣就可以摧毀它們或者在它們上面安裝持續(xù)的惡意軟件����。
同時(shí),會(huì)上也會(huì)有一些讓人恐懼的展示項(xiàng)目��,比如iSEC Partners的研究員Don Bailey和Matthew Solnik將會(huì)展示一些“文本指令戰(zhàn)爭(zhēng)”(War Texting)技巧以發(fā)現(xiàn)汽車���,然后利用其移動(dòng)網(wǎng)絡(luò)的漏洞經(jīng)由筆記本電腦打開車門���,發(fā)動(dòng)汽車引擎��。
如果對(duì)打印機(jī)感興趣�����,會(huì)上Zscaler的研究員Michael Sutton將會(huì)展示:如何通過網(wǎng)絡(luò)和最近處理的文檔集(甚至都不用進(jìn)入其內(nèi)部)�����,輕易找到打印機(jī)與掃描儀的嵌入式網(wǎng)絡(luò)服務(wù)器����。
以下是我們?cè)诤诿贝髸?huì)安排里精心挑選的幾項(xiàng)讓人不寒而栗的內(nèi)容(除非展示人膽怯退出���,之前有人因?yàn)楹ε聫S商使用這些方法而退會(huì))��。盡管一旦研究人員說他們?cè)缫迅嬖V廠商問題所在與修正方法����,人們的興奮感就會(huì)被降低����。但是,在夢(mèng)幻般的黑帽大會(huì)中�,以下活動(dòng)極為可能出現(xiàn):
1.利用ioS內(nèi)核:Stefan Esser將會(huì)展示iPhone內(nèi)核級(jí)的開發(fā)利用。
2.侵入安卓設(shè)備以營(yíng)利:Riley Hassell和Shane Macaulay將會(huì)曝光安卓應(yīng)用程序全新的威脅����,還會(huì)討論安卓系統(tǒng)和安卓市場(chǎng)的已知與未知漏洞。
3. 蘋果iOS安全評(píng)估:漏洞分析與數(shù)據(jù)加密:��,Dino Dai Zovi將會(huì)分析在幾個(gè)關(guān)鍵的安全機(jī)制中����,就其長(zhǎng)處與短處,企業(yè)應(yīng)該考慮什么�。
4.侵入Google Chrome OS: Matt Johansen與Kyle Osborn聲稱已經(jīng)發(fā)現(xiàn)其大量嚴(yán)重的基本安全設(shè)計(jì)缺陷,只需要輕輕一擊鼠標(biāo)�����,用戶的電郵����,聯(lián)系人,已存的文檔就會(huì)被暴露���。而且�,還可以通過竊取其臨時(shí)cookie盜取其Google賬戶等等。
5.損壞芯片密碼卡:Adam Laurie, Zac Franken, Andrea Barisani與Daniele Bianco四人組���,將會(huì)展示如何通過在電磁電容世界的信用卡掃描與個(gè)人身份號(hào)碼(PIN)獲取�,成功侵入基于芯片的支付卡���。
6.利用西門子Simatic S7 PLCs:獨(dú)立研究員�,NSS實(shí)驗(yàn)室工作人員Dillon Beresford將會(huì)以此展示工業(yè)數(shù)據(jù)監(jiān)控與采集系統(tǒng)(SCADA)的缺陷����。
7.獲取路由表:Gabi Nakibly計(jì)劃展示開放路由最短路徑優(yōu)先(OSPF)協(xié)議上的漏洞,該漏洞將會(huì)使黑客不必獲得路由器本身���,就可以得到路由器內(nèi)的路由表����。
8.Sophail——Sophos殺毒軟件的批判分析:為了分析Sophos聲稱所擁有的技術(shù)�,探測(cè)已被曝光的豐富的攻擊平面,展示其缺陷與漏洞��,Tavis Ormandy將會(huì)對(duì)Sophos的反病毒軟件產(chǎn)品進(jìn)行全面檢測(cè)�����,然后進(jìn)行批判。
9.通過Arduino利用USB設(shè)備:Greg Ose將會(huì)討論如何利用Arduino硬件架構(gòu)中的部件�����。
10.在SAP J2EE引擎核心上的毀滅性打擊:Alexander Polyakov將會(huì)展示其漏洞攻擊的細(xì)節(jié)��,還會(huì)提供一個(gè)檢測(cè)攻擊的免費(fèi)工具��。
11.侵入與forensicate甲骨文數(shù)據(jù)庫服務(wù)器:資深的數(shù)據(jù)庫安全研究員David Litchfield將會(huì)展示此項(xiàng)內(nèi)容��。David曾于過去發(fā)現(xiàn)甲骨文產(chǎn)品的關(guān)鍵安全缺陷�����,這應(yīng)該引起重視����。
12.微軟的Vista系統(tǒng)——不再保密的那些好的��,壞的����,不甚美觀的:盡管對(duì)我們大多數(shù)人來說其只有歷史價(jià)值��,但是安全研究員Chris Paget仍然會(huì)會(huì)曝光之前Vista安全進(jìn)程的秘密信息��。Chris說他之所以等到現(xiàn)在�,是因?yàn)闉榱双@取源代碼和設(shè)計(jì)規(guī)格�����,他曾于五年前與微軟簽訂保密協(xié)議(NDA)�����,現(xiàn)在剛好趕在黑帽大會(huì)之前協(xié)定過期了�����。
當(dāng)微軟的安全社區(qū)外聯(lián)和戰(zhàn)略小組首腦Kate Moussouris開始她的談話“愛從Redmond(微軟總部所在地)開始”之時(shí)��,那聽起來似乎像兒女回老家探望�����。
她將會(huì)告訴黑帽大會(huì)的出席者(這些人有時(shí)對(duì)尋找微軟Windows產(chǎn)品的漏洞過分熱情):當(dāng)微軟于2008年宣布3個(gè)戰(zhàn)略性的計(jì)劃時(shí)(在升級(jí)前分享微軟產(chǎn)品的漏洞信息�,尋找第三方產(chǎn)品的漏洞,預(yù)測(cè)短時(shí)間內(nèi)黑客會(huì)確實(shí)利用哪些漏洞)人們都認(rèn)為微軟失去理智了�。
然而幾年后微軟似乎仍然古怪瘋狂�����,Kate保證說道:“2011年我們?nèi)匀粫?huì)繼續(xù)想出瘋狂的點(diǎn)子�。”微軟還會(huì)派她在黑帽大會(huì)上說出什么瘋狂的東西呢?我們拭目以待�����。
