Black Hat大会:网络攻击飞机、火车和汽车成为可能

拉斯维加斯–每年的8月初,来自全世界各地的安全和黑客社区成员云集内华达州拉斯维加斯,参加一年一度的”安全夏令营”,期间将举办Black Hat大会和DEF CON黑客大会和B-Sides这样的会议。Black Hat大会作为一项历史悠久的商业安全会议,在所有会议中具有绝对的影响力。然而,最近该项会议议题越来越贴近消费者,所谈论话题更多的是关于将智能家庭、关键基础设施、移动设备以及其它联网设备作为目标的攻击。 会议完全报道:没有关于黑客入侵火车的演讲。 卡巴斯基实验室研究员Roel Schouwenberg刊登于Securelist的一篇报告中探讨了对后PC时代Black Hat大会的一些想法。与此同时,来自Threatpost的Mike Mimoso也在他的文章中提到了类似的模式:”固件将成为黑客们攻击的新领域,通过U盘将病毒植入家庭路由器和汽车,能够利用漏洞、盗取数据并侵犯隐私。” 一方面作为一名与会者,我很高兴能听到这些新消息,因为这意味着一些 “暗藏杀机”软件平台(主要由企业使用)的bug报告数量更少或者没有增加,而更多谈论的是与我们日常生活息息相关的系统漏洞话题。另一方面,Black Hat大会讨论焦点的转移显示出一种令人担忧的趋势:安全漏洞离我们的实际生活越来越近。 主题演讲 今年大会由安全领域受人尊敬的杰出人物Dan Geer发表主题演讲。与去年美国国家安全局局长亚历山大(Keith Alexander)发表主题时的景象完全不同,今年没有全副武装的警卫、捣乱分子或成群拿着鸡蛋随时准备向台上招呼的反对者。在近60分钟的演讲中,所有与会者饶都有兴趣地听着In-Q-Tel(美国中央情报局的私人风险投资公司)首席信息安全官Geer所谈论的十大安全戒律。 整个演讲中不乏亮点,其中谈到了美国应以10倍价格收购所有待售出售bug,从而垄断整个漏洞销售市场。随后再将漏洞信息存入公共资源库,让任何一家公司都能修复每一个bug并”销毁所有网络武器”。在安全、自由和便利中,我们一次只能选两样。世界上只有两种东西不存在产品责任,一种是宗教,还有一种就是软件。互联网服务提供商可能会基于内容,随心所欲地进行收费,但需要承担内容的责任;或必须选择支持网络中立性,同时享受公共承运人的保护。 “明智地做出选择,”Geer说道。”互联网服务提供商应选择其中的一项,而不是全部。” 黑客入侵人类和医院 让我们重新回到”安全影响我们实际生活”的话题,我们曾非正式地讨论过有关医疗设备安全的话题,其中的一些漏洞的的确确会影响到我们的身体。对我们大部分人而言,更为普遍且更致命的是放在医院的一台台医疗设备,而不是安装在病人身体内的装置。 不久的将来,很可能会出现以一台或数台医疗设备为目标的网络攻击。但好消息是医疗设备本身的安全程度极高。一台全自动的嵌入式胰岛素泵在调节和修正胰岛素水平方面的效果,远远优于血糖仪和一个月胰岛素注射量的效果。 这些漏洞广泛存在于两台医疗设备之间的通讯方式中,以及许多医疗设备以外的案例中,且无论设备是在病人还是医生控制下。我们需要明确的是,犯罪分子用笔记本电脑向一个嵌入式心脏起搏器发送致命冲击的可能性微乎其微。这一风险听上去虽然恐怖,但事实上存在无数更轻松的方法可以致他人于死地。你要相信,这里真正的风险事实上比早间谈话节目更加无聊。 “固件将成为黑客攻击的新领域,通过U盘将病毒植入家庭路由器和汽车,能够利用漏洞、盗取数据并侵犯隐私。” 由谁来负责为医疗设备制作补丁?谁负责安装这些补丁?这些费用又由谁来买单?无论是设备制造商、医院还是用户本身都很难给出明确的答案。我们所说的医疗设备并非只是心脏起搏器和胰岛素泵这些小型的医疗器械;而是诸如核磁共振机、超声心动图机和X光机这样的大型设备,以及医生用于管理一些重要敏感医疗数据的平板电脑甚至是台式电脑(通常安装Windows XP系统)。 这次非正式讨论所得出的最终结果是:篡改医疗记录–医疗事故和其他内容–可能会造成用药或治疗的失误,这可能是我们在联网医疗设备领域即将面临最多且危险性最高的风险。 最后我们应看到好的一面,因为在遭受真正攻击前就预见即将产生的问题本身就是一个积极的信号,因为这在高科技领域并不常见。 雅虎加密所有邮件 雅虎此前因某些原因无法对其网页邮件进行加密遭受到猛烈抨击,因此在不久前雅虎宣布将在未来的几个月甚至几年里对雅虎邮件做出一系列的安全变革措施。其中最主要的方案就是对所有网页邮件进行端对端的加密。这一举措将使雅虎的安全程度提升至与Google同等的水平。 访问the

拉斯维加斯–每年的8月初,来自全世界各地的安全和黑客社区成员云集内华达州拉斯维加斯,参加一年一度的”安全夏令营”,期间将举办Black Hat大会和DEF CON黑客大会和B-Sides这样的会议。Black Hat大会作为一项历史悠久的商业安全会议,在所有会议中具有绝对的影响力。然而,最近该项会议议题越来越贴近消费者,所谈论话题更多的是关于将智能家庭、关键基础设施、移动设备以及其它联网设备作为目标的攻击。

会议完全报道:没有关于黑客入侵火车的演讲。

卡巴斯基实验室研究员Roel Schouwenberg刊登于Securelist的一篇报告中探讨了对后PC时代Black Hat大会的一些想法。与此同时,来自Threatpost的Mike Mimoso也在他的文章中提到了类似的模式:”固件将成为黑客们攻击的新领域,通过U盘将病毒植入家庭路由器和汽车,能够利用漏洞、盗取数据并侵犯隐私。”

一方面作为一名与会者,我很高兴能听到这些新消息,因为这意味着一些 “暗藏杀机”软件平台(主要由企业使用)的bug报告数量更少或者没有增加,而更多谈论的是与我们日常生活息息相关的系统漏洞话题。另一方面,Black Hat大会讨论焦点的转移显示出一种令人担忧的趋势:安全漏洞离我们的实际生活越来越近。

主题演讲

摄于2014年Black Hat大会

今年大会由安全领域受人尊敬的杰出人物Dan Geer发表主题演讲。与去年美国国家安全局局长亚历山大(Keith Alexander)发表主题时的景象完全不同,今年没有全副武装的警卫、捣乱分子或成群拿着鸡蛋随时准备向台上招呼的反对者。在近60分钟的演讲中,所有与会者饶都有兴趣地听着In-Q-Tel(美国中央情报局的私人风险投资公司)首席信息安全官Geer所谈论的十大安全戒律。

整个演讲中不乏亮点,其中谈到了美国应以10倍价格收购所有待售出售bug,从而垄断整个漏洞销售市场。随后再将漏洞信息存入公共资源库,让任何一家公司都能修复每一个bug并”销毁所有网络武器”。在安全、自由和便利中,我们一次只能选两样。世界上只有两种东西不存在产品责任,一种是宗教,还有一种就是软件。互联网服务提供商可能会基于内容,随心所欲地进行收费,但需要承担内容的责任;或必须选择支持网络中立性,同时享受公共承运人的保护。

“明智地做出选择,”Geer说道。”互联网服务提供商应选择其中的一项,而不是全部。”

黑客入侵人类和医院

让我们重新回到”安全影响我们实际生活”的话题,我们曾非正式地讨论过有关医疗设备安全的话题,其中的一些漏洞的的确确会影响到我们的身体。对我们大部分人而言,更为普遍且更致命的是放在医院的一台台医疗设备,而不是安装在病人身体内的装置。

不久的将来,很可能会出现以一台或数台医疗设备为目标的网络攻击。但好消息是医疗设备本身的安全程度极高。一台全自动的嵌入式胰岛素泵在调节和修正胰岛素水平方面的效果,远远优于血糖仪和一个月胰岛素注射量的效果。

这些漏洞广泛存在于两台医疗设备之间的通讯方式中,以及许多医疗设备以外的案例中,且无论设备是在病人还是医生控制下。我们需要明确的是,犯罪分子用笔记本电脑向一个嵌入式心脏起搏器发送致命冲击的可能性微乎其微。这一风险听上去虽然恐怖,但事实上存在无数更轻松的方法可以致他人于死地。你要相信,这里真正的风险事实上比早间谈话节目更加无聊。

“固件将成为黑客攻击的新领域,通过U盘将病毒植入家庭路由器和汽车,能够利用漏洞、盗取数据并侵犯隐私。”

由谁来负责为医疗设备制作补丁?谁负责安装这些补丁?这些费用又由谁来买单?无论是设备制造商、医院还是用户本身都很难给出明确的答案。我们所说的医疗设备并非只是心脏起搏器和胰岛素泵这些小型的医疗器械;而是诸如核磁共振机、超声心动图机和X光机这样的大型设备,以及医生用于管理一些重要敏感医疗数据的平板电脑甚至是台式电脑(通常安装Windows XP系统)。

这次非正式讨论所得出的最终结果是:篡改医疗记录–医疗事故和其他内容–可能会造成用药或治疗的失误,这可能是我们在联网医疗设备领域即将面临最多且危险性最高的风险。

最后我们应看到好的一面,因为在遭受真正攻击前就预见即将产生的问题本身就是一个积极的信号,因为这在高科技领域并不常见。

雅虎加密所有邮件

雅虎此前因某些原因无法对其网页邮件进行加密遭受到猛烈抨击,因此在不久前雅虎宣布将在未来的几个月甚至几年里对雅虎邮件做出一系列的安全变革措施。其中最主要的方案就是对所有网页邮件进行端对端的加密。这一举措将使雅虎的安全程度提升至与Google同等的水平。

访问the Kaspersky Daily或登录Threatpost阅读更多有关雅虎实施安全变革的内容。

汽车远程入侵

我真心希望这个话题的是两个研究人员如何入侵一辆遥控玩具车。但真实情况是,两个研究人员通过学习如何远程入侵真的汽车,最终对重达两吨的汽车实现了远程操控。

不管是在这里还是在Kaspersky Daily上,我们对汽车黑客入侵的讨论已有一年多的时间,并且还将继续谈论下去。原因在于联网将不可避免地成为整个汽车行业的趋势。但就现阶段而言,想要入侵一辆汽车并不是那么容易。这需要攻击者掌握通常只用于汽车的特定协议的专门知识。

然而,很快汽车也将拥有自己的专用操作系统、应用市场以及相关应用,并且最终还将出现汽车专用的网页浏览器。网络攻击者对于操作系统、应用以及浏览器再熟悉不过了,他们完全知道如何利用其中的漏洞。

此外,与医疗设备类似的是,在修补安全漏洞过程中也有一些需要严肃对待的问题。比如,车主是否一定要将汽车开到经销商那儿才能完成升级?如果是,那一次性需要召回多少辆车?或者换句话说,汽车厂商是否应创建一些远程升级机制呢?如果未来确实像我们所说的那样,比如,升级后使原有功能无法正常运行,或者更糟糕的是被网络攻击者以某种方式劫持或欺诈,那我们又该如何应对呢。

好消息是,来自推特的Charlie Miller和IOActive的Chris Valasek开发出了一种类似探测工具的反病毒软件,具有发现是否有人试图操控各种传感器与汽车内置计算机之间的通讯的功能,同时还能阻止恶意流量。

BadUSB –只是假设他们全是坏的、

摄于2014年Black Hat大会

Karsten Nohl(见上图)已开发出一种漏洞利用程序,能利用世界上几乎所有个人和公司计算机都能读写的USB存储棒作为攻击方式。Nohl作为Security Research Labs的首席研究员,将这一攻击方式称为”BadUSB”,实质上是通过对设备内置固件上进行重写,无声无息地实施一系列的恶意行为,包括但不限于将恶意代码植入机器设备以及重新定向流量等。

“USB的设计本来就存在问题;没有人做错了什么。” Nohl说道。”也没什么方式能够修复这一漏洞。只要我们使用USB一天,我们就能将手上的设备伪装成其他设备。这是结构性安全问题。

由于攻击是以通用型USB接口作为目标,因此全球很可能有数十亿台的机器易于遭受此类攻击。Nohl还担心无处不在的bug以及潜在漏洞利用会导致信任危机并增加怀疑,原因在于,”没有清除工具能够将恶意固件移除,或在上面重写。这将导致计算机更易于受到感染,并很难从感染病状态中恢复。”

Nohl最初是从美国国家安全局臭名昭著的黑客入侵工具目录中发现这一攻击方式的。

信守承诺的CryptoLocker成员

CryptoLocker勒索软件彻底关闭的一支工作小组也出现在了Black Hat大会上。在报告演讲中,他们向大家展示了一封来自一名CryptoLocker受害人的电子邮件,以揭露这一软件的恶劣行径。受害人是一名单亲妈妈,由于无力支付赎金,只能发邮件苦苦哀求该恶意软件作者们能将她的机器解锁,因为她真的很需要现在的工作。

这些悲惨的故事让工作小组的成员们自发聚集到一起,誓将CryptoLocker彻底”铲除”。有趣的是,他们说道CryptoLocker的家伙们非常信守诺言。几个月以来,我们反复劝导大家不要支付所谓的”机器解锁费”,因为你根本无法获得任何保障。然而让人意想不到的是,CryptoLocker的家伙们在这方面相当守信。

在演讲报告的最后,工作小组解释说这一技术高超且非常成功的勒索软件骗局似乎仅仅只是一些其他犯罪阴谋的”赚钱机器”。但不幸的是,他们再也无法继续勒索下去了。

跟踪软件遭受质疑

卡巴斯基实验室研究员(也是本博客的好朋友)Vitaly Kamluk以及Cubica Labs联合创始人兼安全研究员Anibal Sacco展示了一系列安全漏洞更新,这一漏洞几乎存在于各种软件内,我们之前在这里也曾写到过。

Computrace跟踪软件由Absolute Software开发,作为一款合法的反盗窃产品受到硬件公司的广泛信赖,并被大多数反病毒软件供应商列入白名单内。为什么不用呢?这是一款合法的软件。

然而,Computrace本身也具有一定的神秘色彩。Computrace在全球数百万台机器上默认开启,但原因大部分未知。Absolute Software表示这一情况并不属实,并同时解释道Computrace需要由用户或IT部门手动开启。综上所述,Computrace一旦启用则很难清除,即使恢复出厂设置后重启以及每次系统重启后,Computrace依然存在。

此外,该产品还存在若干漏洞–Absolute Software公司虽然对漏洞分级不屑一顾,但还是同意立即修复这些问题–可使该软件很容易遭受中间人攻击,并因暴露受感染机器而被网络攻击者完全操控。

卫星通讯被遭指责

来自IOActive的研究员Reuben Santamarta发现几乎所有使用卫星通讯(SATCOM)的设备都存在漏洞,这些漏洞有:后门、硬编码凭证、不安全协议和/或脆弱的加密。

Santamarta表示,这些漏洞能让那些非授权和远程攻击者完全操控受感染产品。

SATCOM在全球电信基础设施领域扮演了至关重要的角色。然而,他们还表示这些攻击还将对船舶、飞机、军事人员、紧急服务、媒体服务以及诸如石油钻塔、输气管道和水处理厂等的工业设施造成不小影响。

要闻

运营商的控制易于遭受欺诈,这使得网络服务提供商和潜在攻击者无孔不入,进行控制移动设备和其他设备一种致命的安卓bug能够让攻击者模仿几乎任何的信任应用。移动宽带调制解调器或数据卡被攻击者视为容易得手的目标。

摄于2014年Black Hat大会

由于Black Hat大会上有太多精彩的讨论,因此我的大部分时间李都呆在了媒体室,只是清楚了解所有这些研究员们到底在讨论些什么(如上图所示)。如果你想了解更多有关Black Hat大会的内容,Dennis Fisher、Threatpost的Mike Mimoso以及我本人在多篇博文中已详细概述了大会首日和第二日的会议内容。此外,Fisher和Mimoso还发表了一篇有关整个会议概况的博文,同时还简要介绍了于Black Hat大会落幕当天举行的DEF CON黑客大会。

除了在本博客以及Threatpost上发表的文章外,你还能访问Black Hat大会网站的新闻版块发现更多大会精彩报道。以Black Hat大会为主题(#blackhat)的报道精彩缤纷,你还可以通过Google搜索一些有关家庭自动化和家庭安全攻击的文章报道。

@TheBrianDonohue,”一网打尽”今年# BlackHat #安全和#黑客大会的所有新闻

如何封堵安卓操作系统”后门”

安卓操作系统与(苹果IOS系统)稳坐”最流行”(hit parade)移动操作系统头两把交椅。首先,这是一种移动操作系统的评级标准。其次,它是用于评定受病毒感染最频繁的移动平台。据卡巴斯基实验室称,超过99%的移动恶意软件是以安卓为攻击目标。Google play上应用的定期检查保障了用户安全,此外,Google还在安卓操作系统本身实施了大量的保护措施。例如,在安装应用时自动启动验证程序,保障软件合法来源的同时,还确保文件没有被陌生人修改。不幸的是,这些保护措施并非无懈可击,使得长期以来恶意软件总有机会通过系统后门”潜入”智能手机内。 后门 就在去年,安全专家们在安卓系统保护机制内发现了多个漏洞。由于这些漏洞的存在,使得恶意应用能够通过将自身伪装成一款流行并信任的服务,或通过”搭载”合法应用(例如:将自己隐藏在合法软件的安装包内)来潜入智能手机。Master Key和FakeID漏洞广泛存在于大多数流行安卓智能手机内,但与著名的Heartbleed漏洞(安卓智能手机一定程度上也深受其害)相比还稍逊一筹,但问题的关键是如何清除这些漏洞。尽管Google很久以前就发布了一些必要的修复补丁,但问题是这些补丁不是由某几家智能手机和平板电脑厂商发布,就是由移动运营商推出,根本无法覆盖所有使用安卓系统的移动设备。一旦有新补丁发布,用户应立即予以安装和更新。但这些厂商或运营商的更新常常姗姗来迟,有时甚至根本无补丁可打。据统计,存在漏洞的设备数量达数百万部之多。 封堵漏洞 要想独自修复这些漏洞难度相当大,但你能做的就是尽量将设备这方面的风险降到最低。具体步骤如下: 1.查看你的智能手机或平板电脑是否存在类似FakeID、Master Key或Heartbleed这样的漏洞。你可以在Google Play下载卡巴斯基实验室免费扫描软件。除了系统本身漏洞外,你还可以检查已安装应用中是否有利用这些漏洞。 2.如果你的设备的确存在漏洞,检查是否有固件(电话软件)需要升级。大部分安卓供应商都在设置中专门设有”检查更新”部分,但有些情况下你不得不访问厂商的官方网站来获得更新。如果有更新的话,按照指示安装并在设备显示p.1的时候再次检查更新。 漏洞能够让恶意应用”潜入”你的安卓智能手机 – 学习如何修复这一漏洞。 3.如果漏洞依然未能解决的话,你可以自己尝试修复,但过程相当繁琐且不太靠谱,因此不太推荐一般用户这样做。(如果你有足够的勇气并深谙计算机知识,那可以访问xda开发者网站阅读更多有关内容。) 4.不能因为智能手机存在未打补丁的漏洞而舍弃不用,但使用时你必须保持警惕以避免金钱损失和数据丢失: 只使用大型官方应用商店(考虑下Google Play) 只下载高人气和评分的应用 控制应用的权限 使用可靠的安卓安全软件。    

提示