blackhat

拉斯维加斯–每年的8月初，来自全世界各地的安全和黑客社区成员云集内华达州拉斯维加斯，参加一年一度的”安全夏令营”，期间将举办Black Hat大会和DEF CON黑客大会和B-Sides这样的会议。Black Hat大会作为一项历史悠久的商业安全会议，在所有会议中具有绝对的影响力。然而，最近该项会议议题越来越贴近消费者，所谈论话题更多的是关于将智能家庭、关键基础设施、移动设备以及其它联网设备作为目标的攻击。 会议完全报道：没有关于黑客入侵火车的演讲。 卡巴斯基实验室研究员Roel Schouwenberg刊登于Securelist的一篇报告中探讨了对后PC时代Black Hat大会的一些想法。与此同时，来自Threatpost的Mike Mimoso也在他的文章中提到了类似的模式：”固件将成为黑客们攻击的新领域，通过U盘将病毒植入家庭路由器和汽车，能够利用漏洞、盗取数据并侵犯隐私。” 一方面作为一名与会者，我很高兴能听到这些新消息，因为这意味着一些 “暗藏杀机”软件平台（主要由企业使用）的bug报告数量更少或者没有增加，而更多谈论的是与我们日常生活息息相关的系统漏洞话题。另一方面，Black Hat大会讨论焦点的转移显示出一种令人担忧的趋势：安全漏洞离我们的实际生活越来越近。 主题演讲 今年大会由安全领域受人尊敬的杰出人物Dan Geer发表主题演讲。与去年美国国家安全局局长亚历山大（Keith Alexander）发表主题时的景象完全不同，今年没有全副武装的警卫、捣乱分子或成群拿着鸡蛋随时准备向台上招呼的反对者。在近60分钟的演讲中，所有与会者饶都有兴趣地听着In-Q-Tel（美国中央情报局的私人风险投资公司）首席信息安全官Geer所谈论的十大安全戒律。 整个演讲中不乏亮点，其中谈到了美国应以10倍价格收购所有待售出售bug，从而垄断整个漏洞销售市场。随后再将漏洞信息存入公共资源库，让任何一家公司都能修复每一个bug并”销毁所有网络武器”。在安全、自由和便利中，我们一次只能选两样。世界上只有两种东西不存在产品责任，一种是宗教，还有一种就是软件。互联网服务提供商可能会基于内容，随心所欲地进行收费，但需要承担内容的责任；或必须选择支持网络中立性，同时享受公共承运人的保护。 “明智地做出选择，”Geer说道。”互联网服务提供商应选择其中的一项，而不是全部。” 黑客入侵人类和医院 让我们重新回到”安全影响我们实际生活”的话题，我们曾非正式地讨论过有关医疗设备安全的话题，其中的一些漏洞的的确确会影响到我们的身体。对我们大部分人而言，更为普遍且更致命的是放在医院的一台台医疗设备，而不是安装在病人身体内的装置。 不久的将来，很可能会出现以一台或数台医疗设备为目标的网络攻击。但好消息是医疗设备本身的安全程度极高。一台全自动的嵌入式胰岛素泵在调节和修正胰岛素水平方面的效果，远远优于血糖仪和一个月胰岛素注射量的效果。 这些漏洞广泛存在于两台医疗设备之间的通讯方式中，以及许多医疗设备以外的案例中，且无论设备是在病人还是医生控制下。我们需要明确的是，犯罪分子用笔记本电脑向一个嵌入式心脏起搏器发送致命冲击的可能性微乎其微。这一风险听上去虽然恐怖，但事实上存在无数更轻松的方法可以致他人于死地。你要相信，这里真正的风险事实上比早间谈话节目更加无聊。 “固件将成为黑客攻击的新领域，通过U盘将病毒植入家庭路由器和汽车，能够利用漏洞、盗取数据并侵犯隐私。” 由谁来负责为医疗设备制作补丁？谁负责安装这些补丁？这些费用又由谁来买单？无论是设备制造商、医院还是用户本身都很难给出明确的答案。我们所说的医疗设备并非只是心脏起搏器和胰岛素泵这些小型的医疗器械；而是诸如核磁共振机、超声心动图机和X光机这样的大型设备，以及医生用于管理一些重要敏感医疗数据的平板电脑甚至是台式电脑（通常安装Windows XP系统）。 这次非正式讨论所得出的最终结果是：篡改医疗记录–医疗事故和其他内容–可能会造成用药或治疗的失误，这可能是我们在联网医疗设备领域即将面临最多且危险性最高的风险。 最后我们应看到好的一面，因为在遭受真正攻击前就预见即将产生的问题本身就是一个积极的信号，因为这在高科技领域并不常见。 雅虎加密所有邮件 雅虎此前因某些原因无法对其网页邮件进行加密遭受到猛烈抨击，因此在不久前雅虎宣布将在未来的几个月甚至几年里对雅虎邮件做出一系列的安全变革措施。其中最主要的方案就是对所有网页邮件进行端对端的加密。这一举措将使雅虎的安全程度提升至与Google同等的水平。 访问the