2014黑帽大会揭露全球十大恐怖安全漏洞

  2014年度黑客大会再次召开,黑客和安全大牛们齐聚拉斯维加斯,向世人展示他们的惊人技能。从能入侵飞机的代码到监视监控摄像头,再到把任意USB设备变成攻击工具…… 尽管这些安全问题,看起来是耸人听闻了些许,但在某种意义上来说它们起着一个警示作用,或许有一天,这些骇人的安全问题会成为我们网络世界的巨大安全隐患。下面就来为大家一一介绍2014黑客大会上最可怕的十大安全漏洞:

 
  1. 悄然致命的BadUSB
 
  柏林一家名为“安全研究实验室”的研究人员声称,他们已经开发出攻击USB设备固件的概念型工具。当被感染的USB设备插入计算机时,会伪装成键盘以下载恶意软件。
 
  由于绝大部分USB设备厂商都没有对固件采取任何保护措施,而且反病毒软件也不会对固件的恶意行为进行扫描。因此理论上而言,此漏洞可以在难以发现并难以阻止的情况下传播恶意软件,想像一下全球有多少与计算机互动的USB设备,就知道这个漏洞有多么的可怕了。万幸的是,现实中还未发现有针对此种漏洞的攻击。
 
  2. 入侵飞机
 
  另一种概念型攻击的后果更为严重可怕。一位人机交互领域的研究人员,Ruben Santamarta声称通过飞机上Wi-Fi和娱乐系统可以进入飞机上的卫星通讯系统,进而让攻击者影响飞机的导航系统和安全系统。
 
  该卫星通讯系统的生产商在接受采访时表示,这种攻击的可能性和能产生的危害都非常之小,不过他们还是表示,已经开始着手堵漏洞的工作。
 
  3. 被监控的监控摄像头
 
  两位安全研究人员拆开了一个价值200美元的Dropcam摄像头,想看看它的内部是如何工作的。结果发现其中的漏洞很多,黑客不仅可以浏览摄像头中存储的视频,还能上传第三方的视频,并伪造成本机拍摄的。简而言之,黑客能够劫持并接管摄像头中的视频流。
 
  不过还好,实施这个可怕的安全漏洞有着一个明显的不利条件,攻击者需要物理接触到你的Dropcam摄像头。也就是说,如果攻击者能够大摇大摆地进入你的房间,并旁若无人的摆弄你的摄像头的话,你的安全问题可要比摄像头被监控严重的多。
 
  4. Tor的危机
 
  从网络黑市“丝绸之路”的倒闭到爱德华·斯诺登事件的持续发酵,Tor网络越来越成为众人瞩目的焦点。Tor为使用者提供源节点到目的节点之间的匿名访问,只有下一个节点才能知道到上一个节点的确切地址。但是,据研究人员表示,用最小的成本来打破Tor网络的匿名性是很有可能的。但具体实现细节,尚未公布。
 
  同时Tor的运营者也在最近发现一组不明身份的恶意中继节点,试图解密Tor使用者的身份。(参考阅读: 深度揭密“洋葱路由”Tor网络)
 
  5.赛门铁克终端防护漏洞
 
  赛门铁克终端防护工具存在三个漏洞,这些漏洞可使攻击者对受害者的计算机进行高级别的访问。换句话说,黑客可以通过你的安全防护软件入侵你的计算机。岂不是一件很讽刺的事?
 
  6. 不安全的家用路由器
 
  家用办公路由器是最容易被入侵的。这些路由器可以通过网络扫描轻易的发现,通常会包含默认的登录信息,而绝大多数人从未想过把他们的路由器固件更新到最新版。也许,2014年家庭网络安全将是一个黑客攻击的热点。
 
  7. 千疮百孔的NAS
 
  与网络相连的存储设备更是漏洞多多 。“确切地说,没有一台设备是我无法搞定的,至少有一半的设备无需验证即可入侵。通过入侵NAS设备,攻击者可以劫持相同网络上其他设备的流量,使用的是与ARP类似的嗅探技术。”Jacob Holcomb在黑客大会上表示。
 
  更为可怕的是,漏洞已经提交给NAS的生产商,但至今该漏洞仍未补上。而NAS的补丁通常要几个月才能到达用户。
 
  8. 网络管理程序之殇
 
  还记得开发智能手机隐藏追踪程序的Carrier IQ和它引发的天下大乱吗?实际上这款手机应用程序的初衷只是为了监控使用者手机上的流量,不过是一个诊断网络性能的工具而已。但是安装了这款诊断工具的手机,变得十分容易被攻击。该漏洞可被用来执行远程代码,并绕过操作系统的本地防护机制。
 
  研究人员表示,全世界售出的手机有70%到90%都装有设备管理程序。其他一些设备,如笔记本电脑、无线热点设备和物联网设备等,都面临来自于《开放移动联盟设备管理协议》(OMA-DM)所含漏洞的风险。
 
  9. 廉价的撬锁工具
 
  物联网的安全威胁无疑是本次黑客大会的热点议题,而且话题已经超出内置了无线连接功能的Dropcam摄像头和咖啡壶。Qualsy公司的研究人员Silvio Cesare,将演示如何简单的用廉价并容易获得的零部件拼凑一件工具,然后用它来搞定安装了智能系统的汽车。
 
  Cesare表示,这种工具可以用来开车门,以及开后备箱。但目前还需要实施者在车的附近呆上2个小时才能搞定,因此偷车贼目前还不至于舍弃撬棍,而换台计算机。
 
  10. 入侵宾馆
 
  Molina曾在中国深圳的五星级酒店深圳瑞吉住过,当时Molina通过逆向工程破解了酒店提供给旅客的iPad应用程序“数字管家”,并利用KNX/IP路由器中的协议漏洞,成功的控制了房间走廊中的免打扰灯。除了灯光以外,电视、温控、房间里的音乐,甚至是酒店200多个房间中的百叶窗都尽在掌控之中。更夸张的是,控制这一切的黑客,本人都无需在中国。
 
  瑞吉酒店声称,该漏洞未经证实。但同时表示将“暂时的停用酒店iPad的房间远程控制系统,直到系统升级。”
 
  本次黑客大会的十大安全漏洞讲完了,骇人听闻的漏洞,处处存在的威胁,似乎让人无所适从。不过无需过分担心,这些漏洞大多数虽然可以引起麻烦,但也仅仅限于理论,而且也并没有被坏人利用。也就是说,它们仅仅是听上去非常可怕。然而我们始终应该谨记的是,防患于未然才是安全之道。

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:黑客宣称停止攻击索尼PSN与微软Xbox Live