您當(dāng)前位置：首頁 > 互聯(lián)網(wǎng) > Black Hat USA安全隱患盤點(diǎn)及黑客奧斯卡頒獎(jiǎng)

Black Hat USA安全隱患盤點(diǎn)及黑客奧斯卡頒獎(jiǎng)

來源：程序員人生發(fā)布時(shí)間：2014-10-22 08:00:00 閱讀次數(shù)：2264次

【編者按】Black Hat USA 2014已于8月2-7日在拉斯維加斯舉行，會議匯聚了大量的全球知名安全專家。Black Hat安全技術(shù)大會是世界上最能夠了解未來安全趨勢的信息峰會，每屆會議都可以稱得上安全解決方案提供商前行的指引。本年度重點(diǎn)關(guān)注的安全領(lǐng)域又有什么不同？一年一度的黑客奧斯卡獎(jiǎng)項(xiàng)又花落誰家，這里一起盤點(diǎn)。

以下為譯文：

作為業(yè)內(nèi)知名的信息安全會議，Black Hat 2014為各類解決方案提供商定義了一個(gè)明確的方向。資深安全專家，Beyond Trust CTO Marc Maiffret指出，新興技術(shù)一般是安全研究員關(guān)注的重點(diǎn)，會議上，大量利用新服務(wù)（或產(chǎn)品）漏洞竊取資源或進(jìn)行其他危險(xiǎn)攻擊的途徑被揭發(fā)，產(chǎn)業(yè)因此可以盡早的進(jìn)行調(diào)整。本文著重盤點(diǎn)第十八屆Black Hat上被揭露的安全漏洞，其中十個(gè)足以改變當(dāng)下安全解決方案提供商的產(chǎn)品布局，并產(chǎn)生深遠(yuǎn)影響。

1. 數(shù)據(jù)庫安全隱患――歷時(shí)長久的攻防戰(zhàn)

David Litchfield，一位英國的安全研究員，知名于揭露Oracle、微軟等公司RDBMS軟件中的巨大漏洞和結(jié)構(gòu)缺陷。在Black Hat 2014上，David展示了Oracle旗艦數(shù)據(jù)庫管理系統(tǒng)中存在的新漏洞。

該漏洞基于Oracle新版數(shù)據(jù)庫12c中大肆宣揚(yáng)的功能“數(shù)據(jù)校訂（data redaction）”，這個(gè)功能被設(shè)計(jì)用于保護(hù)敏感數(shù)據(jù)。演講中，David表示數(shù)據(jù)校訂功能內(nèi)含有大量安全漏洞，攻擊者可以利用這些漏洞來繞過安全特性，并查看社會保險(xiǎn)號、信用卡號等敏感信息。David表示，除下虛假的安全感，這個(gè)功能對企業(yè)沒有任何幫助。

2. 云安全隱患――影響的不只是可用性

阿根廷顧問公司Bonsai Information Security創(chuàng)始人Andres Riancho通過詳細(xì)研究指出，配置錯(cuò)誤和基本漏洞都可能泄露托管于云上的應(yīng)用程序數(shù)據(jù)、賬戶憑證等信息。Andres演示了AWS云基礎(chǔ)設(shè)施可能被利用訪問賬戶憑證、日志文件，并最終竊取用戶賬號。他還開發(fā)了一個(gè)專門的工具，這個(gè)工具可以自動(dòng)瀏覽元數(shù)據(jù)，為攻擊者訪問敏感資源提供重要線索。他提倡安全專家與開發(fā)者共同審視當(dāng)下的架構(gòu)，及做好未來項(xiàng)目使用IaaS資源時(shí)的準(zhǔn)備。

3. 醫(yī)療設(shè)備隱患――需要重點(diǎn)對待的領(lǐng)域

隨著微型、強(qiáng)大的嵌入式系統(tǒng)投入到胰島素泵、心臟起搏器等醫(yī)療設(shè)備，這個(gè)領(lǐng)域的安全就必須得到重點(diǎn)關(guān)注，因?yàn)檫@些設(shè)備越來越多的連接到互聯(lián)網(wǎng)，在Black Hat 2014上漏洞管理廠商Rapid7研究員Jay Radcliffe指出。

Jay認(rèn)為，漏洞可能被用于針對高風(fēng)險(xiǎn)個(gè)體，如政治領(lǐng)袖等。Jay專注于醫(yī)療設(shè)備安全，并成功黑了自己的胰島素泵。Jay認(rèn)為，這些設(shè)備面對一個(gè)非常普遍的問題――安全軟件更新，因此無法更好地防御數(shù)據(jù)泄露。

4. POS系統(tǒng)隱患――Chip-And-PIN漏洞

Crowdome安全研究員兼NCR Retail企業(yè)安全架構(gòu)師Nir Valtman表示，零售終端系統(tǒng)正面臨內(nèi)存搜讀（memory-scraping）惡意軟件的威脅，他表示可以在當(dāng)下POS系統(tǒng)上運(yùn)行的內(nèi)存搜讀惡意軟件已非常普遍，其中更有許多已在大量目標(biāo)數(shù)據(jù)竊取行動(dòng)中得以驗(yàn)證，這些軟件涉及身份認(rèn)證、信息檢索等多個(gè)功能。Nir研究過市面上大多數(shù)的付費(fèi)安全系統(tǒng)，致力降低它們對系統(tǒng)性能的影響，他表示，取代只從技術(shù)方面著手，為零售商提供更多的信息服務(wù)同樣重要。

期間，在另一個(gè)Black Hat會話上，劍橋大學(xué)密碼學(xué)專家Ross Anderson表示，美國零售商最終將全部使用Chip-And-PIN，但是這項(xiàng)技術(shù)同樣擁有漏洞和局限性。

5. Email安全隱患――雅虎加入谷歌行列

低等級數(shù)據(jù)加密或者無力及過時(shí)的安全協(xié)議在會議上被研究員多次提起，但其中影響力最大的報(bào)告無疑來自雅虎，該公司宣布將為用戶提供一種終端到終端的加密技術(shù)。Google于今年6月發(fā)布了這項(xiàng)技術(shù)，提供了一個(gè)瀏覽器插件來加密數(shù)據(jù)。

世界范圍內(nèi)的雅虎和谷歌云服務(wù)用戶都將享受到該技術(shù)帶來的隱私和安全保障，其主要針對Edward Snowden揭秘的美國政府監(jiān)控行為。雅虎CIO Alex Stamos表示，這項(xiàng)技術(shù)將在2015年放出。

6. 汽車軟件隱患――岌岌可危的產(chǎn)業(yè)

Charlie Miller及Chris Valasek指出，當(dāng)下，汽車制造廠商為敏感軟件添加越來越多的監(jiān)視及觸發(fā)器，導(dǎo)致了愈來愈多的安全隱患。同時(shí)，他們還公布了關(guān)于汽車網(wǎng)絡(luò)數(shù)據(jù)的分析，并確認(rèn)了20個(gè)風(fēng)險(xiǎn)最高的模型。

車輛正在增加愈來愈多的無線能力，這無疑讓遠(yuǎn)程攻擊變?yōu)榭赡堋harlie當(dāng)下是Twitter的安全工程師，他表示，他們正在尋找安全防御最好的汽車廠商。他們發(fā)現(xiàn)，2014 Jeep Cherokee和2015 Cadillac Escalade的風(fēng)險(xiǎn)最高，而2006 Ford Fusion和2010 Range Rover Sport看起來最為安全。

除此之外，Qualsys的研究員Silvio Cesare還展示了智能鑰匙安全系統(tǒng)的缺陷，只使用一個(gè)簡單的工具就可以鎖車、開車，或者打開汽車的后備箱。

7. OTA升級導(dǎo)致了一系列的安全隱患

Accuvant Labs研究員Mathew Solnik和Marc Blanchou指出，網(wǎng)絡(luò)運(yùn)營商和設(shè)備制造商在更新手機(jī)、平板等無線設(shè)備時(shí)，無線機(jī)制中往往存在安全漏洞。該實(shí)驗(yàn)室研究員表示攻擊者可以劫持運(yùn)營商的遠(yuǎn)程控制能力，并在廣泛的設(shè)備管理協(xié)議中利用。

此外，研究人員還指出運(yùn)營商管理網(wǎng)絡(luò)性能工具Carrier IQ可以監(jiān)控手機(jī)上的所有流量。同時(shí)，這個(gè)設(shè)備管理工具讓手機(jī)更容易被攻擊。該應(yīng)用可以用于運(yùn)行遠(yuǎn)程代碼，并繞過操作系統(tǒng)的本地防御。在全球范圍內(nèi)，70%到90%的手機(jī)內(nèi)部都存在這個(gè)設(shè)備管理軟件，由于這個(gè)易受攻擊的OMA-DM協(xié)議，其他的設(shè)備，如筆記本、無線熱點(diǎn)、物聯(lián)網(wǎng)設(shè)備等也都存在風(fēng)險(xiǎn)。

8. USB安全隱患――威脅指數(shù)直線上升

USB一直是大量惡意軟件的傳播媒介，但是安全研究員Karsten Nohl和Jakob Lell指出USB隱患當(dāng)下已經(jīng)更加危險(xiǎn)，未來借助USB的攻擊將更具威脅。研究員演示了如何借助攻擊監(jiān)視網(wǎng)絡(luò)流量，以及惡意軟件在啟動(dòng)過程中如何奪取控制權(quán)。USB攻擊非常難以察覺，因?yàn)楫?dāng)其被連接到筆記本或臺式機(jī)時(shí)，它通常會被作為一個(gè)新設(shè)備，而惡意軟件設(shè)計(jì)者可以輕易利用竊取來的證書欺騙設(shè)備制造商。

鑒于大多數(shù)的驅(qū)動(dòng)硬件制造商都不會采取任何措施保護(hù)固件，同時(shí)惡意軟件解決方案也不會掃描驅(qū)動(dòng)固件以檢查惡意行為，USB給了好事者無限可能。幸運(yùn)的是，目前這種類型攻擊在現(xiàn)實(shí)中尚未出現(xiàn)。

9. 能源管理平臺――更大的威脅產(chǎn)生

來自德國IT安全公司ERNW的研究員揭露了Cisco Systems EnergyWise套件中的安全漏洞，他指出攻擊者可以利用這些漏洞破壞機(jī)構(gòu)的電力系統(tǒng)。該信息同樣可以被惡意攻擊者用來竊取數(shù)據(jù)，Cisco EnergyWise被設(shè)計(jì)用于讀取每臺機(jī)架的電壓、功率、電流及每小時(shí)用電數(shù)，同時(shí)也會讀一些溫度、濕度、氣流等數(shù)據(jù)。

10. 機(jī)場和飛機(jī)上的安全設(shè)備存在重大隱患

Qualys漏洞研究主管Billy Rios表示，機(jī)場中大量使用的掃描設(shè)備存在高危漏洞，攻擊者可以利用這些漏洞訪問和控制一些關(guān)鍵功能。Billy指出了Transportation Security Administration批準(zhǔn)的兩個(gè)設(shè)備，并要求廠商對底層軟件做重大調(diào)整。Billy表示，在一個(gè)制造商的箱包掃描設(shè)備中，身份驗(yàn)證證書以純文本格式存儲，并缺少遠(yuǎn)程控制管理，其默認(rèn)密碼同樣是一個(gè)非常大的隱患。

同時(shí)，IOI研究員Ruben Santamarta表示，攻擊者可以通過飛機(jī)上提供的Wi-Fi和空中娛樂系統(tǒng)黑進(jìn)飛機(jī)衛(wèi)星通訊系統(tǒng)，從而控制飛機(jī)航線和安全系統(tǒng)。

在上述十個(gè)領(lǐng)域之外，監(jiān)控錄像機(jī)、Tor網(wǎng)絡(luò)、路由器、NSA、酒店系統(tǒng)等也是研究員重點(diǎn)關(guān)注領(lǐng)域。

除此之外，2014黑客奧斯卡獎(jiǎng)Pwnie Awards同樣值得關(guān)注。本次Pwnie Awards共分8個(gè)類別，下面我們一起看各個(gè)類別漏洞提名以及最終得獎(jiǎng)?wù)撸ò咨珵樘崦?/span>紅色標(biāo)注為最終獲獎(jiǎng)?wù)?/font>），其中Heartbleed可以說是臭名昭著了：

最佳服務(wù)器端漏洞：