黑帽2014年最可怕的10次骇客攻击

今年的黑帽大会是为期两天的简短通报，因为安全研究人员证明了入侵汽车，恒温器，卫星通信和酒店是多么容易。 同时，关于如何增强安全性的讨论很多。 丹·吉尔（Dan Geer）主题演讲中提出的十项政策建议着眼于通过改进我们的信息安全方法，使世界变得更美好。 它解决的问题包括当前的漏洞军备竞赛，过时的软件以及将信息安全视为一种职业的需求。 我们所有人都带着新的事实，想法以及最重要的关切来畅游。 有很多问题。

您始终可以在Black Hat上指望的一件事就是听到关于您甚至认为没有受到攻击的事物中的漏洞的信息。 令人鼓舞的是，知道这些示威活动主要是学术性的，而且目前还没有在野外利用这些问题。 但是，出于同样的原因，令人震惊的是，如果Black Hat演示者发现了这些缺陷，谁又说另一个恶意意图更大（可能还有更好的资金）的人却没有呢？

考虑一下：三年前，我们听说过在Black Hat入侵ATM的情况，而罪犯终于在今年开始在欧洲抢劫ATM。 关于芯片和PIN卡的销售终端如何被黑客入侵，今年至少有三场会议。 如果我们不听话并保护我们的支付基础设施，那么三年后，我们会否通过芯片和PIN卡看到又一次违反Target的比例？ 这是一个真正令人恐惧的想法。

Black Hat 2014可能已经结束，但是我们将谈论在相当长一段时间内看到的令人震惊的事情。 希望这将是导致实施解决方案的经验教训，而不是导致严重犯罪的错失机会。

这是Security Watch对我们在Black Hat上看到的事情的看法，它将使我们彻夜难眠。

1 1.失败的互联网

保护您的计算机或手机非常容易； 只需遵循一些常识提示并安装安全软件，您就可以开始了。 但是物联网又如何呢？ 在一个又一个的会议中，研究人员表明，可以轻松访问连接到Internet的关键设备。 入侵Nest智能恒温器的团队将攻击时间缩短到15秒，现在他们正努力进行空中攻击。 比利·里奥斯（Billy Rios）找到了默认密码，这些默认密码被硬编码到授权用于全国TSA检查站的扫描机中。 15秒的骇客仍然让我们感到惊讶。

• 2 2.入侵客机，船只等！

  就后门而言，运送，飞机，新闻记者和（也许）军方所依赖的通讯设备也不如我们想象的安全。 IOActive的Ruben Santamarta证明，其中许多系统都有后门，表面上看是为了维护或恢复密码。 即使某些后门被认为是安全的，他仍然能够规避安全措施。 毫不奇怪，这次袭击是离家最近的袭击，圣塔玛塔声称他可以使用机上Wi-Fi入侵飞机。 他很清楚这不会让他“坠毁飞机”，但他也指出关键的通信是通过同一系统运行的。 在他的演讲中，他入侵了一个航海遇险信标，以显示视频老虎机而不是SOS。 考虑一下大型喷气式飞机上的同类黑客行为，您就会意识到这可能会令人担忧。



3 3.使用Google Glass，智能手表，智能手机和便携式摄像机窃取密码

窃取密码的方法有很多，但是一种新颖的方法可以让坏人（或政府机构）在不看到屏幕或未安装恶意软件的情况下识别您的击键。 Black Hat的一位演示者展示了他的新系统，该系统可以自动读取90％的密码。 当目标在街道上并且攻击者在街道对面四层楼时，它甚至可以工作。 该方法最适合数字便携式摄像机，但研究小组发现，可以使用智能手机，智能手表，甚至Google Glass来短距离捕获可用的视频。 确实是玻璃洞！

图片来自Flickr用户Ted Eytan



4 4.忘记万能钥匙，遇到假身份证

杰夫·福里斯塔尔（Jeff Forristal）去年揭开了所谓的MasterKey漏洞的大门，该漏洞可能使恶意应用程序冒充合法应用程序。 今年，他带着Fake ID回来了，该ID利用了Android安全体系结构中的基本缺陷。 具体而言，应用如何签名证书以及Android如何处理这些证书。 实际的结果是，有了一个不需要特殊权限的恶意应用程序，Forristal便能够将恶意代码注入手机上的五个合法应用程序中。 从那里，他可以深入访问并深入了解受感染的手机正在做什么。

图片来自Flickr用户JD Hancock



5 5.邪恶的USB可能会接管您的PC

您听说过，如果无法禁用自动播放功能，USB驱动器可能会很危险。 最新的基于USB的威胁要严重得多。 通过破解USB驱动器固件，一对研究人员对Windows和Linux计算机上的各种黑客进行了管理，包括相当于启动扇区病毒的黑客。 他们头的USB驱动器模拟了USB键盘，并命令一个测试系统下载恶意软件。 它在另一项测试中提供了一个伪造的以太网集线器，因此当受害者在浏览器中访问PayPal时，它实际上转到了窃取密码的PayPal模拟站点。 这不仅仅是理论上的练习； 他们在舞台上展示了​​这些和其他骇客。 我们永远不会再以相同的方式看待USB设备！

图片来自Flickr用户Windell Oskay



6 6.它有收音机吗？ 让我们砍吧！

在互联网时代，无线电似乎是过时的技术，但是对于婴儿监视器，家庭安全系统和远程汽车启动器等设备，无线电仍然是无线传输信息的最佳方式。 这使其成为黑客的主要目标。 在一次谈话中，西尔维奥·塞萨尔（Silvio Cesare）展示了他是如何使用软件定义的广播和一点狂热的狂热依次击败每一个的。 他并不是关于软件无线电的唯一话题。 巴林特·西伯（Balint Seeber）向人群介绍了他如何收听空中交通雷达天线并跟踪接近地面的物体。 不那么吓人，但非常非常酷。

图片来自Flickr用户Martin Fisch



7 7.我们无法制止政府恶意软件

您已经听说过政府资助的破坏了伊朗核计划的Stuxnet蠕虫，中国政府因黑客入侵而起诉中国将军等。 F-Secure首席研究官Mikko Hypponen警告说，政府资助的恶意软件的存在时间已经超出您的想象，并且只会随着时间的推移而增加。 有了民族国家的资源，几乎不可能阻止这些攻击。 为了避免您觉得我们自己的政府不会那么低调，他翻阅了军事承包商的职位空缺，这些承包商专门寻找恶意软件和漏洞利用者。

图片来自Flcikr用户Kevin Burkett



8 8.一键破解信用卡读卡器

在2013年和2014年发生零售违规事件之后，每个人都在谈论当前推出的芯片和PIN卡。 事实证明，除非我们更改付款处理的工作方式，否则我们只会将一组问题换成另一组。 我们还看到了使用恶意制作的卡如何危害处理芯片和PIN卡的移动销售点设备。 攻击者只需将卡刷入读卡器，然后加载一个木马，即可将PIN收集到读卡器上。 然后，第二张流氓卡将复制包含收获信息的文件。 第二张卡甚至可以删除该木马，并且零售商可能永远不会意识到该漏洞！ 这几乎足以使我们想要回到以现金为基础的社会。

图片来自Flickr用户Sean MacEntee



9 9.您的网络驱动器正在监视您

最近，我们已经将很多注意力集中在家用路由器以及攻击者如何破坏它们上。 独立安全评估机构的雅各布·霍尔科姆（Jacob Holcomb）认为，连接网络的存储设备同样存在问题，甚至更多。 他研究了来自10个制造商（Asustor，TRENDnet，QNAP，Seagate，Netgear，D-Link，Lenovo，Buffalo，Western Digital和ZyXEL）的NAS设备，并发现了所有漏洞。 这些问题是常见的缺陷，例如命令注入，跨站点请求伪造，缓冲区溢出，身份验证绕过和失败，信息泄露，后门帐户，不良的会话管理和目录遍历。 通过结合这些问题中的一些，攻击者可以完全控制设备。 NAS上有什么？

图片来自Flickr用户wonderferret



10 10.对医疗器械的袭击：生死攸关的问题

信息安全行业中没有人笑过前副总统切尼（Dick Cheney）的医生担心他的起搏器被黑客入侵的消息。 Black Hat的医疗设备圆桌会议探讨了如何在患者健康与安全之间取得平衡。 主持人杰伊·拉德克利夫（Jay Radcliffe）指出，我们最后想要的是安全性，它会减慢医疗保健的速度，秒数可能意味着生与死之间的差异。 清醒的认识到我们不能只对医疗设备使用常规的最佳安全最佳实践，随后我们来到了DEF CON，在那里，SecMedic的研究人员讨论了一个项目，该项目研究了各种设备（包括 除颤器）的 漏洞。 最恐怖的部分？ 使用开源工具在一个小时内发现了许多这些缺陷。 现在您 真的 不想去医院，对吗？

通过Flickr用户Phalinn Ooi