同往常一樣,將于本周在拉斯維加斯舉行的年度黑帽大會無疑是重磅事件�����。會上����,安全專家將會粉碎人們不切實際的幻想——他們會告訴大眾高科技行業(yè)制造的東西,不會有任何安全可言��。
在2011年的黑帽大會上�,安全研究人員將會展示50多種產品,其中最密集的是展示設備漏洞:包括USB設備����,打印機,掃描儀�,iPhone與安卓設備,Chrome�����,筆記本電腦,行業(yè)監(jiān)控與數(shù)據(jù)采集系統(tǒng)(SCADA)�。
一些關于本次大會的細節(jié)已經被提前披露,比如查理米勒在“財富”雜志上寫道:已經發(fā)現(xiàn)侵入蘋果MacBook, MacBook Pro與MacBook Air芯片且控制電池的方法��,這樣就可以摧毀它們或者在它們上面安裝持續(xù)的惡意軟件��。
同時����,會上也會有一些讓人恐懼的展示項目,比如iSEC Partners的研究員Don Bailey和Matthew Solnik將會展示一些“文本指令戰(zhàn)爭”(War Texting)技巧以發(fā)現(xiàn)汽車�,然后利用其移動網絡的漏洞經由筆記本電腦打開車門,發(fā)動汽車引擎�。
如果對打印機感興趣,會上Zscaler的研究員Michael Sutton將會展示:如何通過網絡和最近處理的文檔集(甚至都不用進入其內部)�����,輕易找到打印機與掃描儀的嵌入式網絡服務器��。
以下是我們在黑帽大會安排里精心挑選的幾項讓人不寒而栗的內容(除非展示人膽怯退出����,之前有人因為害怕廠商使用這些方法而退會)����。盡管一旦研究人員說他們早已告訴廠商問題所在與修正方法����,人們的興奮感就會被降低��。但是���,在夢幻般的黑帽大會中����,以下活動極為可能出現(xiàn):
1.利用ioS內核:Stefan Esser將會展示iPhone內核級的開發(fā)利用�����。
2.侵入安卓設備以營利:Riley Hassell和Shane Macaulay將會曝光安卓應用程序全新的威脅�,還會討論安卓系統(tǒng)和安卓市場的已知與未知漏洞。
3. 蘋果iOS安全評估:漏洞分析與數(shù)據(jù)加密:��,Dino Dai Zovi將會分析在幾個關鍵的安全機制中�����,就其長處與短處�,企業(yè)應該考慮什么。
4.侵入Google Chrome OS: Matt Johansen與Kyle Osborn聲稱已經發(fā)現(xiàn)其大量嚴重的基本安全設計缺陷,只需要輕輕一擊鼠標�,用戶的電郵,聯(lián)系人��,已存的文檔就會被暴露��。而且����,還可以通過竊取其臨時cookie盜取其Google賬戶等等。
5.損壞芯片密碼卡:Adam Laurie, Zac Franken, Andrea Barisani與Daniele Bianco四人組���,將會展示如何通過在電磁電容世界的信用卡掃描與個人身份號碼(PIN)獲取��,成功侵入基于芯片的支付卡���。
6.利用西門子Simatic S7 PLCs:獨立研究員,NSS實驗室工作人員Dillon Beresford將會以此展示工業(yè)數(shù)據(jù)監(jiān)控與采集系統(tǒng)(SCADA)的缺陷�����。
7.獲取路由表:Gabi Nakibly計劃展示開放路由最短路徑優(yōu)先(OSPF)協(xié)議上的漏洞��,該漏洞將會使黑客不必獲得路由器本身��,就可以得到路由器內的路由表����。
8.Sophail——Sophos殺毒軟件的批判分析:為了分析Sophos聲稱所擁有的技術,探測已被曝光的豐富的攻擊平面�����,展示其缺陷與漏洞����,Tavis Ormandy將會對Sophos的反病毒軟件產品進行全面檢測,然后進行批判�����。
9.通過Arduino利用USB設備:Greg Ose將會討論如何利用Arduino硬件架構中的部件���。
10.在SAP J2EE引擎核心上的毀滅性打擊:Alexander Polyakov將會展示其漏洞攻擊的細節(jié)�����,還會提供一個檢測攻擊的免費工具���。
11.侵入與forensicate甲骨文數(shù)據(jù)庫服務器:資深的數(shù)據(jù)庫安全研究員David Litchfield將會展示此項內容���。David曾于過去發(fā)現(xiàn)甲骨文產品的關鍵安全缺陷,這應該引起重視�����。
12.微軟的Vista系統(tǒng)——不再保密的那些好的�,壞的,不甚美觀的:盡管對我們大多數(shù)人來說其只有歷史價值�,但是安全研究員Chris Paget仍然會會曝光之前Vista安全進程的秘密信息。Chris說他之所以等到現(xiàn)在����,是因為為了獲取源代碼和設計規(guī)格,他曾于五年前與微軟簽訂保密協(xié)議(NDA)�,現(xiàn)在剛好趕在黑帽大會之前協(xié)定過期了。
當微軟的安全社區(qū)外聯(lián)和戰(zhàn)略小組首腦Kate Moussouris開始她的談話“愛從Redmond(微軟總部所在地)開始”之時���,那聽起來似乎像兒女回老家探望��。
她將會告訴黑帽大會的出席者(這些人有時對尋找微軟Windows產品的漏洞過分熱情):當微軟于2008年宣布3個戰(zhàn)略性的計劃時(在升級前分享微軟產品的漏洞信息���,尋找第三方產品的漏洞,預測短時間內黑客會確實利用哪些漏洞)人們都認為微軟失去理智了��。
然而幾年后微軟似乎仍然古怪瘋狂,Kate保證說道:“2011年我們仍然會繼續(xù)想出瘋狂的點子����。”微軟還會派她在黑帽大會上說出什么瘋狂的東西呢?我們拭目以待����。
