2016 黑帽大会:值得关注的 10 大安全威胁


谈谈安全威胁

本周在拉斯维加斯举行的一年一度黑帽(Black Hat)大会上,有数千名黑客和安全专家现身,揭示了如今我们在安全领域面临的最新、最大的安全威胁。在整个星期的介绍和演讲中,安全研究人员和黑客们展 示了在攻击和漏洞方面的发现,揭示了在连接设备、商业基础设施中的漏洞,等等。

下面就让我们来看看今年黑帽大会值得关注点的10个安全威胁。

软件定义网络

软件定义网络(SDN)带来了灵活性和控制力等好处,但是也带来了新的威胁,Changhoon Yoon和Seungsoo Lee这样表示。通过攻击SDN的每一层,包括控制平面、控制通道和数据平面,Kaist博士的学生和研究人员向参会者演示了他们如何渗透到不同的、常用 的SDN部署中。他们说,这些类型的攻击最有可能影响网络的可用性或者保密性,但是,渗透测试和安全扩展例如Security-Mode ONOS,可以帮助企业确保他们以更为安全的方式拥抱SDN。

VoIP

随着企业开始越来越多地采用VoIP解决方案,在理解VoIP可能会带来何种安全威胁方面却仍然存在空白,Context Information Security的Fatih Ozavci这样表示。这让那些使用VoIP解决方案的企业以及服务提供商面临被攻击的风险,例如僵尸网络和欺诈风险。其他攻击领域还包括厂商漏洞、IP Mutimedia Subsystem安全问题、攻击基于云的VoIP解决方案以攻入租户环境。

AirBnb

虽然公共场合如咖啡馆和酒店的公用网络安全性较差,这一点广为人知,但是Jeremy Galloway表似乎,用户和企业主应该更多地关注短期租赁如AirBnb的安全威胁,这些威胁包括中间人劫持流量、访问非法内容、设备入侵等。

汽车

车辆黑客在今年的黑帽大会上再次成为关注焦点。基于去年黑帽大会上被高度关注的汽车黑客话题,黑客Charlie Miller和Chris Valasek今年展示了他们如何利用Jeep Cherokee的UConnect系统中的一个零日攻击侵入车辆,最终让这辆车坠入路边沟,两名黑客展示了他们如何影响物理和安全关键系统。此前这些系 统被认为是能够抵抗入侵操作的,包括制动、转向和加速。

三星Pay

随着移动支付系统逐渐赢得用户的心,安全性也成为用户必须面临的一个问题。特别是三星Pay,曾声称安全是他们与众不同之处,但是在今年的黑帽大会 上有一个演讲称该系统也不能幸免于安全漏洞的问题。Salvador Mendoza展示了他关于三星Pay使用令牌方面的一些发现,三星不具有对其使用的完全控制,尤其是在飞行模式下,而且三星也无法确保由三星Pay声称 的令牌总是可以被同一台设备所使用,因为它使用的是随机令牌数字和磁性安全传输技术。这些缺陷可能让攻击者轻易地盗取和使用令牌,可能会猜出被标记的数 字。

智能灯泡

物联网设备再次成为今年黑帽大会的关注焦点。有一个演讲详细分析了围绕智能灯泡的安全威胁,以及这些系统是如何被轻松攻击的。研究人员Colin O'Flynn在演讲中展示了飞利浦Hue智能照明系统如何被黑客攻击,包括绕过加密引导程序读取敏感信息。

企业移动安全性

BYOD的兴起引发最令人关心的一个问题就是安全性,但是在今年的黑帽大会上,Vincent Tan在演讲中展示了加载额外的安全特性也会带来问题。拿Good Technology EMS来举例,该演讲分析了如何通过破解和非越狱设备攻击Enterprise Mobile Security解决方案,这个问题可能会让受保护的应用面临风险。该演讲还特别发布了Swizzler,这个渗透测试工具可以自动攻击EMS解决方案并 绕过EMS保护。

Windows 10

随着Windows 10部署规模越来越大,黑客们不可避免地瞄准了这个新的操作系统。在今年的黑帽大会上,有两个演讲就瞄准了这个话题。第一个演讲深入分析了Windows 10中的一个默认功能,跨虚拟机的内存重复数据删除,该演讲展示了可以利用Javascrip通过微软Edge浏览器读取该系统中的任意数据。另外一个演 讲分析了Windows 10基于虚拟化的安全性以及潜在问题可能导致该解决方案给底层平台带来的复杂性,此外还展示了针对安全解决方案和相关固件的问题。

ATM

以前有很多针对ATM的攻击,企业一直在加强他们的技术,推出所谓的下一代ATM防止攻击。但是在今年黑帽大会的演讲中,Rapid7安全研究员 Weston Hecker展示了“La Cara”,这是一个自动化套现机器,可以让现有的EMV和NFC ATM取出现金和信用卡数据。Hecker展示了如何用这种方法在不到15分钟内取出数万美元。

AWS

随着越来越多的企业将他们的数据迁移到云中,今年黑帽大会上安全工程师、开发者Andrew Hrug和Alex McCormack在演讲中分析了数据安全方面的挑战,特别围绕API密钥安全性和云中的事件响应。受攻击的API密钥可以访问敏感数据、关键存储库、数 据库等等。他的演讲为企业提供了应对这种挑战的技巧,包括采用最小特权原则,利用AWS服务提高安全性。

文章转载自 开源中国社区[http://www.oschina.net]

时间: 2024-08-29 11:40:06

2016 黑帽大会:值得关注的 10 大安全威胁的相关文章

2016黑帽大会:值得关注的10大安全威胁

谈谈安全威胁 本周在拉斯维加斯举行的一年一度黑帽(Black Hat)大会上,有数千名黑客和安全专家现身,揭示了如今我们在安全领域面临的最新.最大的安全威胁.在整个星期的介绍和演讲中,安全研究人员和黑客们展示了在攻击和漏洞方面的发现,揭示了在连接设备.商业基础设施中的漏洞,等等. 下面就让我们来看看今年黑帽大会值得关注点的10个安全威胁. 软件定义网络 软件定义网络(SDN)带来了灵活性和控制力等好处,但是也带来了新的威胁,Changhoon Yoon和Seungsoo Lee这样表示.通过攻击

2016黑帽大会:蓝牙LE安全受到GATTack威胁

现在蓝牙低功耗被认为是"智能"蓝牙,但其实大多数安全智能技术都不是那么智能或者很容易被规避,特别是通过2016年黑帽大会上发布的新软件代理工具. 波兰咨询公司SecuRing安全研究人员Slawomir Jasek在黑帽大会上指出他对10台蓝牙LE(技术上称为Bluetooth Smart,但通常被称为BLE)设备进行了检查,以查看它们是否使用了最新版蓝牙中内置的安全功能,结果只有两台设备在短距离无线协议中使用了蓝牙LE安全功能.其他设备都试图在其特定应用中创建自己的安全控制. 问题在

v【RSA专题】RSA2017安全大会值得关注的十大趋势

 2017年02月13日 10:54  874 每年在旧金山举行的RSA大会对于安全初创公司和传统厂商来说无疑是一年中最大的展示平台.去年RSA大会有3万名参会者,预计今年规模会更大,吸引着从还处于早期融资阶段的公司一直到规模数十亿美元的厂商. 本周RSA 2017大会正式召开,我们与三大顶级网络安全厂商投资高管坐下来,一起探讨他们在今年的大会上会重点关注什么.从人工智能到物联网.再到安全自动化和编排,今年展会上有很多值得关注的地方. RSA 2017大会值得关注的十大趋势: 人工智能 往年的R

Blackhat 2016年美国黑帽大会备受关注的三大热点

随着安全联网设备与数字联网全球经济的不断扩展,国家威胁攻击者伺机而动,消费者隐私让人担忧.当公司正挣扎如何检测并阻止威胁时,所有这些趋势一涌而上,然而企业变得更为分散开放. 关于Black Hat 黑帽安全技术大会(Black Hat Conference)创办于1997年,被公认为世界信息安全行业的最高盛会,也是最具技术性的信息安全会议.会议引领安全思想和技术走向,参会人员包 括企业和政府的研究人员,甚至还有一些民间团队.为了保证会议能够着眼于实际并且能够最快最好地提出方案.问题的解决方法和操

2016黑帽大会:钓鱼攻击情报共享方案亮相

7月30日-8月4日,著名的美国黑帽大会(Black Hat USA 2016)在拉斯维加斯曼德勒海湾酒店(Mandalay Bay)正式开启.在这场被公认是全球信息安全行业的最高盛会上,来自世界各地的信息安全专家.黑客.政府人员.安全厂商齐聚一堂,共同分享最新的网络安全技术资讯.攻防手法以及网络安全产品与方案. 2016美国黑帽大会开启 作为本届黑帽大会的重要关注点,人工智能与机器学习成为现场与会人士津津乐道的一大话题.其中,一家以色列网络安全创投公司Ironscales就推出了基于人工智能与

RSA 2017大会值得关注的十大趋势

每年在旧金山举行的RSA大会对于安全初创公司和传统厂商来说无疑是一年中最大的展示平台.去年RSA大会有3万名参会者,预计今年规模会更大,吸引着从还处于早期融资阶段的公司一直到规模数十亿美元的厂商.下周RSA 2017大会即将召开,我们与三大顶级网络安全厂商投资高管坐下来,一起探讨他们在今年的大会上会重点关注什么.从人工智能到物联网.再到安全自动化和编排,今年展会上有很多值得关注的地方. 人工智能 往年的RSA大会一直关注用户行为分析.异常检测和下一代端点安全.但是到了RSA 2017,Glass

黑帽大会竞赛:甲骨文等大企业员工安全意识差

据国外媒体报道,周末在拉斯维加斯举行的全球最大规模的黑客会议上一项竞赛显示了为什么大公司容易成为网络犯罪分子的受害者的一个原因:员工在安全方面的训练很糟糕.从索尼到国际货币基金组织等大型机构遭到一系列引人瞩目的网络攻击之后,人们 认为许多大公司最近会特别关注安全.参加周五和周六竞赛的黑客发现他们很容易欺骗美国大公司的员工泄露一些信息.黑客可以利用这些信息制定攻击这些公司的计划.参加竞赛的黑客还让公司员工利用自己的公司计算机访问黑客推荐的网站.如果参赛的黑客是犯罪黑客,这些网站就可能把恶意 软件安

Black Hat 2017黑帽大会:8款值得一看的黑客工具

本文讲的是Black Hat 2017黑帽大会:8款值得一看的黑客工具,每年的7月下旬和8月上旬,对于信息安全行业人员而言就像总会如期而至的夏令营和圣诞节,充满着无限的期待和憧憬.今年的黑帽安全技术大会(Black Hat Conference)将于7月22-27日期间在美国拉斯维加斯举办,为全球各国信息安全相关企业.专家们提供一个短时间.集中频繁的交流平台. 关于Black Hat 黑帽安全技术大会(Black Hat Conference)创办于1997年,被公认为世界信息安全行业的最高盛会

BlackHat(世界黑帽大会)官方APP出现两个逻辑漏洞

如果某家普通的企业的APP或者网站出现漏洞,那么其实是很正常的事情.但是如果有人和你说FreeBuf或者Wooyun出现漏洞了,那么大家心中的第一反应肯定是"握了个擦,大新闻"! BlackHat大会马上就要举行了,作为全世界最出名的黑帽安全大会,自然受到很多人的关注.Black Hat(世界黑帽大会)2016的APP可以让参与人员查看自己的注册信息,会议安排,消息通知等一系列关于该会议的信息.值得关注的是Black Hat 2016的APP就出现了两个非常奇葩的逻辑漏洞,这两个漏洞在