财商书苑
全民财商训练提升,认真负责我们的每句话

历届黑帽子大会看点-by:恋星风

那些参与黑帽子大会的大神们他们都在做什么?

本文摘选了一些大家熟知或正使用的东西,告诉你黑帽子都在做些什么,进而带你了解黑客这个神秘的自由国度。

由于黑客涉及的行非常广, 包含应用安全、互联网延伸到各类设备(汽车、工控设备等)的安全、移动互联网安全,网络审计、取证,等很多领域。

仅从普通人关注的角度来聊一聊历届大会的看点:

一、 2008 年
a. Marlinspike 给出了个重磅炸弹:SSL面对恶意攻击不堪一击
这并不是SSL本身的问题,这项用于保护Web(http)安全的协议本身是没问题的。而问题出在大多数的SSL执行方法是完全不安全的。这包括大多数的主要银行、电子邮件系统,还有社交网站等等。甚至包括大多数软件自动更新机制。
另外还讲解了SSL中间人的攻击方式。

二、 2010 年 议题包括针对银行、核电厂、化工厂等设施的黑客行为
a. Medina的演示了IE漏洞如何将PC变成公用文件服务器。
b.黑帽大会展示ATM吐钞 银行设备并非坚不可摧.Barnaby Jack出生在新西兰,一直在圣何塞地区生活,他表示,“我希望人们能够改变对这个装置的看法,从外表上看,它似乎是坚不可摧的。”他还表示,黑客可以利用这个漏洞通过电话调制解调器,在不知道密码的情况下,让ATM机吐出全部现金。

三、 2011 年
安全研究人员将会展示50多种产品,其中最密集的是展示设备漏洞:USB设备,打印机,扫描仪,iPhone与安卓设备,Chrome,笔记本电脑,行业监控与数据采集系统(SCADA)。
1. 侵入苹果MacBook, MacBook Pro与MacBook Air芯片且控制电池,这样就可以摧毁它们或者在它们上面安装持续的恶意软件。
2. iSEC Partners的研究员Don Bailey和Matthew Solnik将会展示一些“文本指令战争”(War Texting)技巧以发现汽车,然后利用其移动网络的漏洞经由笔记本电脑打开车门,发动汽车引擎。
3. Zscaler的研究员Michael Sutton展示:如何通过网络和最近处理的文档集(甚至都不用进入其内部),轻易找到打印机与扫描仪的嵌入式网络服务器。
4. 利用ioS内核:Stefan Esser将会展示iPhone内核级的开发利用。
5. 侵入安卓设备以营利:Riley Hassell和Shane Macaulay将会曝光安卓应用程序全新的威胁,还会讨论安卓系统和安卓市场的已知与未知漏洞。
6. 苹果iOS安全评估:漏洞分析与数据加密:,Dino Dai Zovi将会分析在几个关键的安全机制中,就其长处与短处,企业应该考虑什么。
7. 侵入Google Chrome OS:Matt Johansen与Kyle Osborn声称已经发现其大量严重的基本安全设计缺陷,只需要轻轻一击鼠标,用户的电邮,联系人,已存的文档就会被暴露。而且,还可以通过窃取其临时cookie盗取其Google账户等等。
8. 损坏芯片密码卡:Adam Laurie, Zac Franken, Andrea Barisani与Daniele Bianco四人组,将会展示如何通过在电磁电容世界的信用卡扫描与个人身份号码(PIN)获取,成功侵入基于芯片的支付卡。
9. 获取路由表:Gabi Nakibly计划展示开放路由最短路径优先(OSPF)协议上的漏洞,该漏洞将会使黑客不必获得路由器本身,就可以得到路由器内的路由表。
10. 微软的Vista系统–不再保密的那些好的,坏的,不甚美观的:尽管对我们大多数人来说其只有历史价值,但是安全研究员Chris Paget仍然会会曝光之前Vista安全进程的秘密信息。Chris说他之所以等到2011年黑帽大会,是因为为了获取源代码和设计规格,他曾于2006年与微软签订保密协议(NDA),2011年刚好赶在黑帽大之前协定过期了。
四、 2012 年
从虹膜代码到虹膜:虹膜识别系统的新漏洞(From the Iriscode to the Iris: A New Vulnerability of Iris Recognition Systems)– 来自马德里的生物识别研究人员Javier Galbally。 生物识别技术是很多IT讨论中的热门话题。人们谈论最多的是它是如何使用的、它可以如何使用以及法律、隐私和安全问题将带来什么后果。虹膜扫描越来越广泛地应用在世界各地(在美国则不然),这项技术正在蔓延。Javier等人的研究对于考虑在未来使用生物识别技术的企业有关。

五、 2014 年(北京时间 2014-08-09)
1.特斯拉 汽车参加了今年在拉斯维加斯举行的Def Con信息安全大会。该公司希望获得黑客的协助,查找特斯拉汽车中的软件漏洞。
在本周的一次演示中,两名研究人员指出,包括克莱斯勒2014款吉普切诺基在内的某些车辆将WiFi和蓝牙通信系统与刹车和自动泊车系统集成在同一网络之内。从理论上来说,黑客可以通过通信系统来控制车辆的操控系统。目前,汽车厂商已开始对这一问题展开研究

小结:
用通俗的话来说, 如2011年,成功入侵基于芯片的银行卡(目前俺的银行卡还没升级芯片卡纳,尼吗就给破了), 门禁卡、手机卡等。 以及现在的智能设备的入侵,苹果、Android手机。无线电,直接破解基站发射的信息(由于GSM的A5加密强度不够)。

黑客由英语Hacker 音译出来的,狭义是指专门研究、发现计算机和网络漏洞的计算机爱好者。黑客对计算机有着狂热的兴趣和执着的追求,黑客不受政治利用,他们的出现推动了计算机和网络的发展与完善。黑客所做的不是恶意破坏,根据开放原始码计划创始人Eric Raymond 对此字的解释,hacker与cracker 是分属两个不同世界的族群,基本差异在于,hacker 是有建设性的,而cracker 则专门搞破坏。COG 公约只针对狭义的黑客。

黑客精神的定义是用来形容那些热衷于解决问题、克服限制的人的。因此黑客精神并不单单指(限制于)电子、计算机或网络,黑客精神的特质不是处于某个环境中的人所特有的,黑客精神的特质可以发挥在其他任何领域,例如音乐或艺术等方面。好奇、怀疑、独立思考、开放、共享都是黑客精神的表现特质。事实上,黑客精神指的就是善于独立思考、喜欢自由探索的一种思维方式:“精神的最高境界是自由”。(节选自COG黑客自律公约)

赞(0)
未经允许不得转载:财商书苑-全民财商训练提升 » 历届黑帽子大会看点-by:恋星风

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址