[[115379]]

攻擊車載系統(tǒng)、谷歌Glass用于密碼盜竊、使用免費云試用推出僵尸網(wǎng)絡等，這是2014年紅帽大會上公布的攻擊類型，對此，有人質疑難道安全就無處不在了嗎?

[[115380]]

使用谷歌Glass進行密碼盜竊

一款Google Glass應用程序可以誘使視頻用戶輸入密碼到觸摸屏，并對其分析以竊取密碼，在3米內有90%的準確率。這款應用程序的研究人員包括麻省大學羅威爾校區(qū)的Xinwen Fu和Qinggang Yue以及東南大學的Zhen Ling，他們追蹤了用戶手指的移動，并使用這些位置來識別輸入陰影、光流等因素來確定密碼。即使攝像頭背后的人不能用肉眼讀取用戶的屏幕，密碼也可能被盜。

[[115381]]

針對虛擬桌面的攻擊

虛擬桌面基礎設施通常被吹捧為提高BYOD[注]方案安全性的一種方法，它能夠集中應用程序和數(shù)據(jù)，并為最終用戶提供統(tǒng)一視圖。但Lacoon Mobile Security公司的Daniel Brodie和Michael Shaulov將會展示針對VDI的概念證明型攻擊，他們稱這種攻擊不僅可行而且很有效。這種攻擊涉及屏幕抓取來竊取數(shù)據(jù)，同時保持不被檢測。正如他們所描述的那樣：“該攻擊可以規(guī)避客戶端和服務器端的惡意軟件檢測，同時，攻擊者可以自動化這個攻擊過程，最終讓VDI解決方案無效。”

[[115382]]

濫用微軟Kerberos

下面是研究人員Alva“Skip” Duckwall和Benjamin Delpy在本次會議的內容：“微軟Active Directory使用Kerberos來默認處理身份驗證請求。然而，如果這個域被攻擊，會有多么嚴重的影響?如果正確的哈希損壞，Kerberos可能在攻擊者獲得訪問權限后完全受到感染。這將會造成嚴重危害。”他們將會在真實世界的環(huán)境中展示這種攻擊。

[[115383]]

針對汽車的遠程攻擊

汽車制造商并沒有統(tǒng)一的設計，所以并沒有廣泛的通用方法來遠程對汽車系統(tǒng)進行漏洞利用。Twitter公司的Charile和IOActive公司Christopher Valasek兩位專家的演講從安全角度探討了很多汽車制造商的汽車中的網(wǎng)絡情況。他們試圖回答這些問題：一些汽車是否更容易受到遠程攻擊?在過去五年中，汽車網(wǎng)絡安全是否得到改進，或者變得更糟?汽車安全的未來如何，我們如何保護我們的汽車免受攻擊?

[[115384]]

從銷售終端設備竊取數(shù)據(jù)

在過去一年中，銷售終端安全泄漏事故(例如Target公司遭受的攻擊)發(fā)生地更加頻繁，并且，很多企業(yè)仍然很容易受到最簡單的攻擊。NCR Retail公司企業(yè)安全架構師Nir Valtman將會展示為什么內存抓取是一個很大的威脅，并且很難解決。他將會展示如何最大限度地減小威脅，并討論已經(jīng)經(jīng)過驗證的真實世界方法。

[[115385]]

USB 惡意軟件

根據(jù)獨立研究人員Karsten Nohl和SRLabs的Jakob Lell表示，USB記憶棒內的控制器芯片可能會受到影響，并可能讓攻擊者掌控主機機器、竊取數(shù)據(jù)和監(jiān)控用戶。這些記憶棒還可以誘騙其他設備。他們將會介紹一種新的惡意軟件，在這些重新編程的芯片上運行，并且他們會展示如何通過自我復制的病毒來攻擊系統(tǒng)，而不會被現(xiàn)有的防御檢測到。他們建議企業(yè)使用更好的方法來保護USB記憶棒。

攻擊移動服務提供商的控制代碼

Accuvant實驗室的研究人員Mathew Solnik和Marc Blanchou表示，移動服務提供商隱藏控制代碼在蜂窩設備中以便于服務，但這個代碼可能被利用。他們將會展示如何針對這些控制平臺遠程執(zhí)行代碼，并會展示這對最終用戶的影響。他們計劃發(fā)布工具來評估和抵御他們在GSM、CDMA和LTE網(wǎng)絡控制協(xié)議(影響著Android、iOS和黑莓設備)中發(fā)現(xiàn)的威脅。

[[115386]]

利用免費云服務使用來擴大僵尸網(wǎng)絡

Bishop Fox公司安全主管Rob Ragan和Oscar Salazaris將展示他們如何通過免費云服務使用來積累計算能力。他們是這樣說的：“如果攻擊者開始使用友好型云服務進行惡意活動，會發(fā)生什么情況呢?在這個展示中，我們將展示如何利用免費的使用來獲取大量的計算能力、存儲以及預先制作的攻擊環(huán)境。此外，我們還違反了一些服務條款，我們試圖通過0成本來構建這種基于云的僵尸網(wǎng)絡。這個僵尸網(wǎng)絡并不會被標記為惡意軟件，也不會被網(wǎng)頁過濾器阻止或者控制。這是噩夢。”

[[115387]]

移動設備管理不善

移動設備管理軟件可以訪問廣泛的數(shù)據(jù)，而這可能會因為MDM產(chǎn)品中的漏洞而遭到泄漏。NTT COM Security公司研究人員Stephen Breen展示了如何執(zhí)行這種攻擊，并且列出了允許這種漏洞利用的漏洞。他表示，有些漏洞在一些商業(yè)MDM產(chǎn)品中非常常見。

[[115388]]

密碼學家不想要你知道的骯臟小秘密

根據(jù)其Cryto Challenge研究，Matasano Security公司研究人員Thomas Ptacek和Alex Balducci將會展示針對真實密碼架構的48種攻擊，并解釋他們如何可以利用真實環(huán)境中軟件的漏洞。他們還會創(chuàng)建一個Rosetta代碼網(wǎng)站，其中將會以多種編碼語言列出已知加密漏洞利用，以幫助安全專業(yè)人員識別攻擊。