偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

DEF CON 和 Black Hat 有史以來(lái)的11場(chǎng)卓越演講

安全 應(yīng)用安全
拉斯維加斯黑客大會(huì)又要開(kāi)始了。下面是一些大會(huì)有史以來(lái)最好的演講。今年的大會(huì)能達(dá)到這些傳說(shuō)水準(zhǔn)嗎?

拉斯維加斯黑客大會(huì)又要開(kāi)始了。下面是一些大會(huì)有史以來(lái)最好的演講。今年的大會(huì)能達(dá)到這些傳說(shuō)水準(zhǔn)嗎?

[[272638]]

自 1997 年以來(lái),黑帽和 DEF CON 大會(huì)因提供一些最前沿的信息安全研究而享有盛譽(yù)。這些活動(dòng)也引發(fā)了一些爭(zhēng)議,有時(shí)甚至到了最后一刻才取消。例如,2007 年,在安全卡片制造商 HID 的訴訟威脅下,Chris Paget 被迫取消了他的 “黑帽RFID入門(mén)講座”。

Black Hat 大會(huì)于 1997 年作為一個(gè)單獨(dú)的會(huì)議發(fā)起,已經(jīng)成為在美國(guó),歐洲和亞洲舉辦的國(guó)際年度盛會(huì)。今年在拉斯維加斯曼德勒灣舉行的活動(dòng)將從8月3日開(kāi)始,包括為期四天的技術(shù)培訓(xùn)和兩天的大會(huì)。DEF CON 始于1992年,也將于8月8日至11日在拉斯維加斯的多個(gè)地方舉辦。

CSO 總結(jié)了一些以往 Black Hat 和 DEF CON 亮點(diǎn)。

1. 入侵吉普車(chē)

誰(shuí)能忘記 0xcharlie 入侵了一輛 WIRED 記者 Andy Greenberg 所在的吉普車(chē)呢?安全研究人員 Charlie Miller 和 Chris Valasek 在 2015 年黑帽大會(huì)上匯報(bào)了他們的研究結(jié)果,并展示了他們是如何遠(yuǎn)程入侵一輛吉普車(chē)并控制車(chē)輛的(包括變速器、加速器和剎車(chē))。他們之前的研究集中在需要對(duì)目標(biāo)車(chē)輛進(jìn)行物理訪(fǎng)問(wèn)的攻擊上,而汽車(chē)制造商對(duì)此不以為然。然而,這次的遠(yuǎn)程無(wú)線(xiàn)攻擊吸引了所有人的注意。

2. 偷走一切,殺死所有人

Jayson E. Street 在 DEF CON 19 中著名的有關(guān)社會(huì)工程的演講,以及他如何能夠如果他想,就可以走進(jìn)任何地方 “偷走一切,殺死所有人”,即使在這么多年之后也一直是人們喜愛(ài)的話(huà)題 。如果有個(gè)穿著看門(mén)人制服的家伙隨便進(jìn)來(lái)拔掉你的電源,誰(shuí)會(huì)在乎你的企業(yè)是否合規(guī)呢?Street 直截了當(dāng)?shù)亓谐隽怂ㄟ^(guò)談話(huà)進(jìn)入的安全地點(diǎn),以及他本可以做什么,并強(qiáng)調(diào)了深入防御社會(huì)工程攻擊的必要性。

3. 入侵無(wú)人駕駛車(chē)輛

看起來(lái)是不可避免對(duì)吧?但有時(shí)你需要一個(gè)概念證明才能明白這一點(diǎn),安全研究員 Zoz 在 DEF CON 21 大會(huì)上的演講《入侵無(wú)人駕駛汽車(chē)》(Hacking driverless vehicles) 就是這么做的。盡管無(wú)人駕駛車(chē)輛有可能減少交通事故的死亡人數(shù)(事實(shí)證明,人類(lèi)確實(shí)是糟糕的司機(jī)),但它們也帶來(lái)了新的災(zāi)難性風(fēng)險(xiǎn),這種情況發(fā)生的可能性比較小,但影響要嚴(yán)重得多。“通過(guò)這次演講 Zoz 旨在啟發(fā)無(wú)人駕駛車(chē)輛愛(ài)好者思考穩(wěn)健到敵對(duì)和惡意的場(chǎng)景,并給了抵制機(jī)器革命的人虛假的希望”, 談話(huà)描述道可怕的是自從在他 2013 年發(fā)表演講以來(lái),沒(méi)有發(fā)生太大的變化。

4. Barnaby Jack和自動(dòng)取款機(jī)

愿 Barnaby Jack 安息。這位已故的偉大黑客和表演家在 2010 年讓 ATM 機(jī)把現(xiàn)金吐得滿(mǎn)地都是,人們將永遠(yuǎn)記住他的功績(jī),以及就在他去世幾周前,他還在拉斯維加斯發(fā)表了一場(chǎng)轟動(dòng)一時(shí)的關(guān)于醫(yī)療設(shè)備安全的演講。秉著安全研究最優(yōu)秀的傳統(tǒng),Jack 試圖刺激制造商改善他們?cè)O(shè)備的安全狀況。這位新西蘭人死于服藥過(guò)量,當(dāng)時(shí)他住在舊金山,這在黑客圈子里引發(fā)了一些陰謀論。

5. Back Orifice后門(mén)程序

Cult of the Dead Cow 經(jīng)常在最近的消息中出現(xiàn),而他們?cè)?1999 年 DEF CON 大會(huì)上發(fā)表的一場(chǎng)經(jīng)典的有關(guān) Back Orifice 的演講,因?yàn)?Joseph Menn 的新書(shū)《Cult of the Dead Cow》再次獲得了人們的關(guān)注。這本書(shū)追溯了這個(gè)黑客組織的歷史。Back Orifice 是一個(gè)惡意軟件的概念證明,被設(shè)計(jì)來(lái)為企業(yè)版 Windows 2000 制造后門(mén)。他們的動(dòng)機(jī)呢?迫使微軟承認(rèn)其操作系統(tǒng)中普遍存在不安全因素。人們可以直接追溯像 Back Orifice 這樣的挑釁行為,到 2002 年著名的 Bill Gates 關(guān)于可信賴(lài)計(jì)算的備忘錄,當(dāng)時(shí)的微軟首席執(zhí)行官將安全列為微軟未來(lái)的首要任務(wù)。

6. 藍(lán)色藥丸(Blue Pill)

Joanna Rutkowska 關(guān)于顛覆虛擬化層安全性的傳奇演講也被載入史冊(cè)中。“藍(lán)色藥丸 (Blue Pill)” 得名于黑客帝國(guó)的 “藍(lán)色藥丸(Blue Pill)”——一種讓虛擬世界看起來(lái)真實(shí)的藥物——藍(lán)色藥丸技術(shù)在2006年的 “黑帽” 大會(huì)上引起了轟動(dòng)。

藍(lán)色藥丸背后的想法很簡(jiǎn)單:你的操作系統(tǒng)使用了藍(lán)色藥丸,然后它在藍(lán)色藥丸虛擬化的矩陣中醒來(lái),Rutkowska 當(dāng)時(shí)寫(xiě)道。這一切都是在運(yùn)行中發(fā)生的(無(wú)需重啟系統(tǒng))。而且所有的設(shè)備,比如顯卡,都可以被操作系統(tǒng)訪(fǎng)問(wèn),而操作系統(tǒng)現(xiàn)在是在虛擬機(jī)中運(yùn)行的。

從那以后,Rutkowska 把她的進(jìn)攻天賦用在了防守上,并推出了高安全 Qubes 操作系統(tǒng),這是一款針對(duì)筆記本電腦的強(qiáng)化版 Xen 操作系統(tǒng)。

7. 藍(lán)牙漏洞攻擊(Bluesnarfing)和藍(lán)色狙擊者(BlueSniper rifle)

盡管現(xiàn)代智能手機(jī)是使用包括 WiFi 在內(nèi)的一系列無(wú)線(xiàn)協(xié)議傳輸數(shù)據(jù)的微型計(jì)算機(jī),但 2004 年仍然還是功能手機(jī)的時(shí)代。第一部 iPhone 要再過(guò)三年才會(huì)問(wèn)世。在那個(gè)時(shí)候,手機(jī)上最流行的無(wú)線(xiàn)數(shù)據(jù)傳輸技術(shù)是藍(lán)牙,雖然它的安全性不是特別好,而且人們經(jīng)常讓藍(lán)牙處于打開(kāi)狀態(tài),但當(dāng)時(shí)的手機(jī)制造商認(rèn)為因?yàn)樗{(lán)牙而受到攻擊的風(fēng)險(xiǎn)很低,因?yàn)樗{(lán)牙是一種短程協(xié)議。

這一觀(guān)點(diǎn)又被研究人員 Adam Laurie 和 Martin Herfurt 所證明,他們?cè)?2004 年的黑帽和 DEF CON 會(huì)議上演示了通過(guò)藍(lán)牙漏洞和攻擊藍(lán)牙,攻擊者能夠不用授權(quán)就能將手機(jī)變成監(jiān)聽(tīng)設(shè)備或下載行程和安排行程。他們把這些攻擊稱(chēng)為 “藍(lán)牙竊聽(tīng)(bluebugging)” 和 “藍(lán)牙漏洞攻擊(bluesnarfing)”。

之后一位名叫 John Hering 的研究人員將這一威脅提升到了另一個(gè)層次,他展示了一種類(lèi)似步槍的配有半定向天線(xiàn)的裝備,在一英里之外進(jìn)行基于藍(lán)牙的攻擊的可行性。藍(lán)色狙擊者步槍誕生了。

8. Kaminsky漏洞

2008 年,安全研究人員 Dan Kaminsky 發(fā)現(xiàn)域名系統(tǒng) (DNS) 協(xié)議存在一個(gè)根本性缺陷,影響到了被廣泛使用的 DNS 服務(wù)器軟件。該漏洞能夠使攻擊者隨意篡改電信供應(yīng)商和大型組織機(jī)構(gòu)使用的 DNS 服務(wù)器的緩存,迫使它們對(duì) DNS 請(qǐng)求返回惡意響應(yīng)。這會(huì)導(dǎo)致網(wǎng)站欺騙,電子郵件攔截和一系列其他攻擊。

由于 DNS 是核心 Internet 協(xié)議之一,這個(gè)漏洞隨之引發(fā)的協(xié)調(diào)修補(bǔ)工作也成為了一個(gè)歷史之最。它還加速了域名系統(tǒng)安全擴(kuò)展 (Domain Name System Security Extensions, DNSSEC) 的采用和部署,DNSSEC 在 DNS 記錄中添加了數(shù)字簽名。自 2010 年以來(lái),Kaminsky 一直是 DNSSEC 的七個(gè)根秘鑰管理員之一。這些人來(lái)自世界各地,如果互聯(lián)網(wǎng)根秘鑰出現(xiàn)緊急狀況,恢復(fù) DNSSEC 根密鑰需要他們的秘鑰卡。

DNS 緩存中毒漏洞于 2018 年 7 月公布,Dan Kamisky 在下個(gè)月的 Black Hat USA 和 DEF CON 16 大會(huì)上公開(kāi)了更多細(xì)節(jié)。

9. 從phpwn到"我如何遇到你的女朋友(How I Met Your Girlfriend)"

2010 年,安全研究員兼黑客 Samy Kamkar 利用 PHP 編程語(yǔ)言的偽隨機(jī)數(shù)生成器中的一個(gè)漏洞,開(kāi)發(fā)了一個(gè)名為 phpwn 的程序。PHP 是世界上使用最廣泛的基于 web 的編程語(yǔ)言,隨機(jī)數(shù)對(duì)于任何加密操作都是至關(guān)重要的。特別是,Kamkar 的 phpwn 證明了由 PHP 的 LCG (線(xiàn)性同余生成器)——一個(gè)偽隨機(jī)數(shù)生成器生成的會(huì)話(huà) ID 可以被準(zhǔn)確地預(yù)測(cè),從而進(jìn)行會(huì)話(huà)劫持。網(wǎng)站使用存儲(chǔ)在 Cookie 中的會(huì)話(huà) ID 來(lái)跟蹤和自動(dòng)驗(yàn)證登錄用戶(hù)。

Kamkar,也是 Samy 跨站點(diǎn)腳本蠕蟲(chóng)(該病毒在 2005 年拿下了 MySpace)的創(chuàng)造者,在 DEF CON 18 大會(huì) “我如何遇到你的女朋友(How I Met Your Girlfriend)” 這一演講中展示了 phpwn 攻擊。他通過(guò)一些技術(shù)和漏洞展示了如何跟蹤在線(xiàn)人員,包括確定他們的地理位置。

10. 騎兵不會(huì)來(lái)了(The Cavalry Isn't Coming)

在連續(xù)幾年報(bào)告了可以直接影響人的生命和安全的具有嚴(yán)重漏洞的硬件設(shè)備,比如那些用于房屋、汽車(chē)、醫(yī)療服務(wù)和公共基礎(chǔ)設(shè)施的硬件后,研究人員 Josh Corman 和 Nick Percoco 在 DEF CON 21 一個(gè)主題為 “騎兵不是來(lái)了” 的演講中敲響了警鐘。這次演講正式啟動(dòng)了 “我是騎兵 (I Am The horse) ” 運(yùn)動(dòng)。該運(yùn)動(dòng)的目標(biāo)是讓黑客和安全專(zhuān)家與設(shè)備制造商、行業(yè)團(tuán)體和監(jiān)管機(jī)構(gòu)同處一室,更好地向他們傳達(dá)網(wǎng)絡(luò)安全風(fēng)險(xiǎn),以及如何為關(guān)鍵設(shè)備消除這些風(fēng)險(xiǎn)。

在接下來(lái)的幾年里,我是騎兵網(wǎng)絡(luò)安全基層組織一直致力于幫助汽車(chē)和醫(yī)療設(shè)備制造商啟動(dòng)漏洞賞金和漏洞協(xié)調(diào)計(jì)劃,以及為美國(guó)國(guó)會(huì),美國(guó)食品和藥物管理局以及其他大西洋兩岸監(jiān)管機(jī)構(gòu)的提供建議。該組織在持續(xù)彌補(bǔ)黑客和決策者在文化和網(wǎng)絡(luò)安全知識(shí)上的差距。

11. BadUSB

通過(guò) USB 驅(qū)動(dòng)傳輸?shù)膼阂廛浖呀?jīng)存在很長(zhǎng)時(shí)間了。針對(duì)伊朗的 Stuxnet 網(wǎng)絡(luò)破壞攻擊,利用一個(gè)零日 Windows 漏洞從 USB 驅(qū)動(dòng)上啟動(dòng)了惡意軟件。然而,在 2014 年的 Black Hat 大會(huì)上,德國(guó)研究人員 Karsten Nohl 和 Jakob Lell 提出了一種和 USB 驅(qū)動(dòng)相關(guān)的新型攻擊形式,如果不完全組織阻止計(jì)算機(jī)的 USB 端口,幾乎不可能檢測(cè)或防止這種攻擊。

這種攻擊被稱(chēng)為 BadUSB,利用了廣泛使用的 USB 控制器中薄弱的固件安全來(lái)重新編程 U 盤(pán),并讓它們模仿其他功能和設(shè)備——例如可以自動(dòng)發(fā)送流氓命令和執(zhí)行惡意負(fù)載的鍵盤(pán)。通過(guò)設(shè)計(jì),USB 協(xié)議能夠使一個(gè)設(shè)備具有多個(gè)功能,而行為卻像是多個(gè)設(shè)備,因?yàn)檫@種攻擊利用了一個(gè)設(shè)計(jì)決策所以無(wú)法被阻止。

BadUSB 大大增加了將未知 USB 設(shè)備插入計(jì)算機(jī)所帶來(lái)的安全風(fēng)險(xiǎn),甚至是再將 U 盤(pán)插入朋友的計(jì)算機(jī)并添加信任以后。這是因?yàn)?BadUSB 也可以變成蠕蟲(chóng)。一個(gè)被 BadUSB 感染的計(jì)算機(jī)可以對(duì)插入其中的 USB 設(shè)備進(jìn)行重新編程,并將其變成攜帶者。

【本文是51CTO專(zhuān)欄作者“李少鵬”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】

戳這里,看該作者更多好文

責(zé)任編輯:趙寧寧 來(lái)源: 51CTO專(zhuān)欄
相關(guān)推薦

2014-08-12 10:32:30

2013-07-30 15:45:50

2009-04-22 15:12:17

埃里森EllisonOracle

2009-07-28 09:28:32

OperaJavaScript

2022-08-11 11:42:14

黑客大會(huì)黑客演講

2017-07-25 14:15:10

2016-12-19 11:29:30

戴爾

2013-07-11 08:51:06

編程語(yǔ)言

2017-08-03 12:14:24

2018-07-04 11:35:00

App StoreiOSFacebook

2020-08-07 10:44:42

黑帽大會(huì)網(wǎng)絡(luò)安全初創(chuàng)企業(yè)

2020-09-29 07:24:30

智能

2019-07-30 09:11:50

2015-07-16 15:45:56

2020-07-01 09:58:42

Java 編程語(yǔ)言開(kāi)發(fā)

2025-04-27 05:00:00

2010-07-28 17:27:18

2015-07-15 09:55:15

2009-03-18 08:53:05

Windows 7微軟穩(wěn)定性

2013-08-07 10:53:19

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)