安全

入侵地球!(在为时已晚之前)

下一篇文章

别跟 Tinder 学公关

我现在正身处灯红酒绿的拉斯维加斯,参加一场聚集了大批乖僻黑客的 DEF CON 大会。接下来我会为大家简单地列出一些有趣的大会演讲(包括面向企业的黑帽子大会)。这些演讲总结起来的主旨就是:软件正在蚕食世界;软件可以被入侵;因此,世界也可以被入侵。我们要保持警惕。

入侵 Android

Zimperium 的乔舒亚·德雷克(Joshua Drake)公开了一个备受关注的漏洞,攻击者只需发出一条经过特殊编辑的彩信就可以 入侵大部分 Android 手机 。另外,KEEN 的许文(Wen Xu)也谈到了 Linux 内核存在的一个安全隐患可用于 获取大部分 Android 设备的最高权限

入侵汽车

Twitter 的查理·米勒(Charlie Miller)和 IOActive 的克里斯·瓦拉塞克(Chris Valasek)讲述了他们 入侵 Jeep 汽车 的经过,此次事件导致克莱斯勒集团紧急 召回 140 万辆汽车 。CloudFlare 的马克·罗杰斯(Marc Rogers)和 Lookout 的凯文·马哈菲(Kevin Mahaffey)谈到了“ 如何入侵一辆 Tesla Model S”。(他们还向 Model S 车主推出一个工具,它可以实时追踪车辆产生的遥测信息。)萨米·卡姆卡(Samy Kamkar)也介绍了更多用于“ 无线盗窃车辆 ”的工具和技术。

入侵政府

向来风趣的科里·多克托罗(Cory Doctorow)讲到了他新的人生追求:电子前线基金会阿波罗 1201 计划(Project Apollo 1201)。这个计划的目标是什么呢? 在未来十年之内完全消灭数字版权管理(DRM)。如果你是需要和 DRM 打交道的黑客或者研究人员,或者曾经被 DRM 阻碍的开发者或设计师(多克托罗将这样的计划称为“从未来偷来的”),他希望可以为你带来帮助。

来自政府的入侵

Citizens Lab/The Intercept 的摩根·马奎斯-布瓦尔(Morgan Marquis-Boire)、Cyphort 的马里恩·玛沙雷克(Marion Marshalek)和卡劳迪奥·瓜奈里(Claudio Guarnieri)讲述了如何辨别和确定来自国家政府用于针对异见人士的恶意软件,他提及到的国家包括美国、英国和中国等等。Crodstrike 的亚当·科泽(Adam Kozy)和约翰尼斯·吉尔戈(Johannes Gilger)还讨论了中国的“大炮”攻击(Great Cannon),这是与“防火长城”相对应的攻击工具。

入侵枪支

鲁纳·桑德维克(Runa Sandvik)和迈克尔·奥格(Michael Auger)讲到了如何 入侵一把“智能”狙击步枪

入侵 GPS

奇虎 360 的黄林(Lin Huang)和杨青(Qing Yang)介绍了 如何利用低成本的软件无线电轻易地冒充 GPS 信号

入侵家庭

Cognosec 的托比亚斯·齐尔纳(Tobias Zillner)和塞巴斯蒂安·施特罗布尔(Sebastian Strobl)讲述了物联网设备广泛使用的 Zigbee 标准的缺陷。“由于互通性和兼容性的需要,加上过时安全概念的应用,黑客将有可能入侵 ZigBee 网络,并控制所有联网设备。”奇虎 360 的李军(Li Jun)和杨青也谈到了另外一项入侵 ZigBee 安全的技术。

入侵管理程序

来自英特尔安全的 尤里·布雷金(Yuriy Bulygin)、米哈伊尔·戈洛贝兹(Mikhail Gorobets)、亚历山大·马特洛索夫(Alexander Matrosov)和奥莱克桑德·巴扎尼克(Oleksandr Bazhaniuk)“演示了 多种通过系统固件隐患针对管理程序(hypervisor)的新型攻击 ,涉及范围包括虚拟机 VMM DoS、管理程序权限提升和 SMM 权限提升。”(管理程序是协调虚拟机的软件。由于大部分互联网服务器都是虚拟机,所以针对它们的攻击会带来相当严重的影响。)

入侵邻居的无人机

史蒂文森大学的迈克尔·罗宾逊(Michael Robinson)思考了这样一个问题:“ 能否通过直接向商业四轴飞行器发送 GPS 频段的低阶脉冲信号,从而强迫它降落呢?

入侵 NFC

彼得·菲尔莫尔(Peter Fillmore)介绍了如何克隆 NFC 支付卡,并进行欺诈交易。

入侵内存

我之前曾经报道过相关的内容,不过这个话题还是有必要继续深入讨论。谷歌的马克·希伯恩(Mark Seaborn)和哈尔瓦·弗莱克(Halvar Flake)介绍了 “Rowhammer”攻击 ,这种攻击可以利用内存芯片的电磁泄漏来控制计算机。这是一个非常惊人的漏洞。“根据我们的了解,Rowhammer 攻击是人们对现实世界中广泛存在的物理硬件安全问题的首次公开讨论。”

入侵人造卫星

Synack 的科尔比·摩尔(Colby Moore)讲述了 全球星(Globalstar)人造卫星系统的漏洞(该系统被广泛用于资产跟踪),漏洞利用者“将能够拦截、冒充、篡改和干扰通信。由于设计上的妥协,这些漏洞是无法真正修复,导致数百万计的设备、重要设施、紧急服务和高价值资产陷入危险”。

入侵滑板

eBay 的麦克·莱恩(Mike Ryan)和 Stripe 的里科·希利(RIcho Healey)“分析了部分热门滑板的安全性,其中包括 Boosted 的旗舰型号,并展示了一些可以用于完全控制未改装滑板的安全隐患。”

入侵地球!

DEF CON 的参与者都是一些自命不凡的人,他们格格不入,他们桀骜不驯,他们打破常规,虽然他们更多时候只是做出一种姿态,但是我总能从中得到启发。在这个时代当中,虽然持有异见的人不会被直接扼杀,但他们更多地会被边缘化和忽略。这些对现状感到不满的人拥有作出真正改变的工具和能力,这是让人感到最充满希望的事情。虽然 DEF CON 还有很多不足之处,但它确实是这种人的家园。我想这也是我都来参加的原因。

题图来自:PDTILLMAN/WIKIMEDIA COMMONS,根据 CC BY 2.0 协议授权

翻译:关嘉伟(@consideRay

Hack The Planet! (Before It’s Too Late)

blog comments powered by Disqus