2014年度黑客大會再次召開,黑客和安全大牛們齊聚拉斯維加斯,向世人展示他們的驚人技能。從能入侵飛機的代碼到監視監控攝像頭,再到把任意USB設備變成攻擊工具……儘管這些安全問題,看起來是聳人聽聞了些許,但在某種意義上來說它們起着一個警示作用,或許有一天,這些駭人的安全問題會成爲我們網絡世界的巨大安全隱患。下面就來爲大家一一介紹2014黑客大會上最可怕的十大安全漏洞:
1. 悄然致命的BadUSB
柏林一家名爲“安全研究實驗室”的研究人員聲稱,他們已經開發出攻擊USB設備固件的概念型工具。當被感染的USB設備插入計算機時,會僞裝成鍵盤以下載惡意軟件。
由於絕大部分USB設備廠商都沒有對固件採取任何保護措施,而且反病毒軟件也不會對固件的惡意行爲進行掃描。因此理論上而言,此漏洞可以在難以發現並難以阻止的情況下傳播惡意軟件,想像一下全球有多少與計算機互動的USB設備,就知道這個漏洞有多麼的可怕了。萬幸的是,現實中還未發現有針對此種漏洞的攻擊。
2. 入侵飛機
另一種概念型攻擊的後果更爲嚴重可怕。一位人機交互領域的研究人員,Ruben Santamarta聲稱通過飛機上Wi-Fi和娛樂系統可以進入飛機上的衛星通訊系統,進而讓攻擊者影響飛機的導航系統和安全系統。
該衛星通訊系統的生產商在接受採訪時表示,這種攻擊的可能性和能產生的危害都非常之小,不過他們還是表示,已經開始着手堵漏洞的工作。
3. 被監控的監控攝像頭
兩位安全研究人員拆開了一個價值200美元的Dropcam攝像頭,想看看它的內部是如何工作的。結果發現其中的漏洞很多,黑客不僅可以瀏覽攝像頭中存儲的視頻,還能上傳第三方的視頻,並僞造成本機拍攝的。簡而言之,黑客能夠劫持並接管攝像頭中的視頻流。
不過還好,實施這個可怕的安全漏洞有着一個明顯的不利條件,攻擊者需要物理接觸到你的Dropcam攝像頭。也就是說,如果攻擊者能夠大搖大擺地進入你的房間,並旁若無人的擺弄你的攝像頭的話,你的安全問題可要比攝像頭被監控嚴重的多。
4. Tor的危機
從網絡黑市“絲綢之路”的倒閉到愛德華·斯諾登事件的持續發酵,Tor網絡越來越成爲衆人矚目的焦點。Tor爲使用者提供源節點到目的節點之間的匿名訪問,只有下一個節點才能知道到上一個節點的確切地址。但是,據研究人員表示,用最小的成本來打破Tor網絡的匿名性是很有可能的。但具體實現細節,尚未公佈。
同時Tor的運營者也在最近發現一組不明身份的惡意中繼節點,試圖解密Tor使用者的身份。(參考閱讀: 深度揭密“洋蔥路由”Tor網絡)
5. 賽門鐵克終端防護漏洞
賽門鐵克終端防護護工具存在三個漏洞,這些漏洞可使攻擊者對受害者的計算機進行高級別的訪問。換句話說,黑客可以通過你的安全防護軟件入侵你的計算機。豈不是一件很諷刺的事?
6. 不安全的家用路由器
家用辦公路由器是最容易被入侵的。這些路由器可以通過網絡掃描輕易的發現,通常會包含默認的登錄信息,而絕大多數人從未想過把他們的路由器固件更新到最新版。也許,2014年家庭網絡安全將是一個黑客攻擊的熱點。
7. 千瘡百孔的NAS
與網絡相連的存儲設備更是漏洞多多 。“確切地說,沒有一臺設備是我無法搞定的,至少有一半的設備無需驗證即可入侵。通過入侵NAS設備,攻擊者可以劫持相同網絡上其他設備的流量,使用的是與ARP類似的嗅探技術。”Jacob Holcomb在黑客大會上表示。
更爲可怕的是,漏洞已經提交給NAS的生產商,但至今該漏洞仍未補上。而NAS的補丁通常要幾個月才能到達用戶。
8. 網絡管理程序之殤
還記得開發智能手機隱藏追蹤程序的Carrier IQ和它引發的天下大亂嗎?實際上這款手機應用程序的初衷只是爲了監控使用者手機上的流量,不過是一個診斷網絡性能的工具而已。但是安裝了這款診斷工具的手機,變得十分容易被攻擊。該漏洞可被用來執行遠程代碼,並繞過操作系統的本地防護機制。
研究人員表示,全世界售出的手機有70%到90%都裝有設備管理程序。其他一些設備,如筆記本電腦、無線熱點設備和物聯網設備等,都面臨來自於《開放移動聯盟設備管理協議》(OMA-DM)所含漏洞的風險。
9. 廉價的撬鎖工具
物聯網的安全威脅無疑是本次黑客大會的熱點議題,而且話題已經超出內置了無線連接功能的Dropcam攝像頭和咖啡壺。Qualsy公司的研究人員Silvio Cesare,將演示如何簡單的用廉價並容易獲得的零部件拼湊一件工具,然後用它來搞定安裝了智能系統的汽車。
Cesare表示,這種工具可以用來開車門,以及開後備箱。但目前還需要實施者在車的附近呆上2個小時才能搞定,因此偷車賊目前還不至於捨棄撬棍,而換臺計算機。
10. 入侵賓館
Molina曾在中國深圳的五星級酒店深圳瑞吉住過,當時Molina通過逆向工程破解了酒店提供給旅客的iPad應用程序“數字管家”,並利用KNX/IP路由器中的協議漏洞,成功的控制了房間走廊中的免打擾燈。除了燈光以外,電視、溫控、房間裏的音樂,甚至是酒店200多個房間中的百葉窗都盡在掌控之中。更誇張的是,控制這一切的黑客,本人都無需在中國。
瑞吉酒店聲稱,該漏洞未經證實。但同時表示將“暫時的停用酒店iPad的房間遠程控制系統,直到系統升級。”
本次黑客大會的十大安全漏洞講完了,駭人聽聞的漏洞,處處存在的威脅,似乎讓人無所適從。不過無需過分擔心,這些漏洞大多數雖然可以引起麻煩,但也僅僅限於理論,而且也並沒有被壞人利用。也就是說,它們僅僅是聽上去非常可怕。然而我們始終應該謹記的是,防患於未然纔是安全之道。
轉自:聯軟科技