黑帽大會二十載:十大最佳破解案例
至頂網安全頻道 07月25日 綜合消息:在過去20年里,黑帽大會曾捅出許多重大的漏洞,促成了一些重大的補丁。這些漏洞展現了現代醫療設備、ATM、汽車、路由器、手機等方面面臨的安全挑戰。第二十屆黑帽大會今天下午在拉斯維加斯開幕。為了慶祝黑帽大會,筆者從大會歷史裡選編了二十年來黑帽大會展示的一些最佳、最恐怖的破解案例。
汽車破解
2015年,黑帽人士查理·米勒和克里斯·瓦拉塞克(Chris Valasek)(上圖)成功黑進切諾基吉普(Jeep Cherokee)系統,廠方隨之召回140萬輛汽車打軟體補丁。該破解用了切諾基吉普汽車裡的Uconnect系統的零日漏洞。黑客黑進系統後就可以在十多英里以外進入車輛的娛樂系統,進而進行控制、轉向、剎車、傳輸等,亦可將車翻進溝里。解決方案提供商當時曾表示,黑帽大會的這次破解無異於給了汽車製造商和其他開發連接技術的製造商當頭棒喝,也提醒了製造商一定要從一開始就將安全性嵌入系統里。
ATM破解
2010年,著名黑客Barnaby Jack展示了自動取款機的漏洞,他當場讓取款機器吐出一些50美元的鈔票,震驚全場。他還展示了當時常見的ATM系統和軟體里多種漏洞,例如插入USB盤後可改寫系統並利用ATM的遠程管理功能。他表示,這些漏洞可以用來竊取現金、複製信用卡數據或獲取主密碼。
SQL Slammer蠕蟲
2002年的黑帽大會曾展出第一款Slammer蠕蟲,第二年Slammer蠕蟲對SQL伺服器系統造成嚴重破壞,10分鐘內在微軟的 SQL 伺服器2000上有超過75,000名用戶中招。該蠕蟲是由David Litchfield作為概念證明展出的,主要是為了揭示微軟和甲骨文產品中的緩衝區溢出漏洞。微軟在2003年的攻擊之前為這個漏洞打了補丁,那些中招的用戶沒有更新他們的系統。
Conficker蠕蟲
2009年,Conficker蠕蟲病毒引起與會者的高度警惕,據說會議期間浮出一個感染了Conficker蠕蟲病毒U盤。當時,Conficker蠕蟲受到業界的關注,大會上Mikke Hypponen的發言就是討論Conficker蠕蟲的。Conficker蠕蟲是針對Windows操作系統的計算機蠕蟲。Conficker蠕蟲利用Windows系統中的漏洞和字典攻擊傳播並形成殭屍網路,當時感染了數百萬台計算機。
RFID破解
許多公司在物理訪問控制和跟蹤上廣泛使用RFID技術。2013年的黑帽大會展示了RFID技術破解的可行性,Francis Brown演示了如何破解RFID及複製RFID標籤。他的演示包括如何開發遠程RFID讀取器進而複製RFID卡。此次的概念性破解演示對物理訪問安全有重大影響。
蘋果智能電池破解
蘋果公司去年在黑帽大會上首次正式亮相,但蘋果設備在過去幾年裡曾受到黑帽黑客的熱捧。 2011年,安全研究員查理·米勒(Charlie Miller)展示了如何利用嵌入在蘋果電池中的固件攻擊電池並對蘋果操作系統發起拒絕服務攻擊。蘋果電池中的固件置於微控制器內,這些微控制器是標準化智能電池系統的一部分。
思科IOS安全架構
2005年,安全研究員Mike Lynn爆出思科路由器互聯操作系統的一個重大漏洞。 Lynn在黑帽大會上展示了漏洞(他發言時該漏洞已被打了補丁)可用於全面攻陷企業網路。該漏洞還可以有效攻擊及關閉思科路由器,而且受攻擊的路由器無法重新啟動。思科搞了大動作阻撓Lynn的演講,他最後只得從ISS辭職才得以演講。
FAA空中交通管制系統
黑帽也曾展示過許多關鍵基礎架構系統的漏洞。其中的一個例子是計算機科學家安德烈·科斯丁(Andrei Costin)在2012年的一個演講。他爆出美國聯邦航空局(FAA)的廣播自動監視空中交通管制系統的安全隱患。安德烈·科斯丁展示了如何利用漏洞查看空中交通信息和飛機位置信息,以及黑客如何插入自己的信息,達到欺騙飛機的目的。黑帽大會的其他演示涉及到關鍵基礎架構的安全漏洞,包括SCADA系統,衛星終端通信鏈路和油氣系統中的漏洞。
安卓Stagefright破解
2015年,Zimperium zLabs的安全研究人員爆出他們稱之為 「安卓漏洞祖宗」的漏洞。安卓Stagefright多媒體播放工具存在一系列漏洞,黑客僅需知道用戶的手機號碼就可以訪問用戶的移動設備(用戶無需像網路釣魚攻擊中那樣點擊鏈接或下載文件)。該次演示僅僅是許多年以來黑帽大會演示的安卓漏洞的一例。Zimperium zLabs公司表示,95%的安卓設備(約9.5億台設備)都存在該漏洞。Zimperium zLabs表示,運行較舊版本(Jelly Bean前的版本)的安卓設備特別易受攻擊,因為「反漏洞措施不足」。谷歌為漏洞提供了補丁。
醫療設備
醫療設備是黑帽黑客演示的另一個熱門領域。傑羅姆·拉德克利夫(Jerome Radcliffe)在2009年的黑帽大會上演示了如何攻擊他自己的胰島素泵和連續葡萄糖監測器。攻擊僅需知道泵的序列號,黑客利用射頻技術的漏洞可以用無線方式關掉胰島素泵或加大胰島素劑量令患者斃命。
※微軟「區塊鏈即服務」的下一步:變得更加好用
※結束等待:首個開放容器標準 OCI 1.0 正式發布
※半年盤點:2017年最酷的10個開源產品
※新IT賦能新業務
TAG:ZD至頂網 |
※王麗坤紅裙黑帽扮成「老奶奶」,白瞎了這麼高的顏值,網友:請看第4張
※盤點幾位史詩級黑帽黑客:這群人到底厲害到什麼程度?
※「黑客」以建設為主,而「駭客」則以破壞為榮,黑帽白帽黑白難分
※5月,3種花容易「中暑」,戴個「黑帽子」,花朵滿盆四季美
※王嘉爾解鎖練習生導師身份 黑帽遮面氣場十足
※黑帽黑客歷史盤點:中國頂尖高手基本已被收編!
※周筆暢這一身酷感十足!機場頂小黑帽搭紅色運動裝,帥氣又拉風
※朱頂紅不開花,剪幾刀,帶上黑帽子,3天冒「花箭」,花朵巴掌大
※助理擋鏡頭?王子文卻大方凹造型 皮衣皮靴黑鏡黑帽來耍個酷
※總感覺頭頂上戴了一個黑帽子
※4年生三孩至今沒名分,吳佩慈男友疑似有新歡,喂黑帽女生喝水
※190102 鹿晗面具舞全新綵排美圖出爐 黑衣黑帽黑口罩蘇氣衝破峰值
※張天愛穿破洞牛仔褲大秀纖腰 戴黑帽子黑墨鏡氣場A爆
※GD今日入伍了!黑衣黑帽黑口罩低調告別
※鹿晗新劇造型曝光,戴著黑帽和眼鏡顯陰沉,最後一笑演技炸裂!
※宋佳黑衣黑帽手遮臉心情陰霾 一路和女助理吐槽幫擋鏡頭氣場強
※道明寺戴大框眼鏡扮酷,黑帽口罩遮面現身機場,一個細節網友:註定只能是明星
※賀軍翔機場照流出,身著黑皮衣戴黑帽,一副酷勁十足的樣子!
※大s被偶遇超有禮貌,黑帽加墨鏡美到外太空!
※三角梅長壽花蟹爪蘭,開花少,戴個黑帽子,花開爆盆,攔不住!