Blackhat與Defcon2017：三項關鍵網路安全發展趨勢

關注E安全 關注網路安全一手資訊

E安全8月8日文 每一年，全球頂級安全從業者及觀察人士們皆會聚集在拉斯維加斯的黑帽與DEF CON大會上，共同分享最新信息安全研究、漏洞發現以及黑客技術成果。由於研究人員們的發現往往遠超網路犯罪分子，因此相關簡報能夠對下一代威脅趨勢及攻擊手段作出預測。了解這些趨勢將有助於安全人員制定並調整自身防禦思路及策略，從而提前防範未來可能出現的各類惡意攻擊的侵擾。

遺憾的是，信息安全行業之外的人士鮮有機會參加黑帽、DEF CON這類會議，會上這些重要資訊往往只能在有限的範圍內傳播。E安全在本文中只對會議內容做簡要闡述，通過總結兩輪大會中出現的三項綜合性主題，望能夠給讀者帶來一些有用的經驗。

黑帽與DEF CON大會的發展歷史

黑帽與DEF CON大會皆由傑夫·莫斯（Jeff Moss）所創立。DEF CON大會創立於1993年，1997年黑帽大會誕生，二者皆屬於美國歷史最為悠久的信息安全會議。莫斯建立的DEF CON大會主要面向黑客人士與安全研究領域。

DEF CON大會傾向於進攻

相較於黑帽大會，DEF CON可能更符合大家對於「黑客活動」的基本定義。儘管與會者並非全部屬於「黑帽」黑客，但他們仍然通過研究工作打破或者入侵各類技術系統，因此DEF CON主要著眼點於進攻而非防禦。

以此為基礎，安全社區可以更為放鬆地參與其中，享受過程並與志同道合的其他從業者建立聯繫。與傳統的商務會議不同，DEF CON在氣氛上更類似於狂歡派對，其有解鎖競賽與加密挑戰賽等。這個會議有趣的地方就在於，DEF CON並不反對與會者之間進行相互入侵或者其它技術性惡作劇，因此參加會議的各方首先應該做好自我保護工作。

黑帽大會傾向於防禦

與名稱不相符的是，黑帽大會反而更多面向業務層面。莫斯希望藉此為來自大型企業的普通員工及信息安全團隊提供教育資源。

儘管不少演講者會同時參加這兩大會議，但黑帽大會中的簡報往往更加側重於防禦策略，或者至少以此為出發點。如果您參加過其它行業專項會議，一定會對黑帽大會的議程感到非常熟悉。

黑帽與DEF CON這兩項會議活動於同一周內進行，因此很多人會全部參加並選擇了解其中更具針對性價值的內容。

黑帽與DEF CON 2017大會上的三大安全主題

一、物聯網入侵

物聯網技術的安全風險已經成為本屆DEF CON與黑帽大會的核心議題。研究人員們就物聯網安全問題或者相關硬體及軟體黑客技術展開熱烈討論。

黑帽大會：

1、通用型硬體黑客工具EvilSploit

包會上兩位中國研究人員討論了EvilSploit（一款通用型硬體黑客工具包）。在物聯網研究人員進行硬體分析時，其初步任務之一無疑是導出快閃記憶體或者固件中的信息。物聯網設備通常可能在其PCB上提供用於調試或者初始刷機的UART七JTAG介面。硬體黑客一般情況下會投入大量時間手動找出未經標記的介面，旨在了解其引腳設計方式以及通信協議。

EvioSploit研究人員展示出一種能夠自動枚舉聯網設備引腳的裝置與軟體，這意味著對物聯網目標的初始硬體檢查工作將變得更加輕鬆。

2、樓宇自動化安全

在黑帽大會的另一項主題演講《樓宇自動化安全》當中，主講人闡述了智能建築同所使用的架構以及行業特定協議，同時探討攻擊者如何入侵這些系統。總而言之，一旦您掌握了這些協議並得以接入網路，那麼攻擊樓宇自動化系統將會相當輕鬆。演講者指出，使用像Shodan這類公開掃描工具就會發現不少暴露在互聯網上的樓宇自動化系統。

DEF CON大會：

DEF CON大會同樣帶來不少物聯網相關討論內容，其中包括部分研究人員在多種物聯網設備中發現的數十項安全漏洞的相關細節。

3、物聯網設備漏洞

在題為《你的就是我們的》的對話環節中，來自Exploitee.rs網站的黑客們在超過20種不同物聯網設備當中利用零日漏洞實施入侵，涉及網路攝像頭乃至網路連接存儲（簡稱NAS）設備等等。他們在研究當中發現，單是西部數據的MyCloud NAS設備當中就存在80多項漏洞。在披露這些安全漏洞之後，主講人們還現場分發了大量免費定製PCB以幫助與會者們了解如何通過eMMC晶元接管物聯網固件。

4、家庭網路

來自Bastille Networks公司的研究人員們則將著眼點放在互聯網服務供應商提供的路由器及電視盒身上。在題為《線纜入侵：以無線方式突破家庭網路》的演講中，三位黑客闡述了Comcast Xfinity家庭網路設備當中存在的數十項安全漏洞。這些漏洞在組合之後可能允許遠程攻擊者完全接管家庭網路中的各類關鍵設備。

然而這還只是黑帽與DEF CON大會上物聯網相關演講中的很小一部分。由此，我們也可以看到物聯網技術已經明確步入主流視野。首先，大多數物聯網設備在配置與設置方面仍存在不少安全隱患；其次，研究人員與犯罪分子都已經瞄準物聯網，因此大家需要想辦法保護好自己的這些小裝置。

劃分物聯網網路：

將其與互聯網以及關鍵性伺服器隔離開來。您需要為各物聯網設備的管理界面提供防火牆保護。目前，相當一部分物聯網裝置可在公開互聯網上直接找到，這也是Mirai等攻擊活動造成巨大危害的前提條件之一。這裡建議大家利用防火牆將物聯網設備從關鍵性內部服務體系當中劃分出來。通過這種方式，即使您的物聯網設備遭到劫持，伺服器仍然不會受到風險影響。

定期更新固件：

雖然物聯網設備本身屬於硬體，但其中仍然運行有軟體。在研究人員們通過安全大會披露相關漏洞信息時，製造商通過會發布固件更新以進行修復（Comcast公司就在DEF CON大會披露相關缺陷後發布了一系列修復補丁）。總之，請儘可能確保及時更新您的物聯網固件。

二、機器學習正淪為幫凶

身為技術行業的一分子，大家應該聽說過機器學習、深度學習以及人工智慧等概念。除了圖像內容分類以及自動車輛駕駛等領域，這些技術成果亦開始被安全行業用於改善惡意軟體與攻擊檢測效果。

著眼於2017年，相信會有越來越多的攻擊者利用機器學習技術改進自身攻擊手段。雖然我們目前還沒有發現任何實證，但在上周的大會上，已經有多位演講者談到如何利用機器學習技術加持攻擊與防禦活動。

舉例來說，在題為《機器人對機器人：利用機器學習逃避惡意軟體檢測》的黑帽演講當中，主講者討論了攻擊者如何利用機器學習技術確定其它機器學習類惡意軟體檢測機制所採用的判斷標準。在此基礎上黑客即可開發出能夠規避此類檢測的惡意軟體。

在《機器學習發來郵件》演講中 ，主講者則討論了垃圾郵件發送者可以如何通過機器學習改進其網路釣魚郵件質量，從而提高釣魚活動的成功機率。

DEF CON大會上，研究人員們分享了機器學習武器化趨勢中的種種可能（無論如何，我們都沒辦法太相信人性）。他們介紹了一款名為DeepHack的工具，這套開源AI方案能夠攻擊Web應用程序。除此之外，機器學習在很多其它演講當中也被作為一大根本性影響因素。很明顯，研究人員與攻擊者雙方都在利用機器學習/人工智慧方案加速並改進自己的項目開發工作。

雖然還沒有找到相關證據，但機器學習技術的普及無疑將成為一大安全難題，且很難相信攻擊一方會對此坐視不理。而且除非同樣運用機器學習技術，否則我們幾乎沒有其它有效方法可以防禦這些利用機器學習機制實現攻擊手段與惡意軟體的改進。

三、地緣政治類黑客活動與信息誤導型活動快速興起

最後，黑帽與DEF CON大會上皆出現了不少探討當前國家或者地緣政治類黑客活動的主題演講，其中具體包括相關國家政府囤積零日漏洞、民族國家攻擊工業控制系統（簡稱ICS）的相關研究以及競爭對手如何利用偽造消息進行誤導性宣傳。

DEF CON大會甚至組織起投票村競賽活動，參賽者們可以在這裡嘗試入侵美國總統大選中真實使用過的投票設備。在90分鐘之內，與會者們在這些安全水平低下的設備中成功發現了多項安全缺陷。其中部分缺陷允許攻擊者替換設備固件甚至以無線方式進行入侵。也就是說，政府在網路戰與間諜活動當中的作用已經成為黑帽及DEF CON大會上的重要議題之一。而考慮到目前的各類地緣政治事件，這樣的判斷也明顯有其理由。更可怕的是，這是個幾乎無法解決的難題。

國家政府在網路戰與間諜活動當中的作用已經成為黑帽及DEF CON大會上的重要議題之一。而考慮到目前的各類地緣政治事件，這樣的判斷也明顯有其理由。

那麼在國家支持型黑客活動當中，是否有一些可以接受、而有一些絕不能容忍？

一個政府到底是應該主動發現並隱藏軟體漏洞，還是幫助相關開發商將其解決？對於選民的操縱或者窺探是否應被視為戰爭宣言？目前，政府或者社會還沒有為這些問題找到共識性的答案，今後無疑有必要對此認真思考。也許公眾的聲音與態度會給最終結論帶來重要的啟示與影響。

本文中提到的無疑只是黑帽與DEF CON大會中的很小一部分內容。親身參加這些會議，將能更有效了解當前及未來可能出現的攻擊趨勢，並提早為此作好準備。

08

E安全推薦文章

官網：www.easyaq.com

2017年8月

01

02

03

04

05

06

07

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！