番茄系統(tǒng)家園 - 免費重裝系統(tǒng)!簡單裝系統(tǒng),人人都是裝機大師!
當前位置:首頁>電腦故障 > 美國黑帽網(wǎng)絡(luò)安全大會:移動平臺和開源軟件正在成為網(wǎng)絡(luò)安全關(guān)鍵威脅

美國黑帽網(wǎng)絡(luò)安全大會:移動平臺和開源軟件正在成為網(wǎng)絡(luò)安全關(guān)鍵威脅

來源:番茄系統(tǒng)家園瀏覽:時間:2021-12-28 17:02:40

一年一度的美国黑帽网络安全会议于本周举行,基于现场与会者的发言和全球各地安全研究人员的虚拟流媒体简报,移动平台和开源软件正在成为网络安全的关键问题。

黑帽大会创始人JeffMoss在开幕式主题演讲中总结了网络安全界的普遍感受,网络安全领域近来历经了勒索软件攻击爆炸性增长、重大供应链漏洞,俄罗斯、朝鲜和伊朗等国家发展成了严重的民族国家黑客行动参与者。

美国黑帽网络安全大会:移动平台和开源软件正在成为网络安全关键威胁

Moss表示,“我们刚认识到被打脸了,我们正努力想办法拆招。这两年真的有压力。”

黑帽大会演讲的五个重要话题:

1. 移动平台是黑客攻击的下一个前沿阵地

越来越多的证据表明,威胁者正在将手里的大量资源转向移动平台漏洞的利用。据估计,全球智能手机用户达60亿,是个不能错过的、非常有吸引力的机会。

在移动设备受到攻击的同时,零日漏洞亦在增加,零日漏洞指安全社区不知道的因此没被修补的漏洞。

零日漏洞由市场驱动,基于供应和需求。零日中介Zerodium去年曾因为提交数量过多而宣布暂停购买苹果iOS漏洞。去年夏天,网络犯罪分子利用一个iPhone零日漏洞入侵6名国际记者的移动设备。

Corellium LLC的首席运营官、英国国家安全局(GCHQ)前分析师Matt Tait所做的研究表明,这个问题正在变得非常地严重。

Tait向与会者表示,“针对手机设备的零日渗透正在急剧增加。我们看到的只是世界上实际可能发生的事情的一小部分。”

问题的一部分原因在于,一些移动平台的架构构成了一系列独有的问题。谷歌ProjectZero的安全研究员NatalieSilvanovich描述了对移动信息出错时所做的一些分析,她发现一个用户能够在未经同意的情况下打开另一个用户的摄像头或音频。

Silvanovich找到GroupFaceTime、Signal、FacebookMessenger、JioChat和Mocha的各种漏洞,所有这些漏洞都曾被报告过和被修复过。

Silvanovich表示,“在未经用户同意的情况下就可以打开别人的摄像头并拍几张照片,能够这样做相当令人担忧。”

2. 开源社区需要聚焦安全而且要快

开源模式就本质而言其设置并非是为了生成完全安全的代码。开源模式下某个项目可能数以百万计的贡献者来自世界各地,用到的重要软件工具资源可自由使用,而且项目维护者名册不断变化,这时,安全问题很容易被忽视。

问题是,威胁者也知道这一点,他们正在利用这一点进行获利。2017年的Equifax漏洞泄露了1.47亿人的个人信息,原因是ApacheStruts一个未打补丁的开源版本漏洞被利用。

威胁面涉及到开发人员使用的工具以及他们存储这些工具的地方。去年12月曾报道过两个恶意软件包被发布到NPM网站,NPM网站是JavaScript开发人员用来分享代码块的代码库。此外,GitGuardian的一项分析仅在2020年就找到200万个“未公开”密码以及存储在公共Git存储库的识别凭证。

NCC集团高级副总裁兼全球研究主管JenniferFernick表示,“事情并没有变得好一些,再加上应用程序的复杂性也在增加。上报的开源软件漏洞数量每年都在增长。如果不认真地进行协调干预,我认为情况会越来越糟。”

3. DNS即服务为进入企业网络创造了开放高速公路

业界了解到域名系统(英文缩写为DNS)中的漏洞有一段时间,但一个安全研究小组最近进行的简单实验却发现了令人不安的结果。

DNS使得IP网络(互联网属IP网络的一种)上计算机之间可以更简便地进行通信,这是DNS开放互联网背后的一项基础技术。DNS服务现在被各种云供应商大量使用,有些云供应商提供DNSaaS(DNS即服务)的管理企业网络解决方案。

Wiz.io的安全研究人员ShirTamari和AmiLuttwak发现了存在的问题,有心者可以注册一个域名,然后用它来劫持DNSaaS供应商的域名服务器,如此一个用户就可以窃听动态DNS流量。二位研究人员成功使用一个被劫持的服务器窃听了15,000个组织的DNS流量。

据Tamari和Luttwak表示,六个主要DNSaaS供应商其中的两个已经修复了这些漏洞。

Luttwak表示,“DNS是互联网的命脉,是最重要的服务之一。而我们只是简单地注册一个域名就可以访问成千上万的公司和数百万计设备的DNS流量。我们深入调查后发现,DNS流量来自财富500强公司和100多个政府机构。”

4. GPT-3的高级文本功能成了虚假信息行为者津津乐道的工具

GPT-3是OpenAI开发的一个高级项目,GPT-3可生成类似人类写作的内容,GPT-3这个功能非常强大、令人真假难辨,而且据乔治敦大学的两位安全研究人员的说法,可能非常危险。

GPT-3人工智能文本生成器是有史以来最大的神经网络,只要提供一个文本提示或一个句子,GPT-3就可以返回完全通顺的文本段落。GPT-3还可以生成有效的计算机代码,GPT-3甚至还写了一篇关于自己的、包含了高度信息的博文。哪里可能出岔子呢?

乔治敦大学安全和新兴技术中心的研究分析员Drew Lohn和MicahMusser成功从OpenAI申请到这个自动语言工具的使用。他们要在六个月的时间内了解GPT-3能够造成什么样的危害。

二位研究人员利用不同的对照组测试了关于政治或社会问题的多个样本,目的是看读者是否能区分人类和机器所写的内容的区别。GPT-3将美联社的两篇正当的新闻报道改写成支持唐纳德-特朗普或反对前总统的文章,一个专家小组无法哪是原稿哪是GTP-3改写过的文章。

二位研究人员指出,GPT-3特别擅长读取少少的几条指令生成推文,GPT-3的速度和准确性令其有可能利用一个社交媒体账户传播出大量的信息。

Lohn表示,“我不确定其影响是否得到足够的重视以及被深究过。这些技术可以带来很多潜在的好处。我们需要对这类决定进行讨论。”

5. 黑客也是勒索软件攻击的受害者

随着时间的推移,网络安全界现在开始对民族国家的黑客使用的方法和操作方式有了更清晰的认识,也对他们的问题有了更清晰的认识。

IBM公司X-Force的安全研究人员一直在分析IBM威胁集团18(ITG18)的漏洞,ITG18在网络安全领域与名为CharmingKitten的伊朗网络战组织有重叠。ITG18与其他民族国家的黑客行动不同的是,其他民族国家的黑客都尽量保持在公众视线之外,ITG18在方面一直非常宽松,而且似乎并不特别担心这个问题。

ITG18组织一直对制药公司、记者以及伊朗持不同政见者的网络进行钓鱼攻击,ITG18发布过一套培训视频,IBM研究人员在去年五月发现了该视频。该视频提供了如何测试访问以及如何从被攻击账户收集数据的教程,视频暴露了与该组织成员伊朗电话号码相关的网站信息。这批资料显示,这些黑客在解决验证码方面遇到了问题,另外,视频提供的一些证据表明,他们也和我们中的许多人一样曾因安全性差而成为勒索软件攻击的受害者。

IBM SecurityX-Force的分析师AllisonWickoff表示,“在过去的18个月里,我们不断见到这个团体的错误。我们觉得,调转一下剧本看到对手人性化的一面也是很好的事情。”

鸿蒙官方战略合作共建——HarmonyOS技术社区

推薦系統(tǒng)

  • 雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載

    雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載64位
    系統(tǒng)大小:0MB系統(tǒng)類型:WinXP

    雨林木風(fēng)在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)知名品牌,雨林木風(fēng)WindowsXP其系統(tǒng)口碑得到許多人認可,積累了廣大的用戶群體,是一款穩(wěn)定流暢的系統(tǒng),雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載,有需要的朋友速度下載吧。

    系統(tǒng)等級:
    進入下載 >
  • 蘿卜家園win7純凈版 ghost系統(tǒng)下載 x64 聯(lián)想電腦專用

    蘿卜家園win7純凈版 ghost系統(tǒng)下載 x64 聯(lián)想電腦專用64位
    系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win7

    蘿卜家園win7純凈版是款非常純凈的win7系統(tǒng),此版本優(yōu)化更新了大量的驅(qū)動,幫助用戶們進行舒適的使用,更加的適合家庭辦公的使用,方便用戶,有需要的用戶們快來下載安裝吧。

    系統(tǒng)等級:
    進入下載 >
  • 雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載

    雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載64位
    系統(tǒng)大?。?/em>1.01GB系統(tǒng)類型:WinXP

    雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載,雨林木風(fēng)WinXP系統(tǒng)技術(shù)積累雄厚深耕多年,采用了新的系統(tǒng)功能和硬件驅(qū)動,可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動對硬件的加速,加固了系統(tǒng)安全策略,運行環(huán)境安全可靠穩(wěn)定。

    系統(tǒng)等級:
    進入下載 >
  • 蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 V2023 X64位系統(tǒng)下載

    蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 V2023 X64位系統(tǒng)下載64位
    系統(tǒng)大小:0MB系統(tǒng)類型:Win10

    蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,(win10企業(yè)版,win10 ghost,win10鏡像),蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 ghost鏡像 X64位系統(tǒng)下載,其系統(tǒng)口碑得到許多人認可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來都以用戶為中心,是由蘿卜家園win10團隊推出的蘿卜家園

    系統(tǒng)等級:
    進入下載 >
  • 蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 V2023 X64位系統(tǒng)下載

    蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 V2023 X64位系統(tǒng)下載64位
    系統(tǒng)大小:0MB系統(tǒng)類型:Win10

    蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 ghost X64位 系統(tǒng)下載,蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,其系統(tǒng)口碑得到許多人認可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來都以用戶為中心,是由蘿卜家園win10團隊推出的蘿卜家園win10國內(nèi)鏡像版,基于國內(nèi)用戶的習(xí)慣,做

    系統(tǒng)等級:
    進入下載 >
  • windows11下載 蘿卜家園win11專業(yè)版 X64位 V2023官網(wǎng)下載

    windows11下載 蘿卜家園win11專業(yè)版 X64位 V2023官網(wǎng)下載64位
    系統(tǒng)大小:0MB系統(tǒng)類型:Win11

    蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,windows11下載 蘿卜家園win11專業(yè)版 X64位 官網(wǎng)正式版可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動對硬件的加速,使得軟件在WINDOWS11系統(tǒng)中運行得更加流暢,加固了系統(tǒng)安全策略,WINDOWS11系統(tǒng)在家用辦公上跑分表現(xiàn)都是非常優(yōu)秀,完美的兼容各種硬件和軟件,運行環(huán)境安全可靠穩(wěn)定。

    系統(tǒng)等級:
    進入下載 >

熱門系統(tǒng)