世界黑帽子大会美国召开 顶级黑客交流信息安全

08.08.2014  19:20

这些人都是参加黑帽子大会的,像不像武林聚会?

有这样一群人,兼具吸血鬼与灰姑娘的人格特质。他们钻尽牛角尖挑这个世界的刺儿,直到真的如他们所料发现了问题;他们又勤奋温驯,如灰姑娘一样受到神仙教母的眷顾,飞上枝头当凤凰,年纪轻轻就已举世闻名。

这两种令人又爱又恨的矛盾性格,非但没有搞得他们精神分裂,相反,与他们的机体相得益彰,使他们成为全世界最有价值的人群之一。

他们是一群“黑帽子”。

北京时间8月7日凌晨,2014世界黑帽子大会在美国拉斯维加斯召开,全世界1万颗聪明大脑济济一堂。黑客们把这一年来废寝忘食发现的各种信息安全领域的“不完美”,拿出来交流,目的是在真正的邪恶势力利用到这些“不完美”之前,创造更好的生活。

黑帽子大会的门票,像飞机票一样价格浮动,订得早的,打个6折样子,但总的来说票价不便宜——订得早1000多美金,晚了就一口价2200多美金。

为什么这么贵?——牛人多呗!他们用最平常不过的一些硬件,就可以瞬间颠覆你以往认为安全得没跑的事物;他们可以黑掉你认为比保险箱还坚不可摧的系统,来提醒大企业,这个漏洞太危险……

安卓系统被找茬

涉及99.9%的用户

Bluebox的技术总监Jeff Forristal今年又一次找了安卓的茬儿。他在昨天的黑帽子大会上,首次演示了如何利用安卓系统的一个应用漏洞,恶意攻入安卓系统手机。

不要以为这只是黑客之间无事“拗技术”的把戏,它确实涉及到超过全球99%的安卓系统用户的信息安全。

通常,安卓系统的用户下载一个APP,会不断有弹窗出来提示:安装软件需要打开您的GPS功能,或者需要开放通讯录功能等,只有你确认了才能安装,就算没有经过这一系列权限强行安装了,系统也会崩溃没法启用。

但是在Jeff手里,一个恶意APP应用可以逃脱这些正常的权限,在用户不知情的情况下获得安全特权。然后安然“卧底”在你的手机里,并且跟所有的病毒一样,它还要不断地“策反”手机里所有的正常软件,直到全变成一般黑的“乌鸦”。

这意味着什么呢?作为这部智能手机的“总统”,你已经是美剧《纸牌屋》里的“傀儡”总统了,因为整个手机的“黑道”恶意应用,已经可以无缝窃取用户的数据,在特定场景下甚至完全控制Android设备。

这个漏洞影响所有 4.3系统以下的用户(4.3是今年才出的系统)。

不夸张地说,这可能涵盖了99.9%的安卓用户。”科技有限公司总裁范渊说,可能有10亿的用户,都会受到威胁,所以全世界都有理由来关注这个问题。

Jeff的这个发现,也给安卓系统构建商出了一题,不赶紧修补漏洞,利益、声誉损失太惨重。

车子越智能

越容易被“

某种程度上讲,黑帽子大会的议题,很富有哲学意义的。

昨天大会上,来自美国的“黑帽子”harlie Miller和Chris Valasek,模拟演示了远程控制别人汽车的过程。

越来越智能的汽车,车身就是一个小网络,如果这个网络的围墙‘透风’,也就是被外部连接上这个网络,那么仅仅一点缝隙,都很可能被人反控全局——你的车既然有功能可以做到不需要你而自动泊车,也可能被人进攻,变成不需要你也能开车。纵然你双手把着方向盘,车也不一定再由你控制。

所有的交通工具,只要有控制网络系统就会遇到同样的问题。比如飞机,现在坐飞机,越坐越不无聊,十几个小时的旅途,前面椅背上的平板电视,一堆可点播的影视剧,这种享受,建立在飞机构建了自己内部的无线网络基础上。

但是这个网络如果搭建不严密,运行密码被破解,飞机的导航系统就会被侵入,影响飞行安全。

我们展示出这项攻击,希望制造商加强智能交通工具的安全保障,比如控制访问权限等,将来的制造商团队,应该有一支强大的信息安全团队。

一整天不停地听黑客讲各种漏洞、各种攻击,就越感到平时我们上网都像是穿着皇帝的新装,自己认为安全,在攻击者眼里早就“裸奔”。

Cesar Bodden先生

Pat Carrol先生

Devon Page

记者

Cesar Bodden先生

35岁,来自纽约

Cesar是一位网络安全管理员,他已经在黑帽子大会上做了4年志愿者。

黑帽子大会上的志愿者做什么?发资料、告诉你路在哪边?当然不是!黑帽子大会上的志愿者全部都是安全卫士,在担任志愿者期间,唯一的任务就是守住酒店会议中心的网络安全,不要被这成千上万涌过来的黑客给攻陷。

有没有出现过很惊险的时刻?

哦,我想事实上是没有那么可怕,因为,你知道我也是个黑客嘛!哈哈哈哈!

Pat Carrol先生

33岁,“程序猿

这牛角是怎么个意思?

哦,我在楼上会议室对面买的,挺符合我现在的心情的。

接下去还会继续参加后面几天的黑客大会(黑帽子大会之后还有一个更加专业的黑客大会)吗?

我想我可能不会多逗留了。” Pat说这话的时候,眉毛已经飞扬起来,“我的妻儿、家族的其他兄弟姐妹成员们,都已经在来拉斯维加斯的路上了,因为我们家族的人住在不同的城市,但是拉斯维加斯正好是个中心点,趁着我在这开会,我们打算聚会,好好在这里玩一玩呢!

Devon Page

美女黑客二百选一

钱报记者和摄影师做了个小统计,在分会议室门口的“黑帽子大道”上,统计人流的性别。我们花了40分钟做这一组图片故事的搜集,找到一位女“黑帽”的概率大约是1/100,如果是一位美女,那么概率大约是1/200。最后遇到了来自德州的Devon(图左)和她的朋友。

这一行女生真的很少。

是啊,我们跟许多女孩不一样。你知道,要我临摹画一幅《星空》(梵高的名画),老师得告诉我在哪个坐标点的位置连线,用几号笔往哪个角度上色,哈哈,你看我还是去编程合适吧?

挺好,关键你们长得漂亮,这也很重要。

你真是太友善了!

升级不成黑客,怎么保护信息安全?跟黑帽子学几招:

●第一招,各种网上的账号、账户,不用相同的密码。

怎么设密码?钱报记者随机问到几个黑客,人家都很不屑地说:“那么当然是大小写、字母、数字、特殊字符,一样不能少,长度至少8位以上。8位以下的密码,就等着被秒杀好了。

●第二招,不同网站的密码不要通用。

不重要的网站的注册密码,跟重要网站密码不要通用。什么玩个星际争霸啥的,就不要弄个网银一样的密码了。在注册新账号的时候,尽量不要泄露自己的真实个人信息。

●第三招,没事不用信用卡。

黑帽子一般不用信用卡,迫不得已要给老婆刷卡买包包,做到信用卡不离开视线所及处。

●第四招,不点不明链接。

黑帽子从不贸然点开不明链接,就算来自好友的账号也一样的,二维码也不能胡扫。

●第五招,票证不随便扔。

有个人信息的票证、快递签收单等不要随便扔,淘宝淘得多,处理这些“后淘宝”垃圾,也要多个心眼,花钱弄台碎纸机来替你干活儿吧。