有这样一群人,兼具吸血鬼与灰姑娘的人格特质。他们钻尽牛角尖挑这个世界的刺儿,直到真的如他们所料发现了问题;他们又勤奋温驯,如灰姑娘一样受到神仙教母的眷顾,飞上枝头当凤凰,年纪轻轻就已举世闻名。
这两种令人又爱又恨的矛盾性格,非但没有搞得他们精神分裂,相反,与他们的机体相得益彰,使他们成为全世界最有价值的人群之一。
他们是一群“黑帽子”
北京时间8月7日凌晨,2014世界黑帽子大会在美国拉斯维加斯召开,全世界1万颗黑帽子齐聚一堂。黑客们把这一年来废寝忘食发现的各种信息安全领域的“不完美”,拿出来交流,目的是在真正的邪恶势力利用到这些“不完美”之前,创造更好的生活。
黑帽子大会的门票,像飞机票一样价格浮动,订得早的,打个6折样子,但总的来说票价不便宜——订得早1000多美金,晚了就一口价2200多美金。
为什么这么贵?牛人多呗!他们用最平常不过的一些硬件,就可以瞬间颠覆你以往认为安全得没跑的事物;他们可以黑掉你认为比保险箱还坚不可摧的系统,来提醒大企业,这个漏洞太危险……
2014年黑帽子大会的议题,分成“应用安全、互联网延伸到各类设备(汽车、工控设备)的安全、移动互联网安全,网络审计、取证”等几大领域。从这个角度讨论问题,就相当于我们站在虚拟世界不同的经纬度上,俯瞰这张由互联网和互联网衍生设备组成的大网络,了解这张网的疏密、布局和人们生活的联系。
黑帽子大会现场
安卓系统被找茬 涉及99.9%的用户
Bluebox的技术总监Jeff Forristal今年又一次找了安卓的茬儿。他在黑帽子大会上,首次演示了如何利用安卓系统的一个应用漏洞,恶意攻入安卓系统手机。
不要以为这只是黑客之间无事“拗技术”的把戏,它确实涉及到超过全球99%的安卓系统用户的信息安全。
通常,安卓系统的用户下载一个APP,会不断有弹窗出来提示:安装软件需要打开您的GPS功能,或者需要开放通讯录功能等,只有你确认了才能安装,就算没有经过这一系列权限强行安装了,系统也会崩溃没法启用。
但是在Jeff手里,一个恶意APP应用可以逃脱这些正常的权限,在用户不知情的情况下获得安全特权。然后安然“卧底”在你的手机里,并且跟所有的病毒一样,它还要不断地“策反”手机里所有的正常软件,直到全变成一般黑的“乌鸦”。
这意味着什么呢?作为这部智能手机的“总统”,你已经是美剧《纸牌屋》里的“傀儡”总统了,因为整个手机的“黑道”恶意应用,已经可以无缝窃取用户的数据,在特定场景下甚至完全控制Android设备。
这个漏洞影响所有 4.3系统以下的用户(4.3是今年才出的系统)。
“不夸张地说,这可能涵盖了99.9%的安卓用户。”科技有限公司总裁范渊说,可能有10亿的用户,都会受到威胁,所以全世界都有理由来关注这个问题。
Jeff的这个发现,也给安卓系统构建商出了一题,不赶紧修补漏洞,利益、声誉损失太惨重。
车子越智能 越容易被“黑”
大会上,来自美国的“黑帽子”harlie Miller和Chris Valasek,模拟演示了远程控制别人汽车的过程。
“越来越智能的汽车,车身就是一个小网络,如果这个网络的围墙‘透风’,也就是被外部连接上这个网络,那么仅仅一点缝隙,都很可能被人反控全局——你的车既然有功能可以做到不需要你而自动泊车,也可能被人进攻,变成不需要你也能开车。纵然你双手把着方向盘,车也不一定再由你控制。”
所有的交通工具,只要有控制网络系统就会遇到同样的问题。比如飞机,现在坐飞机,越坐越不无聊,十几个小时的旅途,前面椅背上的平板电视,一堆可点播的影视剧,这种享受,建立在飞机构建了自己内部的无线网络基础上。
但是这个网络如果搭建不严密,运行密码被破解,飞机的导航系统就会被侵入,影响飞行安全。
“我们展示出这项攻击,希望制造商加强智能交通工具的安全保障,比如控制访问权限等,将来的制造商团队,应该有一支强大的信息安全团队。”
一整天不停地听黑客讲各种漏洞、各种攻击,就越感到平时我们上网都像是穿着皇帝的新装,自己认为安全,在攻击者眼里早就“裸奔”。(李炜)