亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

拉斯維加斯黑客大會又要開始了。下面是一些大會有史以來最好的演講。今年的大會能達到這些傳說水準嗎？

自 1997 年以來，黑帽和 DEF CON 大會因提供一些最前沿的信息安全研究而享有盛譽。這些活動也引發(fā)了一些爭議，有時甚至到了最后一刻才取消。例如，2007 年，在安全卡片制造商 HID 的訴訟威脅下，Chris Paget 被迫取消了他的 “黑帽RFID入門講座”。

Black Hat 大會于 1997 年作為一個單獨的會議發(fā)起，已經(jīng)成為在美國，歐洲和亞洲舉辦的國際年度盛會。今年在拉斯維加斯曼德勒灣舉行的活動將從 8 月 3 日開始，包括為期四天的技術(shù)培訓(xùn)和兩天的大會。DEF CON 始于 1992 年，也將于 8 月 8 日至 11 日在拉斯維加斯的多個地方舉辦。

CSO 總結(jié)了一些以往 Black Hat 和 DEF CON 亮點。

1. 入侵吉普車

誰能忘記 0xcharlie 入侵了一輛 WIRED 記者 Andy Greenberg 所在的吉普車呢？安全研究人員 Charlie Miller 和 Chris Valasek 在 2015 年黑帽大會上匯報了他們的研究結(jié)果，并展示了他們是如何遠程入侵一輛吉普車并控制車輛的（包括變速器、加速器和剎車）。他們之前的研究集中在需要對目標車輛進行物理訪問的攻擊上，而汽車制造商對此不以為然。然而，這次的遠程無線攻擊吸引了所有人的注意。

2. 偷走一切，殺死所有人

Jayson E. Street 在 DEF CON 19 中著名的有關(guān)社會工程的演講，以及他如何能夠如果他想，就可以走進任何地方 “偷走一切，殺死所有人”，即使在這么多年之后也一直是人們喜愛的話題 。如果有個穿著看門人制服的家伙隨便進來拔掉你的電源，誰會在乎你的企業(yè)是否合規(guī)呢？Street 直截了當(dāng)?shù)亓谐隽怂ㄟ^談話進入的安全地點，以及他本可以做什么，并強調(diào)了深入防御社會工程攻擊的必要性。

3. 入侵無人駕駛車輛

看起來是不可避免對吧？但有時你需要一個概念證明才能明白這一點，安全研究員 Zoz 在 DEF CON 21 大會上的演講《入侵無人駕駛汽車》(Hacking driverless vehicles) 就是這么做的。盡管無人駕駛車輛有可能減少交通事故的死亡人數(shù)（事實證明，人類確實是糟糕的司機），但它們也帶來了新的災(zāi)難性風(fēng)險，這種情況發(fā)生的可能性比較小，但影響要嚴重得多。“通過這次演講 Zoz 旨在啟發(fā)無人駕駛車輛愛好者思考穩(wěn)健到敵對和惡意的場景，并給了抵制機器革命的人虛假的希望”， 談話描述道可怕的是自從在他 2013 年發(fā)表演講以來，沒有發(fā)生太大的變化。

4. Barnaby Jack和自動取款機

愿 Barnaby Jack 安息。這位已故的偉大黑客和表演家在 2010 年讓 ATM 機把現(xiàn)金吐得滿地都是，人們將永遠記住他的功績，以及就在他去世幾周前，他還在拉斯維加斯發(fā)表了一場轟動一時的關(guān)于醫(yī)療設(shè)備安全的演講。秉著安全研究最優(yōu)秀的傳統(tǒng)，Jack 試圖刺激制造商改善他們設(shè)備的安全狀況。這位新西蘭人死于服藥過量，當(dāng)時他住在舊金山，這在黑客圈子里引發(fā)了一些陰謀論。

5. Back Orifice后門程序

Cult of the Dead Cow 經(jīng)常在最近的消息中出現(xiàn)，而他們在 1999 年 DEF CON 大會上發(fā)表的一場經(jīng)典的有關(guān) Back Orifice 的演講，因為 Joseph Menn 的新書《Cult of the Dead Cow》再次獲得了人們的關(guān)注。這本書追溯了這個黑客組織的歷史。Back Orifice 是一個惡意軟件的概念證明，被設(shè)計來為企業(yè)版 Windows 2000 制造后門。他們的動機呢？迫使微軟承認其操作系統(tǒng)中普遍存在不安全因素。人們可以直接追溯像 Back Orifice 這樣的挑釁行為，到 2002 年著名的 Bill Gates 關(guān)于可信賴計算的備忘錄，當(dāng)時的微軟首席執(zhí)行官將安全列為微軟未來的首要任務(wù)。

6. 藍色藥丸(Blue Pill)

Joanna Rutkowska 關(guān)于顛覆虛擬化層安全性的傳奇演講也被載入史冊中。“藍色藥丸 (Blue Pill)” 得名于黑客帝國的 “藍色藥丸(Blue Pill)”——一種讓虛擬世界看起來真實的藥物——藍色藥丸技術(shù)在2006年的 “黑帽” 大會上引起了轟動。

藍色藥丸背后的想法很簡單：你的操作系統(tǒng)使用了藍色藥丸，然后它在藍色藥丸虛擬化的矩陣中醒來，Rutkowska 當(dāng)時寫道。這一切都是在運行中發(fā)生的（無需重啟系統(tǒng)）。而且所有的設(shè)備，比如顯卡，都可以被操作系統(tǒng)訪問，而操作系統(tǒng)現(xiàn)在是在虛擬機中運行的。

從那以后，Rutkowska 把她的進攻天賦用在了防守上，并推出了高安全 Qubes 操作系統(tǒng)，這是一款針對筆記本電腦的強化版 Xen 操作系統(tǒng)。

7. 藍牙漏洞攻擊(Bluesnarfing)和藍色狙擊者(BlueSniper rifle)

盡管現(xiàn)代智能手機是使用包括 WiFi 在內(nèi)的一系列無線協(xié)議傳輸數(shù)據(jù)的微型計算機，但 2004 年仍然還是功能手機的時代。第一部 iPhone 要再過三年才會問世。在那個時候，手機上最流行的無線數(shù)據(jù)傳輸技術(shù)是藍牙，雖然它的安全性不是特別好，而且人們經(jīng)常讓藍牙處于打開狀態(tài)，但當(dāng)時的手機制造商認為因為藍牙而受到攻擊的風(fēng)險很低，因為藍牙是一種短程協(xié)議。

這一觀點又被研究人員 Adam Laurie 和 Martin Herfurt 所證明，他們在 2004 年的黑帽和 DEF CON 會議上演示了通過藍牙漏洞和攻擊藍牙，攻擊者能夠不用授權(quán)就能將手機變成監(jiān)聽設(shè)備或下載行程和安排行程。他們把這些攻擊稱為 “藍牙竊聽(bluebugging)” 和 “藍牙漏洞攻擊(bluesnarfing)”。

之后一位名叫 John Hering 的研究人員將這一威脅提升到了另一個層次，他展示了一種類似步槍的配有半定向天線的裝備，在一英里之外進行基于藍牙的攻擊的可行性。藍色狙擊者步槍誕生了。

8. Kaminsky漏洞

2008 年，安全研究人員 Dan Kaminsky 發(fā)現(xiàn)域名系統(tǒng) (DNS) 協(xié)議存在一個根本性缺陷，影響到了被廣泛使用的 DNS 服務(wù)器軟件。該漏洞能夠使攻擊者隨意篡改電信供應(yīng)商和大型組織機構(gòu)使用的 DNS 服務(wù)器的緩存，迫使它們對 DNS 請求返回惡意響應(yīng)。這會導(dǎo)致網(wǎng)站欺騙，電子郵件攔截和一系列其他攻擊。

由于 DNS 是核心 Internet 協(xié)議之一，這個漏洞隨之引發(fā)的協(xié)調(diào)修補工作也成為了一個歷史之最。它還加速了域名系統(tǒng)安全擴展 (Domain Name System Security Extensions, DNSSEC) 的采用和部署，DNSSEC 在 DNS 記錄中添加了數(shù)字簽名。自 2010 年以來，Kaminsky 一直是 DNSSEC 的七個根秘鑰管理員之一。這些人來自世界各地，如果互聯(lián)網(wǎng)根秘鑰出現(xiàn)緊急狀況，恢復(fù) DNSSEC 根密鑰需要他們的秘鑰卡。

DNS 緩存中毒漏洞于 2018 年 7 月公布，Dan Kamisky 在下個月的 Black Hat USA 和 DEF CON 16 大會上公開了更多細節(jié)。

9. 從phpwn到”我如何遇到你的女朋友(How I Met Your Girlfriend)”

2010 年，安全研究員兼黑客 Samy Kamkar 利用 PHP 編程語言的偽隨機數(shù)生成器中的一個漏洞，開發(fā)了一個名為 phpwn 的程序。PHP 是世界上使用最廣泛的基于 web 的編程語言，隨機數(shù)對于任何加密操作都是至關(guān)重要的。特別是，Kamkar 的 phpwn 證明了由 PHP 的 LCG (線性同余生成器)——一個偽隨機數(shù)生成器生成的會話 ID 可以被準確地預(yù)測，從而進行會話劫持。網(wǎng)站使用存儲在 Cookie 中的會話 ID 來跟蹤和自動驗證登錄用戶。

Kamkar，也是 Samy 跨站點腳本蠕蟲（該病毒在 2005 年拿下了 MySpace）的創(chuàng)造者，在 DEF CON 18 大會 “我如何遇到你的女朋友(How I Met Your Girlfriend)” 這一演講中展示了 phpwn 攻擊。他通過一些技術(shù)和漏洞展示了如何跟蹤在線人員，包括確定他們的地理位置。

10. 騎兵不會來了(The Cavalry Isn’t Coming)

在連續(xù)幾年報告了可以直接影響人的生命和安全的具有嚴重漏洞的硬件設(shè)備，比如那些用于房屋、汽車、醫(yī)療服務(wù)和公共基礎(chǔ)設(shè)施的硬件后，研究人員 Josh Corman 和 Nick Percoco 在 DEF CON 21 一個主題為 “騎兵不是來了” 的演講中敲響了警鐘。這次演講正式啟動了 “我是騎兵 (I Am The horse) ” 運動。該運動的目標是讓黑客和安全專家與設(shè)備制造商、行業(yè)團體和監(jiān)管機構(gòu)同處一室，更好地向他們傳達網(wǎng)絡(luò)安全風(fēng)險，以及如何為關(guān)鍵設(shè)備消除這些風(fēng)險。

在接下來的幾年里，我是騎兵網(wǎng)絡(luò)安全基層組織一直致力于幫助汽車和醫(yī)療設(shè)備制造商啟動漏洞賞金和漏洞協(xié)調(diào)計劃，以及為美國國會，美國食品和藥物管理局以及其他大西洋兩岸監(jiān)管機構(gòu)的提供建議。該組織在持續(xù)彌補黑客和決策者在文化和網(wǎng)絡(luò)安全知識上的差距。

11. BadUSB

通過 USB 驅(qū)動傳輸?shù)膼阂廛浖呀?jīng)存在很長時間了。針對伊朗的 Stuxnet 網(wǎng)絡(luò)破壞攻擊，利用一個零日 Windows 漏洞從 USB 驅(qū)動上啟動了惡意軟件。然而，在 2014 年的 Black Hat 大會上，德國研究人員 Karsten Nohl 和 Jakob Lell 提出了一種和 USB 驅(qū)動相關(guān)的新型攻擊形式，如果不完全組織阻止計算機的 USB 端口，幾乎不可能檢測或防止這種攻擊。

這種攻擊被稱為 BadUSB，利用了廣泛使用的 USB 控制器中薄弱的固件安全來重新編程 U 盤，并讓它們模仿其他功能和設(shè)備——例如可以自動發(fā)送流氓命令和執(zhí)行惡意負載的鍵盤。通過設(shè)計，USB 協(xié)議能夠使一個設(shè)備具有多個功能，而行為卻像是多個設(shè)備，因為這種攻擊利用了一個設(shè)計決策所以無法被阻止。

BadUSB 大大增加了將未知 USB 設(shè)備插入計算機所帶來的安全風(fēng)險，甚至是再將 U 盤插入朋友的計算機并添加信任以后。這是因為 BadUSB 也可以變成蠕蟲。一個被 BadUSB 感染的計算機可以對插入其中的 USB 設(shè)備進行重新編程，并將其變成攜帶者。