×

注册花火通行证,没有账号立即注册

带你遥望BlackHat 2015黑客大会首日精华看点

2015-08-07 09:23:02来源:雷锋网

扫一扫

分享文章到微信

扫一扫

关注花火网微信公众号

收藏

分享到

 目前,全世界顶级黑客聚首赌城拉斯维加斯,正在参与如期举行的一年一度的BlackHat黑客大会,这是一场顶尖黑客技术与观点交汇而成的饕餮盛宴。以下罗列的是BlackHat 2015首日的精华看点。

Blackhat创始人:软件商,请不要再逃避责任了

漏洞、缺陷、安全隐患作为软件内部问题而时刻存在,当用户安装了一个应用时,他就被迫接受用户许可协议,即卖方不承担由此造成的伤害。BlackHat创始人Jeff Moss说:“是时候,软件应该承担不可逃避的责任了。”

周三,Moss在大会开幕致辞中说:“我讨厌承认这点,但我确实没有看到软件承担更多责任。或许这会耗费一美元,甚至是1000万美元,但软件未来肯定要对此负责。”

立法者多年来一直在讨论软件供应商承担责任的可能性。这个想法已经被多次重构,但却从来没有实施过。其中一个主要原因是软件制造商们的努力赢得了战斗的胜利。行业组织与独立软件供应商一直拒绝为自身设备的缺陷或安全漏洞承担责任。

但情况正在发生急转。软件现在并不仅仅存在于笔记本、台式机和服务器中,同时存在于飞机、汽车、家电等许多设备中。如果一台笔记本中的软件有漏洞,这可能只是个独立事件。而一旦飞机上航空电子设备软件出现问题,这个影响则是不可同日而语的。

Moss提醒大家,想想波音公司,现在那些飞机临驾于数据中心之上。

近期有两位研究人员开发的针对智能汽车软件的远程攻击表明,传统软件存在的问题许多也同样存在于运行车辆的应用程序中。而想要从攻击或者软件漏洞中恢复,对于汽车而言则不是一件轻松的事情。

Moss并不是唯一一个有这样想法的人。长期为黑客及安全研究者担任辩护律师、斯坦福大学网络与安全中心主任Jennifer Granick,继Moss之后发言:软件必须去承担责任。

“我认为软件对于责任而言是不可逃避的,同时这非常有必要。但这会让代码变得更加昂贵,或许目前我们的推动工作没有价值,但是这总能发生的。”

垂死的互联网自由之梦

互联网正飞驰在一条监管与审查的,因此所有大众传播手段变成了无价值讯息的集合。开始有点像电视了。

Jennifer Granick给我们带来了一丝丝恐惧,因为当下社会存在监视、审查、内容管制以及我们竟然自信地允许这一切发生。

“20年前,因为我相信一个自由和开放的互联网之梦,我第一次去DEF CON。我相信在这个世界上,那些想要对软件以及设备深入学习、实践、改变、逆向工程的人有自由,而正是他们定义了我们周遭的世界。20年前带我去DEF CON的那个互联网自由之梦,现在正慢慢死去。”

Granick表示在一味指责政府,不如一起行动起来推动有意义的趋势。

现在人们所做的不仅仅是经营个人博客,他们还会在例如Facebook的平台上面发布个人消息。许多黑客可能在自己的邮件服务器上运行东西,但对于我们普通的大多数人,可能是Gmail优先。大多数人使用的手机设备没有越狱,他们下载应用程序并批准过度权限的要求。他们在所谓的云端共享数据,但实际上互联网是由数量有限的几家公司所控制。

Granick认为,首先美国国会应该停止哗众取宠地制订更为严苛的网络犯罪法律。她指出,没有起诉中国、朝鲜以及俄罗斯这些该为美国大型数据泄露负责的APT组织,反而让计算机欺诈和滥用法令(CFAA)更加严格,这么做只会让“好人心寒”。

Granick呼吁,大家应该支持软件使用者有权研究软件并对其进行修改,同时CFAA不应该对此加以阻拦。而随着更多来自汽车、家庭自动系统等网络设备的实现,这一需求变得更加重要。

歌承诺将每月推送Nexus设备安全更新

拉斯维加斯的BlackHat黑帽大会对谷歌产生了触动,在近期的Stagefright漏洞之后,Google(谷歌)今天宣布,从现在开始,将会每月为Nexus设备推送一次Android系统安全更新。

获得安全更新的设备包括Nexus 4、Nexus 5、Nexus 6、Nexus 7、Nexus 9、Nexus 10和Nexus Player。而首次更新推送从今天开始,更新内容包括修复上述Stagefright漏洞。

根据谷歌方面的承诺,安全更新补丁将面向三年内Nexus设备,以及在谷歌商店销售的18个月内的其他Android原生系统设备。

而三星今天也表示,将为旗下的Android智能手机和平板电脑每月推出一次安全更新。预计将会有越来越多Android设备厂商重视安全问题,并且做出改进。

美国政府寻求黑客帮忙撰写技术法律条文

美国的政治家和决策者们通常都不太懂技术,经常会听闻某些政客不会使用电子邮件,到目前为止还在使用翻盖手机的事迹。所以美国政府在写技术性法律时要向技术人员寻求帮助。

近几年,技术人员已经慢慢的渗透进了联邦政府,如Ed Felten、Ashkan Soltani、Chris Soghoian和其他的一些技术人员。Soltani是联邦贸易委员会的主管,他强调政府在制定技术性文件时需要网络安全社区的帮助,如瓦瑟讷尔出口控制中的技术问题。

Soltani在黑帽大会上讲到:这些都是很重要的辩论,你的参与也至关重要。辩论过程可能不会很有趣,但如果律师和政客们出了错,可能就会闹笑话了。

法律中的技术问题日益严峻,而政府机构职员的技术水平又完全跟不上步伐,没有安全社区人员的技术精湛。为了制定出没有问题的法律,政府强烈呼吁安全研究员和技术人员参与,给予出更多的建设性意见。

“我们在此寻求大家的帮助,只要是好的策略,我们就会采纳。赶快加入吧!”

汽车入侵揭秘

来自美国的安全工程师Charlie Miller和 Chris Valasek,给大家带来万众期待的远程操控汽车研究(之前FreeBuf也有过报道)。

会前两位演讲者还实地演示,黑入了著名记者Andy Greenberg驾驶的汽车,操控了方向盘、刹车、发动机、汽车信号、车门锁,以及重置时速表、转速表和控制变速器。这也成为菲亚特克莱斯勒召回140万辆汽车的缘由。们证明了可以从任何接入互联网的地方,“远程获取汽车的关键功能操作权限,比如踩下刹车、让引擎熄火、把车开下公路,并令所有电子设备宕机”

克莱斯勒提供了以下受到影响的车辆列表:

2013-2015 MY Dodge Viper specialty vehicles

2013-2015 Ram 1500, 2500 and 3500 pickups

2013-2015 Ram 3500, 4500, 5500 Chassis Cabs

2014-2015 Jeep Grand Cherokee and Cherokee SUVs

2014-2015 Dodge Durango SUVs

2015 MY Chrysler 200, Chrysler 300 and Dodge Charger sedans

2015 Dodge Challenger sports coupes

会议演讲者认为汽车智能化的速度太快,以至于安全领域的研究并没有跟上发展,演讲者认为目前并没有完善的方法来解决这一安全问题,需要进一步加强产业研究,学术支持,政策规划。

政府监听可能无法实现了

近段时间,政府官员萌生了一种想法,他们想要获得某些数据库的特殊访问权限。但是托管密钥的第三方平台则强烈反对,称强制后门访问不仅会在系统中引入漏洞,而且还会破坏系统现有的安全防护。

为此,技术人员正在努力的找出一种解决方法,以解决政府机构和法律机构的“Going dark”加密问题。

译解密码者Matthew Green和律师James Denaro在黑帽大会上做了一个演讲,虽然没有找到解决方法,但已经从历史、法律技术的角度来看已经打破了这一有争议的话题。

Green和Denaro从技术方面指出,特殊访问是一个很糟糕的主意,更为严重的是,这一问题是没有地理边界的。难道说要苹果公司可以在美国的执法机构安装一个后门吗?

大家可以想象一下,一旦你有了窃听别人信息的能力,你能保证你不会去窃听,那些黑客组织能保证吗?即使建立了一个合法的安全屏障来保障这种技术不会被滥用,但谁能打保票呢。如果ISIS需要加密,他们同样也可以使用这种方法。

诸如苹果的iMessage和Facebook的Whatsapp,像这类的移动应用程序拥有大量的用户,而且他们大部分选择使用端对端加密的方式,这对于执法机构来说是一个很大的障碍。

活动现场图片资料:

 
 
 
 
 

BlackHat参会套装

 
为您推荐
美政府机构将推进实施央行数字货币的研究吗?美国将对加密货币严加监管吗 美政府机构将推进实施央行数字货币的研究吗?美国将对加密货币严加监管吗

花火网报道,美联储主席说:“不管我们最终得出的结论是什么,我们都希望在为CBDC制定国际标准方面发挥领导作用。”政府机构说加密货币构成了“通过促进非法活动而成为一个重大的

limengjia2021-05-21 10:46

HyperX起源RGB游戏机械键盘外观如何?HyperX起源RGB游戏机械键盘手感怎么样 HyperX起源RGB游戏机械键盘外观如何?HyperX起源RGB游戏机械键盘手感怎么样

花火网报道,HyperX拥有水轴、火轴、和冰轴三款知名的机械键轴,顺滑的水、炙热的火、冷酷的冰,截然不同的自然元素充分诠释了HyperX Alloy Origins 起源RGB游戏机械键盘的这三款

limengjia2021-05-08 10:00

云米烟灶套装Cross2 X1吸油烟效果怎么样?云米烟灶套装Cross2 X1清洁方便吗 云米烟灶套装Cross2 X1吸油烟效果怎么样?云米烟灶套装Cross2 X1清洁方便吗

花火网报道,智能科技时代的到来让人们的消费理念和消费需求产生剧变,尤其是生活方面,家居越智能越好,如此才能满足现代人对便捷生活的要求。先前率先提出全屋互联家电概念的云米

limengjia2021-06-09 13:06

雷蛇 蝰蛇 标准版的性能如何 雷蛇 蝰蛇 标准版的外观好看吗 雷蛇 蝰蛇 标准版的性能如何 雷蛇 蝰蛇 标准版的外观好看吗

花火网报道,雷蛇一直是鼠标界的标杆品牌,雷蛇旗下的Razer炼狱蝰蛇更是他们的经典之作。对于雷蛇 蝰蛇 标准版的性能如何,雷蛇 蝰蛇 标准版的外观好看吗等问题,小编就来一一解决

chentianzheng2021-06-05 15:58

RedmiBook Pro 15笔记本怎么样 RedmiBook Pro 15笔记本外观怎么样 RedmiBook Pro 15笔记本怎么样 RedmiBook Pro 15笔记本外观怎么样

花火网报道,在近几年笔记本电脑市场的火热竞争中,RedmiBookPro系列在今年2月份开启了首款pro系列产品。在5月26小米举行了 Redmi Note 10系列发布会。关于网友关心的RedmiBook

chentianzheng2021-06-04 15:04

英伟达显卡价格下降了吗?矿工对显卡的需求减少了吗? 英伟达显卡价格下降了吗?矿工对显卡的需求减少了吗?

花火网报道,去年NVIDIA发布了RTX 30系列,很多人觉得虽然RTX 3090价格很贵,但是RTX 3080以及RTX 3070还是很良心的,官方指导价为5499元的RTX 3080,价格不高又能打,很是引起了不少人

limengjia2021-06-22 09:25

英国广告机构禁止加密交易所的比特币广告吗?加密交易违反证券法吗 英国广告机构禁止加密交易所的比特币广告吗?加密交易违反证券法吗

花火网报道,英国一家主要的广告行业组织已裁定开展一场广告活动,告诉人们“现在该购买”比特币(BTC)。英国广告机构禁止加密交易所的比特币广告吗?加密交易违反证券法吗?英国广

limengjia2021-05-27 10:49

奇亚币是财富还是灾难?CHIA的前途在哪里 奇亚币是财富还是灾难?CHIA的前途在哪里

花火网报道,币圈94之后,国内禁止1CO和预售代币了,现在硬盘挖矿这种行为,也是变相的把原本简单的1CO提高了门槛,本来可以直接兑换的币子,变成了,活生生让你花大价钱购买硬盘机器托管

limengjia2021-04-30 11:02

为什么以太坊的价格会达到3600美元?以太坊的价格会继续增长吗 为什么以太坊的价格会达到3600美元?以太坊的价格会继续增长吗

花火网报道,未来几个月对以太坊来说是令人振奋和决定性的,因为其最近创下的超过3600美元的历史高点使人们更加关注加密货币及其智能合约区块链--以太坊。为什么以太坊的价格会

limengjia2021-05-07 16:21

Chia将获A16Z两亿风投吗?A16Z是什么 Chia将获A16Z两亿风投吗?A16Z是什么

花火网报道,Chia(奇亚)的创始人Bram Cohen在推特上发文称:“以目前的增长速度来计算,Chia的全网总算力将超过全球的总存储能力,而这个时间不会超过2个月”。Chia将获A16Z两亿风

limengjia2021-05-18 10:38

加载更多新闻
热门资讯
最新更新