国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　一年一度的BlackHat大會于北京時間8月7日凌晨在美國內(nèi)華達州拉斯維加斯召開。安恒信息總裁范淵率領安全技術達人們親臨現(xiàn)場，與來自世界各國的網(wǎng)絡安全專家進行深入的探討和交流。

　　未來幾天，小安會陸續(xù)整理我們在BlackHat大會上的見面，以饗讀者。

　　移動安全是今年BlackHat大會一個重要議題，有關移動安全方面的議題很多，今日大會第一天，HTTPS再爆風險，安卓系統(tǒng)欺騙認證嚴重性史無前例。下面挑選幾個比較具有代表性的議題供大家參考。

　　Android FakeID 漏洞

　　之前網(wǎng)上已經(jīng)公布了FakeID的漏洞，但沒有公布具體的細節(jié)。而這次漏洞的發(fā)現(xiàn)者Jeff為我們講解了攻擊的原理。利用證書鏈認證的安全問題，繞過了證書的校驗，并能覆蓋掉之前安全的應用。Jeff在現(xiàn)場為大家做了演示： poc沒有申請任何權限，最后獲得了一個遠程控制的shell， 完全控制了android操作系統(tǒng)。

　　TrustZone的安全問題

　　ARM TrustZone 技術是系統(tǒng)范圍的安全方法，針對高性能計算平臺上的大量應用，包括安全支付、數(shù)字版權管理 (DRM)、企業(yè)服務和基于 Web 的服務。 TrustZone 技術與 Cortex™-A 處理器緊密集成，并通過 AMBA® AXI 總線和特定的TrustZone 系統(tǒng) IP 塊在系統(tǒng)中進行擴展。此系統(tǒng)方法意味著可以保護安全內(nèi)存、加密塊、鍵盤和屏幕等外設，從而可確保它們免遭軟件攻擊。 而手機大量使用 arm芯片， 都會存在這樣的問題。 演講者利用一個整型溢出漏洞成功的修改了特定內(nèi)存的數(shù)據(jù)，成功攻擊了TrustZone, 并解鎖了android 的bootloader

　　移動設備管理軟件可以訪問廣泛的數(shù)據(jù)，而這可能會因為MDM產(chǎn)品中的漏洞而遭到泄漏。NTT COM Security公司研究人員Stephen Breen展示了如何執(zhí)行這種攻擊，并且列出了允許這種漏洞利用的漏洞。他表示，有些漏洞在一些商業(yè)MDM產(chǎn)品中非常常見。

　　此外，Google glass作為新興的產(chǎn)品，很受關注， 其中一個議題《my google glass see your password》講述了應用程序可以誘使視頻用戶輸入密碼到觸摸屏，并對其分析以竊取密碼，其原理并不復雜，但思路很有趣，利用googleglass的拍照攝像功能獲取按鍵的視頻，然后通過視頻處理的方式獲得對應的按鍵從而獲得ipad等設備的解鎖密碼。并且據(jù)說在2m內(nèi)的成功率100%，3m內(nèi)的成功率也有80%-90%

　　云計算是當下最熱門IT技術之一，關于云計算的安全這兩年也是業(yè)內(nèi)非常重視的熱點之一。在今年的Blackhat第一天的會議上就有兩個關于云計算安全的議題。

　　第一個議題是來自w3af的Andres Riancho給大家?guī)砹恕禤IVOTING IN AMAZON CLOUDS》主題演講，針對目前越來越多的應用程序被部署到Amazon云上，那Amazon云基礎平臺是否安全？傳統(tǒng)的安全測試手段是否適用云計算平臺測試？Andres Riancho給大家的答案是否定的。Andres Riancho在現(xiàn)場給大家演示和詳細講解了用于對Amazon云環(huán)境進行安全測試的工具——nimbostratus。這個工具從測試AWS配置入手，發(fā)現(xiàn)多個Amazon安全問題。目前國內(nèi)的云計算服務商也越來越多，這些云服務提供商的云環(huán)境是否足夠安全，今天的議題可能會給國內(nèi)安全人員更多的思考和實踐。

　　第二個關于云計算安全的議題是Rob Ragan和Oscar Salazar帶給大家的《CLOUDBOTS: HARVESTING CRYPTO COINS LIKE A BOTNET FARMER》主題演講，當計算機犯罪分子開始使用眾多的云服務進行惡意活動的時候，會給我們的社會帶來什么危害。這個主題就是探討利用免費試用云服務的計算能力，存儲和預制黑客攻擊環(huán)境。為了注冊免費試用賬戶偽造大量電子郵件地址，然后通過這些郵箱注冊免費試用云服務，繼而通過云環(huán)境構(gòu)建僵尸網(wǎng)絡，這將對傳統(tǒng)防范僵尸網(wǎng)絡的技術帶來嚴峻的挑戰(zhàn)。并且通過免費試用云服務組建僵尸網(wǎng)絡，只是一種方式，還有其它很多攻擊手段可以利用。