黑帽大會又來了!世界頂級黑客們今年打算搞什麼?

亞太日報

text

【亞太日報訊】陰鬱的西部片中,戴黑帽子的大多都是反派;“黑帽子”也是那些網路罪犯的代稱。不過,不要以為黑帽大會(Black Hat Conference)是全球網路罪犯的“犯罪經驗交流”,其實,黑帽大會是全世界最盛大的“白帽子”黑客的集會。

8月3日,一名與會者在拉斯韋加斯參加2016年黑帽大會。新華社記者郭爽攝

Black Hat?

黑帽大會(Black Hat Conference)是公認的全球信息安全領域頂級聚會,吸引全球各路黑客、信息安全專家、研究人員等相關人員匯聚一堂。

1993年,時年18歲的天才黑客Jeff Moss為了歡送同學而創建了黑客聚會DefCon。4年之後的1997年,他又創建了Black Hat。至今,這兩個大會仍然一起開辦。20年的時間裡,Black Hat逐漸成為全世界黑客公認的殿堂級會議。

2014美國黑帽大會上的Jeff Moss。圖片來源:路透社

有一個數字可以證明這個大會的價值:2005年Jeff Moss出售Black Hat給CMP Media,狂賺1,390萬美元。

雖然目前Black Hat在全世界幾個城市都有分會場,但是最受矚目的仍然是每年在拉斯維加斯舉辦的Black Hat USA。2016美國黑帽大會(Black Hat USA 2016)於2016年7月30日至8月4日在拉斯維加斯曼德勒海灣酒店舉行。這屆BlackHat將會接待超過11,000觀眾,人數創造了BH歷史之最。175 名頂級黑客做為演講者,奉獻120個主題演講,同樣創造了19年歷史之最。

座無虛席的2016美國黑帽大會主會場。圖片來源:雷鋒網

每年世界上的頂級黑客們都會選擇在這個會議公布他們的最新研究成果,小到破解酒店的 Wi-Fi和電視計費系統,利用公共充電站破解iPhone;大到控制智慧汽車、讓ATM機狂噴鈔票、控制一把智慧步槍;甚至還可以接管一座化工廠的生產設備、或者讓衛星定位系統紊亂。

Black Hat怎麼看?

Black Hat大致分為兩個部分——黑客訓練營和黑客主題演講。

當地時間 2016年8月2日 Black Hat 黑客訓練營某教室。圖片來源:雷鋒網

黑客訓練營:這個環節一般在演講前一天開始,由各大贊助商(大多是安全公司)對有志成為黑客的人進行特訓。當然,這個環節也保證了之後的黑客主題演講環節不被贊助商幹擾,從而保持可貴的中立性。

黑客在2015年黑帽大會上演講。新華社記者馬丹攝

黑客主題演講:Black Hat的重頭戲。數個分會場火力全開,黑客們在此分享他們積攢了一年的最新成果,讓人腦洞大開。安全的技術趨勢,最新的破解工具都會在主題演講中展示。對於暫時沒有機會親臨賭城參加黑客訓練營的人們來說,關注主題演講不失為一種了解黑客技術前沿的好方法。

給今年的Black Hat劃些重點?

1.人工智能與機器學習

提現了人工智能與機器學習技術的電影《超能陸戰隊》劇照。資料圖

將人工智能用於傳統人工任務的爭論不斷,甚至有人惴惴不安,認為基於機器學習的應用程序將最終取代人類。如果安全技術將機器學習用於檢測攻擊和不良行為以及防患而未然的機制中,大量安全技術將大大提升。

今年的美國黑帽大會上,我們能聽到更多有關機器學習的展望,並在將來成為安全行業津津樂道之話題。

2.物聯網設備安全

充滿物聯網想象的電影《鋼鐵俠》劇照。資料圖

過去幾年,物聯網風生水起,所以物聯網在黑帽大會擁有專用的追蹤技術,毫不奇怪。Amazon Echo以及其它聯網設備目前正大規模普及,公司在物聯網探索方面將面臨更多挑戰,比如當越來越多的人在家辦公時,物聯網需確保數十億的聯網設備安全,而在家裏,聯網烤面包機和芭比娃娃都有可能為公司設備帶來安全漏洞。

如今,幾乎人人都可以制造物聯網設備,但並非每個人都能保證設備安全。目前需要的物聯網設備需從制造開始就具備最佳安全知識。如果智能汽車和智能冰箱等設備被黑,將會直接影響家庭與個人安全。因此保護聯網設備尤為重要。

3.“未來安全”

今年2月,FBI局長詹姆斯‧科米(右)承認,FBI與蘋果(左為蘋果CEO蒂姆‧庫克)之間的紛爭,將成為未來法官執法的參考先例。資料圖

當涉及安全政策與立法時,安全社群嚴重分裂。一些人希望政府介入並監視,而另一些人不同意並希望立法覆蓋面更廣。蘋果與FBI之間的對陣、技術如何改變我們的生活等討論不斷。2016年美國黑帽大會將重點推進“未來安全”方面的討論與辯論。

4.發布16大熱門新安全產品

各個安全廠商在如此盛大的場合利用機會展示最新、最偉大的技術。這些新發布的技術包括威 脅檢測、產品集成、安全服務、威脅情報等的最新科技。安全廠商表示,新解決方案將幫助客戶抵禦攻擊者並解決新威脅媒介,黑客也會在此演示許多攻擊媒介。

5.一些腦洞大開的“黑”議題

8月3日,美國網際網路安全專家丹‧卡明斯基在2016年黑帽大會上做主旨演講,他曾於2008年發現域名系統的重大安全漏洞。新華社記者郭爽攝

網路的真相

做為本次黑帽大會的開場演講嘉賓,丹‧卡明斯基可謂實至名歸。他曾經在2008年佔據了各大科技媒體的頭條,因為他發現了網路域名系統(DNS)的底層設計缺陷。這個缺陷使得人們數十年構建的網路安全體系轟然倒塌,卡明斯基的發現,可以簡單地讓網路大規模癱瘓,這個漏洞也被命名為“卡明斯基漏洞”。迄今,他仍是這個星球上擁有重置世界網路DNS的“七神”之一。

今年,這個擁有解構網路的上帝視角的黑客又回來了。看起來,他又有了顛覆網路底層認知的大發現,因為他演講的題目是《時間的隱密結構:為什麼我們的網路能工作,我們如何失去它,黑客應該怎麼辦》。

HTTPS加密

HTTPS被認為是一種高階的網路加密方式,經過這種加密途徑,伺務器和客戶端的交流數據才會是私密的。不過來自SafeBreach的安全研究員將要展示一種方法,強迫瀏覽器使用特定的代理設置。在這種情況下,即使是加密的協議,其中的數據也可能洩露。想像一下你給女朋友寫的每一封情書,都被郵差打開看過的感受吧。世界就是這麼驚悚。

騙子識別

有關社工的主題,還有一組黑客的研究成果大開腦洞,來自美國霍夫斯特拉大學的Judith Tabron 將會介紹一種新的技術,透過電話對面的人所聊的內容和主題,自動判斷對方是否是一個騙子,進而對電話這頭深陷迷局的受害者進行及時提醒。

遙控ATMATM自動吐鈔

在2010年的Black Hat上,新西蘭黑客巴納拜·傑克利用自己的黑客技術讓兩臺不同系統的ATM機自動噴錢。資料圖

早在2010年,就有人在Black Hat上展示過對ATM的攻擊。不過在那之後,銀行普遍對ATM進行了升級。但是黑客Weston Hecker對於銀行的新一代ATM的安全性仍然非常不滿意,於是進行了新一輪的破解研究。透過NFC破解,他可以遠在400英裏以外遙控一個ATM自動吐鈔。

竊取手機支付憑證

同樣和錢有關,黑客Salvador Mendoza把目光放到了Samsung Pay(三星支付)上,由於Samsung Pay支持動態Token驗證,但並沒有保證每次支付都必須在同一臺設備上進行。所以黑客可以透過一種特殊的攻擊方法,讓被攻擊的手機處於飛行模式,這樣三星伺服器就和這支手機處於“失聯”狀態。在此期間,黑客就可以竊取這個支付憑證。

燈泡傳毒

你有想過,你家的智慧藍牙燈泡在你的頭頂偷偷傳播病毒嗎?黑客Colin O’Flynn就擁有這樣的超能力。透過解密藍牙裝置的BootLoader,他可以獲得燈泡晶片的完整權限,從而可以解密任何敏感資訊。

汽車跑偏

8月4日,汽車黑客、優步高級技術中心的安全專家查理·米勒(右)和克裏斯·瓦拉謝克在2016年黑帽大會上演示汽車黑客技術。新華社記者郭爽攝

曾經駭入Jeep從而造成克萊斯勒召回140萬輛汽車的傳奇黑客今年再次回歸Black Hat。熟悉汽車黑客的人都知道,克裏斯和米勒之前只實現了特定情況下──例如低速行駛時對於汽車剎車和方向盤的控制,但是並不能控制正常行駛的汽車。這次他們將會用一種新的方式攻擊汽車CAN總線,他們將會在自動駕駛的情況下控制剎車和方向盤。無疑這會對車上的乘客造成更大的風險。

小結:

在黑客世界中,有三頂帽子的說法:黑的、灰的和白的,如何戴上合適的帽子,是根據他們做事的法律後果來界定。帶著黑帽子的是不計法律後果的犯罪行為,灰帽子遊走在法律的邊界,而戴著白帽子的則是為了信息安全而出手。“白帽子”匯聚的“黑帽大會”,我們有理由期待,它可以讓世界更加安全與美好。

(亞太日報綜合;編輯:許江山)