比特币勒索出新招,佳能单反被黑客攻破,白帽却利用一个漏洞赎回了照片,这波操作简直了……...

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Blockchain_lemon/article/details/99509226
640?wx_fmt=png来源 | thenextweb

整理 | Carol

出品 | 区块链大本营(blockchain_camp)



直到现在,我们还是会经常听到使用比特币进行毒品交易、洗钱、甚至更多还未被大众所知的违法犯罪消息。


包括早几年的黑客入侵电脑勒索比特币事件,大家都可能会觉得,这些消息都离自己太远或概率太小,听听就过了。


但如果我说,你经常拿在手上把玩并十分爱惜的这个物品,就有可能中招呢?



比特币最新潜在受害者:单反相机


据《国家询问报》报道,一组安全研究人员成功利用佳能EOS 80D数码相机的漏洞,用比特币赎回了相机主人的照片。

(报道原文:https://www.theinquirer.net/inquirer/news/3080359/canon-dslr-ransomware


640?wx_fmt=jpeg


他们是怎么做到的呢?原来,网络公司check Point Research的研究人员,只不过是利用摄像头了的图片传输协议(PTP),就完成了这个操作。而这个软件,通常用于将图片从设备传输到电脑的。

注意!

此操作可能会向黑客“打开大门”


随着科技发展,现在大部分相机都支持用WiFi连接来传图片,免去了忘带读卡器或者USB的麻烦。
这个功能被称为PTP/IP(互联网图片传输协议)。不过,这个功能方便了用户的同时,也容易出现安全隐患。因为就在你享受WiFi传输的便捷、再也不屑用USB传输时,你就有可能会被黑客盯上了。


因为基于互联网进行的图片传输,正是为黑客提供了一个宝贵的攻击载体。


这是为什么?


正如检查研究指出的,PTP是一个未经身份验证的协议可以支持几十个复杂的命令。因此,它可能被黑客滥用,向毫无防备的摄像头注入恶意代码。


在这个特殊的漏洞中,我们的研究人员能够通过WiFi设置勒索软件程序,用来加密摄像头的存储。


当袭击启动之后,摄像头屏幕上就会只剩下一条勒索信息,要求机主用比特币交换照片,否则将会销毁或公布、用于其他用途。(有兴趣的朋友可以看看YouTube上的黑客实践https://www.youtube.com/watch?v=75fVog7MKgg


640?wx_fmt=png


不过大家也不用太过于担心,虽然这看起来有点吓人,但研究表明,黑客能成功利用这种特殊的漏洞进行勒索的可能性是很渺茫的。


一般来说,摄影师若非实在没办法,都不会用WiFi进行图片传输的,毕竟WiFi传图片和直接用SD卡放入电脑传输相比,WiFi传输速度还真的慢得不是一点半点。


另一边,研究人员将这个漏洞问题告知了佳能。佳能反应速度还挺快,在上周左右就发布了一款相机固件补丁,并发布了一份安全警告通知。不过目前还不清楚其他品牌的相机会不会有这个漏洞呢?


同样的,如今各种新兴技术帮助大家进步,但同时也希望能尽量避免给大家带来新的隐患,即时出现有害漏洞,也可以即时发现、及时补救。



640?wx_fmt=gif


推荐阅读:



猛戳"阅读原文"有惊喜哟smiley_12.png

老铁在看了吗?👇

展开阅读全文

黑客攻破SQL服务器系统的十种方法

04-23

转帖:[url=http://www.zggov.com]web工程师之家[/url]rn无论是使用手工试探还是使用安全测试工具,恶意攻击者总是使用各种诡计从你的防火墙内部和外部攻破你的SQL服务器系统。既然黑客在做这样的事情。你也需要实施同样的攻击来检验你的系统的安全实力。这是理所当然的。下面是黑客访问和攻破运行SQL服务器的系统的十种诡计。rnrn1.通过互联网直接连接rnrn这些连接可以用来攻击没有防火墙保护、全世界都可以看到和访问的SQL服务器。DShield公司的端口报告显示了有多少系统在那里等待遭受攻击。我不理解允许从互联网直接访问这种重要的服务器的理由是什么。但是,我在我的评估中仍发现了这种安全漏洞。我们都记得SQL Slammer蠕虫对那样多的有漏洞的SQL服务器系统造成的影响。而且,这些直接的攻击能够导致拒绝服务攻击、缓存溢出和其它攻击。rnrn2.安全漏洞扫描rnrn安全漏洞扫描通常可以基本的操作系统、网络应用程序或者数据库系统本身的弱点。从没有使用SQL安全补丁、互联网信息服务(IIS)设置弱点到SNMP(简单网络管理协议)漏洞等任何事情都能够被攻击者发现,并且导致数据库被攻破。这些坏蛋也需使用开源软件、自己制作的工具软件或者商业性工具软件。有些技术高手甚至能够在命令提示符下实施手工黑客攻击。为了节省时间,我建议使用商业性的安全漏洞评估工具,如Qualys公司的QualysGuard(用于普通扫描)、SPI Dynamics公司的WebInspect(用于网络应用程序扫描)和下一代安全软件公司的“NGSSquirrel for SQL Server”(用于数据库扫描)。这些工具软件很容易使用,提供了最广泛的评估,并且可以提供最佳的结果。图1显示了你可能发现的一些SQL注入安全漏洞。rnrn更多内容请[url=http://www.zggov.com/Server/manager/html/20094231032.html]查看原文[/url]http://www.zggov.com/Server/manager/html/20094231032.html 论坛

没有更多推荐了,返回首页