黑帽大会的十二个最新技术亮点

最新推荐文章于 2024-07-19 16:51:29 发布
最新推荐文章于 2024-07-19 16:51:29 发布
阅读量2.1k 收藏
点赞数
文章标签: 微软 产品 数据库服务器 路由器 chrome google

2011-08-02 11:04


同往常一样,将于本周在拉斯维加斯举行的年度黑帽大会无疑是重磅事件。会上,安全专家将会粉碎人们不切实际的幻想——他们会告诉大众高科技行业制造的东西,不会有任何安全可言。

AD:


同往常一样,将于本周在拉斯维加斯举行的年度黑帽大会无疑是重磅事件。会上,安全专家将会粉碎人们不切实际的幻想——他们会告诉大众高科技行业制造的东西,不会有任何安全可言。

在2011年的黑帽大会上,安全研究人员将会展示50多种产品,其中最密集的是展示设备漏洞:包括USB设备,打印机,扫描仪,iPhone与安卓设备,Chrome,笔记本电脑,行业监控与数据采集系统(SCADA)。

一些关于本次大会的细节已经被提前披露,比如查理米勒在“财富”杂志上写道:已经发现侵入苹果MacBook, MacBook Pro与MacBook Air芯片且控制电池的方法,这样就可以摧毁它们或者在它们上面安装持续的恶意软件。

同时,会上也会有一些让人恐惧的展示项目,比如iSEC Partners的研究员Don Bailey和Matthew Solnik将会展示一些“文本指令战争”(War Texting)技巧以发现汽车,然后利用其移动网络的漏洞经由笔记本电脑打开车门,发动汽车引擎。

如果对打印机感兴趣,会上Zscaler的研究员Michael Sutton将会展示:如何通过网络和最近处理的文档集(甚至都不用进入其内部),轻易找到打印机与扫描仪的嵌入式网络服务器。

以下是我们在黑帽大会安排里精心挑选的几项让人不寒而栗的内容(除非展示人胆怯退出,之前有人因为害怕厂商使用这些方法而退会)。尽管一旦研究人员说他们早已告诉厂商问题所在与修正方法,人们的兴奋感就会被降低。但是,在梦幻般的黑帽大会中,以下活动极为可能出现:

1.利用ioS内核:Stefan Esser将会展示iPhone内核级的开发利用。

2.侵入安卓设备以营利:Riley Hassell和Shane Macaulay将会曝光安卓应用程序全新的威胁,还会讨论安卓系统和安卓市场的已知与未知漏洞。

3. 苹果iOS安全评估:漏洞分析与数据加密:,Dino Dai Zovi将会分析在几个关键的安全机制中,就其长处与短处,企业应该考虑什么。

4.侵入Google Chrome OS: Matt Johansen与Kyle Osborn声称已经发现其大量严重的基本安全设计缺陷,只需要轻轻一击鼠标,用户的电邮,联系人,已存的文档就会被暴露。而且,还可以通过窃取其临时cookie盗取其Google账户等等。

5.损坏芯片密码卡:Adam Laurie, Zac Franken, Andrea Barisani与Daniele Bianco四人组,将会展示如何通过在电磁电容世界的信用卡扫描与个人身份号码(PIN)获取,成功侵入基于芯片的支付卡。

6.利用西门子Simatic S7 PLCs:独立研究员,NSS实验室工作人员Dillon Beresford将会以此展示工业数据监控与采集系统(SCADA)的缺陷。

7.获取路由表:Gabi Nakibly计划展示开放路由最短路径优先(OSPF)协议上的漏洞,该漏洞将会使黑客不必获得路由器本身,就可以得到路由器内的路由表。

8.Sophail——Sophos杀毒软件的批判分析:为了分析Sophos声称所拥有的技术,探测已被曝光的丰富的攻击平面,展示其缺陷与漏洞,Tavis Ormandy将会对Sophos的反病毒软件产品进行全面检测,然后进行批判。

9.通过Arduino利用USB设备:Greg Ose将会讨论如何利用Arduino硬件架构中的部件。

10.在SAP J2EE引擎核心上的毁灭性打击:Alexander Polyakov将会展示其漏洞攻击的细节,还会提供一个检测攻击的免费工具。

11.侵入与forensicate甲骨文数据库服务器:资深的数据库安全研究员David Litchfield将会展示此项内容。David曾于过去发现甲骨文产品的关键安全缺陷,这应该引起重视。

12.微软的Vista系统——不再保密的那些好的,坏的,不甚美观的:尽管对我们大多数人来说其只有历史价值,但是安全研究员Chris Paget仍然会会曝光之前Vista安全进程的秘密信息。Chris说他之所以等到现在,是因为为了获取源代码和设计规格,他曾于五年前与微软签订保密协议(NDA),现在刚好赶在黑帽大会之前协定过期了。

当微软的安全社区外联和战略小组首脑Kate Moussouris开始她的谈话“爱从Redmond(微软总部所在地)开始”之时,那听起来似乎像儿女回老家探望。

她将会告诉黑帽大会的出席者(这些人有时对寻找微软Windows产品的漏洞过分热情):当微软于2008年宣布3个战略性的计划时(在升级前分享微软产品的漏洞信息,寻找第三方产品的漏洞,预测短时间内黑客会确实利用哪些漏洞)人们都认为微软失去理智了。

然而几年后微软似乎仍然古怪疯狂,Kate保证说道:“2011年我们仍然会继续想出疯狂的点子。”微软还会派她在黑帽大会上说出什么疯狂的东西呢?我们拭目以待。
sealinedfw
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
360工程师王占一在美国大会上演讲
10-14
360工程师王占一在美国大会上演讲,这是原PDF,描述了流量识别的一些思路及解决方法
2021年大会Big-Data-Stack-PPT
08-11
在2021年的大会上,Sheila A. Berta (@UnaPibaGeek) 发表了关于《大数据栈的不可思议的不安全性:一种进攻性的分析方法》的主题演讲,探讨了如何从攻击者的角度剖析并利用大数据基础设施的漏洞。这篇报告主要...
大会亮点预览
weixin_33953384的博客
09-24 404
同往常一样,将于本周在拉斯维加斯举行的年度大会无疑是重磅事件。会上,安全专家将会粉碎人们不切实际的幻想——他们会告诉大众高科技行业制造的东西,不会有任何安全可言。 在2011年的大会上,安全研究人员将会展示50多种产品,其中最密集的是展示设备漏洞:包括USB设备,打印机,扫描仪,iPhone与安卓设备,Chrome,笔记本电脑,行业监控与数据采集系统(SCADA)。 一些关于本次大会的细...
Blackhat 2016年美国大会备受关注的三大热点
weixin_34176694的博客
08-01 137
随着安全联网设备与数字联网全球经济的不断扩展,国家威胁攻击者伺机而动,消费者隐私让人担忧。当公司正挣扎如何检测并阻止威胁时,所有这些趋势一涌而上,然而企业变得更为分散开放。 关于Black Hat 安全技术大会(Black Hat Conference)创办于1997年,被公认为世界信息安全行业的最高盛会,也是最具技术性的信息安全会议。会议引领安...
BlackHat大会:腾讯安全3人获白客奥斯卡提名,8人获微软致谢
xinyuan82的博客
07-28
美国当地时间7月27日,一年一度的BlackHat美国大会在拉斯维加斯召开。作为全球信息安全行业公认的最高盛会,吸引了全球上万名企业、政府研究人员,及顶级安全厂商、研究组织的优秀白客代表参加。腾讯安全联合实验室作为中国网络安全的中坚力量,受邀参与此次盛会。 有白客奥斯卡之称的Pwine Awards奖是BlackHat上的保留节目,专为有重大和突出研究成果的信息安全工作者...
每日新闻丨2020年全国所有地级市覆盖5G网络;腾讯两个月推七款社交APP
中国软件网
12-23 641
▼趋势洞察倪光南:RISC-V将和x86、ARM三分天下2019国际芯片大会上,中国工程院院士倪光南表示,未来RISC-V很可能发展成为世界主流CPU之一,从而在CPU领域形成英特尔(x...
国际著名客大赛介绍与比较
第七宇林的博客
08-14 5030
世界著名的客大赛介绍:Pwn2Own 与 Pwnium、Black Hat(子)与DEFCON大会、iCTF国际客竞赛、Facebook客杯、POC安全大会与Code Gate防客大赛、PHDays CTF、CodeMeter大赛、Chaos Communication Camp与Hacking at Random、日本信息安全知识技术竞赛、台湾骇客年会;国内的信息安全竞赛概述,IDF实验室的介绍,CTF刷题的网址。
Black Hat 2021上的七大网络威胁趋势
weixin_41888295的博客
08-06 218
在2021年美国大会(Black Hat)即将召开之际,对本届会议中的亮点内容进行展望。 经过一年多来的线上会议经验积累,不少安全社区已经做好了在今年夏季再度齐聚网络平台的准备。 今年的美国大会将采取混合形式,首先是面向每一位亲身与会者提供面对面演示、培训与派对环节;至于无法亲临现场的观众,也可以继续通过线上观看会议全程。 本届大会在内容上将一如既往的充实,届时登台的安全研究员们将发布一系列新的漏洞、安全工具与攻击技术。作为前期展望,我们为大家整理出本届会议上最值得期待的七大安全威胁与漏洞趋势。.
国际著名客大赛介绍与比较(just收藏一下,希望没涉及到什么版权的问题= =)
小菜鸟的起飞之路
04-12 977
国际著名客大赛介绍与比较 发表于2013-01-04 09:14| 17398次阅读| 来源CSDN| 78 条评论| 作者王然 Pwn2OwnDEFCON客大赛客 摘要:客(Hacker)是指对计算机科学、编程和设计方面具高度理解的人,但因为和骇客(Cracker)音译相似,一直以来备受人们误解。一个合格的客应该拥有出众的技术,同时遵守着“客精神”—
国际著名***大赛介绍与比较
weixin_34198881的博客
07-16 273
国际著名***大赛介绍与比较发表于2013-01-04 09:14|18518次阅读| 来源CSDN|79 条评论| 作者王然Pwn2OwnDEFCON***大赛***摘要:***(Hacker)是指对计算机科学、编程和设计方面具高度理解的人,但因为和骇客(Cracker)音译相似,一直以来备受人们误解。一个合格的***应该拥有出众的技术,同时遵守着“***精神”——善于...
全世界最顶级客同时沸腾在DEF CON 25,是怎样一种体验?
dfdhxb995397的博客
07-25 403
2017,我在这里!圆你客梦!! 被称为客“世界杯”与“奥斯卡”的美国技术大会Black Hat和世界大会DEF CON 是众多客心中最神圣的梦! 有位小表弟告诉我说:Black Hat、DEF CON于他而言,意味着心中的信仰 ...
SEO技术大全 SEO技术大全_技术论坛
01-06
SEO技术大全 扩展外部链接 寄生虫推广 垃圾链接 隐藏网页 桥页 ...
2014年最新SEO
07-22
2014年最新SEO目录:【】1.网站标签的讲解【】2.关键词选取以及布局【】3.程序优化以及目录布置【】4.页面布局和内页优化 上【】4.页面布局和内页优化 下【】5.robots.txt的作用【】6.robots语法讲解【】7.站群...
大会Alexander演讲
08-01
大会Alexander演讲,National conversation on the defense of our nation and protecting civil liberties and privacy
2.4G-WiFi连接路由器过程
weixin_39270987的博客
02-13 3363
WiFi的数据通信基于802.11协议进行,无线AP在工作时会定时向空中发送beacon数据包,基站(STA)从beacon中解析出AP的名称、加密方式等信息,从而发起连接。
实战:shell脚本练习
为无为,事无事,味无味。
07-19 959
问题:没有注释的脚本难以理解,特别是在团队协作中,其他成员可能难以快速上手。问题:不进行调试可能导致脚本在实际运行时出现未预料的错误,影响系统的稳定性。问题:不立即退出可能导致后续命令基于错误的前提执行,造成更严重的错误。问题:使用未声明的变量可能导致不可预测的行为或错误的输出。好处:确保变量按照预期的方式被引用,防止意外的单词分割。多写注释:在脚本中添加注释,以帮助理解脚本的不同部分。好处:提前发现潜在的错误,避免在生产环境中出现问题。好处:避免使用未初始化的变量,减少潜在的bug。
Linux中的环境变量
qhy850716的博客
07-17 427
我们思考这样一个问题:指令也是可执行程序,我们写好的编译好的c语言也是程序,为什么我们在执行c语言程序时要./a.out带上当前路径,而ls这种指令就不要带路径呢?这就是环境变量PATH的作用,Linux中存在一些全局设置,表明命令行解释器应该去哪个路径下寻找可执行程序。系统中的很多配置在我们登录Linux时就已经被加载到bash中了,也就是内存。
shell脚本教程学习
最新发布
weixin_54277665的博客
07-19 213
常用bash命令基础,学习后可以在linux系统下进行对应文件的操作。
大会2021:大数据栈的不安全分析
"2021年大会的议题聚焦于大数据栈的不安全性,Sheila A. Berta分享了一种攻击性的方法来分析大型复杂基础设施。" 在2021年的大会上,演讲者Sheila A. Berta,一位Dreamlab Technologies的安全研究主管,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值