2014黑客大会的十大安全噩梦

　　又到了一年一度的黑客大会，在黑客大会召开的这一周里，全球的黑客和安全专家空降到拉斯维加斯炫耀他们的技能，并揭晓一个又一个听起来非常可怕的攻击方式。几周以前，想必大家也都听闻了一些新的攻击方式，如被恶意代码攻击导致飞机坠毁，间谍通过你设备中的摄像头监视你的行为，以及一些秘密的、不易察觉的代码可以使一个普通的U盘变成一个传播恶意代码的工具。

　　在过去，这些攻击方式可能更多地停留在理论上，但是，随着网络连接的不断发展和完善，它已经逐渐影响了我们的现实生活，带来可怕的影响。接下来让我们一一揭晓在2014年Black Hat和Def Con黑客大会上最可怕的安全事件。

　　恶意USB：沉默但却致命

　　我们先从一个令人震惊的事实说起。安全研究实验室(Security Research Labs)的研究人员表示，他们已经创建了一种概念验证攻击，专门针对拇指驱动器固件(thumb drive’s firmware)，而不是该固件上存储的文件。受感染的驱动一旦插入到任何PC端，都会伪装成键盘下载恶意软件。

　　由于大多数的驱动硬件制造商不会采取任何措施保护其固件，且反恶意软件解决方案也不会扫描驱动固件以检查恶意行为，理论上这种攻击可以将这种难以发现和难以制止的恶意软件传播到PC端，而同时也将会感染到连接该PC端的USB工具。幸运的是，目前这种类型的攻击在现实中还没有出现。

　　机载Wi-Fi漏洞

　　IOI研究员Ruben Santamarta表示，他可以通过飞机上提供的Wi-Fi和空中娱乐系统黑进飞机的卫星通讯系统，机载Wi-Fi和空中娱乐系统为黑客打开了攻击的大门，他们可以控制飞机的航线和安全系统。

　　英国路透社指出，基于这种袭击的概率和潜在危害最小化的心理，一些通讯设备制造商对于这种威胁的重视程度并不高。不过，一些通讯设备供应商表示，他们已经修复了Santamarta曝光的漏洞。

　　监控录像机上的把戏

　　Synack的Patrick Wardle和Colby Moore拆解了一台价值200美元的监控录像机以查看其工作原理，他们发现在一台被黑的Dropcam(多功能的无线网络视频监控摄像头)上黑客可以查看存储在其中的视频，或者黑客还可以上传来自该录像机的第三方视频。Wardle指出，该漏洞可以使攻击者劫持或接管视频流。

　　幸运的是，假如黑客想要黑进你的监控录像机的话，那么他需要物理地接触到你的监控录像机，以便在录像机上做些手脚。但是，换句话说，如果黑客真的可以有足够的时间，并无所顾忌、无拘无束的进入你的家中来完成这一系列的攻击动作时，那么你遇到问题可能要比监控你的录像机还要严重。

　　破解Tor网络

　　从丝绸之路毒品交易的终止到美国NSA前雇员Edward Snowden泄密事件，Tor网络在过去一年里一直是众人关注的焦点。当你在浏览网页时，通过一个又一个的节点最终到达你要浏览的网站，Tor在这个过程中为你提供的是匿名服务，每个节点只知道它将要连接的下一个节点的身份。但是，Carnegie Mellon的研究员Alexander Volynkin指出，现在可以以一种很低的成本破解Tor网络的匿名服务。

　　但是，怎样破解目前仍然未知。而Volynkin突然取消了他在Black Hat的演示，Tor网络运营商发现了一组试图破解用户匿名的恶意节点，而这些节点被怀疑与Volynkin取消的演示内容有关。

　　赛门铁克终端无保护

　　Offensive Security的首席培训师和开发者Mati Aharoni在赛门铁克的终端保护系统中发现了三个漏洞，可以使攻击者对受害者的电脑进行高级别的访问。也就是说，攻击者可以通过你的安全软件破解防御。

原文转自：http://www.valleytalk.org/2014/08/13/2014%E9%BB%91%E5%AE%A2%E5%A4%A7%E4%BC%9A-%E5%8D%81%E5%A4%A7%E5%AE%89%E5%85%A8%E5%99%A9%E6%A2%A6/