【51CTO.com快譯】這十類威逼、漏洞甚至薄弱環節時刻提醒著咱們,電腦安全問題已經再也不僅限於PC領功能變數,而開始滲入到日常日子的方方面面。
新技術、新漏洞、新麻煩
一說起安全漏洞,大家首先想到的極可能是Windows平台上的安全短板或是是像Adobe Reader這種能夠讓黑客在咱們的PC裝備上肆虐的運用程式。然而時至今日,計算裝備已經無處不在,而高度普及所帶來的亦是更多安全方面的難題甚至挑戰。
在今天的文章中,咱們將共同探討十種不容疏忽的黑客流動及安全漏洞,它們將立足於新的層面向大家發起衝擊——其中一些正以前所未見的模式瘋狂襲來。
黑客將矛頭指向車輛
在車載導航與訊息系統深刻晉陞駕駛體驗的同時,它們也可能為咱們的車輛開啟了一道供安全問題出入的大門——而作為當事者,咱們自己往往無此全無所聞。
真實案例:今年七月,安全鑽研員Charlie Miller與Chris Valasek就設法通過網際網路控制了一輛吉普切諾基車型的加速與剎車系統(內含其它一些系統)。這二位應用吉普汽車Uconnect內建訊息娛樂系統中的一項漏洞實現了上述目的,並通過智慧手機以遠端模式在該車輛行進過程中強迫進行剎車。
整個侵襲過程讓Miller與Valasek耗損了三年的心力。儘管聽起來可能性不高,但車載訊息娛樂系統中的漏洞可能帶來的安全隱患的確值得耽憂,而且菲亞特-克萊斯勒公司也的確曾經召回過140萬輛存在安全漏洞的車輛。
入侵電動滑板,讓使用者跟地面來個親密接觸
無非汽車可不是惟一存在潛在安全風險的交通工具。就在今年八月初,鑽研人員Richo Healy與Mike Ryan就演示了如何以遠端模式通過入侵未受安全維護的藍牙連線對電動滑板進行控制——非常遺憾,試驗獲得了圓滿勝利。
在此次演示中,他們將其稱為FacePlant,Healy與Ryan應用一台筆記本電腦控制了一架Boosted牌電動滑板,驟然進行制動,而後將其送往反方向。使用者當場飛離板體,假設在實際場景下,其必然會因為猛然著地而落得遍體鱗傷。
事實上,大家可能並非很耽心自己會成為黑客襲擊電動滑板事故中的受害者,無非Healy與Ryan的鑽研結果理當為那些電動滑板、滑板車甚至自行車等產品的製造商敲響警鐘。
歹意軟體入侵BIOS
每當提起所謂歹意軟體,咱們首先想到的極可能是那些在動作系統層級上入侵PC裝備的病毒、特務軟體甚至木馬程式。然而目前已經呈現了一類新興歹意軟體,且專門以PC裝備中的底層韌體作為襲擊對象。
一種名為badBIOS的歹意軟體就是這樣,其並不僅會沾染PC裝備的BIOS,而且咱們幾乎無法將其徹底肅清。依據鑽研人員的說法,badBIOS能夠持續存在於咱們的系統之中,即便對BIOS進行重整也杯水車薪。結果就是,傳統的檢驗與清理專案對于badBIOS根本不起作用。
因為這種歹意軟體直接指向韌體而繞過了動作系統,因而幾乎每一台PC都會被其沾染,即便全面解除了動作系統層面的歹意軟體也起不到任何作用。舉例來講,就在上個月,鑽研人員演示了如何應用該歹意軟體襲擊蘋果公司在Mac裝備上所使用的EFI韌體。
歹意軟體開始以無線模式進行傳佈——例如將音效作為載體
除了上一點以外,badBIOS還擁有另一項極其陰險的伎倆:儘管該歹意軟體能夠通過受沾染的U盤進行傳佈,但鑽研人員認為其同時亦可以通過高頻音訊信號與其它受沾染電腦進行通信。鑽研人員指出,這還僅僅是該歹意軟體與其它受沾染裝備間實現通信的模式之一——換言之,badBIOS擁有多種不藉助網路便可實現互動與傳佈的途徑。
當U盤從便攜存儲工具變為歹意軟體幫兇
歹意軟體通過受沾染檔案在U盤之間進行傳佈早已不是甚麼新聞,而且只要咱們採用小心的使用態度並配合卓越的掃毒軟體工具,那麼這倒也算不上甚麼大麻煩。無非當U盤本身已經成為歹意工具,結果則將變得完整不同。
去年秋天兩位安全鑽研人員打造出一套名為BadUSB的工具包,能夠對U盤進行修改以實現各類歹意用處。應用BadUSB這樣的襲擊型技術,歹意軟體傳佈者能夠以前瞻性模式修改U盤內定的韌體並藉此迷惑PC裝備,使後者將U盤誤認為其它裝置。
舉例來講,IDC新聞服務公司的Lucian Constantin解釋稱,「接入電腦裝備的U盤能夠自動將配置檔案傳輸至鍵盤處——內含傳送到關聯按鍵內容如下載並安裝歹意軟體——或是冒充成網路控制器配置檔案以劫持DNS設定。」
USB Killer令PC死無葬身之地
當然,BadUSB還僅僅是歹意U盤的實際體現之一——而另一種甚至有可能徹底搗毀使用者的PC裝備。
USB Killer是一種概念驗證型襲擊專案,襲擊者可以應用它改造U盤硬體,從而使其向PC裝備直接傳送到電流而非資料。經由改造的U盤能夠致使各類電流反饋迴路,並最終讓電流強大到足以應用高電壓擊穿PC裝備的內定元¥件。
WireLurker將魔爪伸向iPhone與Mac平台
而在挪動歹意軟體領功能變數,iPhone成為一道公認的難以突破的障礙。無非這並不代表iOS就真的毫無馬腳,事實上去年秋天,一場被稱為WireLurker的襲擊流動就得以應用受沾染的OS X運用程式將歹意軟體傳輸至iPhone中以擦除使用者的個人資料——例如通話記錄以及聯絡人訊息等。而尤為值得強調的是,無論您的iPhone有無進行越獄,都會受到該襲擊的影響。
一旦WireLurker侵入了咱們的Mac平台,它就會潛在起來並靜待使用者將自己的iPhone通過USB接入電腦。一旦檢驗到越獄的iPhone,它會在裝備之上搜尋某些特定運用並應用受沾染的版本進行替代。而在未越獄的手機之中,它則會應用一項特殊功能實現目的——該功能容許企業管理者在員工的iPhone裝備上安裝定製化運用程式。
蘋果公司沒有鋪張時間,在鑽研人員發現這一歹意襲擊之後很快將其修復。
你的GPU:歹意軟體的下一個目的
今年三月,一群開發人員打造出名為JellyFish的概念驗證型歹意軟體,旨在演示歹意軟體會以怎麼樣的模式運行在PC裝備的圖形處理器之上。
儘管JellyFish只能算是證明此類襲擊流動有可能存在的示例性成果,但採用此種機制的歹意軟體的確非常有效,因為其能夠非常輕鬆地侵入到運行有Windows、Linux或是OS X系統的裝備之中。
駐留在GPU之中的歹意軟體也很難被掃毒軟體所察覺,無非McAfee公司最近發佈的呈文指出,其安全軟體可能——注意,只是可能——能夠將其檢驗出來。但願未來的安全維護工具能夠阻斷這種新型威逼。
技術手腕令家居維護體系淪為隱患
從理論層面來看,接入網際網路的視訊攝像頭應該能夠成為維護家居環境的得力助手——畢竟能夠在身在它處時隨時監控家中的一舉一動簡直可說是安全二字的至高境界。然而安全鑽研人員發現,那些所謂聯網家居裝備之中通常都存在著隱患,這象徵著襲擊者可能會藉此窺探個人隱私或是侵入家居環境。
今年二月,安全廠商Synack公司就針對這種問題出具了一份鑽研呈文。依據關聯報導所言,Synack公司的鑽研人員發現「一長串安全問題,內含開放埠、內建後門以及缺乏加密等等。」而就在本月,鑽研人員們還勝利侵入了九款聯網嬰兒監護攝像頭——這樣的現象實在使人憂心。
假設襲擊者發現了應用遠端模式控制聯網家居裝備的途徑,則能夠藉此模式從家庭網路環境的計算裝備中取得到使用者的個人訊息(例如使用者名與密碼等)。
計算裝備與槍枝的結合毫不是甚麼好主意
TrackingPoint公司曾經製造過一系列包孕感測裝備的電腦輔助步槍產品,旨在提高使用者的射擊精準度。而在今年的DEFCON大會以及去年在拉斯維加斯召開的黑帽大會上,安全鑽研人員Runa Sandvik與Michael Auger則演示了如何對TrackingPoint旗下的一款步槍進行入侵。
這兩位鑽研人員通過步槍上的內建Wi-Fi接入點應用了系統中的一項漏洞,從而將射擊目的由既定方向從新定向至其它位置——即潛在的其它物件或是受襲擊者。
TrackingPoint公司針對這一狀況作出了回應,表示「因為該槍枝無法接入網際網路,因而只能在被黑客以物理模式直接接觸的情況下才會受到入侵。因而,假設大家能夠保證周圍100英尺以內不存在黑客人士,則完整可以繼續使用其內建的Wi-Fi機制(來下載圖片或是連線至ShotView網站)。」
好吧,反正我個人是無法接受這樣的說辭,不曉得各位會有怎麼樣的感覺。
原文標題:10 cutting-edge security threats
【51CTO.com快譯】這十類威逼、漏洞甚至薄弱環節時刻提醒著咱們,電腦安全問題已經再也不僅限於PC領功能變數,而開始滲入到日常日子的方方面面。
新技術、新漏洞、新麻煩
一說起安全漏洞,大家首先想到的極可能是Windows平台上的安全短板或是是像Adobe Reader這種能夠讓黑客在咱們的PC裝備上肆虐的運用程式。然而時至今日,計算裝備已經無處不在,而高度普及所帶來的亦是更多安全方面的難題甚至挑戰。
在今天的文章中,咱們將共同探討十種不容疏忽的黑客流動及安全漏洞,它們將立足於新的層面向大家發起衝擊——其中一些正以前所未見的模式瘋狂襲來。
黑客將矛頭指向車輛
在車載導航與訊息系統深刻晉陞駕駛體驗的同時,它們也可能為咱們的車輛開啟了一道供安全問題出入的大門——而作為當事者,咱們自己往往無此全無所聞。
真實案例:今年七月,安全鑽研員Charlie Miller與Chris Valasek就設法通過網際網路控制了一輛吉普切諾基車型的加速與剎車系統(內含其它一些系統)。這二位應用吉普汽車Uconnect內建訊息娛樂系統中的一項漏洞實現了上述目的,並通過智慧手機以遠端模式在該車輛行進過程中強迫進行剎車。
整個侵襲過程讓Miller與Valasek耗損了三年的心力。儘管聽起來可能性不高,但車載訊息娛樂系統中的漏洞可能帶來的安全隱患的確值得耽憂,而且菲亞特-克萊斯勒公司也的確曾經召回過140萬輛存在安全漏洞的車輛。
入侵電動滑板,讓使用者跟地面來個親密接觸
無非汽車可不是惟一存在潛在安全風險的交通工具。就在今年八月初,鑽研人員Richo Healy與Mike Ryan就演示了如何以遠端模式通過入侵未受安全維護的藍牙連線對電動滑板進行控制——非常遺憾,試驗獲得了圓滿勝利。
在此次演示中,他們將其稱為FacePlant,Healy與Ryan應用一台筆記本電腦控制了一架Boosted牌電動滑板,驟然進行制動,而後將其送往反方向。使用者當場飛離板體,假設在實際場景下,其必然會因為猛然著地而落得遍體鱗傷。
事實上,大家可能並非很耽心自己會成為黑客襲擊電動滑板事故中的受害者,無非Healy與Ryan的鑽研結果理當為那些電動滑板、滑板車甚至自行車等產品的製造商敲響警鐘。
歹意軟體入侵BIOS
每當提起所謂歹意軟體,咱們首先想到的極可能是那些在動作系統層級上入侵PC裝備的病毒、特務軟體甚至木馬程式。然而目前已經呈現了一類新興歹意軟體,且專門以PC裝備中的底層韌體作為襲擊對象。
一種名為badBIOS的歹意軟體就是這樣,其並不僅會沾染PC裝備的BIOS,而且咱們幾乎無法將其徹底肅清。依據鑽研人員的說法,badBIOS能夠持續存在於咱們的系統之中,即便對BIOS進行重整也杯水車薪。結果就是,傳統的檢驗與清理專案對于badBIOS根本不起作用。
因為這種歹意軟體直接指向韌體而繞過了動作系統,因而幾乎每一台PC都會被其沾染,即便全面解除了動作系統層面的歹意軟體也起不到任何作用。舉例來講,就在上個月,鑽研人員演示了如何應用該歹意軟體襲擊蘋果公司在Mac裝備上所使用的EFI韌體。
歹意軟體開始以無線模式進行傳佈——例如將音效作為載體
除了上一點以外,badBIOS還擁有另一項極其陰險的伎倆:儘管該歹意軟體能夠通過受沾染的U盤進行傳佈,但鑽研人員認為其同時亦可以通過高頻音訊信號與其它受沾染電腦進行通信。鑽研人員指出,這還僅僅是該歹意軟體與其它受沾染裝備間實現通信的模式之一——換言之,badBIOS擁有多種不藉助網路便可實現互動與傳佈的途徑。
當U盤從便攜存儲工具變為歹意軟體幫兇
歹意軟體通過受沾染檔案在U盤之間進行傳佈早已不是甚麼新聞,而且只要咱們採用小心的使用態度並配合卓越的掃毒軟體工具,那麼這倒也算不上甚麼大麻煩。無非當U盤本身已經成為歹意工具,結果則將變得完整不同。
去年秋天兩位安全鑽研人員打造出一套名為BadUSB的工具包,能夠對U盤進行修改以實現各類歹意用處。應用BadUSB這樣的襲擊型技術,歹意軟體傳佈者能夠以前瞻性模式修改U盤內定的韌體並藉此迷惑PC裝備,使後者將U盤誤認為其它裝置。
舉例來講,IDC新聞服務公司的Lucian Constantin解釋稱,「接入電腦裝備的U盤能夠自動將配置檔案傳輸至鍵盤處——內含傳送到關聯按鍵內容如下載並安裝歹意軟體——或是冒充成網路控制器配置檔案以劫持DNS設定。」
USB Killer令PC死無葬身之地
當然,BadUSB還僅僅是歹意U盤的實際體現之一——而另一種甚至有可能徹底搗毀使用者的PC裝備。
USB Killer是一種概念驗證型襲擊專案,襲擊者可以應用它改造U盤硬體,從而使其向PC裝備直接傳送到電流而非資料。經由改造的U盤能夠致使各類電流反饋迴路,並最終讓電流強大到足以應用高電壓擊穿PC裝備的內定元¥件。
WireLurker將魔爪伸向iPhone與Mac平台
而在挪動歹意軟體領功能變數,iPhone成為一道公認的難以突破的障礙。無非這並不代表iOS就真的毫無馬腳,事實上去年秋天,一場被稱為WireLurker的襲擊流動就得以應用受沾染的OS X運用程式將歹意軟體傳輸至iPhone中以擦除使用者的個人資料——例如通話記錄以及聯絡人訊息等。而尤為值得強調的是,無論您的iPhone有無進行越獄,都會受到該襲擊的影響。
一旦WireLurker侵入了咱們的Mac平台,它就會潛在起來並靜待使用者將自己的iPhone通過USB接入電腦。一旦檢驗到越獄的iPhone,它會在裝備之上搜尋某些特定運用並應用受沾染的版本進行替代。而在未越獄的手機之中,它則會應用一項特殊功能實現目的——該功能容許企業管理者在員工的iPhone裝備上安裝定製化運用程式。
蘋果公司沒有鋪張時間,在鑽研人員發現這一歹意襲擊之後很快將其修復。
你的GPU:歹意軟體的下一個目的
今年三月,一群開發人員打造出名為JellyFish的概念驗證型歹意軟體,旨在演示歹意軟體會以怎麼樣的模式運行在PC裝備的圖形處理器之上。
儘管JellyFish只能算是證明此類襲擊流動有可能存在的示例性成果,但採用此種機制的歹意軟體的確非常有效,因為其能夠非常輕鬆地侵入到運行有Windows、Linux或是OS X系統的裝備之中。
駐留在GPU之中的歹意軟體也很難被掃毒軟體所察覺,無非McAfee公司最近發佈的呈文指出,其安全軟體可能——注意,只是可能——能夠將其檢驗出來。但願未來的安全維護工具能夠阻斷這種新型威逼。
技術手腕令家居維護體系淪為隱患
從理論層面來看,接入網際網路的視訊攝像頭應該能夠成為維護家居環境的得力助手——畢竟能夠在身在它處時隨時監控家中的一舉一動簡直可說是安全二字的至高境界。然而安全鑽研人員發現,那些所謂聯網家居裝備之中通常都存在著隱患,這象徵著襲擊者可能會藉此窺探個人隱私或是侵入家居環境。
今年二月,安全廠商Synack公司就針對這種問題出具了一份鑽研呈文。依據關聯報導所言,Synack公司的鑽研人員發現「一長串安全問題,內含開放埠、內建後門以及缺乏加密等等。」而就在本月,鑽研人員們還勝利侵入了九款聯網嬰兒監護攝像頭——這樣的現象實在使人憂心。
假設襲擊者發現了應用遠端模式控制聯網家居裝備的途徑,則能夠藉此模式從家庭網路環境的計算裝備中取得到使用者的個人訊息(例如使用者名與密碼等)。
計算裝備與槍枝的結合毫不是甚麼好主意
TrackingPoint公司曾經製造過一系列包孕感測裝備的電腦輔助步槍產品,旨在提高使用者的射擊精準度。而在今年的DEFCON大會以及去年在拉斯維加斯召開的黑帽大會上,安全鑽研人員Runa Sandvik與Michael Auger則演示了如何對TrackingPoint旗下的一款步槍進行入侵。
這兩位鑽研人員通過步槍上的內建Wi-Fi接入點應用了系統中的一項漏洞,從而將射擊目的由既定方向從新定向至其它位置——即潛在的其它物件或是受襲擊者。
TrackingPoint公司針對這一狀況作出了回應,表示「因為該槍枝無法接入網際網路,因而只能在被黑客以物理模式直接接觸的情況下才會受到入侵。因而,假設大家能夠保證周圍100英尺以內不存在黑客人士,則完整可以繼續使用其內建的Wi-Fi機制(來下載圖片或是連線至ShotView網站)。」
好吧,反正我個人是無法接受這樣的說辭,不曉得各位會有怎麼樣的感覺。兩岸商貿,在家工作,網路創業,創業賺錢思惟,微商平台,賺新台幣
原文標題:10 cutting-edge security threats
留言列表
