攻击车载系统、谷歌Glass用于密码盗窃、使用免费云试用推出僵尸网络等,这是2014年红帽大会上公布的攻击类型,对此,有人质疑难道安全就无处不在了吗?
使用谷歌Glass进行密码盗窃
一款Google Glass应用程序可以诱使视频用户输入密码到触摸屏,并对其分析以窃取密码,在3米内有90%的准确率。这款应用程序的研究人员包括麻省大学罗威尔校区的Xinwen Fu和Qinggang Yue以及东南大学的Zhen Ling,他们追踪了用户手指的移动,并使用这些位置来识别输入阴影、光流等因素来确定密码。即使摄像头背后的人不能用肉眼读取用户的屏幕,密码也可能被盗。
针对虚拟桌面的攻击
虚拟桌面基础设施通常被吹捧为提高BYOD[注]方案安全性的一种方法,它能够集中应用程序和数据,并为最终用户提供统一视图。但Lacoon Mobile Security公司的Daniel Brodie和Michael Shaulov将会展示针对VDI的概念证明型攻击,他们称这种攻击不仅可行而且很有效。这种攻击涉及屏幕抓取来窃取数据,同时保持不被检测。正如他们所描述的那样:“该攻击可以规避客户端和服务器端的恶意软件检测,同时,攻击者可以自动化这个攻击过程,最终让VDI解决方案无效。”
滥用微软Kerberos
下面是研究人员Alva“Skip” Duckwall和Benjamin Delpy在本次会议的内容:“微软Active Directory使用Kerberos来默认处理身份验证请求。然而,如果这个域被攻击,会有多么严重的影响?如果正确的哈希损坏,Kerberos可能在攻击者获得访问权限后完全受到感染。这将会造成严重危害。”他们将会在真实世界的环境中展示这种攻击。
针对汽车的远程攻击
汽车制造商并没有统一的设计,所以并没有广泛的通用方法来远程对汽车系统进行漏洞利用。Twitter公司的Charile和IOActive公司Christopher Valasek两位专家的演讲从安全角度探讨了很多汽车制造商的汽车中的网络情况。他们试图回答这些问题:一些汽车是否更容易受到远程攻击?在过去五年中,汽车网络安全是否得到改进,或者变得更糟?汽车安全的未来如何,我们如何保护我们的汽车免受攻击?
从销售终端设备窃取数据
在过去一年中,销售终端安全泄漏事故(例如Target公司遭受的攻击)发生地更加频繁,并且,很多企业仍然很容易受到最简单的攻击。NCR Retail公司企业安全架构师Nir Valtman将会展示为什么内存抓取是一个很大的威胁,并且很难解决。他将会展示如何最大限度地减小威胁,并讨论已经经过验证的真实世界方法。
USB 恶意软件
根据独立研究人员Karsten Nohl和SRLabs的Jakob Lell表示,USB记忆棒内的控制器芯片可能会受到影响,并可能让攻击者掌控主机机器、窃取数据和监控用户。这些记忆棒还可以诱骗其他设备。他们将会介绍一种新的恶意软件,在这些重新编程的芯片上运行,并且他们会展示如何通过自我复制的病毒来攻击系统,而不会被现有的防御检测到。他们建议企业使用更好的方法来保护USB记忆棒。
攻击移动服务提供商的控制代码
Accuvant实验室的研究人员Mathew Solnik和Marc Blanchou表示,移动服务提供商隐藏控制代码在蜂窝设备中以便于服务,但这个代码可能被利用。他们将会展示如何针对这些控制平台远程执行代码,并会展示这对最终用户的影响。他们计划发布工具来评估和抵御他们在GSM、CDMA和LTE网络控制协议(影响着Android、iOS和黑莓设备)中发现的威胁。
利用免费云服务使用来扩大僵尸网络
Bishop Fox公司安全主管Rob Ragan和Oscar Salazaris将展示他们如何通过免费云服务使用来积累计算能力。他们是这样说的:“如果攻击者开始使用友好型云服务进行恶意活动,会发生什么情况呢?在这个展示中,我们将展示如何利用免费的使用来获取大量的计算能力、存储以及预先制作的攻击环境。此外,我们还违反了一些服务条款,我们试图通过0成本来构建这种基于云的僵尸网络。这个僵尸网络并不会被标记为恶意软件,也不会被网页过滤器阻止或者控制。这是噩梦。”
移动设备管理不善
移动设备管理软件可以访问广泛的数据,而这可能会因为MDM产品中的漏洞而遭到泄漏。NTT COM Security公司研究人员Stephen Breen展示了如何执行这种攻击,并且列出了允许这种漏洞利用的漏洞。他表示,有些漏洞在一些商业MDM产品中非常常见。
密码学家不想要你知道的肮脏小秘密
根据其Cryto Challenge研究,Matasano Security公司研究人员Thomas Ptacek和Alex Balducci将会展示针对真实密码架构的48种攻击,并解释他们如何可以利用真实环境中软件的漏洞。他们还会创建一个Rosetta代码网站,其中将会以多种编码语言列出已知加密漏洞利用,以帮助安全专业人员识别攻击。
