北京时间8月7日凌晨,2014黑帽大会在美国内华达州拉斯维加斯召开。今年黑帽大会的议题包括应用安全、互联网延伸到各类设备(汽车、工控设备等)的安全、移动互联网安全,网络审计、取证等几大领域。

头条推荐

2014美国黑帽大会有哪些精彩的议题?

今年Black Hat 2014 USA与往常一样,于2014年8月2号到7号在拉斯维加斯举办。今年的议题种类非常多,分为加密类、无线类、银行、移动方向、恶意软件等诸多方向,请跟随笔者一起了解下Black Hat 2014 USA峰会上会有哪些精彩的议题吧……>>详细

黑帽大会:Oracle数据校订安全功能漏洞频

一位一直被视为Oracle眼中钉的安全研究人员详细介绍了该公司的一款旗舰产品的安全功能中的漏洞,这位安全研究人员称,该公司对安全采取了杂乱无章的做法。

在2014年美国黑帽大会上,数据库安全专家兼著名漏洞猎人David Litchfield展示了他最近在数据校订(data redaction)功能中发现的一些漏洞,Oracle公司在最新版本数据库12c中大肆宣传了这个安全功能。

基本上,数据校订功能是用于掩饰敏感信息,当返回的数据库查询包含敏感信息(例如社会安全号码、信用卡号码和其他个人身份信息等),并且这些数据到达特定的校订卷时,这些数据会用X来替换,而在校订卷以外的数据则返回正常数据。

数据校订实际上是一个“好主意”,但遗憾的是,这个功能充满了基本的安全漏洞,攻击者可以很容易地绕过它。

阅读全文

2014年黑帽大会:僵尸网络和广告活动

“广告业的情况跟很多银行业很像,一个不可避免的事实摆在广告主眼前,那就是不能随便相信广告商提供给你的信息。”White Ops首席执行官Michael Tiffany说。“有时候,两种cookies、用户信息等都是相同的,但是只有一个是真的,其他的是假的。”

2014年黑帽大会:僵尸网络和广告活动

当然,Tiffany指的是通过感染实际消费者或用户的计算机来瞄准广告活动的僵尸网络带来的真正的威胁。这是比窃取登录凭证更有效的方法,同时还可以避开异常检测,但它也是一种更加危险的方式。

“这是世界上最复杂的非政府发起的犯罪软件,”Tiffany表示,“抢劫银行的最好办法不是直接进去抢劫,而是攻击其客户的机器。然后在客户登录后开始行动。攻击者采用的是网络感知恶意软件,它们会埋伏在一旁等待,直到有人使用个人资料信息来登陆。”

阅读全文

黑帽大会:最易被黑客攻破的汽车——英菲

今天在拉斯维加斯举办的黑帽安全大会上,Valasek和Miller两名黑客公布了他们的研究报告。报告涉及数十种不同品牌和型号的汽车,评估车辆易受车辆黑客攻击的薄弱之处,然后他们给出了一个车辆各个联网部件受攻击可能性的打分和评论手册。

“对于这24种不同的车,我们研究了远程攻击的工作原理,”在安全咨询公司IOActive任职车辆安全研究主任的Valasek如是说道。 “它其实取决于架构:如果你破解了收音机,那么你可以给制动或转向发送信息吗?如果能的话,你该怎么处理这种情况呢?”

Miller和Valasek采取了与2013年不同的研究手段,这次他们并没真正去黑哪辆车。事实上,他们最近的工作是些“脏活累活”,包括在所有汽车制造商的网站上注册技工账户,下载汽车技术手册及接线图,分析这些文件透露的计算机网络情况。 “我们想退后一步看看车的全局,要看看那里真正有什么,”Valasek说。

在这两个研究人员的分析中,有3辆汽车被评为“最容易被破解”的:2014款英菲尼迪Q50和吉普Cherokee,以及2015款凯迪拉克Escalade。全部结果归纳如下表,我们能看到2010和2014款丰田普锐斯情况也没好到哪儿去。

阅读全文

美国黑客大会:研究人员揭短亚马逊云安全

在拉斯维加斯举行的黑帽大会(Black Hat 2014)上,一位颇有名声的研究人员称安全专业人士并未对托管在AWS云基础架构上的应用的安全性给予充分的关注,因而AWS用户可能更容易遭受到攻击:隐私信息暴露、模仿AWS EC2实例,甚或更糟。

美国黑客大会:研究人员揭短亚马逊云安全

黑客大会上在星期三发表的一次演讲中,咨询公司Bonsai Information Security的创始人、开源w3af安全框架的领导者Andres Riancho详细阐明了他为一个“将Web应用托管在AWS基础架构上”的客户提供渗透测试的全经历。

尽管之前Riancho并没有太多关于亚马逊云服务的经验,但他还是一针见血地指出AWS云基础架构有大量的潜在弱点,且不当的操作会让运行其中的企业遭受灭顶之灾。

阅读全文

2014黑帽大会开幕:FBI摆摊召人

又一天太阳照常升起。而对于世界著名的赌城拉斯维加斯来说,喂养城市的睡眠期才刚开始。到了白天,游(赌)客(徒)散去,城市开启左半脑,思考理性的问题。

在这个色彩饱和度极高的美国西部城市,每年的盛夏,正是城市最聪明的时间。一年一度的黑帽子大会,在暑假举行,来自全世界最聪明的近万颗头脑,在赌城集合、脑波碰撞。

北京时间8月7日凌晨,2014黑帽子大会将在美国内华达州拉斯维加斯召开。记者与杭州安恒信息技术有限公司总裁范渊领衔的团队(范渊曾经在2005年、2006年在黑帽子大会上演讲,成为首位参加大会并作为演讲嘉宾的中国人)一起,赶赴拉斯维加斯参加会议。

今年大会讨论什么内容?有什么“大牛”来参加会议?黑客都是“黑”的吗?这个城市要有怎样的铜墙铁壁能挡住一万名黑客的聚集?……

阅读全文

2014年美国黑帽大会上的10个攻击

2014年美国黑帽大会上的10个攻击

攻击车载系统、谷歌Glass用于密码盗窃、使用免费云试用推出僵尸网络等,这是2014年红帽大会上公布的攻击类型,对此,有人质疑难道安全就无处不在了吗?

2014年美国黑帽大会上的10个攻击

使用谷歌Glass进行密码盗窃

阅读全文

2014黑客奥斯卡奖Pwnie Awards提名名单公

正在沙漠赌城拉斯维加斯举行的黑帽大会,黑客奥斯卡奖Pwnie的提名名单已经公布,评委们正在一个秘密的地方投票。将于当地时间8月6日下午6:30公布最终获奖名单(北京时间8月7日早上9:30)。

2014黑客奥斯卡奖Pwnie Awards提名名单公布

最佳服务器端漏洞

1,Abusing JSONP with Rosetta Flash (CVE-2014-4671)

阅读全文

聚焦2014美国黑帽大会:针对POS机系统的

在今年的黑客大会(Black Hat USA 2014)上,POS机系统专家Nir Valtman将介绍一些专门攻击POS机系统安全的新恶意软件以及防御这些恶意软件可采取的措施。

POS机防御?请聚焦美国2014黑帽大会

自从塔吉特公司(Target Corp.)POS机系统遭到黑客攻击之后,POS机设备的安全问题就倍受关注,但到目前为止,可以采取的解决措施并不明朗。

在拉斯维加斯召开的美国2014黑帽大会(Black Hat USA)上,美国先进出纳机(NCR)零售企业安全架构师Nir Valtman将向参会者介绍几个他所设计的专门针对POS机系统的攻击,同时也将探讨零售商和POS机系统厂商可以采取的防御措施。

阅读全文

2014黑帽大会:如何窃取智能家居报警系统

在本周举行的2014黑帽大会上,Qualys公司研究员Silvio Cesare会带来关于智能家居报警系统安全的演讲。

2014黑帽大会:如何窃取智能家居报警系统的安全码

Cesare表示,攻击者仅需花50美元,就可以建立一个能够打开家居报警系统及其他常见安全设备的无线设备。该设备由一个微控制器和一个单板计算机组成,它可以捕获和重放代码,从而实现禁用报警。

Cesare建立了一个这样的无线设备,用它来窃听射频远程窃取代码。因为大多数报警系统都配备了启用和禁用装置,而且几乎所有的家庭报警系统都有一个远程使用的固定编码,所以一旦固定编码被偷就可能造成重放攻击。

阅读全文

2014黑帽大会上将演示如何利用机载WIFI劫

网络安全公司IOActive的安全顾问Ruben Santamarta将在本周四拉斯维加斯举行的Black Hat会议上介绍利用飞机上的无线网络和娱乐系统劫持飞机。

2014黑帽大会上将演示如何利用机载WIFI劫持飞机

Santamarta称他是通过逆向工程飞机通信设备的固件发现了漏洞。在理论上,一名黑客可利用飞机上的WiFi网络或机载娱乐信息系统入侵飞机航空电子设备,中断或修改卫星通信,干扰飞机的导航和安全系统。他在受控环境(实验室)中测试了他的发现,但暂时未在实际环境中使用。

"这些设备目前来说太开放了,通过这次演讲我希望改变这个现状。" Santamarta告诉记者。

阅读全文

相关推荐

2013黑帽大会:揭秘世界黑客
Blackhat安全技术大会是世界上最好的能够了解未来安全趋势的信息峰会。 专…
网络致命大杀器——历届黑帽
黑帽大会每年都会在美国举行,当然别的地区也有分会,但数美国本土的黑帽大…

投    票

你对下面哪个领域的议题感兴趣?
互联网延伸到各类设备(汽车、工控设备等)的安全
应用安全
移动互联网安全
网络审计
取证
其他

专题推荐

美国时间7月22-27日,2017黑帽安全技术大会(Black Hat Conference)如期在美国拉斯维加斯成功举办。大会为
2017美国黑帽大会专题报道
美国时间7月22-27日,2017黑帽安全技术大会(Black Hat Conference)如期在美国...
5月12日起,全球范围内爆发基于 Windows 网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之
中招无法挽救!WannaCrypt勒
5月12日起,全球范围内爆发基于 Windows 网络共享协议进行攻击传播的蠕虫恶意代...
2017年“4.29首都网络安全日”系列宣传活动于4月26日-28日在北京展览馆举行。据统计,参与本次活动的机构和
2017年第四届首都网络安全日
2017年“4.29首都网络安全日”系列宣传活动于4月26日-28日在北京展览馆举行。据...
2017年4月20日,迪普科技2017年
创•享未来 诚•
2017年4月20日,迪普科技2017年"创•享未来诚•献精彩"合作伙伴大会...

一周排行

留言评论