黑客在安全的世界里探索着无限可能,攻击着一切可以攻击的事物,寻找着攻击目标漏洞。本周安全要闻,让我们看看,加油站、滑板以及洗衣机等目标如何落入黑客之手;哪些安全技术已经落后,面临淘汰;哪些安全工具,你值得拥有!
如果攻击者能够让加油站的油罐溢出,或者防止泄露警报响起,可能会导致毁灭性的后果,特别是当他们同时攻击同地区的多个加油泵时。TrendMicro公司的凯尔·威尔霍伊特(Kyle Wilhoit)和史蒂芬·希尔特(Stephen Hilt)决定证明这个威胁真实可信。他们建立了一个“油罐”(GasPot,由模拟的油泵监控系统组成的蜜罐)来吸引黑客并观察其行动。
黑客已经鼓捣出让滑板轮以最大功率反转的方法,为了避免板毁人亡,刷街爱好者们要注意给滑板固件打补丁了。Boosted公司出品的电动滑板前后端都装有传感器,可以控制滑板运动,它还附带额外的蓝牙控制器。正是这个控制器给了黑客机会。
在8月21日举办的HackPWN安全极客狂欢节上,中国年轻的黑客L.N.就在现场为大家演示了“如何优雅的破解智能洗衣机”,震惊了现场评委传奇黑客SamyKamkar,不断为其点赞。L.N.在现场破解这款智能洗衣机前介绍,这台洗衣机能够直接通过手机操作洗衣、甩干等过程,可实现远程遥控。但是在L.N.眼中,手机信号在发送到服务器并转送至洗衣机的过程中,存在着很多可以“下手”的机会
职业黑客Samy Kamkar成功入侵汽车巨头通用汽车的RemoteLink移动应用,造成汽车解锁并发动。他说,能够成功攻破的关键是薄弱的无线电安全和缺乏基本防御。入侵所使用的工具不过是一台Mattel GirlTech IM-ME文本游戏机上的部件经过改装而成。IM-ME游戏机上有几样东西是像Kamkar这样的黑客所钟爱的,特别是其中的得州芯片组和千兆赫收发器,以及允许该设备重组成非常有效盗窃工具的电路板插针。
也许没有什么东西,能够像计算机技术一样变化如此迅速。随着科技前进步步前进,保护它的责任也越变越重。如果你在计算机安全的世界里混迹已久,可能已经见识过很多安全技术的诞生和消亡。
技术解析:
提到XSS auditor我们更多想到的便是绕过。XSS auditor实在可恶,不知让我们死了多少脑细胞,。那么,歪果仁究竟是怎样利用Chrome的XSS auditor实现盗取token的呢?
基于DHCP的攻击理解起来很简单,首先伪造Mac地址耗竭正常的DHCP服务器的IP地址,然后黑客用自己的主机伪造一个DHCP服务器,那么新连上内网的主机只能使用流氓DHCP服务器分配的IP,这样黑客的主机就变成了内网网关,可以借此控制内网中其他主机的网络流量。
安全工具:
安全即服务可以笼统地描述为“软件即服务”安全工具,不需要任何内部部署的硬件或软件发行版。不像老式的安全工具,比如需要安装到网络上每一台计算机上的反病毒软件,这类工具几乎即插即用――你点击一下按钮(可能要填入一些信用卡信息),主要的安全资源突然之间触手可及。
得益于IDA pro十分开放的架构,Gergely Erdelyi和Ero Carrera在2004年基于IDA pro发布了IDAPython,逆向工程师能够以Python脚本的形式访问IDC脚本引擎核心、完整的IDA插件API,以及所有与Python捆绑在一起的常见模块。IDAPython无论是在商业产品中(例如Zynamics的BinNavi),还是在一些开源项目中(例如Paimei和PyEmu)均有所应用。
无线网络的攻与防一直是比较热门的话题,由于无线信号可以被一定范围内的任何人接收到(包括死黑阔),这样就给WIFI带来了安全隐患;路由器生产厂商和网络服务供应商(ISPs)的配置大多是默认开启了WPS,这种环境下,无线网络往往是安全渗透测试里边的重要突破口。
其他:
