网络安全
你不知道的网络安全威胁
(一)智能手表存安全隐患 黑客可盗取密码
据《每日邮报》网络版报道,可穿戴设备的安全性引发了新一轮担忧,美国的研究人员称,智能手表等穿戴产品存在泄露用户密码的风险。
美国宾汉姆顿大学托马斯-沃特森工程与应用科学学院计算机科学助理教授王彦(音译)表示,攻击者可以复制用户手部的活动轨迹,然后复原ATM机、电子门锁以及由按键控制的企业服务器的登陆密码。
研究人员声称,通过入侵可穿戴设备的运动传感器,黑客可以搜集到足够的信息,猜出用户输入的文字,然后盗取ATM密码。
通过研究,科学家将来自可穿戴产品(如智能手机和健康追踪系统)嵌入式传感器的数据,与计算机算法相结合,破解个人识别码(PIN)和密码,第一次破解尝试的准确率达到80%,三次以后的准确率超过90%。
“这种威胁是真实存在的,尽管方法很复杂。目前黑客已经实现了两种攻击手段:内部攻击和嗅探攻击。在内部攻击中,攻击者通过恶意软件,进入戴在手腕上的可穿戴设备的嵌入式传感器。”王彦说。
试验过程中,研究人员要求20个成年人穿戴各种高科技设备,在11个月的时间内利用三种基于密钥的安全系统,进行了5000次密钥登陆测试,其中包括ATM机。这些测量数据可以帮助研究人员预估连续击键之间的距离和方向,然后使用“反向PIN序列推导算法”来破解编码,而且根本不需要有关按键的前后关系线索,准确率很高。
王彦领导的研究小组表示,当前他们处于发现可穿戴设备安全漏洞的早期阶段。尽管可穿戴设备能够追踪健康和医疗活动,但是这种设备的大小和计算能力,让用户无法实现强大的安全措施,这使得设备里面的数据更容易遭到攻击。
(二)无人机能够帮助黑客关闭电厂或其他基础设施
在去年乌克兰遭遇到的部分地区电网受黑客攻击事件当中,地方当局曾经发动运营商对供电机制进行手动切换,同时配合手机沟通进行协同。然而,如果攻击一方能够截断手机网络,结果又会怎样——特别是在使用无人机的情况下?
这虽然只是个假设,但却极具现实可能性。就在上周,有安全研究人员在于拉斯维加斯召开的Black Hat黑帽大会上展示这一场景。研究员Jeff Melrose同时警告称,未来无人机将被用于支持及放大各类针对关键性基础设施的攻击活动。
利用无人机,“所有现场类型的遥测及传感器攻击活动都将成为成本低廉且极易实现的手段,”横河电机公司安全部门首席技术战略师Melrose在采访当中告诉我们。“我能够利用数架无人机构建起基础的覆盖面积,并保证身处这一范围内的受害者无法从其发电设施或者通信渠道处获得任何信息。”
“我可能身处5公里之外,但该无人机能够直接深入到对方的电磁发射区边界以内。”
Melrose强调称,无人机现在已经非常先进,从而更轻松地飞行至人类难以徒步到达的位置。一旦物理接近电力设施等重要位置,黑客即可以利用无人机来堵塞网络、阻止厂方运营者通过传感器获取信息,或者是与现场工作人员的沟通能力。
全部必需的硬件只有一架消费级无人机,例如大疆幻影4,外加一款虽然违法但却能够轻松从网上购得的干扰器。掌握这两台设备,攻击者即能够监控无人机上的摄像头并借此接近目标位置的WiFi网络,从而加入其中并造成潜在破坏乃至组织其它形式的攻击。
“无人机能够做到的就是充当一个中继点,”Melrose表示。“我可能身处5公里之外,但该无人机能够直接深入到对方的电磁发射区边界以内。这样我就能够立足于无人机这一中继实施破坏,它相当于我在对方边界内安插的小马仔。”
这些都是理论层面可行的攻击手段。就在上周,研究人员在黑帽大会上演示如何利用一架价格为500美元的无人机——他们将其描述为一台“飞行黑客笔记本”——入侵难以抵达的网络位置。
作为一名控制系统工程师兼顾问,Michael Toecker表示Melrose提及的场景“完全具备可行性”,并指出工业设施管理员们“应当着眼于自身安全度量方案,从而将禁止接近的对象由‘个人’转换为‘飞行中的无人机’。”
“当安全人员对自己的无线电信号漏洞进行检查时,他们需要假设攻击者一方可能无需翻越围栏、躲避视频监控、攀爬塔楼以接近发射装置位置,”Toecker告诉我们。“因此,如果单纯因为难以接近而放弃采用强大的通信加密机制,那么这类通信方式将很容易被对方所入侵。因为无人机能够直接飞行至目标区域,并利用板载无线电装置以避开全部物理保护。”
在未来,黑客们可能会利用无人机达到更多以往难以触及的区域。虽然这一结论在很大程度上还仅仅属于猜测,但我们无疑应当率先做好准备。
换句话来说,正如Melrose撰文称,负责关键性基础设施保护工作的人员也许是时候“将物理安全机制带入二十一世纪”了。
(三)黑客能黑进显示器窃取数据,篡改显示信息
我们将显示器视为被动实体。计算机向显示器发送数据,它们如同魔术师般转化为生成文字和图片的像素。
但如果黑客可以黑进显示器会如何?
事实证明,确实有可能。一组研究人员发现在不需要进入实际电脑的情况下,直接入侵控制显示器的微型计算机,从而查看显示器上显示的像素—暗中监视—并控制像素显示不同的图像。
经过长达两年的研究、反向工程、在控制显示器和固件的处理器上实验,Red Balloon的安全研究人员发现在不入侵计算机的情况下便可黑进显示器。
在DEF CON黑客大会上,Red Balloon的首席科学家Ang Cui博士以及首席研究科学家JatinKataria演示了“黑暗显示器:反向与利用现代显示器中无所不在的屏幕显示控制器(A Monitor Darkly: Reversing and Exploiting Ubiquitous On-Screen-Display Controllers in Modern Monitors)”。这两名科学家将Monitor Darkly的概念验证代码和REcon 0xA演示发布在GitHub上,本周早些时候,Cui及同事在Red Balloon位于纽约市的办公室进行了演示,展示他们如何黑进显示器。从本质上而言,如果黑客能让你访问恶意网站或点击网络钓鱼链接,他们然后能以显示器的嵌入计算机为目标,尤其是固件实施攻击。
黑客之后可以植入程序以便进步一获取指令。然后,黑客可以与植入程序通信,这种做法相当精明。植入程序等待通过闪烁像素发送的命令(可能包含在任何视频或网站内)。基本上,这个像素上传代码至显示器。从这一点可以看出,黑客能扰乱显示器。
通过利用被黑进的显示器,他们可以控制像素并通过URL添加安全锁图标,可以将PayPal账户余额从0美元修改显示为十亿美元,还可以将发电厂控制界面的警报状态从绿色改为红色。
该研究小组先将Dell U2410显示器拆解,最终找出如何改变屏幕像素的方法。他们发现固件存在安全隐患。攻击者会需要通过HDMI或USB端口访问显示器,但之后显示器将被劫持。这种情况听起来像勒索软件,不让用户查看显示器上显示的信息,除非愿意缴纳赎金。
研究人员强调,不只Dell显示器存在漏洞。在演示文稿中,许多显示器被黑。他们确定,包括宏碁、惠普和三星在内的品牌易受无法检测的固件攻击。
实际上,Cui表示,该漏洞可用来暗中监视,也能显示实际上不存在的内容。如果黑客胡乱操纵控制发电厂的显示器,也许制造一个虚假紧急情况,造成严重后果。
“如果你有显示器,就可能受影响”
研究人员警告称,该漏洞可能潜在影响十亿台显示器,因为市场上最常见的品牌都包含易受攻击的处理器。
有更简单的方法同时诱骗大量用户并在显示器上显示不真实的内容,比如在无线热点安装Newstweek设备。远程攻击者可用来操纵热点中所有人的信息。
尽管如此,对我们大多数在工作场所或家里使用的显示器而言,显示不正确信息的情况不太可能发生。如果攻击者能访问许多显示器,然后会同时影响大量用户,比如在股票交易者用来的显示器上显示伪造信息。
顽固的攻击者能利用显示器主动监视用户的所有行为,甚至会窃取数据。
Cui表示,:但是,这不是简单的入侵行为。至于此类攻击的实用性?他称:“我们不需要任何特权访问电脑执行这类攻击。”当谈及修复的现实可能性时,Cui表示,不是那么容易的事,未来如何构建更安全的显示器,我们无从得知。
这类攻击,有一个缺点,那就是加载缓慢,因此也许不是快速控制受害者计算机最有效的方法。但如果黑客的目标是工业控制系统显示器,不会是什么问题,因为这些显示器大多为静态。
对于Cui而言,在任何情况下,研究的目的是为了展示可能性,让人们了解显示器并非牢不可破。
Cui总结道,“我们现如今生活的世界,连显示器都无法信任。”
(四)黑客能控制Jeep汽车方向盘和刹车
E安全8月3日讯 随着万物互联的智能时代快速走来,关于汽车的安全漏洞却层出不穷。正在美国拉斯维加斯召开的2016黑帽大会上,针对汽车安全的话题自然也吸引到众多与会者的重点关注。
黑客Charlie Miller和Chris Valasek再次入侵了2014款的Jeep吉普切诺基,这次是通过物理连接笔记本电脑操纵方向盘并控制刹车。
这两名黑客本周将在拉斯维加斯举办的Blackhat黑帽大会上通过视频演示概念。为了成功入侵切诺基,攻击者必须在现场进行操作。但是,Miller证实称,能通过使用包含自动和定时命令的隐藏设备进行攻击,或通过无线连接实施远程攻击。
Miller表示,这种攻击最有可能被当成实施有针对性、过度设计的攻击载体。
这种限局性的攻击类似其它CAN(汽车控制器局域网络)总线攻击,研究人员解除锁定、操控方向盘与刹车。
入侵CAN总线具有合法用途:比如,促使产品制造企业接入端口向司机显示详细的油耗和发动机数据。
在其中一个概念验证视频中,Miller坐在切诺基的后排,用一根导线将他的笔记本电脑连向CAN总线。
Valasek在麦田公路慢速巡航,直到Miller将方向盘向右锁定为90度,使其偏离轨道。
这两人去年远程入侵吉普车,虽然车载系统经过修复,但这种攻击仍对其有影响。
他们攻击了这辆吉普的电子控制单元,通过将其中一个单元设置为维护模式并使用另一个单元发送假命令从而禁用电子控制单元。同时还能设置巡航控制速度,但司机能通过踩刹车控制车辆。
CharlieMiller和Chris Valasek称他们写了一篇论文,将在黑帽大会上亮相。论文中,他们推荐汽车制造商如何更好锁定CAN总线。为了帮助汽车制造商,这两名黑客已构建了一个入侵检测系统,便于检测攻击。
当前,鉴于智能汽车系统的快速发展,加上CAN总线协议在部署难度、通信速率、性价比等方面上优势特色,已成为目前汽车领域中应用最为广泛的国际标准协议之一,全球各大车企都纷纷采用CAN总线来实现汽车内部控制系统与各检测和执行部件间的数据通信。因此,也为考察和校验其安全提供了必要性。
不过,通过视频可以发现,目前汽车厂商对于CAN总线协议的安全问题明显还认识不足。为此,两人也表示现在正协助汽车制造商一起,构建一套针对CAN总线攻击的入侵检测系统,来进一步强化其安全性,更多的技术细节也会在2016黑帽大会上公布。
(五)黑客尝试入侵酒店客房与POS系统
E安全8月3日讯 来自Rapid7公司的安全研究人员Weston Hecker开发出一款成本仅为6美元的工具,但其足以开启酒店房门及攻克销售点系统。
相信没人指望酒店的电子锁能挡得住黑客们的入侵——但真正令人惊讶的是,技术人员仅使用一款成本为6美元的工具就完成了这一目标。
来自Rapid7公司的安全研究人员Weston Hecker打造出一款成本极低的小型设备,可用于开启各类酒店房门。
这款设备只有一张磁卡大小,亦可用于入侵销售点系统与现金出纳机。
去年,知名黑客SamyKamkar设计出一款名为MagSpoof的工具,这款成本低廉的小工具(成本为10美元)能够预测并存储数百张美国运通(AMEX)信用卡信息,并利用其进行无线交易。这款小工具实际上是一款信用卡/磁卡欺诈装置,这套包含有微控制器、驱动马达、电线、电阻器、开关、LED以及一块电池的设备还适用于有线支付终端。
现在,Weston Hecker对Kamkar的MagSpoof做出了进一步改进,事实上这款成本仅为6美元的新工具能够直接读取并复制电子钥匙。该工具还可以针对门锁发动“暴力破解”攻击,从而顺利开启房门。
攻击者可以利用此工具访问酒店客房钥匙中的信息,具体包括对开数编码输出结果、酒店房间号以及结账日期等等。
黑客可以将该工具靠近读卡装置,并利用以上信息的任意组合进行暴力破解。这款工具速度极快,每分钟可以进行48次钥匙组合猜测。
“在此之后,他会了解到钥匙副本中有哪些数据字段需要猜测,”《福布斯》杂志的Thomas Fox-Brewster写道。
“黑客随后可以前往某间酒店客房,手持Hecker的工具贴近读卡装置,并运行由上述细节信息组成的密钥组合尝试,直到试出正确的组合(即密钥)。”
这款设备之所以速度极快,是因为与Kamkar设计的原始工具相比,其可利用多条天线以负载均衡方式实现并发工作。
“可以将其视为一种负载均衡机制,”Hecker在接受《福布斯》杂志采访时解释称。“当一根天线过热,其即会转移至另一根天线。”
这台设备可用于入侵销售点系统(即PoS机),并可通过磁条读取装置注入键盘敲击内容。
Weston Hecker本周将在拉斯维加斯举行的DefCon大会上演示该设备。
(六)黑客利用木马窃取数据,受害者被迫沦为“傀儡”
E安全7月19日讯,近期出现一款新型木马,专门收集目标受害者信息,黑客便以此勒索受害者为其行事。组织机构需防范内部威胁。
威胁情报公司Diskin Advanced Technologies(以下简称DAT)发现一款名为“Delilah”的恶意软件,这款软件大概参照圣经人物—主要针对地下网络犯罪。非公开的黑客组织间共享此软件。
Gartner著名分析师AvivahLitan表示,访问并尝试从某些特定成人与游戏网站下载的用户会受此木马感染。
一旦安装,该恶意软件会收集目标受害者的个人信息,包括家庭和工作场所信息。同时还部署插件让黑客远程打开受害者的网络摄像头并进行记录。黑客利用窃取的信息操纵受害者。
Litan在博文中解释道,“根据DAT所述,黑客给受害者下达的指示通常包括使用VPN服务、TOR以及删除浏览历史(可能为了移除审查跟踪)。”
“这种木马程序还要求高水平人工参与识别并优先确定勒索对象作为内部人员攻击目标机构。如果缺乏这些特定技能,想使用该木马的罪犯还能获取托管的社会工程和欺诈服务。”
很明显,该木马尚未完善,当使用网络摄像头间谍功能时会报错并导致画面冻结。
Litan认为需要更多VPN和TOR活动更好了解此威胁性质。她还补充道,IT安全小组应该封锁某些危险网站降低风险。
Litan总结道:“有了像Delilah这样的木马,组织机构应该期望内部招募进一步快速升级。这只会让内部威胁数量不断增加,因为心怀不满的员工为了伤害雇主会在暗网出售服务。”
2015年12月卡巴斯基实验室的研究指出,近四分之三的公司已遭受内部威胁事件。
(七)语音验证有漏洞 黑客每年可从Google、Facebook和微软盗窃数百万欧元
原创 2016-07-18 E安全 E安全
E安全7月18日讯 比利时安全研究员Arne Swinnen发现通过双因素语音验证系统一年能从Facebook、Google和Microsoft公司盗窃数百万欧元。
许多部署双因素认证(2FA)的公司通过短信息服务向用户发送验证码。如果选择语音验证码,用户会接收到这些公司的语音电话,由机器人操作员大声念出验证码。
接收电话通常为与这些特定账户绑定的电话号码。
从理论上讲,攻击者还可以攻击其它公司
Swinnen通过实验发现,他可以创建Instagram、 Google以及Microsoft Office 365账号,然后与高费率(premium)电话号码绑定也不是常规号码。
当其中这三个公司向账户绑定的高费率电话号码提供验证码时,高费率号码将登记来电通话并向这些公司开具账单。
Swinnen认为,攻击者可以创建高费率电话服务和假Instagram、Google或Microsoft账号,并绑定。
Swinnen表示,攻击者能通过自动化脚本为所有账号申请双因素验证许可,将合法电话呼叫绑定至自己的服务并赚取可观利润。
攻击者可赚取暴利
根据Swinnen计算统计,从理论上讲,每年可以从Instagram赚取206.6万欧元,Google 43.2万欧元,以及Microsoft 66.9万欧元。
Swinnen通过漏洞报告奖励计划向这三家公司报告了攻击存在的可能性。Facebook给予他2000美元的奖励,Microsoft的奖励金额为500美元,Google在“Hall of Fame”(名人堂)中提及他。
Arne Swinnen先前还发现了Facebook的账户入侵漏洞,并帮助Instagram修复登录机制,防止多种新型蛮力攻击。
(八)黑客们盗取联网车辆的六种高科技手段
http://mt.sohu.com/20160714/n459249597.shtml
E安全7月14日讯 未来,您的爱车将不仅仅作为交通工具存在,但其中更为丰富的信息也会吸引到更多犯罪分子。
奔驰在互联网高速公路上
我们的车辆包含有多种重要的个人信息,例如通讯录、登记以及保险等等,甚至包括财务数据乃至家庭住址等等。一旦这些信息被攻击者获取,那么更多危害后果或将接踵而来。
伴随着更多高精尖技术的涌现,车辆盗窃活动本身也发生了转变。目前的车辆虽然更智能也更易于同网络对接,但这也给攻击者们留下可乘之机——而他们正是所谓“联网车辆窃贼”。作为针对此类状况提供恢复与高级车队管理解决方案的厂商,LoJack公司提供了以下新时代窃贼们最为惯用的技术手段。
01
车辆克隆
“车辆克隆”是一种新型先进盗车手段,经验丰富的贼人能够为目标车辆创建并安装一条伪造的车辆身份编号(即VIN),从而获得控制权。这种方法用于盗取高端豪车,并将其神不知鬼不觉地转卖到海外市场。黑客随后可利用盗取的VIN变更车主信息,或者伪造新文档以隐藏车辆的真实身份。
02
车辆赎金
目前勒索软件正在大行其道,这类攻击活动利用恶意软件对数字数据进行加密,并要求受害者支付赎金以完成信息解绑。由于联网车辆开始逐步充当活动热点的角色,黑客会经由WiFi热点入侵车辆并完成“绑架”活动。举例来说,不久的未来他们能够轻松侵入车辆,禁用发动机及制动器,并要求车主支付比特币以赎回对车辆的使用权。
03
利用扫描设备作为智能钥匙
联网车辆盗贼开始利用扫描设备,或者那些能够可作为智能钥匙的装置完成自己的罪恶目标。这些攻击者们可借此完成车辆解锁、启动,且过程中无需触碰任何实体按键。一旦智能钥匙与扫描设备间的距离缩小到一定程度,其传输信息即会被破解。目前这个问题在美国已经得到高度重视。
04
盗窃团伙瞄准豪华车型
根据LoJack公司发布的2015年车辆恢复报告所指出,目前窃贼们越来越多地以团伙形式行动,并将目标设定为价格高昂豪华车身上。他们随后将其拆分为零件、重新销售甚至是发往海外。这些豪华车型的价格普遍超过3万美元,而2015年遭窃情况最严重的高端车型包括路虎揽胜、福特F系列以及宝马X系列等等。这些盗窃团伙经常利用复杂的方案,例如获取并复制智能钥匙,实施偷盗,并使用偷来的信用卡与假身份进行车辆二次销售。
05
远程劫持
远程劫持在去年着实火了一把,人们亲眼见证了吉普切诺基是如何被攻击者通过互联网所控制的。目前地点导航及内置GPS在很多现代车型上已经非常普遍,而其实现基础全部为连接电信网络。但这样一来,网络攻击活动就有可能影响到此类车辆,甚至彻底接管其导航系统。
06
数据引发身份盗用
时至今日,联网车辆中包含的信息及个人数据远超以往,这意味着我们正面临着更为严重的身份被盗威胁。盗贼不仅想要我们的车,更想要我们的“人”(身份)。信用卡信息、身份证号码、驾照信息等一旦泄露,我们的网络账户将很可能被其全面盗用。
(九)黑客可通过宝马门户网站漏洞篡改BMW车辆的设置
E安全7月8日讯 宝马ConnectedDrive门户网站存在的两大漏洞可以让攻击者原创操纵与宝马信息娱乐系统有关的车辆设置。
ConnectedDrive,德国BMW公司于2006年联手Google公司开发的“联网驾驶”服务,也是宝马车载信息娱乐系统的名称。该系统可以在车内使用,或可以通过一系列连接的移动应用程序让司机通过移动设备管理车辆设置。除了移动应用程序,该服务还有网页版。
Vulnerability Lab的安全研究人员Benjamin Kunz Mejri昨日公布ConnectedDrive门户存在的两个零日漏洞,宝马过去5个月未对这两大漏洞进行修复。
漏洞#1:VIN会话劫持
会话漏洞允许用户访问另一用户的VIN—车辆识别代码。
VIN是每个用户帐号的车辆ID。VIN码备份车辆ConnectedDrive设置到用户的帐号。在门户网站更改这些设备将更改车载设置以及附带应用程序。
Mejri表示,他可以绕过VIN会话验证并使用另一VIN访问并修改另一用户的车辆设置。
ConnectedDrive门户的设置包括锁定/解锁车辆,管理歌曲播放列表、访问电子邮件账号、管理路由、获取实时交通信息等。
第二个漏洞就是门户密码重置页面存在XSS(跨站脚本)漏洞。
这个XSS漏洞可能带来网络攻击,比如浏览器cookie获取、后续跨站请求伪造(Cross-site request forgery,缩写CSRF)、钓鱼攻击等。
Mejri声称,他2016年2月向BMW报告了两大漏洞。由于宝马没有及时回应Mejri的漏洞报告,于是Mejri将漏洞公开。
差不多一年前,安全研究员SamyKamkar揭露,OwnStar汽车黑客工具包攻击过宝马远程服务。
