[[115379]]

攻擊車載系統(tǒng)、谷歌Glass用于密碼盜竊、使用免費(fèi)云試用推出僵尸網(wǎng)絡(luò)等，這是2014年紅帽大會(huì)上公布的攻擊類型，對此，有人質(zhì)疑難道安全就無處不在了嗎?

[[115380]]

使用谷歌Glass進(jìn)行密碼盜竊

一款Google Glass應(yīng)用程序可以誘使視頻用戶輸入密碼到觸摸屏，并對其分析以竊取密碼，在3米內(nèi)有90%的準(zhǔn)確率。這款應(yīng)用程序的研究人員包括麻省大學(xué)羅威爾校區(qū)的Xinwen Fu和Qinggang Yue以及東南大學(xué)的Zhen Ling，他們追蹤了用戶手指的移動(dòng)，并使用這些位置來識(shí)別輸入陰影、光流等因素來確定密碼。即使攝像頭背后的人不能用肉眼讀取用戶的屏幕，密碼也可能被盜。

[[115381]]

針對虛擬桌面的攻擊

虛擬桌面基礎(chǔ)設(shè)施通常被吹捧為提高BYOD[注]方案安全性的一種方法，它能夠集中應(yīng)用程序和數(shù)據(jù)，并為最終用戶提供統(tǒng)一視圖。但Lacoon Mobile Security公司的Daniel Brodie和Michael Shaulov將會(huì)展示針對VDI的概念證明型攻擊，他們稱這種攻擊不僅可行而且很有效。這種攻擊涉及屏幕抓取來竊取數(shù)據(jù)，同時(shí)保持不被檢測。正如他們所描述的那樣：“該攻擊可以規(guī)避客戶端和服務(wù)器端的惡意軟件檢測，同時(shí)，攻擊者可以自動(dòng)化這個(gè)攻擊過程，最終讓VDI解決方案無效。”

[[115382]]

濫用微軟Kerberos

下面是研究人員Alva“Skip” Duckwall和Benjamin Delpy在本次會(huì)議的內(nèi)容：“微軟Active Directory使用Kerberos來默認(rèn)處理身份驗(yàn)證請求。然而，如果這個(gè)域被攻擊，會(huì)有多么嚴(yán)重的影響?如果正確的哈希損壞，Kerberos可能在攻擊者獲得訪問權(quán)限后完全受到感染。這將會(huì)造成嚴(yán)重危害。”他們將會(huì)在真實(shí)世界的環(huán)境中展示這種攻擊。

[[115383]]

針對汽車的遠(yuǎn)程攻擊

汽車制造商并沒有統(tǒng)一的設(shè)計(jì)，所以并沒有廣泛的通用方法來遠(yuǎn)程對汽車系統(tǒng)進(jìn)行漏洞利用。Twitter公司的Charile和IOActive公司Christopher Valasek兩位專家的演講從安全角度探討了很多汽車制造商的汽車中的網(wǎng)絡(luò)情況。他們試圖回答這些問題：一些汽車是否更容易受到遠(yuǎn)程攻擊?在過去五年中，汽車網(wǎng)絡(luò)安全是否得到改進(jìn)，或者變得更糟?汽車安全的未來如何，我們?nèi)绾伪Ｗo(hù)我們的汽車免受攻擊?

[[115384]]

從銷售終端設(shè)備竊取數(shù)據(jù)

在過去一年中，銷售終端安全泄漏事故(例如Target公司遭受的攻擊)發(fā)生地更加頻繁，并且，很多企業(yè)仍然很容易受到最簡單的攻擊。NCR Retail公司企業(yè)安全架構(gòu)師Nir Valtman將會(huì)展示為什么內(nèi)存抓取是一個(gè)很大的威脅，并且很難解決。他將會(huì)展示如何最大限度地減小威脅，并討論已經(jīng)經(jīng)過驗(yàn)證的真實(shí)世界方法。

[[115385]]

USB 惡意軟件

根據(jù)獨(dú)立研究人員Karsten Nohl和SRLabs的Jakob Lell表示，USB記憶棒內(nèi)的控制器芯片可能會(huì)受到影響，并可能讓攻擊者掌控主機(jī)機(jī)器、竊取數(shù)據(jù)和監(jiān)控用戶。這些記憶棒還可以誘騙其他設(shè)備。他們將會(huì)介紹一種新的惡意軟件，在這些重新編程的芯片上運(yùn)行，并且他們會(huì)展示如何通過自我復(fù)制的病毒來攻擊系統(tǒng)，而不會(huì)被現(xiàn)有的防御檢測到。他們建議企業(yè)使用更好的方法來保護(hù)USB記憶棒。

攻擊移動(dòng)服務(wù)提供商的控制代碼

Accuvant實(shí)驗(yàn)室的研究人員Mathew Solnik和Marc Blanchou表示，移動(dòng)服務(wù)提供商隱藏控制代碼在蜂窩設(shè)備中以便于服務(wù)，但這個(gè)代碼可能被利用。他們將會(huì)展示如何針對這些控制平臺(tái)遠(yuǎn)程執(zhí)行代碼，并會(huì)展示這對最終用戶的影響。他們計(jì)劃發(fā)布工具來評(píng)估和抵御他們在GSM、CDMA和LTE網(wǎng)絡(luò)控制協(xié)議(影響著Android、iOS和黑莓設(shè)備)中發(fā)現(xiàn)的威脅。

[[115386]]

利用免費(fèi)云服務(wù)使用來擴(kuò)大僵尸網(wǎng)絡(luò)

Bishop Fox公司安全主管Rob Ragan和Oscar Salazaris將展示他們?nèi)绾瓮ㄟ^免費(fèi)云服務(wù)使用來積累計(jì)算能力。他們是這樣說的：“如果攻擊者開始使用友好型云服務(wù)進(jìn)行惡意活動(dòng)，會(huì)發(fā)生什么情況呢?在這個(gè)展示中，我們將展示如何利用免費(fèi)的使用來獲取大量的計(jì)算能力、存儲(chǔ)以及預(yù)先制作的攻擊環(huán)境。此外，我們還違反了一些服務(wù)條款，我們試圖通過0成本來構(gòu)建這種基于云的僵尸網(wǎng)絡(luò)。這個(gè)僵尸網(wǎng)絡(luò)并不會(huì)被標(biāo)記為惡意軟件，也不會(huì)被網(wǎng)頁過濾器阻止或者控制。這是噩夢。”

[[115387]]

移動(dòng)設(shè)備管理不善

移動(dòng)設(shè)備管理軟件可以訪問廣泛的數(shù)據(jù)，而這可能會(huì)因?yàn)镸DM產(chǎn)品中的漏洞而遭到泄漏。NTT COM Security公司研究人員Stephen Breen展示了如何執(zhí)行這種攻擊，并且列出了允許這種漏洞利用的漏洞。他表示，有些漏洞在一些商業(yè)MDM產(chǎn)品中非常常見。

[[115388]]

密碼學(xué)家不想要你知道的骯臟小秘密

根據(jù)其Cryto Challenge研究，Matasano Security公司研究人員Thomas Ptacek和Alex Balducci將會(huì)展示針對真實(shí)密碼架構(gòu)的48種攻擊，并解釋他們?nèi)绾慰梢岳谜鎸?shí)環(huán)境中軟件的漏洞。他們還會(huì)創(chuàng)建一個(gè)Rosetta代碼網(wǎng)站，其中將會(huì)以多種編碼語言列出已知加密漏洞利用，以幫助安全專業(yè)人員識(shí)別攻擊。