Black Hat 2017 | 15000名观众创新高,首日议题精彩不断
Black Hat 2017 | 15000名观众创新高,首日议题精彩不断
白帽子I黑帽子I乐趣
Black Hat总会给我们带来不一样的惊喜
BLACK HAT
Black Hat创办于1997年,今年正好是20周年。今年的Black Hat吸引了全球来自100多个国家超过1万5千名专业观众参与,250多家展商进行产品展示和商务交流,更有180知名演讲嘉宾带来技术干货。
安恒信息与Black Hat大会有多年渊源,创始人范渊是全球首位登上Black Hat大会演讲的中国人。今年安恒信息也派出了代表团参与此次盛会,一线记者小安趁着热乎劲,连夜赶工为大家带来今年Black Hat首日议题的部分精彩内容分享。
KEYNOTE
Keynote是每届Black Hat的开场秀,今年换了一个更巨大的会场,看着人数比往届又多了很多。
还是按往年的惯例,Black Hat的创始人Jeff Moss打响开场第一枪。
议题:Stepping up Our Game: Re-Focusing the Security Community on Defense and Making Security Work for Everyone
Keynote主题演讲由Facebook的首席安全官Alex Stamos开始。这次已经提到了我们当前面临的安全问题已经和财产、生命相关,面临的安全风险更加严峻,我们应该更好的解决这些问题。
议题:All Your SMS & Contacts Belong to ADUPS & Other
研究人员发现了很多来自中国手机固件和APP存在收集用户信息和后门,并且回传到中国国内的网站,其中也包括了一些厂商远程调试使用的一些接口。移动端收集用户信息的情况在国内的确比较普遍。
议题:When IoT Attacks: Understanding the Safety Risks Associated with Connected Devices
主要讲一个自动化洗车系统的安全问题,当然研究人员也非常专业的对各个攻击面进行了彻底的分析(包括了暴露在网上的接口、内部dll、操作系统等),对安全测试有不少借鉴作用。
议题:Hacking Hardware With a $10 SD Card Reader
对智能设备的安全测试第一步需要获得固件,固件存储在设备的存储芯片中。议题介绍了如何用SD卡设备读取eMMC标准的存储芯片,并且他们也自己做了一个小的设备进行转换。但是比较讽刺的是国内在2014年就已经有人在网上发贴讲述如何实现了。看来中国的IT技术某些部分已经走在前面了。
议题:What’s on the Wireless? Automating RF Signal Identification
两个软件无线电(SDR)的大神(Michael Ossmann和Dominic Spill)hackrf和ubertooth的开发者上台演讲。如果进行自动化的射频信号的识别,相关的程序已经在github上开源。也是搞SDR研究员的福音了。
议题:Go Nuclear:Breaking Radiation Monitoring Devices
讲了核辐射监控设备的安全风险,主要分析了Mirion公司的一些产品。通过xbee模块进行外部通讯,通过无线信号分析、硬件分析、固件分析等方式进行测试,并发现远程就可以干扰设备,让其发出错误的告警。Ludlum公司的产品也存在一些问题,而且有不少已经在中国使用。
议题:Breaking Electronic Door Locks Like You're on CSI: Cyber
在电影当中,入侵电子门锁总是能够引起观众们的浓厚兴趣。演员们利用由“技术后援”人员提供的小工具插入门锁上的控制面板,而后小工具上滚动显示一切可能的组合,并最终成功打开门锁。
演讲者展示了几款消费级电子锁,并尝试通过电影中的方式成功将其突破。演讲过程中,演讲者还拆开这些电子锁产品进行原理讲解,同时讨论硬件黑客如何利用多种安全漏洞将其破坏。
点评:Black Hat大会每年都会汇聚业界最优秀的安全研究人员,展示新的威胁研究和漏洞发现,议题中自然而然就能洞察到今年最重要的、致命性的新攻击方式。用到了“致命性”这个词并不为过,因为首日的很多议题都聚焦在了新兴的物联网领域,从日常生活中的门锁、汽车到可能用于监测核电站运行状态的核辐射监测设备。如果说之前的网络攻击只是骗了钱,今天对物联网设备的攻击可能真的要了命。就此,Black Hat官网也在本届大会开幕之前发布了一篇博文:《物联网的主导地位》(Predominance of Internet of Things)。文中提到,“跟物联网相关的入侵呈现主导地位,这增加了人们对联网设备的担忧。物联网入侵事件预计还会增加,复杂程度也会与日俱增,这要求我们更深入的了解有关物联网的基础和实践。”
”
- END -