Black Hat 2017 | 15000名观众创新高,首日议题精彩不断

白帽子I黑帽子I乐趣

Black Hat总会给我们带来不一样的惊喜

BLACK HAT

Black Hat创办于1997年,今年正好是20周年。今年的Black Hat吸引了全球来自100多个国家超过1万5千名专业观众参与,250多家展商进行产品展示和商务交流,更有180知名演讲嘉宾带来技术干货。

安恒信息与Black Hat大会有多年渊源,创始人范渊是全球首位登上Black Hat大会演讲的中国人。今年安恒信息也派出了代表团参与此次盛会,一线记者小安趁着热乎劲,连夜赶工为大家带来今年Black Hat首日议题的部分精彩内容分享。

KEYNOTE

Keynote是每届Black Hat的开场秀,今年换了一个更巨大的会场,看着人数比往届又多了很多。

还是按往年的惯例,Black Hat的创始人Jeff Moss打响开场第一枪。

议题:Stepping up Our Game: Re-Focusing the Security Community on Defense and Making Security Work for Everyone

Keynote主题演讲由Facebook的首席安全官Alex Stamos开始。这次已经提到了我们当前面临的安全问题已经和财产、生命相关,面临的安全风险更加严峻,我们应该更好的解决这些问题。

议题:All Your SMS & Contacts Belong to ADUPS & Other

研究人员发现了很多来自中国手机固件和APP存在收集用户信息和后门,并且回传到中国国内的网站,其中也包括了一些厂商远程调试使用的一些接口。移动端收集用户信息的情况在国内的确比较普遍。

议题:When IoT Attacks: Understanding the Safety Risks Associated with Connected Devices

主要讲一个自动化洗车系统的安全问题,当然研究人员也非常专业的对各个攻击面进行了彻底的分析(包括了暴露在网上的接口、内部dll、操作系统等),对安全测试有不少借鉴作用。

议题:Hacking Hardware With a $10 SD Card Reader

对智能设备的安全测试第一步需要获得固件,固件存储在设备的存储芯片中。议题介绍了如何用SD卡设备读取eMMC标准的存储芯片,并且他们也自己做了一个小的设备进行转换。但是比较讽刺的是国内在2014年就已经有人在网上发贴讲述如何实现了。看来中国的IT技术某些部分已经走在前面了。

议题:What’s on the Wireless? Automating RF Signal Identification

两个软件无线电(SDR)的大神(Michael Ossmann和Dominic Spill)hackrf和ubertooth的开发者上台演讲。如果进行自动化的射频信号的识别,相关的程序已经在github上开源。也是搞SDR研究员的福音了。

议题:Go Nuclear:Breaking Radiation Monitoring Devices

讲了核辐射监控设备的安全风险,主要分析了Mirion公司的一些产品。通过xbee模块进行外部通讯,通过无线信号分析、硬件分析、固件分析等方式进行测试,并发现远程就可以干扰设备,让其发出错误的告警。Ludlum公司的产品也存在一些问题,而且有不少已经在中国使用。

议题:Breaking Electronic Door Locks Like You're on CSI: Cyber

在电影当中,入侵电子门锁总是能够引起观众们的浓厚兴趣。演员们利用由“技术后援”人员提供的小工具插入门锁上的控制面板,而后小工具上滚动显示一切可能的组合,并最终成功打开门锁。

演讲者展示了几款消费级电子锁,并尝试通过电影中的方式成功将其突破。演讲过程中,演讲者还拆开这些电子锁产品进行原理讲解,同时讨论硬件黑客如何利用多种安全漏洞将其破坏。

点评:Black Hat大会每年都会汇聚业界最优秀的安全研究人员,展示新的威胁研究和漏洞发现,议题中自然而然就能洞察到今年最重要的、致命性的新攻击方式。用到了“致命性”这个词并不为过,因为首日的很多议题都聚焦在了新兴的物联网领域,从日常生活中的门锁、汽车到可能用于监测核电站运行状态的核辐射监测设备。如果说之前的网络攻击只是骗了钱,今天对物联网设备的攻击可能真的要了命。就此,Black Hat官网也在本届大会开幕之前发布了一篇博文:《物联网的主导地位》(Predominance of Internet of Things)。文中提到,“跟物联网相关的入侵呈现主导地位,这增加了人们对联网设备的担忧。物联网入侵事件预计还会增加,复杂程度也会与日俱增,这要求我们更深入的了解有关物联网的基础和实践。”

- END -

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-07-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏人称T客

企业移动互联网 国产移动操作系统元心谁能担起重任?

自从斯诺登事件以后,安全问题再次成为用户关注的重点,特别是在移动互联网时代,在操作系统被国外厂商盘距的当下,安全犹如纸上谈兵,核心问题没有解决,高谈安全问题只...

2997
来自专栏CIT极客

【极客周刊】啥子玩意?微信要出SVIP服务?OFO数百万购“ofo.com”域名?更多精彩内容进来看!

36710
来自专栏知晓程序

【晓头条】还在用微信多开?小心被封 / 腾讯为打击「吃鸡」外挂竟报警 / 星巴克小程序入驻微信「九宫格」

1. Android 版微信惊现「小程序 Home 键」,在小程序的右上角。知晓程序(微信号 zxcx0101)发现,点击该按键后,微信将会让小程序放入后台运行...

1644
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(180)-国内成本会计的一些概念

财务会计都出了新准则,但是感觉成本似乎没跟大上,如果按国内成本会计的这些概念去设计系统,估计系统会不好使用, 在处理制造费用,辅助生产成本和基本生产成本的结转上...

2934
来自专栏阮一峰的网络日志

每周分享第 12 期

我看到一篇报道,美国2016年的社会福利支出,占到政府总支出的73%。这就是说,美国政府的大部分支出,都用在养老金、医疗保险、失业救济这些方面了。现在,大多数的...

1215
来自专栏老苏机

早报:谷歌新系统支持苹果Swift编程语言

1、Uber被指向黑客低头 曾花10万美元平息盗号风波 Uber被曝公司曾在去年十月被黑客攻击,致使5700多万用户和司机账号被盗。Uber对外部隐瞒了这...

38312
来自专栏机器人网

玛莎拉蒂工厂:一个被机器人承包的工厂

在Maserati工厂,86台机器人正在进行全自动安装,其中82台机器人由Comau工程公司提供。它们不仅可以加工Quattroporte的长底盘也可以加工Gh...

3126
来自专栏VRPinea

8.23 VR扫描:Oculus计划在2019年Q1发售VR一体机Santa Cruz

近日,有报道称Oculus最新VR一体机Santa Cruz预计将于今年9月公布具体的发售日期。Santa Cruz的开发已有多年时间,支持6自由度头部追踪和内...

1732
来自专栏FreeBuf

内部威胁那些事儿(一)

写在前面 内部威胁区别于外部威胁,攻击者来自于内部用户,因此检测更加困难,危害性却更大。随着企业信息安全机制的建立建全,单纯想从外部Hack进入目标系统的攻击门...

2938
来自专栏区块链大本营

Web 2.0 已死,Web 3.0 当立!这一次竟是金融行业被淘汰?

2018 年,随着“通俄门”和“剑桥分析”等涉嫌干预美国大选的事件持续发酵,社交巨头 Facebook 陷入前所未有的低谷。

912

扫码关注云+社区

领取腾讯云代金券