惊!RSA会议注册信息泄露?

RSA会议进展到第五天,议题精彩不断,沟通讨论部分内容逐渐增加,但线上也发生了意料之外的“波折”。

19日会议刚结束,就听闻此次RSA大会注册网站被攻陷,注册人员信息全部泄漏。后经过初步分析,确认是有部分信息由于官网移动App硬编码的缺陷被遍历出来,但仅仅包含了First Name 信息,影响并不是很严重。

问题现实存在,让不少参会人员疾呼,我们参加安全会议居然自己的个人信息会被黑掉,是可忍孰不可忍啊。这确实给所有人敲响了警钟,应了老生常谈的一句话,没有绝对的安全!

精彩议题

入侵远程成像机器人

IoT SandboxStage 今天第一个议题就是Dan Regalado带来的酷炫入侵远程呈现机器人。首先,必须要科普下远程呈现机器人的概念:(90%以上的人应该没有听说过的黑科技啊)机器人远程呈现是下一代技术,允许一个人在远程位置复制自己。他可以看到你,听到你,在你可以四处移动的位置与你互动)。下图为每个人都梦寐以求的可以替自己上学的机器人的实际应用场景。

但是当这类机器人被大量应用以后,不同场景下也会出现很多新的威胁,除了2018年全新爆出的一些和机器人相关的CVE高危安全漏洞以外,还有针对Shell Injection,开发接口,升级模块,Wi-Fi认证模块等方向的攻击,可以实现对于远程机器人的入侵控制目的。

A

Dan Regalado最后给大家的建议是:

远程呈现机器人是让生活更轻松更美好的技术,但是我们无法对机器人进行全面的背景检查,目前最好是主动的通过全面的渗透测试尽可能的发现问题保证安全,希望新型的物联网技术不要成为新的泄漏隐私的途径。

物联网医疗安全

“通过护理工作的交付流程进行攻击”的议题由很两位很有趣的演讲嘉宾搭档完成,一位是ISE的创始人Ted,一位是外科手术专家Konstantinos博士(国外版的妇科圣手啊)

外科手术专家Konstantinos博士将攻击流程巧妙的和手术室的业务流相关联,对应的建立起针对医疗设备的测试模型。

安全沙盒挑战区:

IoT安全沙盒、ICS安全沙盒的体验及CTF挑战场景也比往年精细化了很多,可以明显感觉到物联网安全领域的快速发展。

应急响应部分

分析、情报和应急响应三部分内容在此次会议中被归类成一类主题,也是符合了目前情报、分析、应急之间越来越紧密的关联。

NSA网络安全威胁运营中心构建:

美国国家安全局技术总监Dave Hogue 展示了NSA网络安全威胁运营中心(NCTOC)集国家之力打造的大数据平台以及强大的运营、情报和分析能力。

A

最后还给出了运营安全中心的五大原则:

建立一个可防范的边界

确保整个网络的可视性

坚持最佳实践

使用全面的威胁情报和机器学习

创造好奇心的文化

云端应急响应

应急响应技术发展到今天,必须要面临大量云平台云端的应急响应,今天的会议上来自SANS的高级讲师Dave给安全同行带来了云端应急响应的全新思路。

首先,Dave展示了SANS统计的2017年的一些调研数据:

在调研的厂商中,过去12个月中出现安全事件的原因有很多,主要是不安全的托管导致敏感信息泄漏,未经授权访问其他云租户数据,云平台应急响应无法支撑,数据无法加密,组织内部人员数据滥用等等。

面对这些问题,Dave参考经典的NIST 800-61R2模型给出了改善应急和监测的思路。

并且对SaaS事件检测和响应、IaaS事件检测与响应作了详细阐述:

最后,还分享了许多有价值的应急响应工具,SANS的SIFT、微软Azure 平台中的DFIR 、亚马逊AWS中的各类响应工具等等。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2018-04-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏MixLab科技+设计实验室

人工智能「 服装设计师 」下

这篇文章差点就烂尾了?,今天趁想起来,赶紧完善下更新下。接着往期的2篇继续谈人工智能「 服装设计师 」。 人工智能「 服装设计师 」上 人工智能「 服装设计师 ...

35290
来自专栏BestSDK

API经济,正在改变你我生活

对于创业公司来说,如何快速创新,追赶热点,并能切实地完成落地,将新技术与自有业务高效结合。而速度更是决定公司成败的唯一重要特征,比竞争对手更快将新产品推向市场、...

43540
来自专栏罗超频道

WIN10的“操作系统分发商”,为什么是这四家?

原创2015-03-18罗超 在移动互联网吞噬一切之时,PC已经静如死水多年。不过今天PC老大哥微软发布WIN10的玩法,则让PC市场又回到人们视野,以完全不同...

24660
来自专栏新智元

【开源项目挣钱手册】15种方法,总有一款适合你

前不久有人提出“开源已死”的观点,虽然具有非常大的误导性,但确实反映出了目前开源生态不平衡的现状。

19250
来自专栏BestSDK

谷歌正在测试刷脸支付SDK,可自动通过拍照比对确认用户身份

编辑导语 Oculus发布可绑定Facebook账号新版社交APP,将于月末推出SDK;谷歌正在测试刷脸支付SDK,可自动通过拍照比对确认用户身份;阿里云推出云...

265100
来自专栏程序员互动联盟

现实生活中黑客攻击的时候是什么样子的,是电影里那样吗?

电影中只要不是纪实类型的,基本上都会为了艺术效果而拉伸镜头达成某种效果。真正黑客在攻克堡垒之前也会和平常的程序员一样会有各种苦恼的事情,黑客工作方向和程序员开发...

16740
来自专栏安全领域

物联网用例 - 2016

原文地址:https://dzone.com/articles/real-world-problems-solved-by-iot

38590
来自专栏重庆的技术分享区

7款超酷的物联网APP和如何开发一个物联网产品APP

原文地址:https://dzone.com/articles/7-cool-iot-apps-and-how-to-develop-one

766110
来自专栏BestSDK

一周简报|Google全新操作系统Fuchsia登场:可在GitHub获取源码

Google全新操作系统Fuchsia登场:可在GitHub获取源码;云适配:全民移动化时代,价值驱动是占有市场的关键;“稀客地图”App正式上线,专注国外导航...

511100
来自专栏美团技术团队

美团 P2P 图书馆实践:5天时间1845册图书共享入库

美团图书馆做的太赞了!只要用大象的「扫一扫」扫一下书封底的条形码,就可以把这本书录入进去。我刚才一口气分享了二十几本书。根本停不下来! ——美团网CEO王兴 我...

496100

扫码关注云+社区

领取腾讯云代金券