BlackHat 2018 | 关注三个热点领域：加密数字货币、医疗设备和机器学习

前言

Black Hat USA已经走过了20个年头，作为世界领先的信息安全峰会，它为与会者提供了大量的第一手安全研究、开发和趋势资讯。今年的Black Hat USA大会上，有三个热点领域值得大家关注。(文中所有链接请阅读原文查看)

Black Hat USA 2018于今年8月开幕，首先是为期四天的技术培训（8月4日至8月7日），随后是为期两天的会议（8月8日至8月9日），其中包括简报、工具展示（Arsenal）和讲座等内容。

最近几年，全世界范围内针对组织和个人的网络攻击愈演愈烈，犯罪分子窃取了数十亿美元以及数亿人的个人信息。本次的大会是一个很好的机会，让我们一睹最新的攻击手段和相关的防范技术。

小编推荐网络安全工作者关注以下三个热点领域。

加密数字货币

在过去一年里，加密数字货币的市值从100亿美元增长到300亿美元，最高时达到700亿美元。随着市场价值迅速飙升，网络犯罪分子也盯上了这块香饽饽，他们通过各种手段掠夺了价值10亿美元的加密数字货币。加密数字货币领域黑客活动的爆发可能有以下几点原因：

匿名性使得追踪黑客几乎不可能实现； 技术比较新，基础薄弱，欠缺安全标准和规范，存在诸多安全漏洞； 金融机构缺乏针对性的安全产品。这些持有大量加密数字货币的组织，使用的内部平台和消费级解决方案无法提供足够的安全支持。举个例子，今年早些时候，日本最大的加密货币交易所之一Coincheck的被黑，导致价值超过5亿美元的加密数字货币被盗。

Black Hat简报的重点是区块链基础设施和加密数字货币钱包的研究。这些领域漏洞频出，如Parity的多重签名奇偶校验钱包漏洞以及TheDAO被攻击等事件，导致了数千万美元的损失。

在会议期间，小编推荐大家可以关注以下简报：

以太坊智能合约剖析 硬件钱包面临的软件攻击 攻击 Curl-P函数，伪造IOTA数字签名 通过映射分布式Namecoin和Emercoin系统来攻击区块链

医疗设备

物联网已经诞生很多年了，但随着接入设备数量的激增，黑客们对这个领域的兴趣也越来越高。信息技术研究和分析公司Gartner表示，到2020年全球将有200亿台物联网设备，其中20％的组织将至少经历一次基于物联网的攻击。

回顾之前的黑帽会议，对于物联网领域的关注主要集中于通用、汽车和工业物联网。今年推荐医疗设备领域是因为以下几点：

医疗数据的价值比黑市上的信用卡信息高出100倍； 某些设备在制造时并未充分考虑安全性，基础软件和通信协议均有问题； 医疗设备运行的操作系统非常老旧，因受FDA法规严格管理而难以更新和维护。

医疗领域的恶意活动对人们的生命安全构成了严重的威胁。例如，WannaCry勒索软件可以锁死医疗设备，影响医院的正常运行。还有之前有白帽子演示了远程控制输液泵，如果心脏起搏器和病人监护设备中也存在漏洞，那将直接威胁人们的生命安全。

相关简报包括：

了解和开发植入式医疗器械 不安全的HL7消息如何威胁患者的生命

如果你参加DefCon黑客大会的话，以下讲座可以考虑一下：

D0 N0 H4RM：医疗保健安全对话 5秒内从80到0：伪造医疗患者的生命体征

机器学习

几乎所有安全公司或多或少部署了机器学习（ML）解决方案，来检测或预防安全事件。而黑客也不甘示弱，机器学习被他们用来来发动更复杂的攻击。潜在威胁包括：

规避安全软件 - 来自康奈尔大学的研究人员创建了一种算法，可以实现不会被基于机器算法的安全软件检测出来的恶意软件样本。 破坏机器学习过程 - 人类容易受到社会工程学的影响，其实机器也会。黑客可以篡改机器学习模型的训练数据，从而引导机器学习方案得出具有潜在风险的结果。

关于机器学习领域的内容，可以看看：

强化机器学习防御和对抗攻击 使用AI偷偷进行攻击 深入学习旁路攻击

上述领域还很年轻，但它们已然成为黑客下手的主要目标，为了健康和钱包，怎么说我们也要打赢这三场战役。

*参考来源：HELPNETSECURITY ，Freddy编译，转载请注明来自FreeBuf.COM