关于Black Hat 2016你想知道都在这里 | 宅客周刊
1. Black Hat 2016 专题报道
中国黑客5秒干掉 macOS 系统,攻击方法首次全球揭秘
用户在苹果电脑上点击了一条链接,在他眼里,一切都那么平静。然而他并不知道,随着点击的轻响,无数数据在电脑中奔涌激荡。在秒针跳动五次的时间内,苹果公司顶尖程序员们藉由代码构建的层层防御体系毁灭殆尽,赛博世界的上帝悄然易主。电光火石间,黑客夺取了电脑的一切权限。
这件事,真实地发生在“黑客奥运会”——Pwn2Own 2016 上。做出这种华丽攻击的,正是来自腾讯科恩实验室的黑客们。令人发指的是,他们还使用了另一种姿势,再次让 macOS 的世界失守崩溃。
正是这种震慑人心的黑客美学,帮助他们成功获得了“世界破解大师”的称号。
从今年3月开始,全世界都在等待这群“大师”揭秘那次神秘攻击的方法。五个月过去了,科恩实验室的黑客们终于决定还原这次攻击的技术细节。他们选择的舞台,是黑客界的最高盛会——BlackHat USA。
Android 系统的安全性有救了?中国黑客祭出神器
Android 系统很安全。
以上是黑客们眼中最大的笑话。
夸张点说,甚至一个脚本小子都能轻松在网上找到成建制的方案,攻破你的手机防线。造成这种结果的原因,并不是谷歌在系统安全方面不作为,而是大部分存在于人间的 Android 手机,大都成了“迷途的羔羊”。由于系统碎片化、厂商更新流程繁琐,这些手机根本找不到升级之门,只能如孤魂野鬼般徘徊在充斥豺狼虎豹的旷野之中。
百度首席安全科学家韦韬称之为:“生态的安全漏洞”、“Android 系统的白血病”。
难以置信,在顶级黑客聚集的盛会 BlackHat USA 之上,这位黑客连续三年为 Android 系统安全奔走呼号。就在今天,他再一次登上这个全球黑客的最高舞台。这一次,他祭出了一个“神器”。
演讲结束,雷锋网对韦韬进行了专访,让我们听他讲述一下,这个“神器”究竟是什么。
画风血腥,黑客让高速行驶的汽车突然转向
想象一下,你开车经过湛蓝的海滩,不禁心中暗想,如果有机会在这里游泳,也是极好的。突然,你的汽车方向盘突然自动旋转,来不及做任何反应,你畅游蓝海的梦想已经和车一起实现了。
这并不是因为你买了一辆会“读心术”的车。你很有可能招惹了一个汽车黑客。
这世界上最著名的汽车黑客,莫过于以上两位:查理·米勒 & 克里斯·瓦拉塞克。
他们曾在2015年的全球顶级黑客聚会 BlackHat USA 上,上演了一场震惊世界的汽车破解秀。在那次演讲中,他们展示了远程侵入 Jeep 车载系统,远程控制启动车上的各种功能,包括减速、关闭发动机、制动或让制动失灵。这样劲爆的玩法让全世界陷入了震惊之中。
现场看黑客“催吐”ATM机,十五分钟可以喷出五万美元
在世界顶级黑客聚会 BlackHat 上,从来不缺土豪。每一位站在台上分享的大牛,都可以用自己身上的技术赚来大把的钞票。不过,就在 BlackHat 临近落幕的时候,迎来了一位真的壕。因为他可以让任何一台 ATM机吐出五万美元,如果警察叔叔也同意的话。
目测 Weston Hecker(威斯顿·黑客),这个姓“黑客”的人创造了本届 BlackHat 上座率最高的一场技术分享。因为有一多半人和雷锋网 (搜索“雷锋网”公众号关注) 编辑一样,是为了见证 ATM 机“喷钞”而来到现场的。
Weston Hecker 告诉“求知若渴”的观众,其实自己并不能凭空“催眠”ATM 机器,而是制造了一个小工具,这个工具需要预先被插进银行卡入口。这样,当不明真相的群众使用这台 ATM 机的时候,这个小工具就会记录下他的银行卡和 ATM 机之间的交互数据,例如:银行卡号和密码。
2. 世界上最大的黑客 Party,有关“DEFCON”的十个冷知识
如果你对世界上的某些事情并不满意,并且决定用一切可能的方式来达成你的目标。恭喜你,你正在成为一名黑客。
全世界那些敢于对不可能竖中指的黑客,每年都会聚集在罪恶之都拉斯维加斯,参加一个盛大 Party ——DEFCON。
技术、破解、极客、怪咖、酒精,DEFCON 以不羁的形象出现在世人的记忆和媒体的描述中,然而正是这种藐视一切的态度,让 DEFCON 成为了很多包括中国黑客在内的精神圣殿。正所谓“生而为人,何不挣脱枷锁”。
美国当地时间2016年8月4日(北京时间8月5日),这个始于1993年的黑客 Party 即将迎来第24次重聚。想要了解这个全球黑客界 №1 的聚会,我们不妨来看看有关它的十个冷知识。
3. 深度 | 白帽汇赵武:以安徒生之名打造企业威胁感知神器
从一只不被认可的“丑小鸭”蜕变成为人人艳羡的“白天鹅”,是每个初创型企业的理想。帮这些初创型企业解决安全问题,更好的完成蜕变实现理想,也是白帽汇安徒生平台主要服务目标。赵武说,“以安徒生取名,既契合了创业艰难,但前途美好的寓意,又容易记。”
安徒生平台的LOGO也用了小鸭子的形象。
安徒生平台的全名为,安徒生·企业威胁感知平台。SANS 研究院对威胁情报的定义是:针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标、所收集的用于评估的应用的数据集。白帽汇将威胁情报简单的定义为:
谁想搞你,谁搞到你了,想怎么搞,但凡可能对企业安全产生威胁的都是威胁情报。
赵武告诉雷锋网,通常企业对自己的资产状况并不熟悉,这会导致发现漏洞威胁后,修补效率很低。
曾经有一家巨头企业,打一个补丁用了三天的时间,就是因为对自己的资产状况不够了解。
为及时准确的发现企业安全威胁情报,安徒生平台会先对企业的资产做一个梳理,并打上指纹标签。
4. 揭秘:希拉里如何靠科技 “左右” 大选?
维基解密让美国民主党烦透了。
2016 年 7 月 22 日,维基解密公开了民主党全国委员会(DNC)高层近 2 万封往来邮件。此次事件已成为美国历史上除了“水门事件”之外最大的政治丑闻。7 月 28 日,维基解密继续公布 DNC 高层 19 段电话录音。
希拉里的竞选优势因此大打折扣。大部分看客认为这是希拉里的技术团队不得力。然而,被入侵的是 DNC,而并非希拉里团队。希拉里团队只有一个在 DNC 系统中运行的程序被侵入,具体问题有多大目前不清楚。“邮件门” 归根结底是 DNC 忽视了网络安全评估警告的恶果。
事实上,很多人,连同共和党的对手在内,并不知道希拉里真正可怕的选举机器——一支来自于硅谷的 “科技天才们” 组成的超级团队。他们确实为希拉里的竞选立下了赫赫战功。
这是史上最为科技化、数字化的一届选举。在小布什之前,互联网对于总统竞选团队来说还只是一个 ATM 机——他们不知道互联网除了做一个系统来让选民填写支票,提交捐款之外还有什么别的作用。截至 2016 年 7 月,希拉里的科技团队已拥有 50 余人,相当于一家小有规模的硅谷科技创业公司。
他们开发的核心产品就是希拉里·克林顿本人。这支科技团队至今给希拉里带来了 2.4 亿美元的募资额。