丁香五月天婷婷久久婷婷色综合91|国产传媒自偷自拍|久久影院亚洲精品|国产欧美VA天堂国产美女自慰视屏|免费黄色av网站|婷婷丁香五月激情四射|日韩AV一区二区中文字幕在线观看|亚洲欧美日本性爱|日日噜噜噜夜夜噜噜噜|中文Av日韩一区二区

您正在使用IE低版瀏覽器,為了您的雷峰網(wǎng)賬號安全和更好的產(chǎn)品體驗,強烈建議使用更快更安全的瀏覽器
此為臨時鏈接,僅用于文章預(yù)覽,將在時失效
新鮮 正文
發(fā)私信給精選轉(zhuǎn)載
發(fā)送

4

BlackHat 2015黑客大會精華報道

本文作者: 精選轉(zhuǎn)載 2015-08-07 07:48
導(dǎo)語:一年一度黑客大會BlackHat正在賭城拉斯維加斯如期舉行,全世界頂級黑客再度聚首,集思廣益,技術(shù)與觀點的交匯相觸。

本文轉(zhuǎn)載來自FreeBuf黑客與極客(FreeBuf.COM)

一年一度黑客大會BlackHat正在賭城拉斯維加斯如期舉行,全世界頂級黑客再度聚首,集思廣益,技術(shù)與觀點的交匯相觸。下面是BlackHat 2015首日的精華內(nèi)容。

Blackhat創(chuàng)始人:軟件商,請不要再逃避責(zé)任了

BlackHat 2015黑客大會精華報道

漏洞、缺陷、安全隱患作為軟件內(nèi)部問題而時刻存在,當(dāng)用戶安裝了一個應(yīng)用時,他就被迫接受用戶許可協(xié)議,即賣方不承擔(dān)由此造成的傷害。BlackHat創(chuàng)始人Jeff Moss說:“是時候,軟件應(yīng)該承擔(dān)不可逃避的責(zé)任了。”

周三,Moss在大會開幕致辭中說:“我討厭承認(rèn)這點,但我確實沒有看到軟件承擔(dān)更多責(zé)任?;蛟S這會耗費一美元,甚至是1000萬美元,但軟件未來肯定要對此負(fù)責(zé)?!?/p>

立法者多年來一直在討論軟件供應(yīng)商承擔(dān)責(zé)任的可能性。這個想法已經(jīng)被多次重構(gòu),但卻從來沒有實施過。其中一個主要原因是軟件制造商們的努力贏得了戰(zhàn)斗的勝利。行業(yè)組織與獨立軟件供應(yīng)商一直拒絕為自身設(shè)備的缺陷或安全漏洞承擔(dān)責(zé)任。

但情況正在發(fā)生急轉(zhuǎn)。軟件現(xiàn)在并不僅僅存在于筆記本、臺式機(jī)和服務(wù)器中,同時存在于飛機(jī)、汽車、家電等許多設(shè)備中。如果一臺筆記本中的軟件有漏洞,這可能只是個獨立事件。而一旦飛機(jī)上航空電子設(shè)備軟件出現(xiàn)問題,這個影響則是不可同日而語的。

Moss提醒大家,想想波音公司,現(xiàn)在那些飛機(jī)臨駕于數(shù)據(jù)中心之上。

近期有兩位研究人員開發(fā)的針對智能汽車軟件的遠(yuǎn)程攻擊表明,傳統(tǒng)軟件存在的問題許多也同樣存在于運行車輛的應(yīng)用程序中。而想要從攻擊或者軟件漏洞中恢復(fù),對于汽車而言則不是一件輕松的事情。

Moss并不是唯一一個有這樣想法的人。長期為黑客及安全研究者擔(dān)任辯護(hù)律師、斯坦福大學(xué)網(wǎng)絡(luò)與安全中心主任Jennifer Granick,繼Moss之后發(fā)言:軟件必須去承擔(dān)責(zé)任。

“我認(rèn)為軟件對于責(zé)任而言是不可逃避的,同時這非常有必要。但這會讓代碼變得更加昂貴,或許目前我們的推動工作沒有價值,但是這總能發(fā)生的?!?/p>

垂死的互聯(lián)網(wǎng)自由之夢

BlackHat 2015黑客大會精華報道

互聯(lián)網(wǎng)正飛馳在一條監(jiān)管與審查的,因此所有大眾傳播手段變成了無價值訊息的集合。開始有點像電視了。

Jennifer Granick給我們帶來了一絲絲恐懼,因為當(dāng)下社會存在監(jiān)視、審查、內(nèi)容管制以及我們竟然自信地允許這一切發(fā)生。

“20年前,因為我相信一個自由和開放的互聯(lián)網(wǎng)之夢,我第一次去DEF CON。我相信在這個世界上,那些想要對軟件以及設(shè)備深入學(xué)習(xí)、實踐、改變、逆向工程的人有自由,而正是他們定義了我們周遭的世界。20年前帶我去DEF CON的那個互聯(lián)網(wǎng)自由之夢,現(xiàn)在正慢慢死去?!?/p>

Granick表示在一味指責(zé)政府,不如一起行動起來推動有意義的趨勢。

現(xiàn)在人們所做的不僅僅是經(jīng)營個人博客,他們還會在例如Facebook的平臺上面發(fā)布個人消息。許多黑客可能在自己的郵件服務(wù)器上運行東西,但對于我們普通的大多數(shù)人,可能是Gmail優(yōu)先。大多數(shù)人使用的手機(jī)設(shè)備沒有越獄,他們下載應(yīng)用程序并批準(zhǔn)過度權(quán)限的要求。他們在所謂的云端共享數(shù)據(jù),但實際上互聯(lián)網(wǎng)是由數(shù)量有限的幾家公司所控制。

Granick認(rèn)為,首先美國國會應(yīng)該停止嘩眾取寵地制訂更為嚴(yán)苛的網(wǎng)絡(luò)犯罪法律。她指出,沒有起訴中國、朝鮮以及俄羅斯這些該為美國大型數(shù)據(jù)泄露負(fù)責(zé)的APT組織,反而讓計算機(jī)欺詐和濫用法令(CFAA)更加嚴(yán)格,這么做只會讓“好人心寒”。

Granick呼吁,大家應(yīng)該支持軟件使用者有權(quán)研究軟件并對其進(jìn)行修改,同時CFAA不應(yīng)該對此加以阻攔。而隨著更多來自汽車、家庭自動系統(tǒng)等網(wǎng)絡(luò)設(shè)備的實現(xiàn),這一需求變得更加重要。

谷歌承諾將每月推送Nexus設(shè)備安全更新

拉斯維加斯的BlackHat黑帽大會對谷歌產(chǎn)生了觸動,在近期的Stagefright漏洞之后,Google(谷歌)今天宣布,從現(xiàn)在開始,將會每月為Nexus設(shè)備推送一次Android系統(tǒng)安全更新。

獲得安全更新的設(shè)備包括Nexus 4、Nexus 5、Nexus 6、Nexus 7、Nexus 9、Nexus 10和Nexus Player。而首次更新推送從今天開始,更新內(nèi)容包括修復(fù)上述Stagefright漏洞。

根據(jù)谷歌方面的承諾,安全更新補丁將面向三年內(nèi)Nexus設(shè)備,以及在谷歌商店銷售的18個月內(nèi)的其他Android原生系統(tǒng)設(shè)備。

而三星今天也表示,將為旗下的Android智能手機(jī)和平板電腦每月推出一次安全更新。預(yù)計將會有越來越多Android設(shè)備廠商重視安全問題,并且做出改進(jìn)。

美國政府尋求黑客幫忙撰寫技術(shù)法律條文

BlackHat 2015黑客大會精華報道

美國的政治家和決策者們通常都不太懂技術(shù),經(jīng)常會聽聞某些政客不會使用電子郵件,到目前為止還在使用翻蓋手機(jī)的事跡。所以美國政府在寫技術(shù)性法律時要向技術(shù)人員尋求幫助。

近幾年,技術(shù)人員已經(jīng)慢慢的滲透進(jìn)了聯(lián)邦政府,如Ed Felten、Ashkan Soltani、Chris Soghoian和其他的一些技術(shù)人員。Soltani是聯(lián)邦貿(mào)易委員會的主管,他強調(diào)政府在制定技術(shù)性文件時需要網(wǎng)絡(luò)安全社區(qū)的幫助,如瓦瑟訥爾出口控制中的技術(shù)問題。

Soltani在黑帽大會上講到:這些都是很重要的辯論,你的參與也至關(guān)重要。辯論過程可能不會很有趣,但如果律師和政客們出了錯,可能就會鬧笑話了。

法律中的技術(shù)問題日益嚴(yán)峻,而政府機(jī)構(gòu)職員的技術(shù)水平又完全跟不上步伐,沒有安全社區(qū)人員的技術(shù)精湛。為了制定出沒有問題的法律,政府強烈呼吁安全研究員和技術(shù)人員參與,給予出更多的建設(shè)性意見。

“我們在此尋求大家的幫助,只要是好的策略,我們就會采納。趕快加入吧!”

汽車入侵揭秘

BlackHat 2015黑客大會精華報道

來自美國的安全工程師Charlie Miller和 Chris Valasek,給大家?guī)砣f眾期待的遠(yuǎn)程操控汽車研究(之前FreeBuf也有過報道)。

BlackHat 2015黑客大會精華報道

會前兩位演講者還實地演示,黑入了著名記者Andy Greenberg駕駛的汽車,操控了方向盤、剎車、發(fā)動機(jī)、汽車信號、車門鎖,以及重置時速表、轉(zhuǎn)速表和控制變速器。這也成為菲亞特克萊斯勒召回140萬輛汽車的緣由。們證明了可以從任何接入互聯(lián)網(wǎng)的地方,“遠(yuǎn)程獲取汽車的關(guān)鍵功能操作權(quán)限,比如踩下剎車、讓引擎熄火、把車開下公路,并令所有電子設(shè)備宕機(jī)”

克萊斯勒提供了以下受到影響的車輛列表:

2013-2015 MY Dodge Viper specialty vehicles

2013-2015 Ram 1500, 2500 and 3500 pickups

2013-2015 Ram 3500, 4500, 5500 Chassis Cabs

2014-2015 Jeep Grand Cherokee and Cherokee SUVs

2014-2015 Dodge Durango SUVs

2015 MY Chrysler 200, Chrysler 300 and Dodge Charger sedans

2015 Dodge Challenger sports coupes

會議演講者認(rèn)為汽車智能化的速度太快,以至于安全領(lǐng)域的研究并沒有跟上發(fā)展,演講者認(rèn)為目前并沒有完善的方法來解決這一安全問題,需要進(jìn)一步加強產(chǎn)業(yè)研究,學(xué)術(shù)支持,政策規(guī)劃。

政府監(jiān)聽可能無法實現(xiàn)了

BlackHat 2015黑客大會精華報道

近段時間,政府官員萌生了一種想法,他們想要獲得某些數(shù)據(jù)庫的特殊訪問權(quán)限。但是托管密鑰的第三方平臺則強烈反對,稱強制后門訪問不僅會在系統(tǒng)中引入漏洞,而且還會破壞系統(tǒng)現(xiàn)有的安全防護(hù)。

為此,技術(shù)人員正在努力的找出一種解決方法,以解決政府機(jī)構(gòu)和法律機(jī)構(gòu)的“Going dark”加密問題。

譯解密碼者M(jìn)atthew Green和律師James Denaro在黑帽大會上做了一個演講,雖然沒有找到解決方法,但已經(jīng)從歷史、法律技術(shù)的角度來看已經(jīng)打破了這一有爭議的話題。

Green和Denaro從技術(shù)方面指出,特殊訪問是一個很糟糕的主意,更為嚴(yán)重的是,這一問題是沒有地理邊界的。難道說要蘋果公司可以在美國的執(zhí)法機(jī)構(gòu)安裝一個后門嗎?

大家可以想象一下,一旦你有了竊聽別人信息的能力,你能保證你不會去竊聽,那些黑客組織能保證嗎?即使建立了一個合法的安全屏障來保障這種技術(shù)不會被濫用,但誰能打保票呢。如果ISIS需要加密,他們同樣也可以使用這種方法。

諸如蘋果的iMessage和Facebook的WhatsApp,像這類的移動應(yīng)用程序擁有大量的用戶,而且他們大部分選擇使用端對端加密的方式,這對于執(zhí)法機(jī)構(gòu)來說是一個很大的障礙。

活動現(xiàn)場圖片資料:

BlackHat 2015黑客大會精華報道BlackHat 2015黑客大會精華報道BlackHat 2015黑客大會精華報道BlackHat 2015黑客大會精華報道BlackHat 2015黑客大會精華報道BlackHat 2015黑客大會精華報道

BlackHat參會套裝

BlackHat 2015黑客大會精華報道BlackHat 2015黑客大會精華報道

雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知

分享:
相關(guān)文章

編輯

精選文章搬運工。僅用于統(tǒng)一規(guī)范,文章版權(quán)歸原文作者所有。
當(dāng)月熱門文章
最新文章
請?zhí)顚懮暾埲速Y料
姓名
電話
郵箱
微信號
作品鏈接
個人簡介
為了您的賬戶安全,請驗證郵箱
您的郵箱還未驗證,完成可獲20積分喲!
請驗證您的郵箱
立即驗證
完善賬號信息
您的賬號已經(jīng)綁定,現(xiàn)在您可以設(shè)置密碼以方便用郵箱登錄
立即設(shè)置 以后再說