[[115379]]

攻擊車載系統、谷歌Glass用于密碼盜竊、使用免費云試用推出僵尸網絡等，這是2014年紅帽大會上公布的攻擊類型，對此，有人質疑難道安全就無處不在了嗎?

[[115380]]

使用谷歌Glass進行密碼盜竊

一款Google Glass應用程序可以誘使視頻用戶輸入密碼到觸摸屏，并對其分析以竊取密碼，在3米內有90%的準確率。這款應用程序的研究人員包括麻省大學羅威爾校區的Xinwen Fu和Qinggang Yue以及東南大學的Zhen Ling，他們追蹤了用戶手指的移動，并使用這些位置來識別輸入陰影、光流等因素來確定密碼。即使攝像頭背后的人不能用肉眼讀取用戶的屏幕，密碼也可能被盜。

[[115381]]

針對虛擬桌面的攻擊

虛擬桌面基礎設施通常被吹捧為提高BYOD[注]方案安全性的一種方法，它能夠集中應用程序和數據，并為最終用戶提供統一視圖。但Lacoon Mobile Security公司的Daniel Brodie和Michael Shaulov將會展示針對VDI的概念證明型攻擊，他們稱這種攻擊不僅可行而且很有效。這種攻擊涉及屏幕抓取來竊取數據，同時保持不被檢測。正如他們所描述的那樣：“該攻擊可以規避客戶端和服務器端的惡意軟件檢測，同時，攻擊者可以自動化這個攻擊過程，最終讓VDI解決方案無效。”

[[115382]]

濫用微軟Kerberos

下面是研究人員Alva“Skip” Duckwall和Benjamin Delpy在本次會議的內容：“微軟Active Directory使用Kerberos來默認處理身份驗證請求。然而，如果這個域被攻擊，會有多么嚴重的影響?如果正確的哈希損壞，Kerberos可能在攻擊者獲得訪問權限后完全受到感染。這將會造成嚴重危害。”他們將會在真實世界的環境中展示這種攻擊。

[[115383]]

針對汽車的遠程攻擊

汽車制造商并沒有統一的設計，所以并沒有廣泛的通用方法來遠程對汽車系統進行漏洞利用。Twitter公司的Charile和IOActive公司Christopher Valasek兩位專家的演講從安全角度探討了很多汽車制造商的汽車中的網絡情況。他們試圖回答這些問題：一些汽車是否更容易受到遠程攻擊?在過去五年中，汽車網絡安全是否得到改進，或者變得更糟?汽車安全的未來如何，我們如何保護我們的汽車免受攻擊?

[[115384]]

從銷售終端設備竊取數據

在過去一年中，銷售終端安全泄漏事故(例如Target公司遭受的攻擊)發生地更加頻繁，并且，很多企業仍然很容易受到最簡單的攻擊。NCR Retail公司企業安全架構師Nir Valtman將會展示為什么內存抓取是一個很大的威脅，并且很難解決。他將會展示如何最大限度地減小威脅，并討論已經經過驗證的真實世界方法。

[[115385]]

USB 惡意軟件

根據獨立研究人員Karsten Nohl和SRLabs的Jakob Lell表示，USB記憶棒內的控制器芯片可能會受到影響，并可能讓攻擊者掌控主機機器、竊取數據和監控用戶。這些記憶棒還可以誘騙其他設備。他們將會介紹一種新的惡意軟件，在這些重新編程的芯片上運行，并且他們會展示如何通過自我復制的病毒來攻擊系統，而不會被現有的防御檢測到。他們建議企業使用更好的方法來保護USB記憶棒。

攻擊移動服務提供商的控制代碼

Accuvant實驗室的研究人員Mathew Solnik和Marc Blanchou表示，移動服務提供商隱藏控制代碼在蜂窩設備中以便于服務，但這個代碼可能被利用。他們將會展示如何針對這些控制平臺遠程執行代碼，并會展示這對最終用戶的影響。他們計劃發布工具來評估和抵御他們在GSM、CDMA和LTE網絡控制協議(影響著Android、iOS和黑莓設備)中發現的威脅。

[[115386]]

利用免費云服務使用來擴大僵尸網絡

Bishop Fox公司安全主管Rob Ragan和Oscar Salazaris將展示他們如何通過免費云服務使用來積累計算能力。他們是這樣說的：“如果攻擊者開始使用友好型云服務進行惡意活動，會發生什么情況呢?在這個展示中，我們將展示如何利用免費的使用來獲取大量的計算能力、存儲以及預先制作的攻擊環境。此外，我們還違反了一些服務條款，我們試圖通過0成本來構建這種基于云的僵尸網絡。這個僵尸網絡并不會被標記為惡意軟件，也不會被網頁過濾器阻止或者控制。這是噩夢。”

[[115387]]

移動設備管理不善

移動設備管理軟件可以訪問廣泛的數據，而這可能會因為MDM產品中的漏洞而遭到泄漏。NTT COM Security公司研究人員Stephen Breen展示了如何執行這種攻擊，并且列出了允許這種漏洞利用的漏洞。他表示，有些漏洞在一些商業MDM產品中非常常見。

[[115388]]

密碼學家不想要你知道的骯臟小秘密

根據其Cryto Challenge研究，Matasano Security公司研究人員Thomas Ptacek和Alex Balducci將會展示針對真實密碼架構的48種攻擊，并解釋他們如何可以利用真實環境中軟件的漏洞。他們還會創建一個Rosetta代碼網站，其中將會以多種編碼語言列出已知加密漏洞利用，以幫助安全專業人員識別攻擊。