Black Hat USA 2019 | 網(wǎng)絡(luò)安全的七大關(guān)注熱點(diǎn)
Black Hat USA 2019大會(huì)將于美國(guó)當(dāng)?shù)貢r(shí)間8月3日開(kāi)幕,作為全球領(lǐng)先的信息安全大會(huì),Black Hat已經(jīng)步入了第22個(gè)年頭,每年大會(huì)上都會(huì)針對(duì)當(dāng)下熱點(diǎn)網(wǎng)絡(luò)安全趨勢(shì)進(jìn)行研討,而在大會(huì)上出現(xiàn)的主題和技術(shù)也常常成為引領(lǐng)和推動(dòng)未來(lái)網(wǎng)絡(luò)安全發(fā)展的抓手和助力。
在這一屆大會(huì)上,與會(huì)者將關(guān)注和討論那些熱點(diǎn)問(wèn)題與趨勢(shì)?
交通工具安全
今年,波音737 Max軟件質(zhì)量缺陷事件跌宕起伏,幾經(jīng)反轉(zhuǎn)之后發(fā)生了戲劇性的變化,這讓網(wǎng)絡(luò)安全從業(yè)人員對(duì)航空航天軟件安全性有了全新的看法和審視的思路。
今年的大會(huì)上,來(lái)自IOActive研究團(tuán)隊(duì)的Ruben Santamarta將提出一個(gè)關(guān)于波音787機(jī)型軟件的漏洞研究議題,該演講將解構(gòu)787核心網(wǎng)絡(luò)的運(yùn)作原理并揭示其中的未知漏洞。這次演講無(wú)疑將成為交通工具安全議題集中的亮點(diǎn)。
除此之外,關(guān)于交通工具的議題還有寶馬的互聯(lián)汽車(chē)以及關(guān)鍵模塊使用的的電動(dòng)機(jī)問(wèn)題。
嵌入式設(shè)備安全
對(duì)于交通工具安全的研討與嵌入式設(shè)備及其固件有關(guān),不過(guò)這兩個(gè)領(lǐng)域還只是本次大會(huì)上的冰山一角,屆時(shí)安全專(zhuān)家還會(huì)帶來(lái)更多關(guān)于嵌入式設(shè)備中軟/硬件安全的議題。
比如,來(lái)自Atredis Partners團(tuán)隊(duì)的的Nathan Keltner和Dionysus Blazakis將深入揭示尚未公開(kāi)的服務(wù)器組件漏洞,這些漏洞會(huì)使現(xiàn)代服務(wù)器面臨嚴(yán)重的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。
此外,一個(gè)獨(dú)立的二人組團(tuán)隊(duì)還將詳細(xì)介紹他們?nèi)绾螒?yīng)用藍(lán)牙LE攻擊技術(shù)接管小型物聯(lián)網(wǎng)(IoT)設(shè)備,最終完全取得大型連鎖酒店電話(huà)密鑰系統(tǒng)的權(quán)限。 關(guān)于嵌入式設(shè)備的議題是本屆大會(huì)的熱點(diǎn),數(shù)量有17次之多,可重點(diǎn)關(guān)注。
DevSecOps和現(xiàn)代應(yīng)用開(kāi)發(fā)
經(jīng)過(guò)多年的發(fā)展,現(xiàn)代應(yīng)用程序開(kāi)發(fā)的開(kāi)發(fā)流程已經(jīng)發(fā)生了巨變,這些變化也影響了針對(duì)性的安全研究和相關(guān)防御技術(shù)。
在本屆大會(huì)上,將會(huì)有多位安全專(zhuān)家深入探討安全如何跟上DevOps的推進(jìn),如何增加開(kāi)源組件的使用量并增強(qiáng)軟件供應(yīng)鏈透明度,如何更好地大規(guī)模挖掘開(kāi)源漏洞來(lái)保護(hù)開(kāi)發(fā)人員用來(lái)構(gòu)建新軟件的云基礎(chǔ)架構(gòu)。
容器安全
用于軟件開(kāi)發(fā)DevOps和持續(xù)交付模型能夠在這幾年里走向成熟,其中的一個(gè)關(guān)鍵因素是容器和云原生技術(shù)的快速發(fā)展。容器技術(shù)為安全團(tuán)隊(duì)提供了一種全新的攻擊面防護(hù)能力。不過(guò)隨著研究人員和攻擊者更加熟悉該技術(shù),容器技術(shù)領(lǐng)域也將會(huì)出現(xiàn)許多新的漏洞和安全問(wèn)題。
大會(huì)上關(guān)于容器安全的演講有2個(gè),第一個(gè)由Brandule Edwards和來(lái)自Capsule8的Nick Freeman共同提出,議題將討論容器逃逸漏洞和如何利用漏洞進(jìn)行攻擊,揭示未來(lái)容器安全將是什么樣的情境。
第二場(chǎng)演講由來(lái)自Heroku的Ian Coldwater和來(lái)自VMware的Duffie Cooley發(fā)起,將探討攻擊者如何利用Kubernetes中的功能以及從業(yè)者和整個(gè)行業(yè)需要做些什么來(lái)加強(qiáng)該極受歡迎的容器框架。
身份驗(yàn)證安全與提權(quán)
如果訪問(wèn)管理是安全防御的核心,那么反過(guò)來(lái)說(shuō)就有理由認(rèn)為它也是許多攻擊技術(shù)的核心目標(biāo)。因此,大會(huì)上將有來(lái)自不同團(tuán)隊(duì)的專(zhuān)家對(duì)涉及破壞身份驗(yàn)證并進(jìn)行提權(quán)的情形從各個(gè)角度進(jìn)行講解。
比如來(lái)自Micro Focus Fortify的Alvaro Munoz和Oleksandr Mirosh將深入研究威脅單點(diǎn)登錄安全性的主要漏洞。 來(lái)自Preempt的Marina Simakov和Yaron Zinar計(jì)劃展示在Active Directory中發(fā)現(xiàn)的幾個(gè)新漏洞,包括一個(gè)尚未公布的零日漏洞,能夠讓攻擊者能夠接管域中的任何設(shè)備,即使這些設(shè)備經(jīng)過(guò)詳細(xì)配置且部署了高強(qiáng)度的簽名機(jī)制。
此外,來(lái)自騰訊安全團(tuán)隊(duì)的Yu Chen和Bin Ma將帶來(lái)繞過(guò)現(xiàn)有生物識(shí)別安全解決方案的新思路分享,包括支付軟件使用的面部和聲紋識(shí)別漏洞。來(lái)自同一團(tuán)隊(duì)的Wenxu Wu還將就Windows 10中定位文件提權(quán)漏洞的新方法進(jìn)行討論。
政治生態(tài)安全
在去年的Black Hat和DefCon大會(huì)上,安全專(zhuān)家揭示了選舉活動(dòng)面臨的安全問(wèn)題和產(chǎn)生的結(jié)果,引起了巨大的爭(zhēng)議與反向。今年大家的關(guān)注點(diǎn)將更進(jìn)一步,深入挖掘技術(shù)與社會(huì)問(wèn)題之間的關(guān)系,就在線宣傳和政治顛覆問(wèn)題會(huì)有一一系列非常有趣的討論和研究。
例如,來(lái)自美國(guó)特種作戰(zhàn)司令部的Pablo Breuer和來(lái)自某未署名社交網(wǎng)絡(luò)的David Perlman,將圍繞他們為觀察技術(shù)對(duì)社會(huì)運(yùn)轉(zhuǎn)的影響而創(chuàng)建的框架展開(kāi)討論。
同時(shí),為了更廣泛地分析當(dāng)前的政治和社會(huì)面臨的風(fēng)險(xiǎn),著名安全技術(shù)專(zhuān)家Bruce Schneier將登上講臺(tái),討論與公共利益密切相關(guān)的技術(shù)現(xiàn)狀。
深度偽造技術(shù)
隨著人工智能技術(shù)的快速發(fā)展,社會(huì)與政治層面面臨的風(fēng)險(xiǎn)繼續(xù)增加,對(duì)于以“Deepfake”為代表的深度偽造技術(shù)的濫用將造成很?chē)?yán)重的后果,網(wǎng)絡(luò)安全領(lǐng)域的專(zhuān)家和學(xué)者也已經(jīng)開(kāi)始探索這些領(lǐng)域。
來(lái)自GSI Technology的George Williams將詳細(xì)介紹使用Mice技術(shù)區(qū)分真實(shí)和假冒語(yǔ)音的研究。
來(lái)自ZeroFOX的Mike Price和Matt Price將探討如何在網(wǎng)上創(chuàng)建和使用深度偽造視頻。同時(shí)他們還將推出一款新的工具,用于深度偽造技術(shù)的進(jìn)攻性和防御性研究。
