1. Black Hat 2016 專題報導
中國黑客5秒幹掉 macOS 系統,攻擊方法首次全球揭秘
用戶在蘋果電腦上點擊了一條連結,在他眼裡,一切都那麼平靜。然而他並不知道,隨著點擊的輕響,無數數據在電腦中奔湧激蕩。在秒針跳動五次的時間內,蘋果公司頂尖程式設計師們藉由代碼構建的層層防禦體系毀滅殆盡,賽博世界的上帝悄然易主。電光火石間,黑客奪取了電腦的一切權限。
這件事,真實地發生在「黑客奧運會」——Pwn2Own 2016 上。做出這種華麗攻擊的,正是來自騰訊科恩實驗室的黑客們。令人髮指的是,他們還使用了另一種姿勢,再次讓 macOS 的世界失守崩潰。
正是這種震懾人心的黑客美學,幫助他們成功獲得了「世界破解大師」的稱號。
從今年3月開始,全世界都在等待這群「大師」揭秘那次神秘攻擊的方法。五個月過去了,科恩實驗室的黑客們終於決定還原這次攻擊的技術細節。他們選擇的舞臺,是黑客界的最高盛會——BlackHat USA。
Android 系統的安全性有救了?中國黑客祭出神器
Android 系統很安全。
以上是黑客們眼中最大的笑話。
誇張點說,甚至一個腳本小子都能輕鬆在網上找到成建制的方案,攻破你的手機防線。造成這種結果的原因,並不是谷歌在系統安全方面不作為,而是大部分存在於人間的 Android 手機,大都成了「迷途的羔羊」。由於系統碎片化、廠商更新流程繁瑣,這些手機根本找不到升級之門,只能如孤魂野鬼般徘徊在充斥豺狼虎豹的曠野之中。
百度首席安全科學家韋韜稱之為:「生態的安全漏洞」、「Android 系統的白血病」。
難以置信,在頂級黑客聚集的盛會 BlackHat USA 之上,這位黑客連續三年為 Android 系統安全奔走呼號。就在今天,他再一次登上這個全球黑客的最高舞臺。這一次,他祭出了一個「神器」。
演講結束,雷鋒網(公眾號:雷鋒網)對韋韜進行了專訪,讓我們聽他講述一下,這個「神器」究竟是什麼。
畫風血腥,黑客讓高速行駛的汽車突然轉向
想像一下,你開車經過湛藍的海灘,不禁心中暗想,如果有機會在這裡遊泳,也是極好的。突然,你的汽車方向盤突然自動旋轉,來不及做任何反應,你暢遊藍海的夢想已經和車一起實現了。
這並不是因為你買了一輛會「讀心術」的車。你很有可能招惹了一個汽車黑客。
這世界上最著名的汽車黑客,莫過於以上兩位:查理·米勒 & 克裡斯·瓦拉塞克。
他們曾在2015年的全球頂級黑客聚會 BlackHat USA 上,上演了一場震驚世界的汽車破解秀。在那次演講中,他們展示了遠程侵入 Jeep 車載系統,遠程控制啟動車上的各種功能,包括減速、關閉發動機、制動或讓制動失靈。這樣勁爆的玩法讓全世界陷入了震驚之中。
現場看黑客「催吐」ATM機,十五分鐘可以噴出五萬美元
在世界頂級黑客聚會 BlackHat 上,從來不缺土豪。每一位站在臺上分享的大牛,都可以用自己身上的技術賺來大把的鈔票。不過,就在 BlackHat 臨近落幕的時候,迎來了一位真的壕。因為他可以讓任何一臺 ATM機吐出五萬美元,如果警察叔叔也同意的話。
目測 Weston Hecker(威斯頓·黑客),這個姓「黑客」的人創造了本屆 BlackHat 上座率最高的一場技術分享。因為有一多半人和雷鋒網編輯一樣,是為了見證 ATM 機「噴鈔」而來到現場的。
Weston Hecker 告訴「求知若渴」的觀眾,其實自己並不能憑空「催眠」ATM 機器,而是製造了一個小工具,這個工具需要預先被插進銀行卡入口。這樣,當不明真相的群眾使用這臺 ATM 機的時候,這個小工具就會記錄下他的銀行卡和 ATM 機之間的交互數據,例如:銀行卡號和密碼。
2. 世界上最大的黑客 Party,有關「DEFCON」的十個冷知識
如果你對世界上的某些事情並不滿意,並且決定用一切可能的方式來達成你的目標。恭喜你,你正在成為一名黑客。
全世界那些敢於對不可能豎中指的黑客,每年都會聚集在罪惡之都拉斯維加斯,參加一個盛大 Party ——DEFCON。
技術、破解、極客、怪咖、酒精,DEFCON 以不羈的形象出現在世人的記憶和媒體的描述中,然而正是這種藐視一切的態度,讓 DEFCON 成為了很多包括中國黑客在內的精神聖殿。正所謂「生而為人,何不掙脫枷鎖」。
美國當地時間2016年8月4日(北京時間8月5日),這個始於1993年的黑客 Party 即將迎來第24次重聚。想要了解這個全球黑客界 №1 的聚會,我們不妨來看看有關它的十個冷知識。
3. 深度 | 白帽匯趙武:以安徒生之名打造企業威脅感知神器
從一隻不被認可的「醜小鴨」蛻變成為人人豔羨的「白天鵝」,是每個初創型企業的理想。幫這些初創型企業解決安全問題,更好的完成蛻變實現理想,也是白帽匯安徒生平臺主要服務目標。趙武說,「以安徒生取名,既契合了創業艱難,但前途美好的寓意,又容易記。」
安徒生平臺的LOGO也用了小鴨子的形象。
安徒生平臺的全名為,安徒生·企業威脅感知平臺。SANS 研究院對威脅情報的定義是:針對安全威脅、威脅者、利用、惡意軟體、漏洞和危害指標、所收集的用於評估的應用的數據集。白帽匯將威脅情報簡單的定義為:
誰想搞你,誰搞到你了,想怎麼搞,但凡可能對企業安全產生威脅的都是威脅情報。
趙武告訴雷鋒網,通常企業對自己的資產狀況並不熟悉,這會導致發現漏洞威脅後,修補效率很低。
曾經有一家巨頭企業,打一個補丁用了三天的時間,就是因為對自己的資產狀況不夠了解。
為及時準確的發現企業安全威脅情報,安徒生平臺會先對企業的資產做一個梳理,並打上指紋標籤。
4. 揭秘:希拉蕊如何靠科技 「左右」 大選?
維基解密讓美國民主黨煩透了。
2016 年 7 月 22 日,維基解密公開了民主黨全國委員會(DNC)高層近 2 萬封往來郵件。此次事件已成為美國歷史上除了「水門事件」之外最大的政治醜聞。7 月 28 日,維基解密繼續公布 DNC 高層 19 段電話錄音。
希拉蕊的競選優勢因此大打折扣。大部分看客認為這是希拉蕊的技術團隊不得力。然而,被入侵的是 DNC,而並非希拉蕊團隊。希拉蕊團隊只有一個在 DNC 系統中運行的程序被侵入,具體問題有多大目前不清楚。「郵件門」 歸根結底是 DNC 忽視了網絡安全評估警告的惡果。
事實上,很多人,連同共和黨的對手在內,並不知道希拉蕊真正可怕的選舉機器——一支來自於矽谷的 「科技天才們」 組成的超級團隊。他們確實為希拉蕊的競選立下了赫赫戰功。
這是史上最為科技化、數位化的一屆選舉。在小布希之前,網際網路對於總統競選團隊來說還只是一個 ATM 機——他們不知道網際網路除了做一個系統來讓選民填寫支票,提交捐款之外還有什麼別的作用。截至 2016 年 7 月,希拉蕊的科技團隊已擁有 50 餘人,相當於一家小有規模的矽谷科技創業公司。
他們開發的核心產品就是希拉蕊·柯林頓本人。這支科技團隊至今給希拉蕊帶來了 2.4 億美元的募資額。
本文作者史中(微信:Fungungun),雷鋒網主筆,希望用簡單的語言解釋科技的一切!
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。