德甲

黑帽大会曝多种漏洞Oracle飞机汽车皆改革

2020-05-21 02:48:34来源:励志吧0次阅读

黑帽大会曝多种漏洞 Oracle 飞机 汽车皆浮云

1997年,知名黑客杰夫莫斯创建了黑帽子大会,历经17年的发展,黑帽大会已成为信息安全领域的风向标,每一年黑帽大会讨论的安全议题大都成为了未来的趋势和方向。

如今对黑帽子们来讲,拉斯维加斯就是一块巨形吸铁石,吸引他们蜂拥而至。2014年,约有1万人参加了黑帽大会,人数比去年增长了50%。

黑帽大会如此具有人气,是由于世界发展到今天,通过互联编制的虚拟络,使得现实世界的人得到了更紧密的联系,人们的工作和生活开始与络休戚相关,而与此同时,人们的信息、财产乃至人身安全都开始与络安全紧密相干。

在大会上,黑帽们展现了多种安全漏洞,带你一起来看看顶级黑帽们的顶级技术。

acle数据校正安全功能漏洞频出

数据库安全专家兼着名漏洞猎人David Litchfield展现了他最近在数据校订(data redaction)功能中发现的一些漏洞,Oracle公司在最新版本数据库12c中大肆宣传了这个安全功能。

基本上,数据校正功能是用于掩盖敏感信息,当返回的数据库查询包括敏感信息(例如社会安全号码、信用卡号码和其他个人身份信息等),并且这些数据到达特定的校正卷时,这些数据会用X来替换,而在校订卷以外的数据则返回正常数据。

数据校正实际上是一个好主意,但遗憾的是,这个功能充满了基本的安全漏洞,攻击者可以很容易地绕过它。

如果Oracle遵照微软的安全开发生命周期,我将展现的漏洞本来是可以避免的,Litchfield表示,我要谈论的漏洞并不是火箭科学,供应商不应当容忍其旗舰产品中包括这些漏洞。

随后Litchf苹果近日宣布ield现场演示了他发现的漏洞。第一个漏洞是在DML操作后使用RETURNING INTO条款,这允许数据返回一个变量,他表示这是Oracle的失误,这本来可以通过实行渗透测试来发现。另一个漏洞可能允许攻击者访问SELECTS WHERE中的数据,主要通过迭代推理攻击来暴力破解数字,基本上就是设定一个数字范围直到猜想出正确的数字。Litchfield展现了利用这种方法的攻击者可以在几秒钟内取得信用卡号码,他们只需要从0到9料想9个数字。

在存储卷自动更新的情况下,Litchfield表示还可以使用相同的值来更新ID卷,其中会返回未掩盖的数据,这意味着根本没有进行更新。Litchfield表示:在Oracle工作了一年并且懂SQL的任何人都应当可以发现这些漏洞。

2.全球20亿移动设备含远程管理程序漏洞

黑帽大会上有一场题目为全球范围的移动络攻击(Cellular Exploitation on a Global Scale)的主题演讲,主要展现电信营运商为了远端控制移动设备并基于开放移动同盟设备管理(Open Mobile Alliance Device Management,OMA-DM)协议所导入的特定软件含有安全漏洞而产生的风险,被点名的则是由Red Bend所开发的vDirect Mobile客户端装备管理软件。

OMA-DM是一个设备管理协议,可用来管理、平板电脑、笔记本电脑、M2M,乃至汽车等各种可通过移动络连的装备,全球的电信营运商几近都会在所销售的中安装基于该协议的软件,以用来进行远端的软件更新。

Solnik与Blanchou表示,移动营运商在这类的软件中部署了某些隐藏的控制功能,他们通过逆向工程来分析嵌入的基频与程序,找出潜藏的控制功能并了解其运作原理,然后发掘出当中的一些漏洞,撰写出概念性验证程序,并展现如何破解锁定屏幕,远程实行程序和越狱等。

Accuvant之所以锁定由Red Bend所开发的vDirect Mobile客户端设备管理软件,是由于全球由电信业者所售出的中,有79成安装该软件,同时Red Bend自己也宣布全球有超过20亿的设备、上百家制造商与移动营运商使用该公司的软件。

3.黑客展现如何攻击飞机和汽车

针对汽车的攻击很是奥妙,但是麻烦也有很多。为了夺取对汽车的控制权,开发者Silvio Cesara花了1000美元来购买现成的装备。他打造了自己的钥匙,但仍通过无线门锁的数字信号来实现。从本质上来讲,就是被攻击者的数字车钥被别有用心的人复制了过去。车主离开,就是小偷咧嘴笑的时候,由于它连砸窗撬锁的工夫都省了。

至于针对飞机的攻击,据说其全部系统都会遭到威胁。通过车载无线络,络安全顾问Ruben Santamarta也展现了1名黑客是如何夺取控制权的。指点、文娱、通讯和安全设备,都将可以从驾驶舱外进行控制。固然,攻击演示很费时间,因此在短时间内,我们还是不会在实际生活中看到有人这么做的。

据悉,在黑帽大会以后,亚洲地区最大的安全行业大会第二届中国互联安全大会(ISC2014)将于9月24日25日在北京如期举行,多位参加了黑帽大会的大牛将再次来到中国,继续探讨安全行业领域的趋势和方向。

大姨妈提前痛经有淤血
糖尿病胃轻瘫为什么反复
月经颜色暗红量少怎么办
分享到: