维护网络安全就像一场猫捉老鼠的游戏——随着网络安全专家一次次地进行安全升级,黑客也在不断精进攻击方法和技术。如果想要了解黑客网络犯罪的策略演变和发展趋势,那就绝不能错过每年的黑帽大会和DefCon黑客大会。这两场一年一度的行业盛会堪称信息安全领域的风向标,看客能从中一窥网络安全犯罪的新趋势。
今年,智能手机后端攻击、物联网攻击和声音伪装攻击成为三大热点安全话题。知己知彼,才能更好地防范网络攻击,下面让我们来看看黑客的最新招数。
美国当地时间8月4日-9日,一年一度的2018黑帽大会于拉斯维加斯拉开帷幕。在这场公认顶级的全球信息安全行业盛会上,来自世界各地的信息安全专家、黑客、政府人员、安全厂商齐聚一堂,共同分享最新的网络安全技术资讯、攻防手法以及网络安全产品与方案。
DefCon黑客大会紧随其后于10日召开,大会云集全球知名网络安全机构专家、黑客及政府官员,集中展示最前沿的网络攻击方式和漏洞防护技术。
在这两个盛会上,参会者不仅可以一睹最新出现的攻击手法,还能及时了解到防范这些攻击的最新技术。
今年,智能手机后端攻击、物联网攻击和声音伪装攻击成为三大热点安全话题。
维护智能手机安全
防范后端攻击
如今,移动设备安全变得尤为重要。随着手机智能化程度的提高,我们的生活仿佛与智能手机绑定在一起——智能手机可以变身银行卡、公交卡、门禁卡;通过智能手机,我们可以监测步数、心跳、进行移动支付、远程遥控车辆等等。
随着智能手机在用户的生活中占据越来越重的分量,它们也逐渐引起了黑客的关注。近年来,最常见的一种攻击方法相当简单——在第三方应用程序商店中植入假应用程序,使用户在不经意间安装恶意软件。
然而,攻击智能手机的技术也正日渐升级。今年,黑帽大会有超过12场关于新的智能移动设备威胁的演讲,正如演讲所述,黑客们正在开发一系列新技术来攻击智能手机,特别是通过攻击后端网络和服务器,比如攻击4G网络、基带、移动设备管理、移动操作系统、移动销售点系统等,来实现对智能手机的攻击。
想要防范这些后端攻击,难度要大得多,这意味着企业和个人很容易在不知情的情况下受到损害。
万物互联时代
警惕恶意软件
黑帽大会创办于1997年,被公认为世界信息安全行业的最高盛会,也是最具技术性的信息安全会议。会议引领安全思想和技术走向,参会人员包括企业和政府的研究人员,甚至还有一些民间团队。
随着电子化、智能化发展,人们进入万物互联时代。如图中的Nest智能恒温器,这款恒温器整合了ipod、手机以及互联网中先进且炫酷的科技元素,它可以自动控制暖气、通风及空气调节设备(如空调、电暖器等),通过记录用户的室内温度数据,智能识别用户习惯,并将室温调整到最舒适的状态。
但是,随着物联网连接设备数量激增,黑客也越来越多地将注意力转移到这一领域。首先,物联网设备内置的安全性薄弱,安全更新时有时无,一些规模较小的制造商生产的设备更是如此。其次,用户往往不会主动更新设备。此外,物联网设备存在于网络外围,导致用户和企业经常忽视它们。
上述几点原因为黑客植入恶意软件提供了可乘之机,通过安装僵尸恶意软件,降低设备处理能力,网络罪犯就可以借此牟利。
目前,还有很多人没有认识到这一问题的严重性。他们认为恶意软件只能制造小麻烦,不是真正的威胁。毕竟,恶意软件没有试图窃取信息,只是减慢它们的速度,降低它们的性能。但事实上,这一观点是错误的,因为这些恶意软件很可能成为启动其他攻击的后门,威胁更多设备安全。
语音服务兴起
小心声音伪装
DefCon黑客大会诞生于1992年,又称电脑黑客秘密大派对,参会者除来自世界各地黑客,还有全球许多大公司的代表以及美国国防部、联邦调查局、国家安全局等政府机构的官员。
与易丢失、易遗忘且不具备唯一性的传统密码不同,随着语音生物识别技术的愈发成熟,如今,语音已经开始逐步替代传统密码,成为身份验证的重要手段。
比如,用户可以使用语音指令为自己的银行账号进行双重加密;智能音箱的出现,使用户可以通过语音指令点播歌曲、上网购物,或是了解天气预报;同时,它也可以控制智能家居设备,比如打开窗帘、设置冰箱温度、提前让热水器升温等。
然而,对于网络犯罪者而言,语音服务的兴起也为他们提供了一块便利的滩头阵地。如果黑客可以克隆或伪装用户的声音,他就可以轻易窃取其银行账户;如果黑客可以向智能音箱发出隐藏的语音命令,他就可以享受其提供的技术服务,完全控制该设备,并可能控制连接同一网络的其他设备。
在黑帽大会上,网络安全专家也就此主题分享了最新研究,包括微软语音助手“微软小娜”(Cortana,微软发布的全球第一款个人智能语音助理)的漏洞利用和语音伪装等。