有这样一群人,兼具吸血鬼与灰姑娘的人格特质。他们钻尽牛角尖挑这个世界的刺儿,直到真的如他们所料发现了问题;他们又勤奋温驯,如灰姑娘一样受到神仙教母的眷顾,飞上枝头当凤凰,年纪轻轻就已举世闻名。
这两种令人又爱又恨的矛盾性格,非但没有搞得他们精神分裂,相反,与他们的机体相得益彰,使他们成为全世界最有价值的人群之一。
他们是一群“黑帽子”。
北京时间8月7日凌晨,2014世界黑帽子大会在美国拉斯维加斯召开,全世界1万颗聪明大脑济济一堂。黑客们把这一年来废寝忘食发现的各种信息安全领域的“不完美”,拿出来交流,目的是在真正的邪恶势力利用到这些“不完美”之前,创造更好的生活。
黑帽子大会的门票,像飞机票一样价格浮动,订得早的,打个6折样子,但总的来说票价不便宜——订得早1000多美金,晚了就一口价2200多美金。
为什么这么贵?——牛人多呗!他们用最平常不过的一些硬件,就可以瞬间颠覆你以往认为安全得没跑的事物;他们可以黑掉你认为比保险箱还坚不可摧的系统,来提醒大企业,这个漏洞太危险……
安卓系统被找茬
涉及99.9%的用户
bluebox的技术总监jeffforristal今年又一次找了安卓的茬儿。他在昨天的黑帽子大会上,首次演示了如何利用安卓系统的一个应用漏洞,恶意攻入安卓系统手机。
不要以为这只是黑客之间无事“拗技术”的把戏,它确实涉及到超过全球99%的安卓系统用户的信息安全。
通常,安卓系统的用户下载一个app,会不断有弹窗出来提示:安装软件需要打开您的gps功能,或者需要开放通讯录功能等,只有你确认了才能安装,就算没有经过这一系列权限强行安装了,系统也会崩溃没法启用。
但是在jeff手里,一个恶意app应用可以逃脱这些正常的权限,在用户不知情的情况下获得安全特权。然后安然“卧底”在你的手机里,并且跟所有的病毒一样,它还要不断地“策反”手机里所有的正常软件,直到全变成一般黑的“乌鸦”。
这意味着什么呢?作为这部智能手机的“总统”,你已经是美剧《纸牌屋》里的“傀儡”总统了,因为整个手机的“黑道”恶意应用,已经可以无缝窃取用户的数据,在特定场景下甚至完全控制android设备。
这个漏洞影响所有4.3系统以下的用户(4.3是今年才出的系统)。
“不夸张地说,这可能涵盖了99.9%的安卓用户。”杭州安恒科技有限公司总裁范渊说,可能有10亿的用户,都会受到威胁,所以全世界都有理由来关注这个问题。
jeff的这个发现,也给安卓系统构建商出了一题,不赶紧修补漏洞,利益、声誉损失太惨重。
车子越智能
越容易被“黑”
某种程度上讲,黑帽子大会的议题,很富有哲学意义的。
昨天大会上,来自美国的“黑帽子”harliemiller和chrisvalasek,模拟演示了远程控制别人汽车的过程。
“越来越智能的汽车,车身就是一个小网络,如果这个网络的围墙‘透风’,也就是被外部连接上这个网络,那么仅仅一点缝隙,都很可能被人反控全局——你的车既然有功能可以做到不需要你而自动泊车,也可能被人进攻,变成不需要你也能开车。纵然你双手把着方向盘,车也不一定再由你控制。”
所有的交通工具,只要有控制网络系统就会遇到同样的问题。比如飞机,现在坐飞机,越坐越不无聊,十几个小时的旅途,前面椅背上的平板电视,一堆可点播的影视剧,这种享受,建立在飞机构建了自己内部的无线网络基础上。
但是这个网络如果搭建不严密,运行密码被破解,飞机的导航系统就会被侵入,影响飞行安全。
“我们展示出这项攻击,希望制造商加强智能交通工具的安全保障,比如控制访问权限等,将来的制造商团队,应该有一支强大的信息安全团队。”
一整天不停地听黑客讲各种漏洞、各种攻击,就越感到平时我们上网都像是穿着皇帝的新装,自己认为安全,在攻击者眼里早就“裸奔”。
升级不成黑客,怎么保护信息安全?跟黑帽子学几招:
第一招,各种网上的账号、账户,不用相同的密码。
怎么设密码?钱报记者随机问到几个黑客,人家都很不屑地说:“那么当然是大小写、字母、数字、特殊字符,一样不能少,长度至少8位以上。8位以下的密码,就等着被秒杀好了。”
第二招,不同网站的密码不要通用。
不重要的网站的注册密码,跟重要网站密码不要通用。什么玩个星际争霸啥的,就不要弄个网银一样的密码了。在注册新账号的时候,尽量不要泄露自己的真实个人信息。
第三招,没事不用信用卡。
黑帽子一般不用信用卡,迫不得已要给老婆刷卡买包包,做到信用卡不离开视线所及处。
第四招,不点不明链接。
黑帽子从不贸然点开不明链接,就算来自好友的账号也一样的,二维码也不能胡扫。
第五招,票证不随便扔。
有个人信息的票证、快递签收单等不要随便扔,淘宝淘得多,处理这些“后淘宝”垃圾,也要多个心眼,花钱弄台碎纸机来替你干活儿吧。