达州发布投稿QQ群:524762455

首页 专题 2016年专栏 2016国家网络安全宣传周

你不知道的网络安全威胁

(一)智能手表存安全隐患 黑客可盗取密码

据《每日邮报》网络版报道,可穿戴设备的安全性引发了新一轮担忧,美国的研究人员称,智能手表等穿戴产品存在泄露用户密码的风险。

美国宾汉姆顿大学托马斯-沃特森工程与应用科学学院计算机科学助理教授王彦(音译)表示,攻击者可以复制用户手部的活动轨迹,然后复原ATM机、电子门锁以及由按键控制的企业服务器的登陆密码。

研究人员声称,通过入侵可穿戴设备的运动传感器,黑客可以搜集到足够的信息,猜出用户输入的文字,然后盗取ATM密码。

通过研究,科学家将来自可穿戴产品(如智能手机和健康追踪系统)嵌入式传感器的数据,与计算机算法相结合,破解个人识别码(PIN)和密码,第一次破解尝试的准确率达到80%,三次以后的准确率超过90%。

“这种威胁是真实存在的,尽管方法很复杂。目前黑客已经实现了两种攻击手段:内部攻击和嗅探攻击。在内部攻击中,攻击者通过恶意软件,进入戴在手腕上的可穿戴设备的嵌入式传感器。”王彦说。

试验过程中,研究人员要求20个成年人穿戴各种高科技设备,在11个月的时间内利用三种基于密钥的安全系统,进行了5000次密钥登陆测试,其中包括ATM机。这些测量数据可以帮助研究人员预估连续击键之间的距离和方向,然后使用“反向PIN序列推导算法”来破解编码,而且根本不需要有关按键的前后关系线索,准确率很高。

王彦领导的研究小组表示,当前他们处于发现可穿戴设备安全漏洞的早期阶段。尽管可穿戴设备能够追踪健康和医疗活动,但是这种设备的大小和计算能力,让用户无法实现强大的安全措施,这使得设备里面的数据更容易遭到攻击。

(二)无人机能够帮助黑客关闭电厂或其他基础设施

在去年乌克兰遭遇到的部分地区电网受黑客攻击事件当中,地方当局曾经发动运营商对供电机制进行手动切换,同时配合手机沟通进行协同。然而,如果攻击一方能够截断手机网络,结果又会怎样——特别是在使用无人机的情况下?

这虽然只是个假设,但却极具现实可能性。就在上周,有安全研究人员在于拉斯维加斯召开的Black Hat黑帽大会上展示这一场景。研究员Jeff Melrose同时警告称,未来无人机将被用于支持及放大各类针对关键性基础设施的攻击活动。

利用无人机,“所有现场类型的遥测及传感器攻击活动都将成为成本低廉且极易实现的手段,”横河电机公司安全部门首席技术战略师Melrose在采访当中告诉我们。“我能够利用数架无人机构建起基础的覆盖面积,并保证身处这一范围内的受害者无法从其发电设施或者通信渠道处获得任何信息。”

“我可能身处5公里之外,但该无人机能够直接深入到对方的电磁发射区边界以内。”

Melrose强调称,无人机现在已经非常先进,从而更轻松地飞行至人类难以徒步到达的位置。一旦物理接近电力设施等重要位置,黑客即可以利用无人机来堵塞网络、阻止厂方运营者通过传感器获取信息,或者是与现场工作人员的沟通能力。

全部必需的硬件只有一架消费级无人机,例如大疆幻影4,外加一款虽然违法但却能够轻松从网上购得的干扰器。掌握这两台设备,攻击者即能够监控无人机上的摄像头并借此接近目标位置的WiFi网络,从而加入其中并造成潜在破坏乃至组织其它形式的攻击。

“无人机能够做到的就是充当一个中继点,”Melrose表示。“我可能身处5公里之外,但该无人机能够直接深入到对方的电磁发射区边界以内。这样我就能够立足于无人机这一中继实施破坏,它相当于我在对方边界内安插的小马仔。”

这些都是理论层面可行的攻击手段。就在上周,研究人员在黑帽大会上演示如何利用一架价格为500美元的无人机——他们将其描述为一台“飞行黑客笔记本”——入侵难以抵达的网络位置。

作为一名控制系统工程师兼顾问,Michael Toecker表示Melrose提及的场景“完全具备可行性”,并指出工业设施管理员们“应当着眼于自身安全度量方案,从而将禁止接近的对象由‘个人’转换为‘飞行中的无人机’。”

“当安全人员对自己的无线电信号漏洞进行检查时,他们需要假设攻击者一方可能无需翻越围栏、躲避视频监控、攀爬塔楼以接近发射装置位置,”Toecker告诉我们。“因此,如果单纯因为难以接近而放弃采用强大的通信加密机制,那么这类通信方式将很容易被对方所入侵。因为无人机能够直接飞行至目标区域,并利用板载无线电装置以避开全部物理保护。”

在未来,黑客们可能会利用无人机达到更多以往难以触及的区域。虽然这一结论在很大程度上还仅仅属于猜测,但我们无疑应当率先做好准备。

换句话来说,正如Melrose撰文称,负责关键性基础设施保护工作的人员也许是时候“将物理安全机制带入二十一世纪”了。

(三)黑客能黑进显示器窃取数据,篡改显示信息

我们将显示器视为被动实体。计算机向显示器发送数据,它们如同魔术师般转化为生成文字和图片的像素。

但如果黑客可以黑进显示器会如何?

事实证明,确实有可能。一组研究人员发现在不需要进入实际电脑的情况下,直接入侵控制显示器的微型计算机,从而查看显示器上显示的像素—暗中监视—并控制像素显示不同的图像。

经过长达两年的研究、反向工程、在控制显示器和固件的处理器上实验,Red Balloon的安全研究人员发现在不入侵计算机的情况下便可黑进显示器。

在DEF CON黑客大会上,Red Balloon的首席科学家Ang Cui博士以及首席研究科学家Jatin Kataria演示了“黑暗显示器:反向与利用现代显示器中无所不在的屏幕显示控制器(A Monitor Darkly: Reversing and Exploiting Ubiquitous On-Screen-Display Controllers in Modern Monitors)”。这两名科学家将Monitor Darkly的概念验证代码和REcon 0xA演示发布在GitHub上,链接地址:https://github.com/redballoonshenanigans/monitordarkly

本周早些时候,Cui及同事在Red Balloon位于纽约市的办公室进行了演示,展示他们如何黑进显示器。从本质上而言,如果黑客能让你访问恶意网站或点击网络钓鱼链接,他们然后能以显示器的嵌入计算机为目标,尤其是固件实施攻击。

黑客之后可以植入程序以便进步一获取指令。然后,黑客可以与植入程序通信,这种做法相当精明。植入程序等待通过闪烁像素发送的命令(可能包含在任何视频或网站内)。基本上,这个像素上传代码至显示器。从这一点可以看出,黑客能扰乱显示器。

通过利用被黑进的显示器,他们可以控制像素并通过URL添加安全锁图标,可以将PayPal账户余额从0美元修改显示为十亿美元,还可以将发电厂控制界面的警报状态从绿色改为红色。

该研究小组先将Dell U2410显示器拆解,最终找出如何改变屏幕像素的方法。他们发现固件存在安全隐患。攻击者会需要通过HDMI或USB端口访问显示器,但之后显示器将被劫持。这种情况听起来像勒索软件,不让用户查看显示器上显示的信息,除非愿意缴纳赎金。

研究人员强调,不只Dell显示器存在漏洞。在演示文稿中,许多显示器被黑。他们确定,包括宏碁、惠普和三星在内的品牌易受无法检测的固件攻击。

实际上,Cui表示,该漏洞可用来暗中监视,也能显示实际上不存在的内容。如果黑客胡乱操纵控制发电厂的显示器,也许制造一个虚假紧急情况,造成严重后果。

“如果你有显示器,就可能受影响”

研究人员警告称,该漏洞可能潜在影响十亿台显示器,因为市场上最常见的品牌都包含易受攻击的处理器。

有更简单的方法同时诱骗大量用户并在显示器上显示不真实的内容,比如在无线热点安装Newstweek设备。远程攻击者可用来操纵热点中所有人的信息。

尽管如此,对我们大多数在工作场所或家里使用的显示器而言,显示不正确信息的情况不太可能发生。如果攻击者能访问许多显示器,然后会同时影响大量用户,比如在股票交易者用来的显示器上显示伪造信息。

顽固的攻击者能利用显示器主动监视用户的所有行为,甚至会窃取数据。

Cui表示,:但是,这不是简单的入侵行为。至于此类攻击的实用性?他称:“我们不需要任何特权访问电脑执行这类攻击。”当谈及修复的现实可能性时,Cui表示,不是那么容易的事,未来如何构建更安全的显示器,我们无从得知。

这类攻击,有一个缺点,那就是加载缓慢,因此也许不是快速控制受害者计算机最有效的方法。但如果黑客的目标是工业控制系统显示器,不会是什么问题,因为这些显示器大多为静态。

对于Cui而言,在任何情况下,研究的目的是为了展示可能性,让人们了解显示器并非牢不可破。

Cui总结道,“我们现如今生活的世界,连显示器都无法信任。”

责任编辑:张轶

返回首页
相关新闻
返回顶部