来自世界各地的安全和黑客社区成员云集内华达州拉斯维加斯,参加一年一度的Black Hat黑客大会,并进行技能培训、攻击演示、研究成果及新品展示。
今年是该活动成功举办的第25周年,主办方承诺将奉献80多场精彩演讲,主题涵盖硬件和固件黑客攻击、零日恶意软件发现以及最新的APT研究等等。
以下总结了今年大会上10场最值得期待的演讲,大家可以提前关注:
01 RollBack——一种针对智能汽车系统的重放攻击
演讲者
新加坡大学和NCS集团研究人员
演讲内容
汽车远程无钥匙进入(RKE)系统实施的是一次性滚动代码(也称为跳跃代码),这是一种安全技术,通常用于为RKE系统的每次身份验证提供新代码,以防止简单的重放攻击。然而,黑客Kamkar在2015年Defcon黑客大会上展示的RollJam设备,已被证实可以通过截获无线遥控解锁码,破坏所有基于滚动代码的系统。不过,RollJam需要无限期地持续部署直到被利用。否则,如果在没有RollJam的情况下再次使用遥控钥匙,捕获的信号将失效。
研究人员本次将介绍的RollBack,是一种针对当今大多数RKE系统的新型重放和重新同步攻击(replay-and-resynchronize attack)。不同于RollJam的是,即便一次性代码在滚动代码系统中变得无效,RollBack也能利用和重放先前捕获的信号,进而触发RKE系统中的类似回滚机制。换句话说,滚动代码可以重新同步回过去使用的旧代码来发挥作用。
关注理由
RollJam设备的出现旨在警告汽车或车库门厂商要进行产品升级,引入滚动密码短时间内作废的技术,而数以百万计车主的汽车仍使用“密码永不作废”的系统,这一安全隐患不容小觑。而如今,RollBack的出现无疑加剧了汽车安全隐患,关注此类研究有助于在安全问题被广泛利用前识别并修复它们。
02 Sandworm黑客组织发起的网络战研究
演讲者
ESET研究人员Robert Lipovsky和Anton Cherepanov
演讲内容
Industroyer2是唯一触发停电的恶意软件Industroyer的新版本,被称为“自震网病毒以来对工业控制系统的最大威胁”,它既是模块化的,又能够直接控制配电变电站的开关和断路器。
与其前身一样,复杂且高度可定制的Industroyer2恶意软件利用称为IEC-104的工业通信协议来征用工业设备,据悉,该通信协议目前正广泛应用于变电站的保护继电器工业设备中。
而且,与2016年发现的Industroyer部署一样,其最新网络攻击的目的也是造成200万人规模的大停电,并且进一步扩大了影响,使恢复变得更加困难。研究人员认为,该恶意软件开发者和攻击策划者是Sandworm APT组织,美国司法部将其归属为某国家级情报机构。
关注理由
本次演讲将涵盖大量技术细节:Industroyer2的逆向工程,以及与原始版本的比较。Industroyer 的独特之处在于它能够使用专用工业协议与变电站ICS硬件(断路器和保护继电器)进行通信。Industroyer包含四种协议的实现,而Industroyer2只展示了一种协议:IEC-104。这些演示文稿将展示一些使用最具破坏性恶意软件的顶级威胁参与者的技术、战略和工具。正如我们所知,这种恶意软件攻击具有一些重大的地缘政治影响,所有新的披露都将受到密切关注。
03 Déjà Vu——揭露商业产品中的被盗算法
演讲者
约翰·霍普金斯大学的Patrick Wardle、Objective-See和Tom McGuire
演讲内容
在本次演讲中,来自约翰·霍普金斯大学的研究人员将讨论影响我们网络安全社区的系统性问题:企业实体对算法的盗窃与未经授权使用。企业实体本身也是网络安全社区的一部分。首先,研究人员将介绍各种可以自动识别商业产品中未经授权代码的搜索技术。然后,将展示如何利用逆向工程和二进制比较技术来证实这些发现。接下来,他们会在实际案例研究中应用这些方法。
关注理由
预计该演讲将提供可操作的要点、建议和战略方法,以帮助受害者应对故意盗用算法的商业实体(及其法律团队)。这些演示强调了供应商在与安全社区打交道时保持诚实的重要性。
04 谁来监督监控软件厂商:深入了解2021年在野Android漏洞利用链
演讲者
谷歌安全工程团队
演讲内容
在过去的12个月里,谷歌TAG(威胁分析小组)和Android安全团队已经发现并分析了监控软件供应商的多个疯狂的1day/0day漏洞。