Black Hat安全大会:汽车”黑客入侵”趋于移动化

拉斯维加斯 – 上次我们遇见Charlie Miller和Chris Valasek是在卡巴斯基实验室安全分析师峰会上,当时讨论了如何保护汽车免受一系列的攻击(他们正在开发中)。昨天,这个”二人组”在内达华州拉斯维加斯举办的Black Hat安全大会上又一次出现。会上,他们又带来了更广泛的最新研究成果,即针对不同车型的各类共计。 从一开始,来自推特的Miller和IOActive公司的Valasek就致力于打造一款类似于入侵检测系统的反病毒软件,可阻止各种他们自己开发的各种独特攻击,包括:禁用刹车系统、开启全自动倒车系统以及在行驶中让汽车猛地冲向一边等。 更令人感兴趣的是,他们对自己开发的攻击方式还不断进行改进。就在一年前他们首次公布这些研究成果时,所有的攻击方式都基于本地操作。换句话说,Miller和Valasek必须在后排座椅位置用笔记本电脑接入之前”已做过手脚”的丰田普锐斯后才能控制该车的一些功能,使得参与测试的记者则根本无法驾驶失控的汽车。 而现在,Miller和Valasek新开发出的攻击方式则是通过远程操作进行的。他们不再需要将笔记本电脑接入汽车系统,也无需事先在修车厂对汽车做好手脚。此类新型攻击利用了类似蓝牙的无线通信协议中漏洞,通过访问经过车载计算机系统的传输讯息并最终得以完全操控汽车。 “相比于TPMS漏洞利用程序,更多的黑客擅长编写网页漏洞利用程序。许多黑客都会编写恶意应用或使浏览器弹出广告。如果你的刹车或转向装置也在同一个网络的话,那情况就有些糟糕了。” 会上,他们演示的一部分内容是关于不同厂商和车型的安全性讨论,在研究人员发布对奥迪、本田、英菲尼迪、Jeep、道奇和其他品牌车长达95页的检测报告后,我们将为您带来更多的相关报道。 Miller是这样解释问题的关键的,入侵一部汽车虽然可能看起来有些新奇和与众不同,但事实上却与传统的网络入侵并无太多差异。不外乎先找到漏洞,然后再加以利用。但为汽车打补丁比浏览器打补丁要麻烦得多。 Valasek进一步解释道,为汽车打补丁之所以价格高昂,原因在于汽车厂商不仅需要自己花钱制作新补丁,还需要通知客户,让他们依次前往经销商处进行软件更新。 “当漏洞利用程序出现,要修复每一名车主的漏洞将十分困难。”Valasek说道。 #BlackHat安全大会:@0xCharlie和@nudehaberdasher目前#远程入侵汽车并开发类似反病毒软件的保护程序 针对最新车型的可能遭入侵功能可以列出一长串名单;有些比较有趣,有些则让人恐惧。可能将被利用的功能有:全自动倒车系统、主动车道控制、预碰撞系统以及自适应巡航控制,所有这些都需要在传感器和刹车,加速或转向装置之间存在一定级别的通信,通常是通过蓝牙或另一些无线电讯号发送的。网络犯罪分子更”偏爱”的功能还有:被动反盗窃系统、轮胎压力监控系统或远程无钥匙门控。然后,研究人员解释道,后面这些功能的受攻击范围有限,原因在于其中没有太多数据交换或只有近距离才能通信。 由于蓝牙功能、无线电数据系统和telematics系统允许使用蜂窝或Wi-Fi功能,显然扩大了汽车受攻击的范围。随着车内应用和其他网络连接功能的越来越普及,相关情况将变得更加糟糕。 “相比于TPMS漏洞利用程序,更多的黑客擅长编写网页漏洞利用程序。许多黑客都会编写恶意应用或使浏览器弹出广告。如果你的刹车或转向装置也在同一个网络的话,那情况就有些糟糕了。” 请在这里或访问Threatpost继续关注更多有关Black Hat安全大会的报道。

拉斯维加斯 – 上次我们遇见Charlie Miller和Chris Valasek是在卡巴斯基实验室安全分析师峰会上,当时讨论了如何保护汽车免受一系列的攻击(他们正在开发中)。昨天,这个”二人组”在内达华州拉斯维加斯举办的Black Hat安全大会上又一次出现。会上,他们又带来了更广泛的最新研究成果,即针对不同车型的各类共计。

从一开始,来自推特的Miller和IOActive公司的Valasek就致力于打造一款类似于入侵检测系统的反病毒软件,可阻止各种他们自己开发的各种独特攻击,包括:禁用刹车系统、开启全自动倒车系统以及在行驶中让汽车猛地冲向一边等。

更令人感兴趣的是,他们对自己开发的攻击方式还不断进行改进。就在一年前他们首次公布这些研究成果时,所有的攻击方式都基于本地操作。换句话说,Miller和Valasek必须在后排座椅位置用笔记本电脑接入之前”已做过手脚”的丰田普锐斯后才能控制该车的一些功能,使得参与测试的记者则根本无法驾驶失控的汽车。

而现在,Miller和Valasek新开发出的攻击方式则是通过远程操作进行的。他们不再需要将笔记本电脑接入汽车系统,也无需事先在修车厂对汽车做好手脚。此类新型攻击利用了类似蓝牙的无线通信协议中漏洞,通过访问经过车载计算机系统的传输讯息并最终得以完全操控汽车。

“相比于TPMS漏洞利用程序,更多的黑客擅长编写网页漏洞利用程序。许多黑客都会编写恶意应用或使浏览器弹出广告。如果你的刹车或转向装置也在同一个网络的话,那情况就有些糟糕了。”

会上,他们演示的一部分内容是关于不同厂商和车型的安全性讨论,在研究人员发布对奥迪、本田、英菲尼迪、Jeep、道奇和其他品牌车长达95页的检测报告后,我们将为您带来更多的相关报道。

Miller是这样解释问题的关键的,入侵一部汽车虽然可能看起来有些新奇和与众不同,但事实上却与传统的网络入侵并无太多差异。不外乎先找到漏洞,然后再加以利用。但为汽车打补丁比浏览器打补丁要麻烦得多。

Valasek进一步解释道,为汽车打补丁之所以价格高昂,原因在于汽车厂商不仅需要自己花钱制作新补丁,还需要通知客户,让他们依次前往经销商处进行软件更新。

“当漏洞利用程序出现,要修复每一名车主的漏洞将十分困难。”Valasek说道。

#BlackHat安全大会:@0xCharlie和@nudehaberdasher目前#远程入侵汽车并开发类似反病毒软件的保护程序

针对最新车型的可能遭入侵功能可以列出一长串名单;有些比较有趣,有些则让人恐惧。可能将被利用的功能有:全自动倒车系统、主动车道控制、预碰撞系统以及自适应巡航控制,所有这些都需要在传感器和刹车,加速或转向装置之间存在一定级别的通信,通常是通过蓝牙或另一些无线电讯号发送的。网络犯罪分子更”偏爱”的功能还有:被动反盗窃系统、轮胎压力监控系统或远程无钥匙门控。然后,研究人员解释道,后面这些功能的受攻击范围有限,原因在于其中没有太多数据交换或只有近距离才能通信。

由于蓝牙功能、无线电数据系统和telematics系统允许使用蜂窝或Wi-Fi功能,显然扩大了汽车受攻击的范围。随着车内应用和其他网络连接功能的越来越普及,相关情况将变得更加糟糕。

“相比于TPMS漏洞利用程序,更多的黑客擅长编写网页漏洞利用程序。许多黑客都会编写恶意应用或使浏览器弹出广告。如果你的刹车或转向装置也在同一个网络的话,那情况就有些糟糕了。”

请在这里或访问Threatpost继续关注更多有关Black Hat安全大会的报道。

如果有人真的盗窃了12亿个密码,那我们该如何应对?

今天《纽约时报》撰文报道了一个犯罪团伙如何从不同网站盗取了超过12亿个密码和用户名/邮箱。这似乎听起来是互联网有史以来最大的”密码盗窃案”,但由于相关细节还未公布,因此安全社区更多是持怀疑态度。首先,公众并不知晓底哪些网站成了攻击的目标。其次,也缺少技术方面的细节–几乎所有安全专家都想知道这些被盗密码是否采用了哈希加密。然而,普通用户只想道一件事–那就是现在是否需要采取行动,如果是,则应该采取哪些措施。 主要网络服务提供商并未向用户发出密码更改通知,这可能表示他们并未受到影响或根本就不想对终端用户造成不良后果。然而一家名为Hold Security的公司却公布自己的研究结果,声称受影响最多的是一些小型网站。这些网站通常并没有一套严格的安全程序,用户也无法指望从他们那儿收到数据泄露通知。 确保为每一个账户设置唯一密码,可将危险性降到最低。 本次所报道的”密码盗窃案”将是一个很好的契机,即改革当前混乱不堪的密码政策,转而使用更加安全和系统化的方法。”一旦你所使用的网络服务提供商遭遇黑客入侵,作为消费者你根本无能为力,但可通过为每一个账户设置唯一密码,将危险性降到最低。”英国卡巴斯基实验室高级安全研究员David Emm解释道。 设置唯一密码的安全性远高于其它的一些密码保护措施。用户计算机(例如:使用键盘记录器)或网络服务提供商遭到黑客入侵都有可能造成用户密码被盗。确保网络服务账号与其他重要账户使用的是不同密码。人们通常很难记住一长串字符,因此我们向大家推荐密码管理器。此外,每一个密码必须足够强大(可以用我们免费的密码检查器进行测试)。 密码泄露事件时常发生,使用唯一密码可将危险性降到最低。 对于一些重要账户(银行和Gmail等),我们强烈推荐采取额外的保护措施。这些网站通常都采用双重认证,即使密码被盗也影响不大。

提示