黑帽美国网络安全会议:移动平台和开源软件正在成为网络安全的主要威胁流媒体简报会上,移动平台和开源软件正在成为网络安全的关键问题。黑帽大会创始人JeffMoss在开幕式的主旨演讲中总结了网络安全界的普遍感受。网络安全领域最近经历了勒索软件攻击和主要供应链漏洞的爆炸式增长。国家黑客行动。莫斯说,“我们刚刚意识到自己被打了耳光,我们正在想办法拆穿这个把戏。过去两年真的压力很大。”BlackHat大会演讲中的五个重要主题:1.移动平台是下一波黑客攻击浪潮在前线,越来越多的证据表明威胁行为者正在将大量资源用于利用移动平台上的漏洞。全球估计有60亿智能手机用户,这是一个不容错过的诱人机会。在移动设备受到攻击的同时,零日漏洞(安全社区不知道因此未修补的漏洞)也在增加。零日攻击是市场驱动的,基于供求关系。零日中介Zerodium去年宣布,由于提交数量过多,将暂停购买AppleiOS漏洞。去年夏天,网络罪犯利用iPhone零日漏洞入侵了六名国际记者的移动设备。CorelliumLLC首席运营官、英国国家安全局(GCHQ)前分析师MattTait的研究表明,这个问题正变得非常严重。“移动设备的零日攻击正在急剧增加,”泰特告诉与会者。“我们所看到的只是世界上实际可能发生的事情的一小部分。”部分问题是某些移动平台的架构构成了系列专有问题。谷歌零项目的安全研究员NatalieSilvanovich描述了一些关于移动消息何时出错的分析,她发现一个用户能够在未经他们同意的情况下打开另一个用户的相机或音频。Silvanovich在GroupFaceTime、Signal、FacebookMessenger、JioChat和Mocha中发现了各种漏洞,所有这些漏洞都已报告并修复。“能够在未经用户同意的情况下打开某人的相机并拍摄几张照片是非常令人担忧的,”Silvanovich说。2、开源社区要注重安全,要快。开源模型本质上并不是为了生成完全安全的代码而设置的。开源模型中的一个项目可能有来自世界各地的数百万贡献者,当关键软件工具资源可以免费获得并且项目维护者名册不断变化时,安全问题很容易被忽视。问题是,威胁行为者也知道这一点,并且他们正在利用它。2017年Equifax漏洞由于未打补丁的ApacheStruts开源版本中的漏洞,1.47亿人的个人信息被泄露。威胁面涉及开发人员使用的工具及其存储位置。两个恶意包被发布到NPM网站,这是一个JavaScript开发人员用来共享代码块的存储库。此外,GitGuardian的一项分析发现,仅在2020年,公共Git存储库中就存储了200万个“未公开”密码和密码。NCCGroup高级副总裁兼全球研究主管JenniferFernick表示:“情况并没有好转,应用程序的复杂性也在增加。”报告的开源软件漏洞数量每年都在增加。如果没有认真的协调干预,我认为情况会变得更糟。3.DNS即服务创建进入企业网络的开放高速公路业界已经知道域名系统(DNS)中的漏洞已有一段时间了,但是一组安全研究人员最近进行的一项简单实验发现了令人不安的发现。因此,DNS使IP网络(Internet是IP网络的一种)上的计算机之间的通信更加容易,这是DNS开放Internet背后的一项基础技术。DNS服务现在被各种云提供商大量使用,一些云提供商提供DNSaaS(DNS即服务)管理的企业网络解决方案。Wiz.io安全研究人员ShirTamari和AmiLuttwak发现了一个问题,有人可以注册域名并使用它来劫持提供商的DNSaaS配置名称服务器,这样单个用户就可以窃听动态DNS流量。两名研究人员成功地使用被劫持的服务器窃听了15,000个组织的DNS流量。据Tamari和Luttwak称,六大DNSaaS提供商中的两家已经修复了这些漏洞。Luttwak表示,“DNS是互联网的命脉,是最重要的服务之一。我们只需注册一个域名,就可以访问数千家公司和数百万台设备的DNS流量。”我们深入挖掘发现,DNS流量源自世界500强企业和100多家政府机构。4.GPT-3的高级文本功能成为造谣者的工具GPT-3是OpenAI开发的高级项目。GPT-3可以生成类似于人类书写的内容。GPT-3非常强大,很难辨别假货,而且根据乔治敦大学的两名安全研究人员的说法,它可能非常危险。GPT-3AI文本生成器是有史以来最大的神经网络,给定一个文本提示或一句话,GPT-3可以返回完美流畅的文本段落。GPT-3还可以生成有效的计算机代码,GPT-3甚至写了一篇关于自己的信息量很大的博客文章。会出什么问题?伦敦大学安全与新兴技术中心的研究分析师GeorgeDrewLohn和MicahMusser成功申请使用OpenAI的这款自动语言工具。他们有六个月的时间来了解GPT-3会造成什么样的危害。两位研究人员使用不同的对照组测试了关于政治或社会问题的多个样本,以查看读者是否能够分辨出人类所写的内容和机器所写的内容之间的区别。GPT-3结合了美联社的两个合法新闻报道,改写为支持唐纳德特朗普或反对前总统,专家小组无法分辨哪个是原创的,哪个是GTP-3改写的。根据两位研究人员的说法,GPT-3特别擅长阅读一些指令生成推文,GPT-3的速度和准确性使得使用单个社交媒体帐户传播大量信息成为可能。Lohn说:“我不确定它的影响是否得到了足够的重视和深入的研究。这些技术有很多潜在的好处。我们需要就这些类型的决定进行讨论。5.随着时间的推移,黑客也是勒索软件攻击的受害者,网络安全社区现在开始更清楚地了解民族国家黑客使用和操作的方法和方法,以及更清楚地了解他们的问题意识。IBM公司X-Force的安全研究人员一直在分析漏洞IBMThreatGroup18(ITG18),在网络安全方面与名为CharmingKitten的伊朗网络战组织有重叠。ITG18和其他民族国家黑客行动与其他试图避开公众视线的民族国家黑客不同,ITG18ITG18小组一直在跟踪制药公司、记者和伊朗持不同政见者的网络。网络钓鱼攻击,ITG18发布了一组培训视频,这是去年5月由IBM研究人员发现的。该视频提供了有关如何测试访问权限以及如何从受感染帐户收集数据的教程,暴露了与该组织成员的伊朗电话号码相关联的网站上的信息。该批次显示黑客在破解验证码时遇到了问题,视频提供了一些证据表明他们和我们中的许多人一样,由于安全性差而成为勒索软件攻击的受害者。IBMSecurityX-Force的分析师AllisonWickoff说:“在过去的18个月里,我们一次又一次地看到这个小组的错误。”“我们认为翻转剧本并看到对手人性化的一面会很好。”
