信息安全领域有这样一句话:“最危险的就是你没有意识到它的危险。”从这个意义出发,即使你不懂软件代码和黑客工具,但多了解一些威胁情报,某种意义上,也可以达到“用脑洞补漏洞”的效果。正好,本次全国网络安全宣传周期间,相关部门为公众搜集了一些近2个月内最新公布的安全情报,我们略作梳理后提供给读者,希望能帮大家补几个安全意识的盲点。 智能手表 偷窥手指就是偷窥你的密码 美国宾汉姆顿大学的研究人员称,智能手表等穿戴产品存在泄露用户密码的风险。他们发现,攻击者可以通过入侵手表的运动传感器,提取出足够数据后,还原出用户在操作ATM取款机、电子门锁以及其他密码键盘装置时手的活动轨迹,然后猜测出相应的登录密码。 这项研究持续了11个月,期间,有20位成年人佩戴各种可穿戴设备,进行了大约5000次密码登录测试。利用搜集到的测量数据,研究人员完善了破解算法,目前,该算法首次密码破解尝试的准确率达到80%,三次以后则超过90%。 研究小组表示,当前他们处于发现可穿戴设备安全漏洞的早期阶段。尽管可穿戴设备能够追踪健康和医疗活动,但是受到其体积与计算能力的限制,用户无法实施强大的安全措施。 无人机 深入电厂腹地建网络攻击据点 在8月于拉斯维加斯举行的全球Black Hat安全大会上,研究人员展示了一个特别的技巧:利用无人机对类似电厂这样的关键性基础设施进行网络攻击。 横河电机 (Yokogawa) 公司的安全研究人员表示,他们能够利用无人机深入电厂等关键设施腹地,一方面以无人机为据点,远程破坏系统;同时利用机载干扰设备阻塞网络,干扰传感器报警,并阻断外部管理者与现场人员的沟通.基于此,未来黑客们可能会利用无人机,抵达更多以往难以企及的区域,付出的成本仅仅是500美元。有鉴于此,专家建议企业应当考虑如何将“禁止入内”的对象拓展到“飞行中的无人机”,并开发出针对无人机的“防空技术”。 显示器 “眼见为实”实际上并不存在 如果黑客能黑掉显示器,那会发生什么? 经过长达两年的研究,美国网络安全公司Red Balloon Security (RBS)的研究人员发现,可以在不入侵计算机的情况下黑掉显示器。 具体来说,在攻击显示器的嵌入式系统之后,黑客可以通过植入程序,使其显示实际上不存在的内容。比如,在个人电脑领域,给危险的网址链接添加“安全锁”图标,或是将账户余额从“0”修改显示为十亿美元;在工业控制领域,黑客还可能修改发电厂的控制界面,将红色警报改为绿色。此外,攻击者还能利用显示器主动监视用户行为,甚至窃取数据。 研究人员警告称,他们找到的漏洞,可能会潜在影响10亿台设备,因为市场上最常见的显示器品牌都使用了易受攻击的处理器:“我们生活的世界,如今连显示器都不能信任。” 门禁卡 “万能电子钥匙”只要花6美元 美国“快7”(Rapid7) 公司的安全研究人员最近开发出一款类似刷卡系统的破解工具,足以开启酒店房门、攻克POS机,可是成本只有区区6美元。 这款设备只有一张信用卡大小,实际上是对去年亮相的一款名为MagSpoof的工具的改进。手持该工具贴近电子门锁或读卡装置后,它就会尝试直接读取开锁编码、房间号、结账日期等信息,或是以最快高达每分钟48次的速度发动“暴力破解”攻击,尝试所有可能的“密钥组合”,直到试出结果。此外,研究人员还表示,这台设备可用于入侵POS机,并通过磁条读取装置,窃听键盘敲击的内容。 摄像头 监视你、出卖你,然后勒索你 近期出现了一款新型木马,专门用来控制电脑摄像头,收集受害者个人信息,供黑客用来勒索受害者助其行事。 网络安全公 司 DAB ( Diskin Advanced Technologies) 发现,一款名为“Delilah”的恶意软件,会帮助黑客远程打开受害者的网络摄像头并进行记录,此外,它还会收集受害者的个人信息,包括家庭、工作场所的信息。实际上,这种摄像头木马程序要求有“高水平”的人工参与,从而有效识别并确定谁是“优先勒索、欺诈的对象”。利用非法获取的隐秘个人资料,结合社会工程学方法,黑客会试图操纵受害者———就像其他许多电信诈骗案一样。 (责任编辑:日升) |