研究人员|安全419业界：Black Hat 2021 透露的五大网络安全威胁点_黑客

在一年一度的 Black Hat USA 大会上，从现场与会者的演讲和全球安全研究人员的简报中判断，美国安全媒体 siliconANGEL 总结了 Black Hat 演讲中透露出的五个关键要点：

文章插图
1、移动平台是恶意攻击者的下一个前沿阵地越来越多的证据表明，恶意攻击者正在将其大量资源用于利用移动平台中的漏洞。面对全球约 60 亿的智能手机用户，这是他们不容错过的机会。
对移动设备的攻击和对 0day 漏洞的利用的增加相吻合，而由于这些漏洞在安全界是未知的，因此未能修补。
0day 漏洞利用是靠市场供需驱动的。去年夏天，一枚 iPhone 的0day漏洞导致网络犯罪分子入侵了 36 名国际采访人员的移动设备。
会议发言人、Corellium LLC 首席运营官、英国国家安全管理局的前分析师 Matt Tait发表的研究表明，这个问题正在变得十分严峻，“针对移动电话设备的0ady漏洞正在被大量利用，我们只是对世界上实际可能发生的事情略有了解。”
部分问题在于，一些移动平台的架构已经产生了自身的一系列问题。Google Project Zero 的安全研究员 Natalie Silvanovich 描述了对移动消息错误的分析，该错误发现一个用户可以在未经同意的情况下打开另一个用户的相机或音频。
她在 Group FaceTime、Signal、Facebook Messenger、JioChat 和 Mocha 中发现了各种各样的 bug，他们都已经被报告并得到修复。
“在未经用户同意的情况下打开某人的相机并拍摄几张照片的能力相当令人担忧，”Silvanovich 说。
【研究人员|安全419业界：Black Hat 2021 透露的五大网络安全威胁点】2.、开源社区需要更加注重安全性
从本质上讲，开源模型并不是为了生成完全安全的代码而建立的。当你拥有来自世界各地的数百万贡献者、重要软件工具的免费可用资源以及不断变化的维护人员名单时，安全性很容易就会崩溃。
问题在于，恶意攻击者也知道这一点，他们正在从中获利。 2017 年的Equifax 漏洞暴露了 1.47 亿人的个人信息，这归因于对未打补丁的 Apache Struts 开源版本漏洞的利用。
威胁场景涉及开发人员使用的工具及其存储位置。据报道，去年 12 月，两个恶意软件包被发布到 NPM，这是一个 JavaScript 开发人员用来共享代码块的代码存储库。此外，GitGuardian 的一项分析发现，仅 2020 年就有 200 万个“秘密”密码和身份凭证存储在公共 Git 存储库中。
NCC Group 高级副总裁兼全球研究主管 Jennifer Fernick 表示：“情况并没有好转，除此之外，应用程序的复杂性也在增加。开源软件中报告的漏洞数量每年都在增加，如果没有认真和协调的干预，我认为情况会变得更糟。”
3、DNS 即服务（DNS-as-a-service）正在创建一条通往企业网络的开放高速公路
域名系统或 DNS 中的漏洞早已为人所知，但一组安全研究人员最近进行了一项简单的实验，发现了令人不安的结果。
DNS 促进 IP 网络上计算机之间的通信，是开放互联网背后的基础技术。DNS 服务在提供 DNSaaS 作为托管企业网络解决方案的各种云提供商中得到扩展。
正如 Wiz.io 的安全研究人员 Shir Tamari 和 Ami Luttwak 发现的那样，问题在于注册一个域然后利用它劫持 DNSaaS 提供商的名称服务器可以让用户窃听动态 DNS 流量。研究人员能够使用一台被劫持的服务器窃听来自 15,000 个组织的 DNS 流量。
据 Tamari 和 Luttwak 称，六家主要的 DNSaaS 提供商中有两家已经修复了这些缺陷。
“DNS 是互联网的命脉，也是最重要的服务之一，” Luttwak 说，“一个简单的域名注册让我们可以访问数千家公司和数百万台设备。当我们深入挖掘时，我们发现它来自财富 500 强公司和 100 多个政府机构。”