在沙漠炎熱的夏天，每年一次的網(wǎng)絡(luò)安全馬戲團(tuán)(Black Hat)來到拉斯維加斯時(shí)，沒有任何行業(yè)或技術(shù)是安全的。發(fā)現(xiàn)缺陷，發(fā)現(xiàn)漏洞，發(fā)布(或未發(fā)布)修復(fù)程序，以及數(shù)字世界的危險(xiǎn)不斷發(fā)展。

本周的Black Hat USA 2018大會也不例外，因?yàn)閬碜允澜绺鞯氐陌踩芯咳藛T提出了一些發(fā)現(xiàn)，這些發(fā)現(xiàn)表明在廣泛的工業(yè)和消費(fèi)產(chǎn)品領(lǐng)域缺乏網(wǎng)絡(luò)保護(hù)。隨著民族國家和資金充裕的分子越來越善于破壞，網(wǎng)絡(luò)安全行業(yè)的問題仍然是如何應(yīng)對眾多威脅。

“世界大事已經(jīng)趕上了我們，我們正在接受測試，”黑帽公司創(chuàng)始人兼董事 杰夫·莫斯 在周三的會議上的主題演講中說。“感覺就像我們的對手有策略，我們有策略。那不是很好。”

中國音樂參與投票

如今，新聞中非常有戰(zhàn)略意義的問題之一是，外國政府是否一直在干預(yù)美國大選。至于選民準(zhǔn)備去在11月投票，投票機(jī)的遠(yuǎn)程操縱的可能性仍然是一個真實(shí)存在的危險(xiǎn)。

星期四，哥本哈根IT大學(xué)副教授卡斯滕·舒爾曼(Carsten Schuermann) 對十多年來在許多州選舉中使用的八臺退役WINVote機(jī)器進(jìn)行了法醫(yī)分析。他的發(fā)現(xiàn)并不令人鼓舞。安全研究人員發(fā)現(xiàn)使用開放版本的計(jì)算機(jī)使用尚未更新的2002 Windows XP版本，以及使用密碼“ abcde”可訪問的系統(tǒng)驅(qū)動器。

他還發(fā)現(xiàn)下載的MP3文件在一臺機(jī)器上播放中文歌曲，而在一小時(shí)內(nèi)又在另一臺機(jī)器上修改了60多個文件。兩種投票機(jī)都被用于弗吉尼亞州的州長選舉。舒爾曼說，在某一時(shí)刻，全國各州安裝了4,000臺WINVote機(jī)器。

舒爾曼說：“在投票機(jī)上有這樣的MP3文件真是奇怪。” “不是很好。”

受損的飛機(jī)Wi-Fi

衛(wèi)星技術(shù)中發(fā)現(xiàn)的通信系統(tǒng)漏洞也在本周對航空，和海事進(jìn)行了審查。IOActive Inc.的研究人員在 周三發(fā)表的研究結(jié)果表明，通過SATCOM進(jìn)行的遠(yuǎn)程攻擊可能會損害安全性。

研究由魯本圣瑪爾塔，IOActive的為首席安全顧問，在衛(wèi)星通信系統(tǒng)發(fā)現(xiàn)，板載公共Wi-Fi飛機(jī)上可以從地面被破壞。他還提供了類似的海上攔截能力和單位訪問位置數(shù)據(jù)的證據(jù)。Santamarta謹(jǐn)慎地強(qiáng)調(diào)，他的研究影響了非安全通信，并且IOActive團(tuán)隊(duì)一直在與政府機(jī)構(gòu)和供應(yīng)商合作以審查研究結(jié)果。

“我們可以控制天線和傳輸，”桑塔瑪塔告訴組裝媒體。“我們正在與當(dāng)局合作，以披露問題。”

應(yīng)對全世界機(jī)器和系統(tǒng)的安全性受到威脅是一回事。這是脆弱性可能在人體內(nèi)部的另一種情況。研究人員喬納森·巴茨，QED安全解決方案的創(chuàng)始人，比利·里奧斯，WhiteScope LLC的創(chuàng)始人，在Black Hat會議上周四表示擔(dān)心，關(guān)于固件更新缺乏加密功能可以打開大門，惡意黑客妥協(xié)的結(jié)果呈現(xiàn)美敦力心臟起搏器。

會議演示涉及在植入心臟起搏器后破壞醫(yī)生用來控制心臟起搏器的設(shè)備。去年秋天，美敦力(Medtronic plc) 采取了一些措施來解決研究人員的一些發(fā)現(xiàn)，這些發(fā)現(xiàn)在2017年被部分披露為概念驗(yàn)證，該公司周二發(fā)布了新的安全更新。

這些只是Black Hat的亮點(diǎn)中的一小部分，Black Hat在兩天的時(shí)間里提供了很多會議，涉及從工業(yè)“物聯(lián)網(wǎng)”系統(tǒng)的攻擊到Microsoft Corp.的Cortana中的漏洞的所有內(nèi)容。然而，在拉斯維加斯舉行的許多對話背后的潛在信息都集中在使用新技術(shù)來支撐網(wǎng)絡(luò)安全庫抵抗持續(xù)威脅的潛力上。

希望區(qū)塊鏈和人工智能

正如馬克·安德森( Marc Andreessen )在2011年著名地宣稱的那樣，如果軟件正在吞噬整個世界，那么區(qū)塊鏈就可以成為甜點(diǎn)。分布式賬本平臺被視為對許多技術(shù)挑戰(zhàn)的最終救贖 ，Google LLC工程總監(jiān)Parisa Tabriz(如圖)周三早上在Black Hat的主題演講中斷然宣稱：“如果我想做一件事，您今天不用理會我的話，那是區(qū)塊鏈無法解決我們所有的安全問題。”

在某些情況下，區(qū)塊鏈確實(shí)為改善安全狀況提供了一些希望。Trustar的開發(fā)人員在本周的會議上展示了一種新的區(qū)塊鏈監(jiān)視工具，稱為White Rabbit，可以檢測新興的勒索軟件活動。

但是，研究人員也在圍繞區(qū)塊鏈本身的安全性問題苦苦掙扎。Trail of Bits的安全工程師Jay Little在周三介紹了來自各種區(qū)塊鏈解決方案的安全值分析，并記錄了合同編程語言Solidity中的錯誤缺陷。他的公司在GitHub上發(fā)布了一個以太坊漏洞的存儲庫，標(biāo)題為“ Not So Smart Contracts”。

機(jī)器學(xué)習(xí)和人工智能也被定位在安全社區(qū)中，這是另一個希望的燈塔，許多公司在Black Hat展示了最新的分析工具，以發(fā)現(xiàn)和避免惡意攻擊。但令人擔(dān)憂的是，不良行為者在這一領(lǐng)域比安全界更遙遙領(lǐng)先。

周三，IBM Corp.研究人員詳細(xì)介紹了一種稱為DeepLo??cker的新型攻擊，該攻擊利用AI逃避了網(wǎng)絡(luò)安全保護(hù)。該惡意軟件使用AI隱藏在良性目標(biāo)中，可以在識別到特定的預(yù)選用戶時(shí)激活。

微軟安全開發(fā)生命周期戰(zhàn)略團(tuán)隊(duì)成員亞當(dāng)·肖斯塔克警告說：“專家級機(jī)器學(xué)習(xí)和人工智能將為攻擊者帶來更多樂趣，而對您來說則將變得不再那么有趣。” “這項(xiàng)技術(shù)只會變得越來越快。”

在周三的主題演講中，Google的大不里士向觀眾展示了標(biāo)志性的街機(jī)游戲“ Whack-A-Mole”的照片，其中，玩家使用橡皮槌從小孔中戳出小動物的東西。描述風(fēng)險(xiǎn)專業(yè)人士在普遍感覺是一個適當(dāng)?shù)碾[喻，因?yàn)轱L(fēng)險(xiǎn)持續(xù)增長且風(fēng)險(xiǎn)很高。

Tabriz說：“隨著事情之間的聯(lián)系越來越緊密，我們必須停止玩'Whack-A-Mole'。” “計(jì)算機(jī)安全性正日益成為世界的安全性。”