本文转载来自FreeBuf黑客与极客(FreeBuf.COM)
一年一度黑客大会BlackHat正在赌城拉斯维加斯如期举行,全世界顶级黑客再度聚首,集思广益,技术与观点的交汇相触。下面是BlackHat 2015首日的精华内容。
Blackhat创始人:软件商,请不要再逃避责任了
漏洞、缺陷、安全隐患作为软件内部问题而时刻存在,当用户安装了一个应用时,他就被迫接受用户许可协议,即卖方不承担由此造成的伤害。BlackHat创始人Jeff Moss说:“是时候,软件应该承担不可逃避的责任了。”
周三,Moss在大会开幕致辞中说:“我讨厌承认这点,但我确实没有看到软件承担更多责任。或许这会耗费一美元,甚至是1000万美元,但软件未来肯定要对此负责。”
立法者多年来一直在讨论软件供应商承担责任的可能性。这个想法已经被多次重构,但却从来没有实施过。其中一个主要原因是软件制造商们的努力赢得了战斗的胜利。行业组织与独立软件供应商一直拒绝为自身设备的缺陷或安全漏洞承担责任。
但情况正在发生急转。软件现在并不仅仅存在于笔记本、台式机和服务器中,同时存在于飞机、汽车、家电等许多设备中。如果一台笔记本中的软件有漏洞,这可能只是个独立事件。而一旦飞机上航空电子设备软件出现问题,这个影响则是不可同日而语的。
Moss提醒大家,想想波音公司,现在那些飞机临驾于数据中心之上。
近期有两位研究人员开发的针对智能汽车软件的远程攻击表明,传统软件存在的问题许多也同样存在于运行车辆的应用程序中。而想要从攻击或者软件漏洞中恢复,对于汽车而言则不是一件轻松的事情。
Moss并不是唯一一个有这样想法的人。长期为黑客及安全研究者担任辩护律师、斯坦福大学网络与安全中心主任Jennifer Granick,继Moss之后发言:软件必须去承担责任。
“我认为软件对于责任而言是不可逃避的,同时这非常有必要。但这会让代码变得更加昂贵,或许目前我们的推动工作没有价值,但是这总能发生的。”
垂死的互联网自由之梦
互联网正飞驰在一条监管与审查的,因此所有大众传播手段变成了无价值讯息的集合。开始有点像电视了。
Jennifer Granick给我们带来了一丝丝恐惧,因为当下社会存在监视、审查、内容管制以及我们竟然自信地允许这一切发生。
“20年前,因为我相信一个自由和开放的互联网之梦,我第一次去DEF CON。我相信在这个世界上,那些想要对软件以及设备深入学习、实践、改变、逆向工程的人有自由,而正是他们定义了我们周遭的世界。20年前带我去DEF CON的那个互联网自由之梦,现在正慢慢死去。”
Granick表示在一味指责政府,不如一起行动起来推动有意义的趋势。
现在人们所做的不仅仅是经营个人博客,他们还会在例如Facebook的平台上面发布个人消息。许多黑客可能在自己的邮件服务器上运行东西,但对于我们普通的大多数人,可能是Gmail优先。大多数人使用的手机设备没有越狱,他们下载应用程序并批准过度权限的要求。他们在所谓的云端共享数据,但实际上互联网是由数量有限的几家公司所控制。
Granick认为,首先美国国会应该停止哗众取宠地制订更为严苛的网络犯罪法律。她指出,没有起诉中国、朝鲜以及俄罗斯这些该为美国大型数据泄露负责的APT组织,反而让计算机欺诈和滥用法令(CFAA)更加严格,这么做只会让“好人心寒”。
Granick呼吁,大家应该支持软件使用者有权研究软件并对其进行修改,同时CFAA不应该对此加以阻拦。而随着更多来自汽车、家庭自动系统等网络设备的实现,这一需求变得更加重要。
谷歌承诺将每月推送Nexus设备安全更新
拉斯维加斯的BlackHat黑帽大会对谷歌产生了触动,在近期的Stagefright漏洞之后,Google(谷歌)今天宣布,从现在开始,将会每月为Nexus设备推送一次Android系统安全更新。
获得安全更新的设备包括Nexus 4、Nexus 5、Nexus 6、Nexus 7、Nexus 9、Nexus 10和Nexus Player。而首次更新推送从今天开始,更新内容包括修复上述Stagefright漏洞。
根据谷歌方面的承诺,安全更新补丁将面向三年内Nexus设备,以及在谷歌商店销售的18个月内的其他Android原生系统设备。
而三星今天也表示,将为旗下的Android智能手机和平板电脑每月推出一次安全更新。预计将会有越来越多Android设备厂商重视安全问题,并且做出改进。
美国政府寻求黑客帮忙撰写技术法律条文
美国的政治家和决策者们通常都不太懂技术,经常会听闻某些政客不会使用电子邮件,到目前为止还在使用翻盖手机的事迹。所以美国政府在写技术性法律时要向技术人员寻求帮助。
近几年,技术人员已经慢慢的渗透进了联邦政府,如Ed Felten、Ashkan Soltani、Chris Soghoian和其他的一些技术人员。Soltani是联邦贸易委员会的主管,他强调政府在制定技术性文件时需要网络安全社区的帮助,如瓦瑟讷尔出口控制中的技术问题。
Soltani在黑帽大会上讲到:这些都是很重要的辩论,你的参与也至关重要。辩论过程可能不会很有趣,但如果律师和政客们出了错,可能就会闹笑话了。
法律中的技术问题日益严峻,而政府机构职员的技术水平又完全跟不上步伐,没有安全社区人员的技术精湛。为了制定出没有问题的法律,政府强烈呼吁安全研究员和技术人员参与,给予出更多的建设性意见。
“我们在此寻求大家的帮助,只要是好的策略,我们就会采纳。赶快加入吧!”
汽车入侵揭秘
来自美国的安全工程师Charlie Miller和 Chris Valasek,给大家带来万众期待的远程操控汽车研究(之前FreeBuf也有过报道)。
会前两位演讲者还实地演示,黑入了著名记者Andy Greenberg驾驶的汽车,操控了方向盘、刹车、发动机、汽车信号、车门锁,以及重置时速表、转速表和控制变速器。这也成为菲亚特克莱斯勒召回140万辆汽车的缘由。们证明了可以从任何接入互联网的地方,“远程获取汽车的关键功能操作权限,比如踩下刹车、让引擎熄火、把车开下公路,并令所有电子设备宕机”
克莱斯勒提供了以下受到影响的车辆列表:
2013-2015 MY Dodge Viper specialty vehicles
2013-2015 Ram 1500, 2500 and 3500 pickups
2013-2015 Ram 3500, 4500, 5500 Chassis Cabs
2014-2015 Jeep Grand Cherokee and Cherokee SUVs
2014-2015 Dodge Durango SUVs
2015 MY Chrysler 200, Chrysler 300 and Dodge Charger sedans
2015 Dodge Challenger sports coupes
会议演讲者认为汽车智能化的速度太快,以至于安全领域的研究并没有跟上发展,演讲者认为目前并没有完善的方法来解决这一安全问题,需要进一步加强产业研究,学术支持,政策规划。
政府监听可能无法实现了
近段时间,政府官员萌生了一种想法,他们想要获得某些数据库的特殊访问权限。但是托管密钥的第三方平台则强烈反对,称强制后门访问不仅会在系统中引入漏洞,而且还会破坏系统现有的安全防护。
为此,技术人员正在努力的找出一种解决方法,以解决政府机构和法律机构的“Going dark”加密问题。
译解密码者Matthew Green和律师James Denaro在黑帽大会上做了一个演讲,虽然没有找到解决方法,但已经从历史、法律技术的角度来看已经打破了这一有争议的话题。
Green和Denaro从技术方面指出,特殊访问是一个很糟糕的主意,更为严重的是,这一问题是没有地理边界的。难道说要苹果公司可以在美国的执法机构安装一个后门吗?
大家可以想象一下,一旦你有了窃听别人信息的能力,你能保证你不会去窃听,那些黑客组织能保证吗?即使建立了一个合法的安全屏障来保障这种技术不会被滥用,但谁能打保票呢。如果ISIS需要加密,他们同样也可以使用这种方法。
诸如苹果的iMessage和Facebook的WhatsApp,像这类的移动应用程序拥有大量的用户,而且他们大部分选择使用端对端加密的方式,这对于执法机构来说是一个很大的障碍。
活动现场图片资料:
BlackHat参会套装