记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

嘶吼直播 | 带你游览 DEF CON China 2018

各位嘶吼的读者大家好DEF CON China Beta 安全行业国际峰会 将于今天在北京市朝阳区昆泰酒店举办,本次峰会的主题为【御·见未来】,相信我们在这三天里将会看到全球网络安全极客对未来的探索创新。嘶吼作为本届DEF CON China Beta的合作媒体,从今天开始,连续3天,我们将会带领大家来游览这一跨国盛事,不出国门便可领略原滋原味的DEF CON风情。 另,根据现场要求,在未经允许情况下无法进行摄影摄像,部分内容将以同类图片替代。直播更新使用谷歌传播恶意软件 攻击方法:使用KML文件进行攻击Keyhole Markup Language (类似XML)或者使用KMZ文件进行攻击KML+
发布时间:2018-05-11 12:20 | 阅读:21492 | 评论:0 | 标签:行业 DEFCON

显示器也能被黑:操纵像素达到恶意目的

别相信你看到的任何东西,电脑显示器也是有可能被黑的。研究人员在 DEF CON 发声,质疑电脑显示器固件安全,并演示了操控电脑屏幕上微小像素的方法。红气球安全( Red Balloon Security )的两位研究人员安格·崔和贾汀·卡塔利亚对戴尔显示器的工作方式非常好奇,最终逆向了一台。他们“肢解”了一台戴尔U2410显示器,发现里面的显示控制器可被用于修改和记录屏幕上的像素。他们展示了如何利用被黑掉的显示器来篡改网页显示内容的。在一个案例中,他们将PayPal账户余额从0元改成了100万美元,但其实,这不过是显示器被重新配置了而已。要做到这一点并不容易。为发现漏洞,两年时间里,崔和卡塔利亚将他们所有的业余时间都花在了研究和理解戴尔显示器的内部技术上。除此之外,他们还研究了其他品牌的显示器,包括三星、宏碁和
发布时间:2016-08-13 22:05 | 阅读:51990 | 评论:0 | 标签:黑极空间 Defcon 固件 显示器

4G真的安全吗? Defcon上中国黑客展示如何黑掉4G LTE手机,

4G LTE由于具备双向鉴权的机制, 被普遍认为具有比GSM网络高得多的安全性。 然而, 在美国拉斯维加斯举行的黑客界的顶级盛会Defcon24上, 来自中国奇虎360的两名年轻的黑客单好奇和张婉桥却向世界展示了如何利用3GPP标准里的一个漏洞, 对LTE手机进行攻击从而迫使手机接入一个虚假LTE网络的演示。 安全牛记者有幸在现场聆听了他们的演讲。左起:张婉桥、单好奇8月6好下午, Defcon演讲厅了坐满了人, 由于是针对LTE这样的4G网络的攻击,引起了世界各地很多黑客的兴趣。单好奇先是简单介绍了一下他们攻击的大体思路, 原来他们是利用软件无线电的设备, 利用了3GPP的漏洞取得手机的IMSI码, 然后通过DoS攻击使得手机接入虚假网络。 或者通过重定向使得手机通过经过黑客控制的网络进行通信, 从而能够截获
发布时间:2016-08-08 03:35 | 阅读:64315 | 评论:0 | 标签:牛闻牛评 Defcon LTE安全

对黑帽大会和DEFCON吐吐嘈吧

即将到来的年度网络安全大会上,大公司和政府将遭遇诸多麻烦。他们可能会问:这帮人到底想要什么?底层的隐私和顶层的透明?再来点批判官僚式主义?7月末是网络安全行业切换到坏男孩形象的时节。表面上,即将召开的大会是向参会者普及最新的威胁。实际上,却是业内能人聚首发声的机会。开发者花费整年密谋突破以打造更自由的互联网,曝光轰动性漏洞,或者找出规避监视和审查的方法。这些努力通常都集中在黑帽大会和DEFCON的那一周里绽放。DEFCON法律顾问杰弗瑞·麦克纳马拉对参会者的意图解释得最为直观:“我就想给那些牛气哄哄的大公司打脸。我想来DEFCON,然后把他们惹到跳脚。”麦克纳马拉的工作想必十分艰巨,因为他的律所被牵涉进了多家思科之类科技巨头的诉讼中。处于这场骚动承受方的巨型企业或政府可能会问:“这群人到底想要什么?”这一点从技
发布时间:2016-07-28 20:10 | 阅读:49561 | 评论:0 | 标签:牛闻牛评 2016 Defcon 言论自由 隐私

儿童玩具+芯片 破解车库和汽车

上个月,职业黑客Samy Kamkar成功入侵汽车巨头通用汽车的RemoteLink移动应用,造成汽车解锁并发动,一时间在业界掀起了渲染大波。在今年的第23届DEF CON年度黑客大会上,他解释了是如何进入目标汽车车库的。Kamkar说,能够成功攻破的关键是薄弱的无线电安全和缺乏基本防御。入侵所使用的工具不过是一台Mattel GirlTech IM-ME文本游戏机上的部件经过改装而成。IM-ME游戏机上有几样东西是像Kamkar这样的黑客所钟爱的,特别是其中的得州芯片组和千兆赫收发器,以及允许该设备重组成非常有效盗窃工具的电路板插针。第一步,是打开车库的大门。Kamkar使用无线电分析仪发现,要找开无线车库的大门,通常都需要12位的访问密码,这就意味着他最多只需要检查4096个组合就可以找到正确的密码,这大约
发布时间:2015-08-21 00:40 | 阅读:48334 | 评论:0 | 标签:DEF CON 23 动态 Defcon 入侵汽车

如何在60秒内“玩儿”死你的硬盘

4年前的DEFCON,有一个非常流行的演讲,讲述了紧急情况下如何在60秒内完全破坏你的硬盘。今年的DEFCON 23,这个演讲被“旧事重提”,并用最新的技术手段重新诠释。安全研究人员Zoz对多种破坏磁盘和SSD驱动器(这里指那种典型的1U服务器上的硬盘)的核心方法进行了一系列测试。他认为我们应该提出一个更有效的技术手段,在不用破坏整个数据中心,没有对人类造成伤害的风险的基础上达成我们的目的,让硬盘的目标数据变得不可读取。然而,现实是残酷的,这个要求看起来并不是那么好实现。加热燃烧Zoz第一个尝试的方法是通过类似铝热剂来快速加热硬盘。他扭松一个希捷硬盘的磁盘盒,往里边塞入了一个装有15克铝热剂的小包并放在了硬盘内部的一个角落以便不影响硬盘正常运行。除此以外,他还通过对总线针脚的操作将其作为一个点火器来使用。出人意
发布时间:2015-08-14 22:50 | 阅读:47019 | 评论:0 | 标签:DEF CON 23 动态 Defcon 数据销毁

物理攻击:黑掉化工厂

攻击者只需在键盘上敲上几下,一座化工厂就会“轰”地一声爆炸崩塌。很幸运,这只是在黑客电影中发生的事情。研究人员在本届的Defcon上发布了“漏洞化工处理框架”工具,你可以利用它黑掉一个化工厂(仿真模型)。安全从业者可从中学习如何发现来自网络空间的物理攻击。首先,无论是攻击者还是防护人员,都需要具备计算机及工控方面的知识。再者,入侵化工厂还需要了解物理学、化学和工程学,“漏洞化工处理框架”会帮助那些不了解IT之外的其它知识的黑客学习这些学科。成功入侵后,黑客可以帮助对手公司恶意竞争,或者直接进行勒索。该工具由欧洲非盈利组织European Network for Cyber Security的资深安全顾问玛丽娜·科罗托菲尔(Marina Krotofil)和西雅图安全评估公司IOActive的首席安全顾问杰森·拉
发布时间:2015-08-14 22:50 | 阅读:41950 | 评论:0 | 标签:DEF CON 23 动态 Defcon

黑客两会“观”感

黑帽大会和DEFCON于周日结束,牛君的两位同事全程参与这场全球最大的黑客集会。他们听过演讲、走过会展,拍过花絮、做过专访,并即将从DEFCON上带回6T硬盘数据的演讲和技术资料。这些资料到时会放在安全牛网站的牛享(s.aqniu.com)中供大家参考。虽然牛君并未亲赴现场,但一周来也与两位同事不分日夜的沟通与联系,加上许多现场图片、文字报道和一些资料,对之前并不熟悉的黑客“两会”也有了更深一步的认识和了解。黑帽大会与DEFCON黑帽大会(Black Hat)1997年开始举办,至今已举行19届,并且从2000年开始增加了欧洲场和亚洲场。DEFCON则更早,它起源于1993年的一次黑客集会,今年是第23届。两者相比,黑帽大会偏向企业氛围,DEFCON则保持着传统的黑客文化。前者除了正式的演讲之外,还有演讲前的训
发布时间:2015-08-11 21:55 | 阅读:44447 | 评论:0 | 标签:Black Hat 2015 DEF CON 23 牛观点 Black Hat Defcon 网络安全

黑帽大会热点追踪:如何黑掉一把智能步枪

本次黑帽大会一个热点演讲就是两名黑客Runa Sandvik和Michael Auger演示他们如何对TrackingPoint的基于Linux的辅助瞄准步枪进行Hack的过程。 安全牛记者在现场记录了他们的步骤,这里给读者分享一下。和任何的入侵测试一样, 第一步就是Reconnaissance(信息收集)的过程。这一过程一般是整个入侵测试最长的过程。 这里也是一样的。 黑客们首先当然要买一把步枪, 不过在此之前, 黑客们通过TrackingPoint的网站和其他媒体报道等, 详细了解了TrackingPoint步枪的辅助瞄准系统的物理结构。 他们发现TrackingPoint是带Wi-Fi的。 此外, 他们还通过TrackingPoint步枪配合使用的移动App,发现了后台服务器的地址和公开API。下一步,
发布时间:2015-08-10 16:45 | 阅读:37073 | 评论:0 | 标签:Black Hat 2015 动态 blackhat 2015 Defcon 智能步枪

DEFCON|利用互联网漏洞轻松“终结”任意一个人的生命

大多数人都会有过杀了某人的幻想。如今,随着政府要求上网人士提供更多的个人信息,将幻想转化为现实简直容易,至少,在纸面上——在某些明晃晃的漏洞的恩赐下。信息安全界人士克里斯·洛克就在拉斯维加斯本周举行的DEFCON黑客大会上展示了他的这一发现。安全公司Kustodian的这位澳大利亚籍主管展示了“杀人”有多么简单——弄个假的出生证明,设置新身份——所有一切都在互联网巨大能量的帮助下。“我将之称为‘生命终结漏洞’,”他说,“这是个全球性的灾难,而我还未与任何厂商联系过修复问题。”他解释道:随着政府部门迁移到线上表单,大量漏洞开始浮出水面,能利用的信息又如此之多,要插手死亡生意真不太难。我不建议这么干,但这真是有可能的。想注册某人已死亡,必须提交一张由医生在他咽下最后一口气之后24小时内填写的详细死因的表单。丧葬师要
发布时间:2015-08-10 16:45 | 阅读:37534 | 评论:0 | 标签:DEF CON 23 动态 Defcon 漏洞

DEF CON23独家专访:让地球脉搏心率失常的人

今天,GPS已经成为这个数字星球的心率节拍器,从无人机、轮船、飞机到手机基站、金融交易系统和智能电网等关键基础设施都依赖GPS定位和授时协同工作,而那些能够欺骗GPS终端设备的廉价黑客技术则潜藏着巨大的杀伤力…在本次Defcon展会上, 最引人关注的话题之一就是来自中国的黑客团队展示的对GPS的信号伪造攻击的演示。 奇虎360团队的黄琳和杨卿在500多人的现场展示了他们如何利用硬件设备和SDR(软件定义无线电)模拟GPS信号发射, 从而欺骗GPS接收装置。 安全牛记者有幸在现成聆听了他们的精彩演讲。 演讲从《星际迷航》的控制无人机的片段开始, 杨卿首先介绍了攻击的基本原理。 接着,黄琳开始从GPS的基本原理开始介绍。 从黑客圈里来看,对GPS这样专业领域的知识其实懂得人不多, 现场不少黑客都在记录学
发布时间:2015-08-10 02:10 | 阅读:38039 | 评论:0 | 标签:DEF CON 23 动态 def con Defcon DEFCON23

DEFCON | 社会工程六大下手点

 本周,数千名黑客汇聚拉斯维加斯,游走于各个讲座和讨论之间,或者进入某个有趣的主题区。六年来,Defcon黑客大会的社会工程村一直是个有趣的所在。每年该“村”都会举办有关“入侵人”的各种讨论和互动课程,其中最具吸引力的当数社会工程夺旗赛(SECTF)。在SECTF中,参赛者努力收集旗帜。零散的信息片段或许本身没什么危害,但若综合起来就有可能给目标机构带来麻烦。SECTF期间以下几面旗帜是参赛者通常会下手的目标,尽管比较基础,但其中每一个都是竞赛中极少会错过的。一、无线网络 旗帜:这儿有没有WiFi?危险:无线网和内部网络间的连接有可能成为恶意攻击者染指公司资源的路径。而且,找个配置弱爆的无线网还真不是什么难事,而这又可以转化为另一种攻击方式了。(国内超级天河计算机集群被入侵就是一个典型的例子
发布时间:2015-08-07 01:15 | 阅读:51064 | 评论:0 | 标签:DEF CON 23 牛观点 Defcon SECTF 社会工程

DEFCON 23|利用U盘60秒打开保险柜

说起存放现金,物理设备保险柜无疑是最安全的选择。在过去,窃贼要想打开保险柜得用炸药,而如今,著名的商业安保服务提供商美国布林克集团(Brinks)旗下的一款数码保险柜,却被一个USB闪存加上100行代码就给搞定了。这一惊人发现是由著名的IT安全公司Bishop Fox两位研究人员Oscar Salazar和Daniel Petro发现的,并将做为该公司的年度研究成果,在8月8日的拉斯维加斯DEFCON黑客大会上进行详细阐述。被攻破的布林克公司的CompuSafe Galileo数码保险柜,是一款能够让企业现金管理更简单的现代化保险柜。使用这款保险柜无须人工点钞,只须将现金塞入机器,就会被自动点验清楚,并且存入商家账户。这就意味着塞入机器的钱,就是银行的钱,商家不能随便取出,当然在现金实际运输前还可利用该机器进行
发布时间:2015-08-04 00:30 | 阅读:35393 | 评论:0 | 标签:DEF CON 23 动态 Defcon U盘入侵

DEFCON 23:通用汽车ONStar手机应用被黑客破解,可远程发动引擎打开车门

继菲亚特克莱斯勒因为黑客攻击漏洞而紧急召回140万辆汽车后,通用汽车的汽车联网娱乐系统也被黑客攻破。安全研究人员近日警告部分通用汽车车主不要下载使用OnStar汽车通讯系统的手机客户端应用。根据本周四白帽子黑客Samy Kamkar在网上发布的一段视频,Kamkar已经找到办法来拦截RemoteLink手机应用与安装了OnStar系统的汽车之间的通讯,不但能定位、解锁还能远程启动汽车。Kamkar计划在8月初拉斯维加斯的DEFCON黑客大会上公布破解的技术细节,安全牛记者届时将从现场为大家发回更多相关报道。通用汽车发言人Terrence Rhadigan在接受路透社采访时透露公司将在数天内紧急修补RemoteLink应用的漏洞。通用汽车OnStar系统爆出的安全漏洞还引起了美国国家公路交通安全管理局的重视,在约
发布时间:2015-08-01 14:30 | 阅读:43686 | 评论:0 | 标签:DEF CON 23 安全警报 Defcon 汽车网络安全 通用汽车

DEFCON 23|专门抓捕黑客的人

我很荣幸能够于今年八月拉斯维加斯的DEFCON 23发表演讲,演讲题目将是“职业黑客追踪者的自白”。我的工作是追踪网络罪犯,目前已经逮捕了二十余名。在这次演讲中,我将会讨论一些自己开发的技术和方法。很多时候,在寻找丢失设备的过程中,我们会发现更大规模的犯罪主体,比如毒品、盗窃团伙、被盗车辆,甚至还发现了一起暴力抢车事件。我处理过的案例中,证据往往来自被盗的设备:网络信息、笔记本电脑和手机上的截图,但要进行定罪,往往需要一些其它证据。在演讲中,我将通过真实的案例,深入讨论我在追踪罪犯过程中所使用的技术和其它方法,比如调用开源数据。我还将讨论如何使用与此相同的工具和方法对付无辜者,并讲述开发人员和用户如何采取更好的手段保护隐私。 在这次演示中,我会讨论如下要点,并提供相关工具:使用基于USB的木马来跟踪、
发布时间:2015-08-01 00:00 | 阅读:43778 | 评论:0 | 标签:DEF CON 23 动态 Defcon 物联网

DEFCON 23上值得关注的5个有趣演讲

DEFCON 23将在黑帽大会后举行,安全牛也将全程报道。事实上,不少黑帽大会上的演讲也会在DEFCON再讲一遍。不过,DefCon上还是有很多特别的演讲是黑帽大会上没有的。这里我们挑选了5个有意思的演讲,届时安全牛还会对其中一些进行详细跟踪报道,敬请期待。无线物理入侵汽车现在,很多汽车都可以用移动设备通过GSM网络进行控制,这样也就给了黑客更多攻击的便利。曾经的MySpace蠕虫的作者Samy Kamkar将在DEFCON上发布开源的低成本RF攻击工具。利用工具能够对无线控制的车辆进行物理入侵。此外,Samy Kamkar还将展示自制低成本的破解设备的方法。嵌入式系统旁路入侵随着开源硬件工具的普及,嵌入式硬件的安全问题越来越被人们关注。开源硬件项目ChipWhisperer的作者Colin O’Flynn将在
发布时间:2015-07-30 18:40 | 阅读:50015 | 评论:0 | 标签:动态 黑客攻防 Defcon SDR工具 个人信息安全 物联网安全

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云