记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

高度重视数据安全和隐私保护 小米IoT安全峰会成功举办

11月19日,MIDC开发者大会正式拉开帷幕,为全球超过3000名开发者呈现了小米在AIoT和5G等多个领域的最新技术。21日,小米IoT安全峰会也同步举办,邀请了北京赛博英杰董事长谭晓生、腾讯安全玄武实验室负责人于旸、APP专项治理工作组副组长洪延青等诸多安全隐私领域专家,共同分享探讨在用户数据和隐私安全方面的经验策略。“我们在安全和隐私上始终以国际最高的标准要求自己,为小米“手机+AIoT”双引擎战略提供了最大保障。”小米集团副总裁、集团技术委员会主席崔宝秋讲到,“小米从早期草莽阶段进入了绝对正规军的阶段,从设计着手的安全和隐私保护理念在小米已经根深蒂固。我们在安全和隐私保护上做到99.9%也是不够的,有0.1%的
发布时间:2019-11-21 18:25 | 阅读:6129 | 评论:0 | 标签:活动 IOT MIDC

实测一款IoT路由的安全性如何?从web到硬件,我们进行了全面的漏洞挖掘和分析(下)

上一篇文章,我们讲了IoT路由的设备在理论上的安全性和可能的安全漏洞,本文,我们就来实测一下。NAND闪存转储在经历了最初的挫折之后,我们把NAND闪存的焊接都给拆了,并把它和DATAMAN读卡器相连。几分钟后,我们成功地进行了一次Flash转储。为了正确起见,我们转储了两次,结果都是相同的。现在我们已经成功进行了NAND转储,这意味着我们可以开始提取固件并开始分析文件的结构了。首先,我们下载了转储工具,它非常棒,是任何NAND转储的首选工具。我们在网上搜索了一些关于NAND 闪存芯片组MT29F1G08ABADA的信息。尽管该芯片的说明书上写的是1G的存储空间,但实际上,读卡器的NAND转储量为138.4 MB。然后
发布时间:2019-08-25 13:10 | 阅读:30506 | 评论:0 | 标签:Web安全 IOT 漏洞挖掘 漏洞

智能家居如何保护个人隐私?阿里安全专家顶会揭秘物联网设备防入侵新举措

近日,阿里安全猎户座实验室三位安全专家五达、蒸米、白小龙分别受邀在安全行业国际顶会HITB、Black Hat Europe进行四个议题的分享,从物联网设备入侵检测、智能音箱传感器缺陷到iOS系统防御新型攻击的方法等,全面展现阿里安全用技术解决社会问题的理念。 五达在HITB上进行了两个议题的演讲,分享他对于物联网安全碎片化以及智能音箱隐私保护的解决方案。这也是自2015年以来,五达第四次代表阿里登上安全行业顶会,持续发掘并解决物联网安全问题。 物联网近几年野蛮发展,公开报道显示,物联网应用已经覆盖工业、商用、消费三大领域近20个行业、超过160个应用场景,但碎片化也导致各个物联网之间的信息孤岛现象严重,爆发式增长受阻。 图说:阿里安全猎户座实验室安全专家五达(左一)在HITB上演讲 “碎片化问题也给入侵检测的
发布时间:2018-12-06 18:45 | 阅读:94741 | 评论:0 | 标签:IoT安全 IoT 智能家居 物联网

【RSA2018】IoT Security | 物联网安全方案须关注的五大重点

阅读: 14物联网安全 仍然是本届2018 RSA的热点之一,许多安全公司都推出了自己的物联网安全解决方案,其中不乏许多专业物联网安全公司。如ARMIS,一家来自硅谷的企业,致力于消除物联网安全盲点,让企业能够安全的使用物联网设备。其解决方案是提供一个无代理的物联网安全平台,使得企业可以查看和控制任何物联网设备或网络风险。相关阅读:【安全报告】2017物联网安全年报【安全报告】2017 物联网安全研究报告【物联网安全】系列之一: 隐藏在摄像头下的罪恶【物联网安全】系列之二: 物联网安全基础知识【物联网安全】系列之三:物联网设备安全评估的七种武器【物联网安全】弱设备防护方法ARMIS认为,一个有效的物联网安全解决方案必须能够对设备行为进行分析,识别出有问题的设备,然后采取积极的防护措施,并提出了物联网安全解决方案
发布时间:2018-04-19 15:05 | 阅读:123960 | 评论:0 | 标签:技术前沿 IoT iot安全 rsa 物联网 rsa2018 物联网 物联网安全

【物联网安全】走进MIPS的奇妙世界

阅读: 33随着物联网(IOT)日益增长,面向IOT硬件的新一波恶意软件如期而至,不过对于安全人员来说,这些恶意软件所面向的系统架构貌似有点生疏:MIPS架构。为了帮助读者熟悉这一架构,本文将详细介绍如何编译、分析和调试基于MIPS的二进制文件。文章目录简介在x86系统上交叉编译MIPS ELF文件在x86系统上运行MIPS ELF程序QEMU的用户模式QEMU的系统仿真模式在x86机器上调试MIPS的ELF程序技巧与陷阱小结简介MIPS是一种精简指令集计算机(RISC),问世于二十世纪八十年代初期,常用于家用网关路由器和交换机等设备。在本文中,我们将为读者详细演示如何在x86系统上编译、运行、分析和调试用C语言编写的MIPS示例程序。虽然这里使用的代码并非恶意软件,但本文中介绍的技术和方法同样适用于分析基于M
发布时间:2018-04-03 15:05 | 阅读:145722 | 评论:0 | 标签:安全分享 IoT iot安全 mips mips架构 物联网 物联网安全

【物联网安全】系列之二: 物联网安全基础知识101

阅读: 3上一期【物联网安全】系列之一: 隐藏在摄像头下的罪恶,我们对两类摄像头安全事件(僵尸网络和视频外泄)的梳理,归纳出物联网的安全需求,即在传统IT的CIA需求,加上了隐私保护、人身安全和可靠性三个新需求。一言以蔽之,物理网安全是Security+Safety的组合。摄像头安全让我们对物联网的安全需求有一个感性认识。这一期物联网安全,我们介绍物联网相关的概念,进一步了解物联网和物联网安全。文章目录1. 物联网概念1.1 物联网概念1.2 感知层设备1.3网络层2.物联网安全2.1 Gartner物联网安全的定义:2.2 物联网安全威胁2.3 物联网安全体系2.3 物联网安全解决方案1. 物联网概念1.1 物联网概念1)Gartner对物联网的定义:物联网是专门的利用嵌入式技术的物理设备组成的网络,用来与设
发布时间:2018-04-03 15:05 | 阅读:165641 | 评论:0 | 标签:安全分享 IoT iot安全 物联网 物联网安全 物联网安全 方案

【物联网安全】系列之三:物联网设备安全评估的七种武器

阅读: 0针对物联网设备的安全评估,这里总结七种评估方式,从七个方面对设备进行安全评估,最终形成物联网设备的安全加固方案,提升黑客攻击物联网设备的成本,降低物联网设备的安全风险。【物联网安全】系列之一: 隐藏在摄像头下的罪恶【物联网安全】系列之二: 物联网安全基础知识101物联网发展迅猛,正加速渗透到生产、消费和社会管理等各领域, 物联网设备规模呈现爆发性增长趋势,自 2015 年至 2020 年,物联网终端年均复合增长率为 33%,安装基数将达到 204 亿台,其中三分之二为消费者应用。在联网的消费者和企业设备的投资为 2.9 万亿美元,年均复合增长率高达 20%,将超过非联网设备的投资。物联网设备已经逐步渗透到人们生产生活的方方面面,为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高
发布时间:2018-04-03 15:05 | 阅读:175808 | 评论:0 | 标签:安全分享 IoT iot安全 iot安全解决方案 物联网 物联网安全 物联网安全 方案

把这三个问题回答好才能算一个合格的CISO

IoT带来的风险,检测潜在恶意数据传输的困难,以及对用户和设备活动可见性的整体缺乏,这些问题,很大程度上是今天复杂庞大的网络基础设施所造成的结果。臃肿的网络基础设施,令监视用户和设备行为中微小恶意转变的工作,变得十分复杂。今天的网络延伸到了云端,有可能接入到工业控制系统中,还可能托管着大量的设备,而且往往遍布全球。高级网络攻击和内部人威胁注定隐身在繁杂噪音中。再加上IoT设备、虚拟机和智慧城市,简直不可能保持领先不断发展的威胁态势一步。因此,CISO及其安全团队面临一个根本性问题。他们有太多盲点,且缺乏区分威胁和合法活动的能力。为理解该问题的严重程度,安全团队应该回答好以下3个问题:1. 能为网络上的每个设备负责吗?根据经验,即便老练的安全团队,也总是低估了网络中设备的数量,有时候甚至达到30%之多。而很多公司
发布时间:2017-09-05 03:50 | 阅读:109428 | 评论:0 | 标签:术有专攻 CISO IoT 内部威胁 数据渗漏 行为监管

【视频】TechWorld2017热点回顾 | 物联网防护新思路:软件定义访问控制

阅读: 22如今是一个物联网爆炸的时代。商业层面上有各种大型工业控制系统接入互联网,消费层面上有汽车、摄像头以及各类家用电器接入互联网。而在物联网愈演愈烈的同时,网络安全问题也甚嚣尘上:乌克兰电网屡遭攻击、家用摄像头轻易被黑、特斯拉被破解、Mirai 物联网DDoS攻击。如何保证物联网的安全是个亟待解决的难题。也许软件定义访问控制可以成为救命稻草。文章目录物联网安全的演进IT和OT/IoT融合带来的影响云计算/边缘(雾)计算的兴起IoT安全=Security+Safety生态角色画像SDP:Software defined perimeter 软件定义边界Why SDP?利弊分析如何进行物联网访问控制IoT访问控制架构终端边缘安全骨干网:IoT攻击防护云端防护如何“软件定义”总结现场视频物联网安全的演进IT和O
发布时间:2017-08-30 06:55 | 阅读:232986 | 评论:0 | 标签:技术前沿 IoT iot安全 mirai 物联网 SDP Techworld TechWorld 绿盟科技 techwo

Analysis on Exposed IoT Assets in China

阅读: 102With the maturity of sensing, computing, and communication technologies, the Internet of Things (IoT) will be more and more widely used in various industries. Gartner, a market research agency, predicts that endpoints of the IoT will grow at a 33% CAGR from 2015 through 2020, reaching an installed base of 20.4 billion units, with almost two-thirds of
发布时间:2017-05-22 11:15 | 阅读:122089 | 评论:0 | 标签:安全报告 Analysis on Exposed IoT Assets in China Chinese territo

物联网安全风险威胁报告

* 原创作者:魅影儿,本文属FreeBuf原创奖励计划,未经许可禁止转载 目录 一.物联网安全概述 二.物联网安全威胁现状及预防 2.1.物联网通信协议安全 2.2.物联网设备安全现状 2.2.1. IOT设备通用漏洞按厂商排名 2.2.3. IOT设备通用漏洞按风险技术类型分布 2.2.4. IOT设备通用漏洞按设备标签类型分布 2.2.5. IOT设备事件型漏洞按设备标签类型分布 2.2.6. 传统网络设备漏洞收录统计 2.2.7. 典型IOT设备漏洞案例 2.3.云安全 2.3.1. 数据库信息泄露 2.3.2. 服务配置信息明文存储在云上 2.3.3. 虚拟化漏洞 三.    企业安全 3.1.为什么做安全? 3.2.企业需要什么样的安全? 3.3.如何做好安全? 一.物
发布时间:2017-05-09 14:30 | 阅读:138903 | 评论:0 | 标签:安全报告 终端安全 IoT 物联网

一个新IoT僵尸网络正在HTTP 81上大范围传播

概述 网络安全研究院近日监测到一个新的僵尸网络正在大范围扫描整个互联网。考虑到该僵尸网络的以下因素,我们决定向安全社区公开我们的发现成果: 1.规模较大,我们目前可以看到 ~50k日活IP 2.有Simple UDP DDoS攻击记录,可以认定是恶意代码 3.较新,目前尚有较多安全厂商未能识别该恶意代码 ( 7/55 virustotal ) 4.与mirai僵尸网络相比,借鉴了其端口嗅探手法和部分代码,但是在传播、C2通信协议、攻击向量等关键方面完全不同于mirai,是新的恶意代码家族而不应视为mirai的变种 我们梳理了该僵尸网络的发现过程、传播手法、行为特征,简略分析了该僵尸网络的攻击行为,并按照时间线组织本blog的各小节如下: 1.GoAhead及多家摄像头的 RCE 漏洞  2.攻击者
发布时间:2017-05-03 06:15 | 阅读:157855 | 评论:0 | 标签:安全报告 网络安全 IoT 僵尸网络

神秘“好”黑客散布计算机蠕虫保护IoT

这个名为Hajime的IoT“恶意”软件没有任何恶意行为,反而在做安全软件的事情。 某计算机蠕虫背后的神秘开发者,似乎在义务帮助保护IoT设备不受恶意软件的侵害。该蠕虫名为Hajime,已感染了上万台容易被黑的产品,比如DVR、互联网摄像头和路由器。然而,该蠕虫程序至今没有任何恶意行为出现。 相反,该蠕虫一直在阻止臭名昭著的恶意软件Mirai感染这些设备。Hajime的开发者还附带了一条消息: 我只是个保护系统的白帽子。保持警惕! 安全公司赛门铁克在4月17号发布了此事的新进展,称该所谓的“白帽子”道德黑客所做的工作,似乎起到了一些效果。 Mirai是一款快速传播的恶意软件,曾经奴役过数十万台脆弱IoT设备,造成美国西海岸大面积断网。Hajime便是在IoT设备上与Mirai竞争。 Mirai的意图是感染计算
发布时间:2017-04-22 03:25 | 阅读:136752 | 评论:0 | 标签:牛闻牛评 Hajime IoT Mirai 恶意软件 物联网安全

全新物联网/Linux 恶意软件攻击数字视频录像机并组建僵尸网络

Palo Alto Networks 威胁情报小组Unit 42近日发布报告,宣称发现物联网/Linux僵尸网络Tsunami的最新变种并命名为Amnesia。Amnesia僵尸网络允许攻击者利用未修补的远程代码执行针对数字视频录像机( DVR )设备的漏洞攻击,2016年3月这一漏洞就被发现并公布,这些DVR设备由TVT Digital 生产并 通过70多家合作伙伴分销至全球。根据我们的扫描数据 ,全球约有227000台设备受此漏洞影响,主要覆盖国家和地区包括:台湾、美国、以色列、土耳其和印度。 受漏洞影响的TVT Digital DVR设备分布图 此外,我们认为Amnesia是首个采用虚机逃逸技术来规避恶意软件分析沙箱的Linux恶意软件。通常虚机逃逸技术与Microsoft Windows和Google
发布时间:2017-04-12 23:45 | 阅读:116281 | 评论:0 | 标签:威胁情报 Amnesia IoT 僵尸网络 数字视频录像机

基于BLE的IoT智能灯泡的安全漏洞利用

前言 目前物联网和智能设备已经日益普及,并且当我们谈论物联网时,首先想到的往往是智能家居。智能家居通常涉及各种设备,包括智能冰箱、智能灯泡、电源适配器、水壶、烤面包机、蛋盘,等等。 在这篇文章中,我们将讨论如何接管基于BLE的IoT智能灯泡,与之进行交互,改变颜色,并在这个过程中考察BLE的安全机制。 在这篇文章中,我们将要向读者介绍的主题包括: 使用Ubertooth嗅探BLE 主动嗅探流量 修改BLE的处理程序和特征值 控制设备 为了顺利阅读本文,您需要做好以下准备: 硬件 笔记本电脑 Ubertooth 软件 hcitool ubertooth-utils Gatttool 基于BLE的IoT智能灯泡的漏洞利用 将灯泡连接到电源。然后,试着使用智能手机来打开和关闭灯泡,以确保它工作正常。接下来,我们首
发布时间:2017-04-12 01:20 | 阅读:141295 | 评论:0 | 标签:智能设备安全 ble iot 漏洞

2015与2016年度物联网威胁比较研究:全球受攻击的IoT设备呈指数级增长

如果物联网制造商不能确保其设备的绝对安全,对数字经济的潜在影响将是毁灭性的。 在2016年第四季度,以物联网(IoT)设备为目标和源头的攻击活动开始占据新闻头条。不安全的物联网设备成为威胁实施者眼中唾手可得并可轻松利用的成熟果实。众所周知,部分设备甚至被用作僵尸网络,针对选定的目标发起DDoS攻击。 例如,臭名昭著的Mirai 僵尸网络对网络摄像头和家庭路由器等不安全物联网设备中的登录漏洞进行攻击利用,并且发起了迄今为止已知的规模最大的DDoS攻击。除了被用于拒绝服务攻击,被攻破的物联网设备还可用于窥探他人隐私、勒索所劫持设备,或者被利用作为攻击该IoT设备所连接的网络渗透的敞口。 接下来的内容是根据这过去两年2015与2016年所收集的有关物联网威胁数据进行对比分析与得出的一些有意思的结果。 这些数据揭示
发布时间:2017-03-21 19:30 | 阅读:113730 | 评论:0 | 标签:安全报告 终端安全 IoT

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云