记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华智能家居如何保护个人隐私?阿里安全专家顶会揭秘物联网设备防入侵新举措
近日,阿里安全猎户座实验室三位安全专家五达、蒸米、白小龙分别受邀在安全行业国际顶会HITB、Black Hat Europe进行四个议题的分享,从物联网设备入侵检测、智能音箱传感器缺陷到iOS系统防御新型攻击的方法等,全面展现阿里安全用技术解决社会问题的理念。
五达在HITB上进行了两个议题的演讲,分享他对于物联网安全碎片化以及智能音箱隐私保护的解决方案。这也是自2015年以来,五达第四次代表阿里登上安全行业顶会,持续发掘并解决物联网安全问题。
物联网近几年野蛮发展,公开报道显示,物联网应用已经覆盖工业、商用、消费三大领域近20个行业、超过160个应用场景,但碎片化也导致各个物联网之间的信息孤岛现象严重,爆发式增长受阻。
图说:阿里安全猎户座实验室安全专家五达(左一)在HITB上演讲
“碎片化问题也给入侵检测的
DDoS攻击武器库再扩充:瞄准CoAP协议
约束应用协议(CoAP)是一种主要为物联网设备而设计的协议,然而其被滥用的现象正日益严重。据安全研究人员称,CoAP现在被网络犯罪分子用来执行大规模DDoS攻击。CoAP的正式名称为RFC 7252,但开发人员可能不太了解它,因为它在2014年才获得批准,直到最近才被广泛使用。
CoAP所谓何物?两大漏洞影响
CoAP属于机器对机器(M2M)协议的范畴,这些M2M协议被用于在低计算能力和内存稀缺的设备上运行。
CoAP 具有如下特点(官方介绍):
在受限环境中满足M2M要求的Web协议;
支持可靠性的UDP [RFC0768]绑定,支持单播和多播请求;
异步消息交换;
低头部开销和解析复杂性;
支持 URI 和 Content-type;
简单的代理和缓存功能;
无状态 HTTP 映射,允许构建代理,以统一方
路由器漏洞频发,有些永远不会修补?!
五月,西里西亚理工大学的波兰研究员BłażejAdamczyk告诉D-Link公司,他发现了三个重要的安全漏洞,影响了其八个型号的Wi-Fi路由器。
根据Adamczyk的说法,D-Link在两周后回复说将在适当的时候修补其中两款产品,但剩下的六种产品因停产不会修补。
上周五,Adamczyk公开了这些漏洞,其中包括一个概念验证视频,展示了如何将这些漏洞结合起来破坏易受攻击的路由器。
受影响的D-Link型号
受影响的D-Link型号是DWR-116,DWR-140L,DWR-512,DWR-640L,DWR-712,DWR-912,DWR-921和DWR-111,其中六个可追溯到2013年,DIR-640L于2012年问世,DWR-111于2014年问世。
虽然这些型号不是全新的,但仍有许多用户使用,而且他
我在明敌在暗,物联网安全存隐患!
物联网是新一代信息技术的重要组成部分,也是“信息化”时代的重要发展阶段。其英文名称是:“Internet of things(IoT)”。顾名思义,物联网就是物物相连的互联网。这有两层意思:其一,物联网的核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络;其二,其用户端延伸和扩展到了任何物品与物品之间,进行信息交换和通信,也就是物物相息。
一.物联网初探
1.发展历程
物联网的实践最早可以追溯到1990年施乐公司的网络可乐贩售机,1999年美国麻省理工学院(MIT)的Kevin Ash-ton教授首次提出物联网的概念。最初的物联网是指通过射频识别(RFID)(RFID+互联网)、红外感应器、全球定位系统、激光扫描器、气体感应器等信息传感设备,按约定的协议,把任何物品与互联网连接起来,进行信息交换和通讯
发布时间:2018-09-05 01:45 |
阅读:71636 | 评论:0 |
标签:IoT安全
新型攻击技术通过智能灯泡窃取用户数据
智能灯泡是新的灯泡产品形式,采用嵌入式物联网核心技术,将互通核心模块嵌入到节能灯泡。智能灯泡时代人们可以根据自身个体照明需要(如颜色、温度、亮度和方向等)来设定自己喜欢的场景情景照明效果,便捷的智能手机也提供了更人性化的智能控制渠道,营造不同的室内智能照明效果。然而,就像电网、水网、以及其他各种家用物联网设备一样,智能灯泡也被网络犯罪分子列为了攻击目标。
早在2016年,美国《纽约时报》发布的一篇题为《IoT Goes Nuclear》的报道中,达尔豪斯大学魏茨曼科学研究所的研究团队进行了一项关于智能灯泡实验。研究人员们遥控着一架无人机,让它飞到建筑外部一个可以识别Wi-Fi连接的区域内,然后发起进攻。他们只要攻击一只智能灯泡,其他灯泡便会像被传染了似的,也开始狂闪起来。当无人机飞得离建筑更近一些时,就会有更
研究人员警告:僵尸网络可能发生攻击城市供水服务系统
导读:以色列研究人员警告称,需要高度防范针对城市供水服务系统的潜在分布式攻击,
近期,以色列本内盖夫本-古里安大学(BGU)的网络安全研究人员警告说,针对使用的是智能模拟灌溉的城市供水服务系统,将遭遇僵尸网络的攻击。僵尸网络是由被命令和控制的计算机或其他设备构成的大型网络,而这些设备的用户完全不知情。
该大学的研究员Ben Nassi 于8月11日在拉斯维加斯举行的着名的Def Con 26会议上展示了如何攻击 智能灌溉系统。
研究人员发现了许多商业智能灌溉系统中的漏洞,这使得攻击者能够利用僵尸网络随意远程打开和关闭供水系统。研究人员测试了三种最畅销的智能灌溉系统:GreenIQ、BlueSpray和RainMachine智能灌溉系统。
Nassi说:“通过同时利用此类漏洞的分布式攻击,掌握1,355个智能灌
发布时间:2018-08-17 18:45 |
阅读:82576 | 评论:0 |
标签:IoT安全
【RSA2018】IoT Security | 物联网安全方案须关注的五大重点
阅读: 14物联网安全 仍然是本届2018 RSA的热点之一,许多安全公司都推出了自己的物联网安全解决方案,其中不乏许多专业物联网安全公司。如ARMIS,一家来自硅谷的企业,致力于消除物联网安全盲点,让企业能够安全的使用物联网设备。其解决方案是提供一个无代理的物联网安全平台,使得企业可以查看和控制任何物联网设备或网络风险。相关阅读:【安全报告】2017物联网安全年报【安全报告】2017 物联网安全研究报告【物联网安全】系列之一: 隐藏在摄像头下的罪恶【物联网安全】系列之二: 物联网安全基础知识【物联网安全】系列之三:物联网设备安全评估的七种武器【物联网安全】弱设备防护方法ARMIS认为,一个有效的物联网安全解决方案必须能够对设备行为进行分析,识别出有问题的设备,然后采取积极的防护措施,并提出了物联网安全解决方案
【物联网安全】走进MIPS的奇妙世界
阅读: 33随着物联网(IOT)日益增长,面向IOT硬件的新一波恶意软件如期而至,不过对于安全人员来说,这些恶意软件所面向的系统架构貌似有点生疏:MIPS架构。为了帮助读者熟悉这一架构,本文将详细介绍如何编译、分析和调试基于MIPS的二进制文件。文章目录简介在x86系统上交叉编译MIPS ELF文件在x86系统上运行MIPS ELF程序QEMU的用户模式QEMU的系统仿真模式在x86机器上调试MIPS的ELF程序技巧与陷阱小结简介MIPS是一种精简指令集计算机(RISC),问世于二十世纪八十年代初期,常用于家用网关路由器和交换机等设备。在本文中,我们将为读者详细演示如何在x86系统上编译、运行、分析和调试用C语言编写的MIPS示例程序。虽然这里使用的代码并非恶意软件,但本文中介绍的技术和方法同样适用于分析基于M
【物联网安全】系列之一: 隐藏在摄像头下的罪恶
阅读: 2摄像头使用广泛,围绕摄像头所引起的安全事件不在少数。一方面,大量摄像头组成的网络被黑客入侵;另一方面;摄像头采集视频,被攻击者控制后,容易发生隐私泄漏的事件。本文即从这两方面着手,回顾安全事件,管中窥豹,总结出物联网安全需求。2017年12月,BBC记者约翰·苏德沃斯在贵阳挑战中国的“天网工程”。手机拍下记者的面部照片后,苏德沃斯“潜逃”,七分钟就被中国警方抓获。摄像头使用广泛。城市监控无死角,减少犯罪违法行为,人们才能安居乐业。幼儿园里安装视频监控,家长们可以远程看到小朋友在幼儿园里的活动。家用IP摄像头让人们随时可以看到家里的情况。尽管摄像头对于治安环境改善贡献显著,但也存在着争议。其一,大量摄像被黑客入侵,形成僵尸网络,导致了包括DDOS在内的多起网络安全事件,其二,摄像头采集视频,发生了隐私泄
【物联网安全】系列之二: 物联网安全基础知识101
阅读: 3上一期【物联网安全】系列之一: 隐藏在摄像头下的罪恶,我们对两类摄像头安全事件(僵尸网络和视频外泄)的梳理,归纳出物联网的安全需求,即在传统IT的CIA需求,加上了隐私保护、人身安全和可靠性三个新需求。一言以蔽之,物理网安全是Security+Safety的组合。摄像头安全让我们对物联网的安全需求有一个感性认识。这一期物联网安全,我们介绍物联网相关的概念,进一步了解物联网和物联网安全。文章目录1. 物联网概念1.1 物联网概念1.2 感知层设备1.3网络层2.物联网安全2.1 Gartner物联网安全的定义:2.2 物联网安全威胁2.3 物联网安全体系2.3 物联网安全解决方案1. 物联网概念1.1 物联网概念1)Gartner对物联网的定义:物联网是专门的利用嵌入式技术的物理设备组成的网络,用来与设
【物联网安全】系列之三:物联网设备安全评估的七种武器
阅读: 0针对物联网设备的安全评估,这里总结七种评估方式,从七个方面对设备进行安全评估,最终形成物联网设备的安全加固方案,提升黑客攻击物联网设备的成本,降低物联网设备的安全风险。【物联网安全】系列之一: 隐藏在摄像头下的罪恶【物联网安全】系列之二: 物联网安全基础知识101物联网发展迅猛,正加速渗透到生产、消费和社会管理等各领域, 物联网设备规模呈现爆发性增长趋势,自 2015 年至 2020 年,物联网终端年均复合增长率为 33%,安装基数将达到 204 亿台,其中三分之二为消费者应用。在联网的消费者和企业设备的投资为 2.9 万亿美元,年均复合增长率高达 20%,将超过非联网设备的投资。物联网设备已经逐步渗透到人们生产生活的方方面面,为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高
5步建立起更好的IoT安全基线
企业接入点制造商Ruckus又补上了一堆指令注入漏洞,这些漏洞可致ZoneDirector控制器和Unleashed AP虚拟控制器被黑客完全掌控。其中一个漏洞,与去年被披露的Ruckus Web-GUI问题极端相似。虽说任何足够复杂的软件都难免出现漏洞,但仍有几个缓解方法可以大幅减小成功漏洞利用的影响。2017年,没理由让某些设计缺陷在一个又一个产品中不断复现。安全人员是时候开始对供应商期待更多了。以下几个安全操作,我们应纳入IoT安全基线来考虑:1. 别再什么都用root权限来运行或许在嵌入式Linux早期,资源限制让开发者不得不放弃传统基于用户的安全模式,而转向什么都用root用户来执行。时至今日,再没有任何借口连Web服务器都以uid为0的最高权限来运行了。默认情况下,管理界面应以较小权限运行,只可执行
赛门铁克发布2018年安全威胁趋势预测
在过去一年中,网络罪犯不断提升他们的专业技术,突破网络防御,在全球造成了多起重大的服务中断事件。在2018年,赛门铁克预计,由于攻击者或将使用机器学习和人工智能技术来发动更有力的攻击,我们将看到该趋势会愈发明显。因此,我们要提前为来年做好准备。今年5月,全球有超过20万台电脑受到WannaCry勒索软件的攻击,而此类事件只是未来新一轮更加恶劣的恶意软件和DDoS攻击的前戏。与此同时,网络罪犯也瞄准办公室和家庭中的数百万台联网及物联网设备,准备发动更强的攻击。随著2017年的终结,赛门铁克针对 2018年发布了下面十点网络安全威胁趋势预测:区块链技术将具有加密数字货币以外的用途,但网络攻击者将专攻货币和兑换随着越来越多的被运用于跨银行结算和物联网领域,区块链技术最终会在加密数字货币以外的领域拥有更多用途。但这些应
让全球安全从业者担心的五大新兴威胁
明年,5个不同威胁将造成同一效果:安全事件率上升,程度更严重。这一结论是上万名安全专业人士参与的信息安全论坛(ISF)得出的。这5个主要的网络安全威胁是:犯罪即服务的持续进化不受控的IoT风险监管复杂性供应链安全董事会期待值与安全能力的不匹配犯罪即服务影响的增长,是最大的担忧,这是有组织网络犯罪越来越专业化的结果。事实上,犯罪即服务已臻成熟,犯罪组织为初级罪犯提供了唾手可得的渠道。明年我们将看到攻击变得更加复杂和有针对性。其中一个问题是,网络罪犯变得精于共享信息,可以做一些“好人”不太擅长的事情,比如情报共享。网络犯罪就是个巨大的伞式组织。其下覆盖着运作精良的大型网络犯罪团伙——有组织犯罪,也就是持续招募扩张,乐于售卖产品及服务给其他人的那类。至于说罪犯更精于沟通,这与良好的企业运营类似:他们有市场营销计划;有
首届小米IoT安全峰会的四个精华议题
首届小米IoT开发者大会于11月28日召开,小米创始人、董事长兼CEO雷军现身主会场,亲口诉说发展历程并力推AI音箱“小爱同学”,作为“神秘嘉宾”出场的百度COO陆奇则宣布了和小米的合作。而对安全圈来说,下午的安全峰会才是重头戏。以IoT安全为核心,下午的安全分会场共设置了八个议程,小米AI、云与安全副总裁崔宝秋等演讲者从厂商、攻防等各方面展示了物联网安全的难点与热点。本文挑选了其中四个精华议题,记录并分享如下。小米是一家设备公司,我们不能像一些互联网公司那样肆意使用用户数据。——崔宝秋一、全球最大的物联网设备提供商小米横跨手机、互联网、金融、设备、AI等多个领域,因此,小米的安全问题十分复杂。这种复杂体现在两方面:所有安全问题都可能在小米身上发生;小米对于数据隐私要比其他互联网公司更敏感。小米IoT设备分布图
七种IoT设备安全检测报告:教你几招辨别物联网设备安全性的简单方法
背景介绍
购物热季来临了,今天我们谈一下物联网设备的安全问题。
各大供应商们陆续推出了许多令人兴奋的物联网设备,并承诺这些设备会让我们的生活变得更简单、更快乐、更舒适。作为一个安全人员,除了跃跃欲试各种新品之外,尤其关注这些设备的安全性能,毕竟谁也不想在购买了一台智能咖啡机的同时,也为黑客预留了一扇后门;谁也不希望在购买了一台安全监控摄像头的同时,地球人都可以看到你的家庭现场直播……
*本文翻译自卡巴斯基实验室发布的安全报告
总所周知,目前物联网的安全状态并不理想。那么,在准备购买这些物联网产品的时候,有那些注意要点可以帮助人们辨识设备的安全性呢?
为了回答这个问题,我们做了一个小实验:随机选择了几个不同的物联网设备,并对它们进行了安全审查。我们不敢说进行了深入而全面的调查,那样说就太夸张了,但我们确实发现了
公告
关注公众号hackdig,学习最新黑客技术