在BlackHat投票機衛星起搏器等黑客事件將大量涌現

在沙漠炎熱的夏天，每年一次的網絡安全馬戲團(Black Hat)來到拉斯維加斯時，沒有任何行業或技術是安全的。發現缺陷，發現漏洞，發布(或未發布)修復程序，以及數字世界的危險不斷發展。

本周的Black Hat USA 2018大會也不例外，因為來自世界各地的安全研究人員提出了一些發現，這些發現表明在廣泛的工業和消費產品領域缺乏網絡保護。隨著民族國家和資金充裕的分子越來越善于破壞，網絡安全行業的問題仍然是如何應對眾多威脅。

“世界大事已經趕上了我們，我們正在接受測試，”黑帽公司創始人兼董事 杰夫·莫斯 在周三的會議上的主題演講中說。“感覺就像我們的對手有策略，我們有策略。那不是很好。”

中國音樂參與投票

如今，新聞中非常有戰略意義的問題之一是，外國政府是否一直在干預美國大選。至于選民準備去在11月投票，投票機的遠程操縱的可能性仍然是一個真實存在的危險。

星期四，哥本哈根IT大學副教授卡斯滕·舒爾曼(Carsten Schuermann) 對十多年來在許多州選舉中使用的八臺退役WINVote機器進行了法醫分析。他的發現并不令人鼓舞。安全研究人員發現使用開放版本的計算機使用尚未更新的2002 Windows XP版本，以及使用密碼“ abcde”可訪問的系統驅動器。

他還發現下載的MP3文件在一臺機器上播放中文歌曲，而在一小時內又在另一臺機器上修改了60多個文件。兩種投票機都被用于弗吉尼亞州的州長選舉。舒爾曼說，在某一時刻，全國各州安裝了4,000臺WINVote機器。

舒爾曼說：“在投票機上有這樣的MP3文件真是奇怪。” “不是很好。”

受損的飛機Wi-Fi

衛星技術中發現的通信系統漏洞也在本周對航空，和海事進行了審查。IOActive Inc.的研究人員在 周三發表的研究結果表明，通過SATCOM進行的遠程攻擊可能會損害安全性。

研究由魯本圣瑪爾塔，IOActive的為首席安全顧問，在衛星通信系統發現，板載公共Wi-Fi飛機上可以從地面被破壞。他還提供了類似的海上攔截能力和單位訪問位置數據的證據。Santamarta謹慎地強調，他的研究影響了非安全通信，并且IOActive團隊一直在與政府機構和供應商合作以審查研究結果。

“我們可以控制天線和傳輸，”桑塔瑪塔告訴組裝媒體。“我們正在與當局合作，以披露問題。”

應對全世界機器和系統的安全性受到威脅是一回事。這是脆弱性可能在人體內部的另一種情況。研究人員喬納森·巴茨，QED安全解決方案的創始人，比利·里奧斯，WhiteScope LLC的創始人，在Black Hat會議上周四表示擔心，關于固件更新缺乏加密功能可以打開大門，惡意黑客妥協的結果呈現美敦力心臟起搏器。

會議演示涉及在植入心臟起搏器后破壞醫生用來控制心臟起搏器的設備。去年秋天，美敦力(Medtronic plc) 采取了一些措施來解決研究人員的一些發現，這些發現在2017年被部分披露為概念驗證，該公司周二發布了新的安全更新。

這些只是Black Hat的亮點中的一小部分，Black Hat在兩天的時間里提供了很多會議，涉及從工業“物聯網”系統的攻擊到Microsoft Corp.的Cortana中的漏洞的所有內容。然而，在拉斯維加斯舉行的許多對話背后的潛在信息都集中在使用新技術來支撐網絡安全庫抵抗持續威脅的潛力上。

希望區塊鏈和人工智能

正如馬克·安德森( Marc Andreessen )在2011年著名地宣稱的那樣，如果軟件正在吞噬整個世界，那么區塊鏈就可以成為甜點。分布式賬本平臺被視為對許多技術挑戰的最終救贖 ，Google LLC工程總監Parisa Tabriz(如圖)周三早上在Black Hat的主題演講中斷然宣稱：“如果我想做一件事，您今天不用理會我的話，那是區塊鏈無法解決我們所有的安全問題。”

在某些情況下，區塊鏈確實為改善安全狀況提供了一些希望。Trustar的開發人員在本周的會議上展示了一種新的區塊鏈監視工具，稱為White Rabbit，可以檢測新興的勒索軟件活動。

但是，研究人員也在圍繞區塊鏈本身的安全性問題苦苦掙扎。Trail of Bits的安全工程師Jay Little在周三介紹了來自各種區塊鏈解決方案的安全值分析，并記錄了合同編程語言Solidity中的錯誤缺陷。他的公司在GitHub上發布了一個以太坊漏洞的存儲庫，標題為“ Not So Smart Contracts”。

機器學習和人工智能也被定位在安全社區中，這是另一個希望的燈塔，許多公司在Black Hat展示了最新的分析工具，以發現和避免惡意攻擊。但令人擔憂的是，不良行為者在這一領域比安全界更遙遙領先。

周三，IBM Corp.研究人員詳細介紹了一種稱為DeepLo??cker的新型攻擊，該攻擊利用AI逃避了網絡安全保護。該惡意軟件使用AI隱藏在良性目標中，可以在識別到特定的預選用戶時激活。

微軟安全開發生命周期戰略團隊成員亞當·肖斯塔克警告說：“專家級機器學習和人工智能將為攻擊者帶來更多樂趣，而對您來說則將變得不再那么有趣。” “這項技術只會變得越來越快。”

在周三的主題演講中，Google的大不里士向觀眾展示了標志性的街機游戲“ Whack-A-Mole”的照片，其中，玩家使用橡皮槌從小孔中戳出小動物的東西。描述風險專業人士在普遍感覺是一個適當的隱喻，因為風險持續增長且風險很高。

Tabriz說：“隨著事情之間的聯系越來越緊密，我們必須停止玩'Whack-A-Mole'。” “計算機安全性正日益成為世界的安全性。”