移动平台和开源软件正成为关键的网络安全威胁点

首页 / 业界 / 资讯 /  正文
作者:安全419
来源:安全419
发布于:2个月前
在一年一度的 Black Hat USA 大会上,从现场与会者的演讲和全球安全研究人员的简报中判断,移动平台和开源软件成为了如今关键的网络安全问题。

美国安全媒体 siliconANGEL 总结了 Black Hat 演讲中透露出的五个关键要点:

1、移动平台是恶意攻击者的下一个前沿阵地

越来越多的证据表明,恶意攻击者正在将其大量资源用于利用移动平台中的漏洞。面对全球约 60 亿的智能手机用户,这是他们不容错过的机会。

对移动设备的攻击和对 0day 漏洞的利用的增加相吻合,而由于这些漏洞在安全界是未知的,因此未能修补。

0day 漏洞利用是靠市场供需驱动的。去年夏天,一枚 iPhone 的0day漏洞导致网络犯罪分子入侵了 36 名国际记者的移动设备。

会议发言人、Corellium LLC 首席运营官、英国国家安全管理局的前分析师 Matt Tait发表的研究表明,这个问题正在变得十分严峻,“针对移动电话设备的0ady漏洞正在被大量利用,我们只是对世界上实际可能发生的事情略有了解。”

部分问题在于,一些移动平台的架构已经产生了自身的一系列问题。Google Project Zero 的安全研究员 Natalie Silvanovich 描述了对移动消息错误的分析,该错误发现一个用户可以在未经同意的情况下打开另一个用户的相机或音频。

她在 Group FaceTime、Signal、Facebook Messenger、JioChat 和 Mocha 中发现了各种各样的 bug,他们都已经被报告并得到修复。

“在未经用户同意的情况下打开某人的相机并拍摄几张照片的能力相当令人担忧,”Silvanovich 说。

2.、开源社区需要更加注重安全性

从本质上讲,开源模型并不是为了生成完全安全的代码而建立的。当你拥有来自世界各地的数百万贡献者、重要软件工具的免费可用资源以及不断变化的维护人员名单时,安全性很容易就会崩溃。

问题在于,恶意攻击者也知道这一点,他们正在从中获利。 2017 年的Equifax 漏洞暴露了 1.47 亿人的个人信息,这归因于对未打补丁的 Apache Struts 开源版本漏洞的利用。

威胁场景涉及开发人员使用的工具及其存储位置。据报道,去年 12 月,两个恶意软件包被发布到 NPM,这是一个 JavaScript 开发人员用来共享代码块的代码存储库。此外,GitGuardian 的一项分析发现,仅 2020 年就有 200 万个“秘密”密码和身份凭证存储在公共 Git 存储库中。

NCC Group 高级副总裁兼全球研究主管 Jennifer Fernick 表示:“情况并没有好转,除此之外,应用程序的复杂性也在增加。开源软件中报告的漏洞数量每年都在增加,如果没有认真和协调的干预,我认为情况会变得更糟。”

3、DNS 即服务(DNS-as-a-service)正在创建一条通往企业网络的开放高速公路

域名系统或 DNS 中的漏洞早已为人所知,但一组安全研究人员最近进行了一项简单的实验,发现了令人不安的结果。

DNS 促进 IP 网络上计算机之间的通信,是开放互联网背后的基础技术。DNS 服务在提供 DNSaaS 作为托管企业网络解决方案的各种云提供商中得到扩展。

正如 Wiz.io 的安全研究人员 Shir Tamari 和 Ami Luttwak 发现的那样,问题在于注册一个域然后利用它劫持 DNSaaS 提供商的名称服务器可以让用户窃听动态 DNS 流量。研究人员能够使用一台被劫持的服务器窃听来自 15,000 个组织的 DNS 流量。

据 Tamari 和 Luttwak 称,六家主要的 DNSaaS 提供商中有两家已经修复了这些缺陷。

“DNS 是互联网的命脉,也是最重要的服务之一,” Luttwak 说,“一个简单的域注册让我们可以访问数千家公司和数百万台设备。当我们深入挖掘时,我们发现它来自财富 500 强公司和 100 多个政府机构。”

4、GPT-3 的高级文本功能让虚假信息来势汹汹

作为 OpenAI 内部的高级项目,GPT-3 生成人类文本的能力非常强大、令人信服。AI 文本生成器是有史以来最大的神经网络,当给出文本提示或句子时,它可以返回完全可理解的文字段落。GPT-3 还可以生成可用的计算机代码,甚至还写了一篇关于它自己的信息量很大的博客文章。

研究人员使用不同的对照组,测试了多个关于政治或社会问题的样本,看看读者是否能区分人类和机器写的内容之间的差异。当 GPT-3 被要求将美联社的两篇合法新闻报道改写成支持特朗普或反对前总统的文章时,一个专家小组无法分辨出不同之处。

研究人员指出,GPT-3 特别擅长以最少的指令生成推文,其速度和准确性使得从单个社交媒体帐户传播大量信息成为可能。

“我不确定这些后果是否得到了充分考虑,”研究人员说,“这些技术可以带来很多潜在的好处,我们需要就此类决定进行讨论。”

5、黑客也会面临勒索软件攻击

随着时间的推移,网络安全界开始更清楚地了解黑客的操作方法以及他们的问题。

IBM 公司 X-Force 的安全研究人员一直在分析 IBM Threat Group 18 的漏洞利用,该组织在网络安全领域与名为Charming Kitten 的伊朗网络战组织重叠。与其他国家的黑客行动不同,ITG18 在“不让公众看到其工作方面”非常松懈,而且似乎并不特别关注它。

该组织一直在对制药公司、记者和伊朗持不同政见者进行网络钓鱼攻击,他们发布了一组培训视频,这些视频是去年 5 月 IBM 研究人员发现的。除了提供有关如何测试访问权限和从受感染帐户中窃取数据的教程外,这些视频还暴露了与团体成员的电话号码相关的网站信息。大量材料显示,黑客在解决 CAPTCHA 时遇到了问题,就像我们许多人一样,因为安全性差,他们自己也是勒索软件攻击的受害者。

“在过去的 18 个月里,我们不断地看到来自这个小组的错误,” IBM Security X-Force 的分析师Allison Wickoff说,“我们认为,翻转剧本,使我们所面对的对手人性化,这将是一件好事。”