黑帽2014:如何破解一切

下个月，世界上最优秀的安全专家们将齐聚黑帽2014美国，他们肯定会摩手擦掌，期待着同事们即将披露的最新破解一系列设备和可信协议漏洞的方法。以下是一些最热门的演讲和防御措施的样本，演讲者将公布，以阻止他们所描述的攻击。

破解单个汽车网络并不是什么新鲜事，但Twitter安全工程师查理·米勒和IOActive安全总监克里斯托弗·瓦拉瑟克(Christopher Valasek)在一次谈话中，对不同厂家的汽车网络安全进行了全面审视。他们已经准备好说明是否有些汽车在遭遇远程攻击时比其他汽车更安全，过去五年的安全状况是好是坏，以及如何更好地保护汽车不受攻击。

研究人员阿尔瓦DUCKWALL和本杰明失意将演示如何彻底的Kerberos可以在现实条件下会受到影响。他们说，只要有正确的散列的损失，Kerberos可以理解为妥协后，攻击者能够访问年。“是的，”他们说，“这真的是那么糟糕。”

一位研究人员将展示一款Android漏洞如何让恶意应用程序逃脱Android的应用程序沙箱和增益的安全权限不通知用户。杰夫Forristal已披露的bug到谷歌，这已经发出了修复，但它仍可能存在未打补丁的版本。在黑帽，他会释放出一种安全工具，帮助用户扫描他们的设备漏洞的风险。

把宽带调制解调器适配器插到笔记本电脑上是很方便的，但它们可能会成为泄露敏感信息的途径，并成为多级攻击链中的一个环节。I Secure的安全分析师安德里亚·林德将演示相对简单的基于网络的盈利攻击，并说明为什么在互联网上很容易成为犯罪分子。他还建议改变新的消费者技术的方法，将安全考虑在内。

大数据所带来的好处的企业跳进它的双脚，但也许他们太少谨慎这样做，根据DAVI Ottenheimer，信托的EMC高级主管。他甚至有一个术语，它 - 让Hadoopy。他说他会做的大数据系统和点的调查显示出他们目前最困难的挑战以及迄今为止开发的最佳解决方案。

USB设备已经成为大量的和日常计算机使用的一部分，但这已经导致自满的安全。加密专家和安全研究员Karsten Nohl和SRLabs的安全研究员Jakob Lell将介绍一种新的恶意软件，它可以在USB设备的控制器芯片上运行。普通的USB棒可以被重新编程模仿其他类型的设备，以间谍，窃取数据或完全控制受害者的电脑。他们计划用一种目前的防御系统无法检测到的病毒来演示这种折中方案。他们指出哪里修复到USB堆栈是需要的。

A mysterious vulnerability led Bitcoin to the brink of collapse in 2011. Now Daniel Chechik and Ben Hayak, security researchers at Trustwave, have taken a closer look at the problem that affected Silk Road, MTGox and perhaps many more trading Web sites and they’ve figured out how to exploit the flaw that led to compromises that were referred to as transaction malleability. They plan to demo how to take advantage of the vulnerability.

家用报警系统的无线电频率控制器很方便，但是可以很容易地利用Qualys研究员Silvio Cesare建造的设备。这款基于Arduino和Raspberri pi的设备只需花费大约50美元，就可以捕捉并重放用来禁用警报的代码。他进一步展示了通过连接设备程序员来物理干预系统，攻击者可以读取启用和禁用警报的密码。缓解问题相对容易:购买好的系统。他告诉如何。

控制协议所使用的通信服务提供商和控制手机可以构成风险。Mathew Solnik和Marc Blanchou都是Accuvant实验室的研究人员，他们逆向设计了这些控制，以了解它们是如何工作的。他们的研究揭示了如何处理沟通中存在的缺陷以及实施。他们将演示如何在影响Android、iOS、黑莓和嵌入式机对机设备的GSM、CDMA和LTE网络上进行空中代码执行。他们计划发布一些工具来保护自己免受这些威胁。

独立安全研究人员Antonios Atlasis和Enno Rey指出，许多安全设备都配置为IPv6，尽管它们只用于IPv4通信，这就带来了安全问题。他们将介绍三种技术，利用IPv6协议的小细节，可以防止安全设备——如入侵检测和预防系统——检测任何类型的攻击。他们将讨论其他设备的安全影响，如防火墙和缓解技术，以保护免受攻击。

通过Yeongjin张计划领导的一个研究乔治亚理工学院的团队透露如何通过利用由不完整的补丁留下漏洞越狱的最新版本的iOS。他们将展示如何利用这些漏洞的攻击探索新的途径，他们将使用设备上的沙箱之外运行未签名代码。他们说，他们会发布一些新的漏洞和漏洞利用他们开发的技术。