一年一度的美國黑帽網(wǎng)絡(luò)安全會議于本周舉行，基于現(xiàn)場與會者的發(fā)言和全球各地安全研究人員的虛擬流媒體簡報，移動平臺和開源軟件正在成為網(wǎng)絡(luò)安全的關(guān)鍵問題。

黑帽大會創(chuàng)始人Jeff Moss在開幕式主題演講中總結(jié)了網(wǎng)絡(luò)安全界的普遍感受，網(wǎng)絡(luò)安全領(lǐng)域近來歷經(jīng)了勒索軟件攻擊爆炸性增長、重大供應(yīng)鏈漏洞，俄羅斯、朝鮮和伊朗等國家發(fā)展成了嚴(yán)重的民族國家黑客行動參與者。

[[416646]]

Moss表示，“我們剛認(rèn)識到被打臉了，我們正努力想辦法拆招。這兩年真的有壓力。”

黑帽大會演講的五個重要話題：

1. 移動平臺是黑客攻擊的下一個前沿陣地

越來越多的證據(jù)表明，威脅者正在將手里的大量資源轉(zhuǎn)向移動平臺漏洞的利用。據(jù)估計，全球智能手機用戶達(dá)60億，是個不能錯過的、非常有吸引力的機會。

在移動設(shè)備受到攻擊的同時，零日漏洞亦在增加，零日漏洞指安全社區(qū)不知道的因此沒被修補的漏洞。

零日漏洞由市場驅(qū)動，基于供應(yīng)和需求。零日中介Zerodium去年曾因為提交數(shù)量過多而宣布暫停購買蘋果iOS漏洞。去年夏天，網(wǎng)絡(luò)犯罪分子利用一個iPhone零日漏洞入侵6名國際記者的移動設(shè)備。

Corellium LLC的首席運營官、英國國家安全局(GCHQ)前分析師Matt Tait所做的研究表明，這個問題正在變得非常地嚴(yán)重。

Tait向與會者表示，“針對手機設(shè)備的零日滲透正在急劇增加。我們看到的只是世界上實際可能發(fā)生的事情的一小部分。”

問題的一部分原因在于，一些移動平臺的架構(gòu)構(gòu)成了一系列獨有的問題。谷歌Project Zero的安全研究員Natalie Silvanovich描述了對移動信息出錯時所做的一些分析，她發(fā)現(xiàn)一個用戶能夠在未經(jīng)同意的情況下打開另一個用戶的攝像頭或音頻。

Silvanovich找到Group FaceTime、Signal、Facebook Messenger、JioChat和Mocha的各種漏洞，所有這些漏洞都曾被報告過和被修復(fù)過。

Silvanovich表示，“在未經(jīng)用戶同意的情況下就可以打開別人的攝像頭并拍幾張照片，能夠這樣做相當(dāng)令人擔(dān)憂。”

2. 開源社區(qū)需要聚焦安全而且要快

開源模式就本質(zhì)而言其設(shè)置并非是為了生成完全安全的代碼。開源模式下某個項目可能數(shù)以百萬計的貢獻(xiàn)者來自世界各地，用到的重要軟件工具資源可自由使用，而且項目維護(hù)者名冊不斷變化，這時，安全問題很容易被忽視。

問題是，威脅者也知道這一點，他們正在利用這一點進(jìn)行獲利。2017年的Equifax漏洞泄露了1.47億人的個人信息，原因是Apache Struts一個未打補丁的開源版本漏洞被利用。

威脅面涉及到開發(fā)人員使用的工具以及他們存儲這些工具的地方。去年12月曾報道過兩個惡意軟件包被發(fā)布到NPM網(wǎng)站，NPM網(wǎng)站是JavaScript開發(fā)人員用來分享代碼塊的代碼庫。此外，GitGuardian的一項分析僅在2020年就找到200萬個“未公開”密碼以及存儲在公共Git存儲庫的識別憑證。

NCC集團(tuán)高級副總裁兼全球研究主管Jennifer Fernick表示，“事情并沒有變得好一些，再加上應(yīng)用程序的復(fù)雜性也在增加。上報的開源軟件漏洞數(shù)量每年都在增長。如果不認(rèn)真地進(jìn)行協(xié)調(diào)干預(yù)，我認(rèn)為情況會越來越糟。”

3. DNS即服務(wù)為進(jìn)入企業(yè)網(wǎng)絡(luò)創(chuàng)造了開放高速公路

業(yè)界了解到域名系統(tǒng)(英文縮寫為DNS)中的漏洞有一段時間，但一個安全研究小組最近進(jìn)行的簡單實驗卻發(fā)現(xiàn)了令人不安的結(jié)果。

DNS使得IP網(wǎng)絡(luò)(互聯(lián)網(wǎng)屬IP網(wǎng)絡(luò)的一種)上計算機之間可以更簡便地進(jìn)行通信，這是DNS開放互聯(lián)網(wǎng)背后的一項基礎(chǔ)技術(shù)。DNS服務(wù)現(xiàn)在被各種云供應(yīng)商大量使用，有些云供應(yīng)商提供DNSaaS(DNS即服務(wù))的管理企業(yè)網(wǎng)絡(luò)解決方案。

Wiz.io的安全研究人員Shir Tamari和Ami Luttwak發(fā)現(xiàn)了存在的問題，有心者可以注冊一個域名，然后用它來劫持DNSaaS供應(yīng)商的域名服務(wù)器，如此一個用戶就可以竊聽動態(tài)DNS流量。二位研究人員成功使用一個被劫持的服務(wù)器竊聽了15,000個組織的DNS流量。

據(jù)Tamari和Luttwak表示，六個主要DNSaaS供應(yīng)商其中的兩個已經(jīng)修復(fù)了這些漏洞。

Luttwak表示，“DNS是互聯(lián)網(wǎng)的命脈，是最重要的服務(wù)之一。而我們只是簡單地注冊一個域名就可以訪問成千上萬的公司和數(shù)百萬計設(shè)備的DNS流量。我們深入調(diào)查后發(fā)現(xiàn)，DNS流量來自財富500強公司和100多個政府機構(gòu)。”

4. GPT-3的高級文本功能成了虛假信息行為者津津樂道的工具

GPT-3是OpenAI開發(fā)的一個高級項目，GPT-3可生成類似人類寫作的內(nèi)容，GPT-3這個功能非常強大、令人真假難辨，而且據(jù)喬治敦大學(xué)的兩位安全研究人員的說法，可能非常危險。

GPT-3人工智能文本生成器是有史以來最大的神經(jīng)網(wǎng)絡(luò)，只要提供一個文本提示或一個句子，GPT-3就可以返回完全通順的文本段落。GPT-3還可以生成有效的計算機代碼，GPT-3甚至還寫了一篇關(guān)于自己的、包含了高度信息的博文。哪里可能出岔子呢?

喬治敦大學(xué)安全和新興技術(shù)中心的研究分析員Drew Lohn和 Micah Musser成功從OpenAI申請到這個自動語言工具的使用。他們要在六個月的時間內(nèi)了解GPT-3能夠造成什么樣的危害。

二位研究人員利用不同的對照組測試了關(guān)于政治或社會問題的多個樣本，目的是看讀者是否能區(qū)分人類和機器所寫的內(nèi)容的區(qū)別。GPT-3將美聯(lián)社的兩篇正當(dāng)?shù)男侣剤蟮栏膶懗芍С痔萍{德-特朗普或反對前總統(tǒng)的文章，一個專家小組無法哪是原稿哪是GTP-3改寫過的文章。

二位研究人員指出，GPT-3特別擅長讀取少少的幾條指令生成推文，GPT-3的速度和準(zhǔn)確性令其有可能利用一個社交媒體賬戶傳播出大量的信息。

Lohn表示，“我不確定其影響是否得到足夠的重視以及被深究過。這些技術(shù)可以帶來很多潛在的好處。我們需要對這類決定進(jìn)行討論。”

5. 黑客也是勒索軟件攻擊的受害者

隨著時間的推移，網(wǎng)絡(luò)安全界現(xiàn)在開始對民族國家的黑客使用的方法和操作方式有了更清晰的認(rèn)識，也對他們的問題有了更清晰的認(rèn)識。

IBM公司X-Force的安全研究人員一直在分析IBM威脅集團(tuán)18(ITG18)的漏洞，ITG18在網(wǎng)絡(luò)安全領(lǐng)域與名為Charming Kitten的伊朗網(wǎng)絡(luò)戰(zhàn)組織有重疊。ITG18與其他民族國家的黑客行動不同的是，其他民族國家的黑客都盡量保持在公眾視線之外，ITG18在方面一直非常寬松，而且似乎并不特別擔(dān)心這個問題。

ITG18組織一直對制藥公司、記者以及伊朗持不同政見者的網(wǎng)絡(luò)進(jìn)行釣魚攻擊，ITG18發(fā)布過一套培訓(xùn)視頻，IBM研究人員在去年五月發(fā)現(xiàn)了該視頻。該視頻提供了如何測試訪問以及如何從被攻擊賬戶收集數(shù)據(jù)的教程，視頻暴露了與該組織成員伊朗電話號碼相關(guān)的網(wǎng)站信息。這批資料顯示，這些黑客在解決驗證碼方面遇到了問題，另外，視頻提供的一些證據(jù)表明，他們也和我們中的許多人一樣曾因安全性差而成為勒索軟件攻擊的受害者。

IBM Security X-Force的分析師Allison Wickoff表示，“在過去的18個月里，我們不斷見到這個團(tuán)體的錯誤。我們覺得，調(diào)轉(zhuǎn)一下劇本看到對手人性化的一面也是很好的事情。”