首页 > 科技频道 > 软件新闻

腾讯安全玄武实验室揭秘网络攻击新形势

2017年01月11日 16:37:26 作者:  来源:互联网

   激光作为20世纪以来,继原子能、计算机、半导体之后,人类的又一重大发明,被称为“最快的刀”。但把激光作为攻击手段,一直都存在于科幻电影和小说中。而近日,由腾讯安全联合实验室和腾讯视频联合出品的安全系列推理剧第6集《烧脑24小时之激光里的孙悟空》,就向公众展示了安全研究人员利用条码阅读器漏洞,以激光为“武器”,从而控制某科技公司电脑,并成功入侵核心数据库的真实场景。视频上线数日,点击量迅速接近200万,引发了网友和行业对这种新型入侵方式的讨论。不少行业专家表示,“智能设备的漏洞一旦被不法分子利用,后果不仅仅是其本身被攻击,与其相关联的终端也不能幸免”。

  激光攻破企业数据库 迂回攻击已成网络安全新威胁

  剧中,由腾讯安全联合实验室旗下的玄武实验室扮演的“蓝军”与某科技公司组成的“红军”,展开了一场网络安全的攻防演习。最终,腾讯安全玄武实验室研究员趁人事部员工离开办公室吃午饭的间隙,从对面的办公楼发射出一束编码了特殊攻击数据的激光,通过办公桌上的条码阅读器向“红军”人事部电脑植入木马,成功获取人事数据库的访问权并取得演习的胜利。

  “原来这些安全部门平日里在做这样的事,幕后英雄值得尊敬。”视频的评论区有网友给实验室的研究员点赞。同时也有不少网友感叹这种技术的可怕 ,“天啦,这就是黑科技的神秘之处,一束激光便可以入侵电脑,这样的系统漏洞真让人害怕”。事实上,此次腾讯安全玄武实验室所运用的技术正是他们之前发现的条码阅读器“BadBarcode”漏洞。利用该漏洞,只要将编码了特殊信息的激光束照射在条码阅读器附近,就能入侵连接该条码阅读器的电脑。据悉,该项研究揭示了影响整个条码阅读器行业存在了近二十年的重大安全隐患,腾讯安全玄武实验室也因此荣获 WitAwards“年度最佳研究成果”奖。

  正如视频中展现的那样,随着万物互联时代的到来,黑客的攻击手段已不再是单纯地只针对目标进行“两点一线”的直线型攻击,通过物联网设备的迂回式攻击,正成为一种新的作案手段。去年年底,美国DNS服务商Dyn遭遇了大规模DDoS攻击,致使大半个国家网络瘫痪。此次事件是因为黑客操控数百万网络摄像头及相关DVR录像机作为“肉鸡”,进而利用 Mirai僵尸网络以DDoS劫持攻击方式致使大半个美国网络瘫痪。如何防御这种新形式的攻击,将成为企业和安全厂商的新挑战。

  产业联动 持续完善智能设备安全

  2016世界物联网博览会信息安全高峰论坛上,中国工程院院士倪光南指出,如今物联网已经成为网络攻击的新领地,也成了信息窃取的新战场,大数据、云计算、移动互联等新技术新应用不断融合,海量设备不断接入互联网,这些可能成为黑客攻击的目标,预计物联网将是风险隐患的高发地、网络安全治理的重点区。

  腾讯安全玄武实验室负责人于旸也曾在2016年CSS安全领袖峰会中指出,我们今天面对的信息安全,已经不再是某一行代码的问题,或者说某几处代码之间的问题,而是一个协议和一个协议之间的问题,或者是某些协议共同作用发生的问题,甚至是一个设备和一堆设备之间的问题、一个系统和一个系统之间的问题。这种形态的安全问题用传统的方法是难以进行发现、分析和防御的。

  而最大限度的控制安全隐患的关键是智能产品厂家一定要建立一套完善的加密保护体系和漏洞修复机制,从源头上堵住安全威胁。但仅仅依靠智能产品厂家自身的漏洞修复很难做到尽善尽美,据安全数据库网站CVE Details的报告显示,在2016年的漏洞排行榜上,Adobe旗下软件的漏洞最多,高达1383个;微软以1325个紧随其后;谷歌以695个漏洞位居第三。像微软、谷歌、Adobe这样拥有专业安全团队的国际知名厂商,每年有大量的漏洞被安全厂商揭漏,中小企业在缺乏专业安全团队支撑的情况下,其智能产品的安全性更加难以保障。

  一直以来,以腾讯安全为代表的国内安全厂商积极致力于助力厂商修复其产品的安全性。视频中的腾讯安全玄武实验室,专注于针对各类型漏洞的挖掘、利用、检测、防御,以及涉及硬件、无线等方面的复合安全风险。与科恩实验室、湛泸实验室、云鼎实验室、反病毒实验室、反诈骗实验室、移动安全实验室六大实验室协同合作组建而成的腾讯安全联合实验室,在成为腾讯安全技术保障和升级利器的同时,也不遗余力向产业链能力输出安全技术能力。

  据了解,腾讯安全玄武实验室在发现条码阅读器存在这个漏洞之后,已经及时反馈并帮助一些厂商修复了这个问题。目前,腾讯安全玄武实验室已先后帮助 Google、Microsoft、Apple 、HP、Lenovo等企业修复了 223个严重安全问题。腾讯安全负责人指出,通过主动、及时地漏洞挖掘,并将漏洞报告给厂商,有助于这些企业改进其产品的安全,保障广大用户的网络安全。而针对安全力量薄弱的中小型企业,腾讯安全联合实验室也主动开放技术、数据和能力,联动产业链各方共筑网络安全生态。

  然而网络安全环境的建立仅仅依靠产业链的维护很难做到面面俱到,加强用户和企业的安全意识,提升其安全防范能力,也是其中不可或缺的一环。事实上,《烧脑24小时》正是承担着普及安全知识的重要职责。围绕网络安全团队与诈骗、黑客等犯罪分子之间的科技战、技术战的剧情,以电影艺术的形式巧妙地展现常见的作案手段和高端的反黑技术,对用户和企业来说无疑是一种更易理解和接受的方式。

  来源:XXX(非中文科技资讯)的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。

  文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

  中文科技资讯登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述,也不代表本网对其真实性负责。您若对该稿件内容有任何疑问或质疑,请即与中文科技资讯联系,本网将迅速给您回应并做处理。

[责任编辑: CIT03]
扫一扫 看独家

最新

新闻

甲骨文预计裁员超1800人 多为硬件和软件开发人员

据外媒1月22日报道,甲骨文发布裁员消息称,总共约有1800名员工会收到解雇通知书,大多数都是硬件和软件开发人员。

科学

如果地球磁场的南北极发生反转会怎样?

在险恶的宇宙环境中,地磁场保护着脆弱的地球。那么,如果地球磁场的南北极发生颠倒会有什么后果?

融合

人工智能最大对手并非Siri

微软CEO萨提亚·纳德拉表示,2017年他们在人工智能这方面的最大挑战是来自亚马逊的Alexa,而不是Siri。

专栏

网易打散门户内容为哪般?

岁末年初,网易突然宣布进行内容大调整。据悉,网易门户内容部召开动员大会,网易传媒直播中心高级总监庄笑俨对外宣布,网易门户内容部也将不再分频道,而是在直播事业群下分设三条线:直播、原创和编辑。