首页 > 科技频道 > 软件新闻

腾讯安全玄武实验室揭秘网络攻击新形势

2017年01月11日 16:37:26   来源:互联网

   激光作为20世纪以来,继原子能、计算机、半导体之后,人类的又一重大发明,被称为“最快的刀”。但把激光作为攻击手段,一直都存在于科幻电影和小说中。而近日,由腾讯安全联合实验室和腾讯视频联合出品的安全系列推理剧第6集《烧脑24小时之激光里的孙悟空》,就向公众展示了安全研究人员利用条码阅读器漏洞,以激光为“武器”,从而控制某科技公司电脑,并成功入侵核心数据库的真实场景。视频上线数日,点击量迅速接近200万,引发了网友和行业对这种新型入侵方式的讨论。不少行业专家表示,“智能设备的漏洞一旦被不法分子利用,后果不仅仅是其本身被攻击,与其相关联的终端也不能幸免”。

  激光攻破企业数据库 迂回攻击已成网络安全新威胁

  剧中,由腾讯安全联合实验室旗下的玄武实验室扮演的“蓝军”与某科技公司组成的“红军”,展开了一场网络安全的攻防演习。最终,腾讯安全玄武实验室研究员趁人事部员工离开办公室吃午饭的间隙,从对面的办公楼发射出一束编码了特殊攻击数据的激光,通过办公桌上的条码阅读器向“红军”人事部电脑植入木马,成功获取人事数据库的访问权并取得演习的胜利。

  “原来这些安全部门平日里在做这样的事,幕后英雄值得尊敬。”视频的评论区有网友给实验室的研究员点赞。同时也有不少网友感叹这种技术的可怕 ,“天啦,这就是黑科技的神秘之处,一束激光便可以入侵电脑,这样的系统漏洞真让人害怕”。事实上,此次腾讯安全玄武实验室所运用的技术正是他们之前发现的条码阅读器“BadBarcode”漏洞。利用该漏洞,只要将编码了特殊信息的激光束照射在条码阅读器附近,就能入侵连接该条码阅读器的电脑。据悉,该项研究揭示了影响整个条码阅读器行业存在了近二十年的重大安全隐患,腾讯安全玄武实验室也因此荣获 WitAwards“年度最佳研究成果”奖。

  正如视频中展现的那样,随着万物互联时代的到来,黑客的攻击手段已不再是单纯地只针对目标进行“两点一线”的直线型攻击,通过物联网设备的迂回式攻击,正成为一种新的作案手段。去年年底,美国DNS服务商Dyn遭遇了大规模DDoS攻击,致使大半个国家网络瘫痪。此次事件是因为黑客操控数百万网络摄像头及相关DVR录像机作为“肉鸡”,进而利用 Mirai僵尸网络以DDoS劫持攻击方式致使大半个美国网络瘫痪。如何防御这种新形式的攻击,将成为企业和安全厂商的新挑战。

  产业联动 持续完善智能设备安全

  2016世界物联网博览会信息安全高峰论坛上,中国工程院院士倪光南指出,如今物联网已经成为网络攻击的新领地,也成了信息窃取的新战场,大数据、云计算、移动互联等新技术新应用不断融合,海量设备不断接入互联网,这些可能成为黑客攻击的目标,预计物联网将是风险隐患的高发地、网络安全治理的重点区。

  腾讯安全玄武实验室负责人于旸也曾在2016年CSS安全领袖峰会中指出,我们今天面对的信息安全,已经不再是某一行代码的问题,或者说某几处代码之间的问题,而是一个协议和一个协议之间的问题,或者是某些协议共同作用发生的问题,甚至是一个设备和一堆设备之间的问题、一个系统和一个系统之间的问题。这种形态的安全问题用传统的方法是难以进行发现、分析和防御的。

  而最大限度的控制安全隐患的关键是智能产品厂家一定要建立一套完善的加密保护体系和漏洞修复机制,从源头上堵住安全威胁。但仅仅依靠智能产品厂家自身的漏洞修复很难做到尽善尽美,据安全数据库网站CVE Details的报告显示,在2016年的漏洞排行榜上,Adobe旗下软件的漏洞最多,高达1383个;微软以1325个紧随其后;谷歌以695个漏洞位居第三。像微软、谷歌、Adobe这样拥有专业安全团队的国际知名厂商,每年有大量的漏洞被安全厂商揭漏,中小企业在缺乏专业安全团队支撑的情况下,其智能产品的安全性更加难以保障。

  一直以来,以腾讯安全为代表的国内安全厂商积极致力于助力厂商修复其产品的安全性。视频中的腾讯安全玄武实验室,专注于针对各类型漏洞的挖掘、利用、检测、防御,以及涉及硬件、无线等方面的复合安全风险。与科恩实验室、湛泸实验室、云鼎实验室、反病毒实验室、反诈骗实验室、移动安全实验室六大实验室协同合作组建而成的腾讯安全联合实验室,在成为腾讯安全技术保障和升级利器的同时,也不遗余力向产业链能力输出安全技术能力。

  据了解,腾讯安全玄武实验室在发现条码阅读器存在这个漏洞之后,已经及时反馈并帮助一些厂商修复了这个问题。目前,腾讯安全玄武实验室已先后帮助 Google、Microsoft、Apple 、HP、Lenovo等企业修复了 223个严重安全问题。腾讯安全负责人指出,通过主动、及时地漏洞挖掘,并将漏洞报告给厂商,有助于这些企业改进其产品的安全,保障广大用户的网络安全。而针对安全力量薄弱的中小型企业,腾讯安全联合实验室也主动开放技术、数据和能力,联动产业链各方共筑网络安全生态。

  然而网络安全环境的建立仅仅依靠产业链的维护很难做到面面俱到,加强用户和企业的安全意识,提升其安全防范能力,也是其中不可或缺的一环。事实上,《烧脑24小时》正是承担着普及安全知识的重要职责。围绕网络安全团队与诈骗、黑客等犯罪分子之间的科技战、技术战的剧情,以电影艺术的形式巧妙地展现常见的作案手段和高端的反黑技术,对用户和企业来说无疑是一种更易理解和接受的方式。

  来源:XXX(非中文科技资讯)的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。

  文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

  中文科技资讯登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述,也不代表本网对其真实性负责。您若对该稿件内容有任何疑问或质疑,请即与中文科技资讯联系,本网将迅速给您回应并做处理。

[责任编辑: CIT03]
分享到微信

最新

安卓8.0要来了 加入人工智能技术 性能会有大提升

谷歌I/O大会作为安卓领域的生态风向标,其中I/O官方寓意为“开放中创新”(Innovation in the Open),它同时它还代表“输入/输出”。按照惯例,谷歌每在这个时候都会亮出旗下最新的技术,涉及到包括人工智能、虚拟现实等等最前沿领域。但毫无疑问的是,作为谷歌I/O大会上的主菜,安卓8.0是最受大家关注的,因为这和我们每一位使用安卓手机的用户息息相关。

新闻

微软推动Skype for Business入局医疗领域

在今天宣布的一系列模板中,微软致力于扩展Skype for Business至医疗健康领域。在Office博客的最新博文中,Skype for Business团队的集团项目经理Andrew Bybee强调,公司通过加强和现代化医疗提供商的合作不断探索各种创新。包含Skype for Business组件的Office 365,能够减少沟通障碍,加速推进“虚拟咨询体验”的建设工作。

科学

全球七百多物种濒危 气候变化为幕后黑手

据英国《独立报》报道,科学研究表明超过700种哺乳动物和鸟类目前遭受着灭绝的威胁,它们似乎受到气候变化的严重影响。发表在《自然气候变化》杂志的一篇文章称,科学家们认为灵长类和有袋类动物是遭受全球变暖影响最严重的群体。

融合

让IBM 和Visa 来告诉你 物联网时代的电子支付该怎么

还在用手机扫码支付?以后这些统统都要 out 了。未来,也许一台咖啡机或者打印机都能成为支付工具,IBM 要用物联网技术帮你实现这一切。

专栏

美团的“困兽之斗” 三大业务纷纷受挫

近日,移动数据监测公司Trustdata发布了《2016年本地生活服务O2O白皮书》,根据数据显示,在2016年O2O业务形态摆脱了团购的单一形式,逐渐演变为到店、到家、外卖三大板块。尽管美团依旧依靠交易额排名第一,但是其日成交量已经被超越。