[网络协议]2021年度黑帽网络安全会议：移动平台和开源软件成为网络安全重灾领域

在一年一度的美国黑帽网络安全会议上，移动平台和开源软件成为网络安全问题聚焦领域。

本周，在一年一度的美国黑帽网络安全会议上，移动平台和开源软件成为网络安全问题聚焦领域。

Black Hat 创始人Jeff Moss在开幕主题演讲中总结了网络安全社区的总体感受。

以下是一周 Black Hat 演讲的五个关键要点：

1. 移动平台是恶意行为者的下一个前沿阵地

越来越多的证据表明，威胁行为者正在将其大量资源用于利用移动平台中的漏洞。全球估计有60 亿智能手机订阅者，它们太有吸引力了，不容错过。

对移动设备的攻击与零日漏洞利用的增加相吻合，这些漏洞在安全社区中是未知的，因此未修补。

零日漏洞利用是市场驱动的，基于供求关系。去年，由于大量提交，零日代理 Zerodium宣布暂停获取 Apple iOS 漏洞利用。去年夏天，一款 iPhone 零日漏洞允许网络犯罪分子侵入36 名国际记者的移动设备。

Corellium LLC 首席运营官、英国国家安全管理局 GCHQ 的前分析师主旨发言人马特·泰特( Matt Tait)发表的研究表明，这个问题正在变得多么严重。

“针对移动电话设备的零日漏洞正在被大量利用，”Tait 告诉与会者。“我们只是对世界上实际可能发生的事情略有了解。”

部分问题是某些移动平台的架构产生了自己的一系列问题。Google Project Zero 的安全研究员Natalie Silvanovich描述了对移动消息错误的分析，该错误发现一个用户可以在未经他们同意的情况下打开另一个用户的相机或音频。

她在 Group FaceTime、Signal、Facebook Messenger、JioChat 和 Mocha 中发现了各种错误，所有这些错误都已报告并修复。

“在未经用户同意的情况下打开某人的相机并拍摄几张照片的能力相当令人担忧，”西尔瓦诺维奇说。

2. 开源社区需要注重安全和快速。

就其本质而言，开源模型并不是为生成完全安全的代码而设置的。当您拥有来自世界各地的数百万贡献者、重要软件工具的免费可用资源以及不断变化的维护人员名单时，安全性很容易被破解。

问题在于，威胁行为者也知道这一点，他们正在从中获利。 2017 年的Equifax 漏洞暴露了 1.47 亿人的个人信息，这归因于对未打补丁的 Apache Struts 开源版本漏洞的利用.

威胁形势涉及开发人员使用的工具及其存储位置。据报道，去年 12 月，两个恶意软件包被发布到 NPM，这是一个 JavaScript 开发人员用来共享代码块的代码存储库。此外，GitGuardian 的一项分析发现，仅 2020 年就有 200 万个“秘密”密码和身份凭证存储在公共 Git 存储库中。

NCC Group 高级副总裁兼全球研究主管Jennifer Fernick表示：“情况并没有好转，除此之外，应用程序的复杂性也在增加。” “开源软件中报告的漏洞数量每年都在增加。如果没有认真和协调的干预，我认为情况会变得更糟。”

3. DNS 即服务正在创建一条通往企业网络的开放高速公路

域名系统或 DNS 中的漏洞早已为人所知，但一组安全研究人员最近进行了一项简单的实验并发现了令人不安的结果。

DNS 促进 IP 网络上计算机之间的通信，是开放互联网背后的基础技术。DNS 服务已在提供 DNSaaS 作为托管企业网络解决方案的各种云提供商之间扩展。

正如Wiz.io 的安全研究人员Shir Tamari和Ami Luttwak发现的那样，问题在于注册域然后使用它来劫持 DNSaaS 提供商的名称服务器允许用户窃听动态 DNS 流量。研究人员能够使用一台被劫持的服务器窃听来自 15,000 个组织的 DNS 流量。

据 Tamari 和 Luttwak 称，六家主要的 DNSaaS 提供商中有两家已经修复了这些缺陷。

“DNS 是互联网的命脉，也是最重要的服务之一，”Luttwak 说。“一个简单的域注册让我们可以访问数千家公司和数百万台设备。当我们深入挖掘时，我们发现它来自财富 500 强公司和 100 多个政府机构。”

4. GPT-3 的高级文本功能让虚假信息演员大吃一惊

作为OpenAI 中的一个高级项目开发的GPT-3 生成类人文本的能力非常强大，令人信服，而且据乔治城大学的两名安全研究人员称，这可能非常危险。

AI 文本生成器是有史以来最大的神经网络，当给出文本提示或句子时，它可以返回完全可理解的写作段落。GPT-3 还可以生成可用的计算机代码，甚至还写了一篇关于它自己的信息量很大的博客文章。什么可能出错？

OpenAI为乔治城大学安全与新兴技术中心的研究分析师Drew Lohn和Micah Musser提供了自动化语言工具。他们有六个月的时间来查明它可能造成什么样的损害。

研究人员使用不同的对照组，测试了多个关于政治或社会问题的样本，看看读者是否能区分人类和机器写的内容之间的差异。当 GPT-3 被要求将美联社的两篇合法新闻报道改写成支持唐纳德·特朗普或反对前总统的文章时，一个专家小组无法区分。

研究人员指出，GPT-3 特别擅长以最少的指令生成推文，其速度和准确性使得从单个社交媒体帐户传播大量信息成为可能。

“我不确定这些后果是否得到了充分考虑，”Lohn 说。“这些技术可以带来很多潜在的好处。我们需要就此类决定进行讨论。”

5. 黑客也有勒索软件问题

随着时间的推移，网络安全社区开始更清楚地了解民族国家黑客使用的方法和操作方法，以及他们的问题。

IBM 公司 X-Force 的安全研究人员一直在分析IBM Threat Group 18的漏洞利用，该组织在网络安全领域与名为Charming Kitten的伊朗网络战组织重叠。与其他民族国家的黑客行动不同，ITG18 在不让公众看到其工作方面非常松懈，而且似乎并不特别关注它。

该组织一直在对制药公司、记者和伊朗持不同政见者进行网络钓鱼攻击，他们发布了一组培训视频，这些视频是去年 5 月IBM 研究人员发现的。除了提供有关如何测试访问权限和从受感染帐户中窃取数据的教程外，这些视频还暴露了与团体成员的伊朗电话号码相关的网站信息。大量材料显示，黑客在解决 CAPTCHA 时遇到了问题，就像我们许多人一样，并提供了证据，因为安全性差，他们自己也是勒索软件攻击的受害者。

“在过去的 18 个月里，我们不断地看到来自这个小组的错误，” IBM Security X-Force 的分析师Allison Wickoff说。“我们认为翻转脚本并使我们正在处理的对手人性化会很好。”