閱讀 | 訂閱
閱讀 | 訂閱
電子加工新聞

激光攻破企業(yè)系統(tǒng)防線引熱議 網絡安全威脅升級亟待治理

星之球科技 來源:itbear.com.cn2017-01-12 我要評論(0 )   

近日,由騰訊安全聯合實驗室和騰訊視頻聯合出品的安全系列推理劇向公眾展示了安全研究人員利用條碼閱讀器漏洞,以激光為“武器”,從而控制某科技公司電腦,并成功入侵...

激光作為20世紀以來,繼原子能、計算機、半導體之后,人類的又一重大發(fā)明,被稱為“最快的刀”。但把激光作為攻擊手段,一直都存在于科幻電影和小說中。而近日,由騰訊安全聯合實驗室和騰訊視頻聯合出品的安全系列推理劇第6集《燒腦24小時之激光里的孫悟空》,就向公眾展示了安全研究人員利用條碼閱讀器漏洞,以激光為“武器”,從而控制某科技公司電腦,并成功入侵核心數據庫的真實場景。視頻上線數日,點擊量迅速接近200萬,引發(fā)了網友和行業(yè)對這種新型入侵方式的討論。不少行業(yè)專家表示,“智能設備的漏洞一旦被不法分子利用,后果不僅僅是其本身被攻擊,與其相關聯的終端也不能幸免”。
 
激光攻破企業(yè)數據庫 迂回攻擊已成網絡安全新威脅
 
劇中,由騰訊安全聯合實驗室旗下的玄武實驗室扮演的“藍軍”與某科技公司組成的“紅軍”,展開了一場網絡安全的攻防演習。最終,騰訊安全玄武實驗室研究員趁人事部員工離開辦公室吃午飯的間隙,從對面的辦公樓發(fā)射出一束編碼了特殊攻擊數據的激光,通過辦公桌上的條碼閱讀器向“紅軍”人事部電腦植入木馬,成功獲取人事數據庫的訪問權并取得演習的勝利。
 
“原來這些安全部門平日里在做這樣的事,幕后英雄值得尊敬。”視頻的評論區(qū)有網友給實驗室的研究員點贊。同時也有不少網友感嘆這種技術的可怕 ,“天啦,這就是黑科技的神秘之處,一束激光便可以入侵電腦,這樣的系統(tǒng)漏洞真讓人害怕”。事實上,此次騰訊安全玄武實驗室所運用的技術正是他們之前發(fā)現的條碼閱讀器“BadBarcode”漏洞。利用該漏洞,只要將編碼了特殊信息的激光束照射在條碼閱讀器附近,就能入侵連接該條碼閱讀器的電腦。據悉,該項研究揭示了影響整個條碼閱讀器行業(yè)存在了近二十年的重大安全隱患,騰訊安全玄武實驗室也因此榮獲 WitAwards“年度最佳研究成果”獎。
 
正如視頻中展現的那樣,隨著萬物互聯時代的到來,黑客的攻擊手段已不再是單純地只針對目標進行“兩點一線”的直線型攻擊,通過物聯網設備的迂回式攻擊,正成為一種新的作案手段。去年年底,美國DNS服務商Dyn遭遇了大規(guī)模DDoS攻擊,致使大半個國家網絡癱瘓。此次事件是因為黑客操控數百萬網絡攝像頭及相關DVR錄像機作為“肉雞”,進而利用 Mirai僵尸網絡以DDoS劫持攻擊方式致使大半個美國網絡癱瘓。如何防御這種新形式的攻擊,將成為企業(yè)和安全廠商的新挑戰(zhàn)。
 
 產業(yè)聯動 持續(xù)完善智能設備安全
 
2016世界物聯網博覽會信息安全高峰論壇上,中國工程院院士倪光南指出,如今物聯網已經成為網絡攻擊的新領地,也成了信息竊取的新戰(zhàn)場,大數據、云計算、移動互聯等新技術新應用不斷融合,海量設備不斷接入互聯網,這些可能成為黑客攻擊的目標,預計物聯網將是風險隱患的高發(fā)地、網絡安全治理的重點區(qū)。
 
騰訊安全玄武實驗室負責人于旸也曾在2016年CSS安全領袖峰會中指出,我們今天面對的信息安全,已經不再是某一行代碼的問題,或者說某幾處代碼之間的問題,而是一個協(xié)議和一個協(xié)議之間的問題,或者是某些協(xié)議共同作用發(fā)生的問題,甚至是一個設備和一堆設備之間的問題、一個系統(tǒng)和一個系統(tǒng)之間的問題。這種形態(tài)的安全問題用傳統(tǒng)的方法是難以進行發(fā)現、分析和防御的。
 
而最大限度的控制安全隱患的關鍵是智能產品廠家一定要建立一套完善的加密保護體系和漏洞修復機制,從源頭上堵住安全威脅。但僅僅依靠智能產品廠家自身的漏洞修復很難做到盡善盡美,據安全數據庫網站CVE Details的報告顯示,在2016年的漏洞排行榜上,Adobe旗下軟件的漏洞最多,高達1383個;微軟以1325個緊隨其后;谷歌以695個漏洞位居第三。像微軟、谷歌、Adobe這樣擁有專業(yè)安全團隊的國際知名廠商,每年有大量的漏洞被安全廠商揭漏,中小企業(yè)在缺乏專業(yè)安全團隊支撐的情況下,其智能產品的安全性更加難以保障。
 
一直以來,以騰訊安全為代表的國內安全廠商積極致力于助力廠商修復其產品的安全性。視頻中的騰訊安全玄武實驗室,專注于針對各類型漏洞的挖掘、利用、檢測、防御,以及涉及硬件、無線等方面的復合安全風險。與科恩實驗室、湛瀘實驗室、云鼎實驗室、反病毒實驗室、反詐騙實驗室、移動安全實驗室六大實驗室協(xié)同合作組建而成的騰訊安全聯合實驗室,在成為騰訊安全技術保障和升級利器的同時,也不遺余力向產業(yè)鏈能力輸出安全技術能力。
 
 
據了解,騰訊安全玄武實驗室在發(fā)現條碼閱讀器存在這個漏洞之后,已經及時反饋并幫助一些廠商修復了這個問題。目前,騰訊安全玄武實驗室已先后幫助 Google、Microsoft、Apple 、HP、Lenovo等企業(yè)修復了 223個嚴重安全問題。騰訊安全負責人指出,通過主動、及時地漏洞挖掘,并將漏洞報告給廠商,有助于這些企業(yè)改進其產品的安全,保障廣大用戶的網絡安全。而針對安全力量薄弱的中小型企業(yè),騰訊安全聯合實驗室也主動開放技術、數據和能力,聯動產業(yè)鏈各方共筑網絡安全生態(tài)。
 
然而網絡安全環(huán)境的建立僅僅依靠產業(yè)鏈的維護很難做到面面俱到,加強用戶和企業(yè)的安全意識,提升其安全防范能力,也是其中不可或缺的一環(huán)。事實上,《燒腦24小時》正是承擔著普及安全知識的重要職責。圍繞網絡安全團隊與詐騙、黑客等犯罪分子之間的科技戰(zhàn)、技術戰(zhàn)的劇情,以電影藝術的形式巧妙地展現常見的作案手段和高端的反黑技術,對用戶和企業(yè)來說無疑是一種更易理解和接受的方式。

轉載請注明出處。

激光激光技術
免責聲明

① 凡本網未注明其他出處的作品,版權均屬于激光制造網,未經本網授權不得轉載、摘編或利用其它方式使用。獲本網授權使用作品的,應在授權范圍內使 用,并注明"來源:激光制造網”。違反上述聲明者,本網將追究其相關責任。
② 凡本網注明其他來源的作品及圖片,均轉載自其它媒體,轉載目的在于傳遞更多信息,并不代表本媒贊同其觀點和對其真實性負責,版權歸原作者所有,如有侵權請聯系我們刪除。
③ 任何單位或個人認為本網內容可能涉嫌侵犯其合法權益,請及時向本網提出書面權利通知,并提供身份證明、權屬證明、具體鏈接(URL)及詳細侵權情況證明。本網在收到上述法律文件后,將會依法盡快移除相關涉嫌侵權的內容。

網友點評
0相關評論
精彩導讀